Despre conținutul de securitate din macOS Monterey 12.7.2
Acest document descrie conținutul de securitate din macOS Monterey 12.7.2.
Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate în pagina Versiuni de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
macOS Monterey 12.7.2
Lansare: 11 decembrie 2023
Accounts
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca o aplicație să acceseze date sensibile despre utilizatori
Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.
CVE-2023-42919: Kirin (@Pwnrin)
AppleEvents
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate accesa informații despre contactele unui utilizator
Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.
CVE-2023-42894: Noah Roskin-Frazee și Prof. J. (ZeroClicks.ai Lab)
Assets
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: a fost rezolvată o problemă printr-o manipulare îmbunătățită a fișierelor temporare.
CVE-2023-42896: Mickey Jin (@patch1t)
Intrare adăugată pe 22 martie 2024
CoreServices
Disponibilitate pentru: macOS Monterey
Impact: un utilizator poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2023-42886: Koh M. Nakagawa (@tsunek0h)
DiskArbitration
Disponibilitate pentru: macOS Monterey
Impact: un proces poate obține privilegii de administrator fără autentificarea corespunzătoare
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-42931: Yann GASCUEL de la Alter Solutions
Intrare adăugată pe 22 martie 2024
Emoji
Disponibilitate pentru: macOS Monterey
Impact: un atacator poate să execute un cod arbitrar ca rădăcină de pe ecranul de blocare
Descriere: problema a fost rezolvată prin restricționarea opțiunilor oferite pe un dispozitiv blocat.
CVE-2023-41989: Jewel Lambert
Intrare adăugată pe 16 iulie 2024
FileURL
Disponibilitate pentru: macOS Monterey
Impact: un atacator local poate fi capabil să-și ridice nivelul privilegiilor
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2023-42892: Anthony Cruz @App Tyrant Corp
Intrare adăugată pe 22 martie 2024
Find My
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate citi informații de localizare sensibile
Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.
CVE-2023-42922: Wojciech Regula (SecuRing) (wojciechregula.blog)
Find My
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori
Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea gestionării fișierelor.
CVE-2023-42834: Csaba Fitzl (@theevilbit) de la Offensive Security
Intrare adăugată pe 16 februarie 2024
ImageIO
Disponibilitate pentru: macOS Monterey
Impact: procesarea unei imagini poate cauza executarea unui cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-42899: Meysam Firouzi @R00tkitSMM și Junsung Lee
IOKit
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate monitoriza apăsările de taste fără permisiunea utilizatorului
Descriere: a fost rezolvată o problemă de autentificare prin îmbunătățirea gestionării stării.
CVE-2023-42891: un cercetător anonim
IOUSBDeviceFamily
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: a fost tratată o condiție de rulare prin îmbunătățirea tratării stării.
CVE-2023-42974: Pan ZhenPeng (@Peterpan0927) STAR Labs SG Pte. Ltd.
Intrare adăugată pe 22 martie 2024
Kernel
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate evada din sandbox
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) de la Synacktiv (@Synacktiv)
Libsystem
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate accesa date protejate despre utilizator
Descriere: a fost rezolvată o problemă legată de permisiuni prin eliminarea codului vulnerabil și adăugarea de verificări suplimentare.
CVE-2023-42893
Intrare adăugată pe 22 martie 2024
Model I/O
Disponibilitate pentru: macOS Monterey
Impact: procesarea unei imagini poate duce la refuzul serviciului
Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.
CVE-2023-3618
Intrare adăugată pe 22 martie 2024
ncurses
Disponibilitate pentru: macOS Monterey
Impact: un utilizator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2020-19185
CVE-2020-19186
CVE-2020-19187
CVE-2020-19188
CVE-2020-19189
CVE-2020-19190
quarantine
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate să execute cod arbitrar în afara propriului sandbox sau cu anumite privilegii ridicate
Descriere: o problemă de acces a fost rezolvată prin aducerea de îmbunătățiri la sandbox.
CVE-2023-42838: Yiğit Can YILMAZ (@yilmazcanyigit) și Csaba Fitzl (@theevilbit) de la Offensive Security
Intrare adăugată pe 16 februarie 2024
Sandbox
Disponibilitate pentru: macOS Monterey
Impact: un atacator poate accesa volume de rețea conectate care sunt montate în directorul de reședință
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.
CVE-2023-42836: Yiğit Can YILMAZ (@yilmazcanyigit)
Intrare adăugată pe 16 februarie 2024
Sandbox
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.
CVE-2023-42936: Csaba Fitzl (@theevilbit) de la OffSec
Intrare adăugată pe 22 martie 2024, actualizată pe 16 iulie 2024
Shell
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2023-42930: Arsenii Kostromin (0x3c3e)
Intrare adăugată pe 22 martie 2024
TCC
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate accesa date protejate despre utilizator
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.
CVE-2023-42932: Zhongquan Li (@Guluisacat)
TCC
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate evada din sandbox
Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.
CVE-2023-42947: Zhongquan Li (@Guluisacat) de la Dawn Security Lab (JingDong)
Intrare adăugată pe 22 martie 2024
Vim
Disponibilitate pentru: macOS Monterey
Impact: deschiderea unui fișier creat cu rea intenție poate duce la închiderea neașteptată a aplicației sau la executarea unui cod aleatoriu
Descriere: această problemă a fost rezolvată prin actualizarea la versiunea Vim 9.0.1969.
CVE-2023-5344
Alte mențiuni
Preview
Dorim să-i mulțumim lui Akshay Nagpal pentru asistența acordată.
Intrare adăugată pe 16 februarie 2024
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.