Despre conținutul de securitate din macOS Monterey 12.6.8

Acest document descrie conținutul de securitate din macOS Monterey 12.6.8.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate în pagina Versiuni de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.

macOS Monterey 12.6.8

Publicat pe 24 iulie 2023

Accessibility

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate citi informații de localizare sensibile

Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.

CVE-2023-40442: Nick Brook

Adăugare intrare: 8 septembrie 2023

Apple Neural Engine

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-34425: pattern-f (@pattern_F_) (Ant Security Light-Year Lab)

Adăugare intrare: 27 iulie 2023

AppSandbox

Disponibilitate pentru: macOS Monterey

Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.

CVE-2023-32364: Gergely Kalman (@gergely_kalman)

Adăugare intrare: 27 iulie 2023

Assets

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere

Descriere: această problemă a fost rezolvată prin protecția îmbunătățită a datelor.

CVE-2023-35983: Mickey Jin (@patch1t)

CFNetwork

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate citi informații de localizare sensibile

Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.

CVE-2023-40392: Wojciech Regula de la SecuRing (wojciechregula.blog)

Adăugare intrare: 8 septembrie 2023

CUPS

Disponibilitate pentru: macOS Monterey

Impact: un utilizator cu poziție privilegiată în rețea poate scurge informații sensibile

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2023-34241: Sei K.

Adăugare intrare: 27 iulie 2023

curl

Disponibilitate pentru: macOS Monterey

Impact: mai multe probleme în curl

Descriere: mai multe probleme au fost rezolvate prin actualizarea curl.

CVE-2023-28319

CVE-2023-28320

CVE-2023-28321

CVE-2023-28322

Find My

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate citi informații de localizare sensibile

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.

CVE-2023-32416: Wojciech Regula de la SecuRing (wojciechregula.blog)

FontParser

Disponibilitate pentru: macOS Monterey

Impact: procesarea unui fișier de font poate cauza executarea unui cod arbitrar. Apple a luat cunoștință de un raport conform căruia este posibil ca această problemă să fi fost exploatată în mod activ împotriva versiunilor de iOS lansate înainte de iOS 15.7.1.

Descriere: problema a fost remediată printr-o manipulare îmbunătățită a cache-urilor.

CVE-2023-41990: Apple, Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) și Boris Larin (@oct0xor) (Kaspersky)

Adăugare intrare: 8 septembrie 2023

Grapher

Disponibilitate pentru: macOS Monterey

Impact: procesarea unui fișier poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2023-36854: Bool de la YunShangHuaAn(云上华ध)

CVE-2023-32418: Bool de la YunShangHuaAn(云上华ध)

Kernel

Disponibilitate pentru: macOS Monterey

Impact: un utilizator la distanță poate provoca un refuz al serviciului

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2023-38603: Zweig de la Kunlun Lab

Adăugare intrare: 27 iulie 2023

Kernel

Disponibilitate pentru: macOS Monterey

Impact: un utilizator la distanță ar putea cauza închiderea neașteptată a sistemului sau ar putea corupe memoria kernel

Descriere: a fost rezolvată o problemă de depășire a memoriei-tampon prin îmbunătățirea tratării memoriei.

CVE-2023-38590: Zweig de la Kunlun Lab

Adăugare intrare: 27 iulie 2023

Kernel

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2023-38598: Mohamed GHANNAM (@_simo36)

Adăugare intrare: 27 iulie 2023

Kernel

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.

CVE-2023-36495: 香农的三蹦子 (Pangu Lab)

Adăugare intrare: 27 iulie 2023

Kernel

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2023-37285: Arsenii Kostromin (0x3c3e)

Adăugare intrare: 27 iulie 2023

Kernel

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.

CVE-2023-38604: un cercetător anonim

Adăugare intrare: 27 iulie 2023

Kernel

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2023-32381: un cercetător anonim

CVE-2023-32433: Zweig de la Kunlun Lab

CVE-2023-35993: Kaitao Xie și Xiaolong Bai (Alibaba Group)

Kernel

Disponibilitate pentru: macOS Monterey

Impact: este posibil ca o aplicație să poată modifica informații sensibile privind starea kernelului. Apple a luat cunoștință de un raport conform căruia este posibil ca această problemă să fi fost exploatată în mod activ împotriva versiunilor de iOS lansate înainte de iOS 15.7.1.

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2023-38606: Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) și Boris Larin (@oct0xor) de la Kaspersky

Kernel

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14) de la STAR Labs SG Pte. Ltd.

Kernel

Disponibilitate pentru: macOS Monterey

Impact: un utilizator la distanță poate provoca un refuz al serviciului

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2023-38603: Zweig de la Kunlun Lab

Adăugare intrare: 22 decembrie 2023

libxpc

Disponibilitate pentru: macOS Monterey

Impact: este posibil ca o aplicație să obțină privilegii de rădăcină

Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.

CVE-2023-38565: Zhipeng Huo (@R3dF09) de la Tencent Security Xuanwu Lab (xlab.tencent.com)

libxpc

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate provoca o refuzare a serviciului

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2023-38593: Noah Roskin-Frazee

Mail

Disponibilitate pentru: macOS Monterey

Impact: un e-mail criptat S/MIME poate fi trimis din greșeală necriptat

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării e-mailurilor criptate S/MIME.

CVE-2023-40440: Taavi Eomäe (Zone Media OÜ)

Adăugare intrare: 8 septembrie 2023

Music

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate să ocolească preferințele de confidențialitate

Descriere: această problemă a fost rezolvată prin îmbunătățirea validării linkurilor simbolice.

CVE-2023-38571: Gergely Kalman (@gergely_kalman)

Adăugare intrare: 27 iulie 2023

Model I/O

Disponibilitate pentru: macOS Monterey

Impact: procesarea unui model 3D poate cauza divulgarea memoriei de proces

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2023-38421: Mickey Jin (@patch1t) și Michael DePlante (@izobashi) (Trend Micro Zero Day Initiative)

CVE-2023-38258: Mickey Jin (@patch1t)

Actualizare intrare: 27 iulie 2023

Model I/O

Disponibilitate pentru: macOS Monterey

Impact: procesarea unei imagini poate cauza divulgarea memoriei de proces

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2023-1916

Adăugare intrare: 22 decembrie 2023

ncurses

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate cauza închiderea neașteptată a aplicației sau executarea arbitrară a codului

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării.

CVE-2023-29491: Jonathan Bar Or (Microsoft), Emanuele Cozzi (Microsoft) și Michael Pearse (Microsoft)

Adăugare intrare: 8 septembrie 2023

Net-SNMP

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere

Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.

CVE-2023-38601: Csaba Fitzl (@theevilbit) de la Offensive Security

Adăugare intrare: 27 iulie 2023

NSSpellChecker

Disponibilitate pentru: macOS Monterey

Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea validării.

CVE-2023-32444: Mickey Jin (@patch1t)

Adăugare intrare: 27 iulie 2023

OpenLDAP

Disponibilitate pentru: macOS Monterey

Impact: un utilizator la distanță poate provoca un refuz al serviciului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-2953: Sandipan Roy

OpenSSH

Disponibilitate pentru: macOS Monterey

Impact: este posibil ca o aplicație să poată accesa parolele de acces SSH

Descriere: problema a fost rezolvată prin restricții suplimentare privind observabilitatea stărilor aplicațiilor.

CVE-2023-42829: James Duffy (mangoSecure)

Adăugare intrare: 22 decembrie 2023

PackageKit

Disponibilitate pentru: macOS Monterey

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.

CVE-2023-38259: Mickey Jin (@patch1t)

PackageKit

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2023-38602: Arsenii Kostromin (0x3c3e)

Securitate

Disponibilitate pentru: macOS Monterey

Impact: este posibil ca o aplicație să poată amprenta utilizatorul

Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.

CVE-2023-42831: James Duffy (mangoSecure)

Adăugare intrare: 22 decembrie 2023

Shortcuts

Disponibilitate pentru: macOS Monterey

Impact: o comandă rapidă poate să modifice configurările sensibile ale aplicației Comenzi rapide

Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru acces.

CVE-2023-32442: un cercetător anonim

sips

Disponibilitate pentru: macOS Monterey

Impact: procesarea unui fișier ar putea provoca o refuzare a serviciului sau ar putea dezvălui conținutul memoriei

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2023-32443: David Hoyt (Hoyt LLC)

Software Update

Disponibilitate pentru: macOS Monterey

Impact: este posibil ca o aplicație să obțină privilegii de rădăcină

Descriere: a fost tratată o condiție de rulare prin îmbunătățirea tratării stării.

CVE-2023-42832: Arsenii Kostromin (0x3c3e)

Adăugare intrare: 22 decembrie 2023

SQLite

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate să ocolească preferințele de confidențialitate

Descriere: această problemă a fost abordată prin adăugarea de restricții suplimentare de înregistrare în SQLite

CVE-2023-32422: Gergely Kalman (@gergely_kalman) și Wojciech Regula de la SecuRing (wojciechregula.blog)

Adăugare intrare: 8 septembrie 2023

SystemMigration

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate să ocolească preferințele de confidențialitate

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2023-32429: Wenchao Li și Xiaolong Bai de la Hangzhou Orange Shield Information Technology Co., Ltd.

Adăugare intrare: 27 iulie 2023

tcpdump

Disponibilitate pentru: macOS Monterey

Impact: un atacator cu poziție privilegiată în rețea poate executa un cod arbitrar

Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.

CVE-2023-1801

Adăugare intrare: 22 decembrie 2023

Vim

Disponibilitate pentru: macOS Monterey

Impact: probleme multiple în Vim

Descriere: mai multe probleme au fost rezolvate prin actualizarea Vim.

CVE-2023-2426

CVE-2023-2609

CVE-2023-2610

Adăugare intrare: 22 decembrie 2023

Weather

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate determina locația curentă a unui utilizator

Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.

CVE-2023-38605: Adam M.

Adăugare intrare: 8 septembrie 2023

Alte mențiuni

Mail

Dorim să îi mulțumim lui Parvez Anwar pentru asistența acordată.

Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.

Data publicării: