Despre conținutul de securitate din macOS Monterey 12.7.2

Acest document descrie conținutul de securitate din macOS Monterey 12.7.2.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate în pagina Versiuni de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.

macOS Monterey 12.7.2

Lansare: 11 decembrie 2023

Accounts

Disponibilitate pentru: macOS Monterey

Impact: este posibil ca o aplicație să acceseze date sensibile despre utilizatori

Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.

CVE-2023-42919: Kirin (@Pwnrin)

AppleEvents

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate accesa informații despre contactele unui utilizator

Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.

CVE-2023-42894: Noah Roskin-Frazee și Prof. J. (ZeroClicks.ai Lab)

Assets

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere

Descriere: a fost rezolvată o problemă printr-o manipulare îmbunătățită a fișierelor temporare.

CVE-2023-42896: Mickey Jin (@patch1t)

Intrare adăugată pe 22 martie 2024

CoreServices

Disponibilitate pentru: macOS Monterey

Impact: un utilizator poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2023-42886: Koh M. Nakagawa (@tsunek0h)

DiskArbitration

Disponibilitate pentru: macOS Monterey

Impact: un proces poate obține privilegii de administrator fără autentificarea corespunzătoare

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2023-42931: Yann GASCUEL de la Alter Solutions

Intrare adăugată pe 22 martie 2024

Emoji

Disponibilitate pentru: macOS Monterey

Impact: un atacator poate să execute un cod arbitrar ca rădăcină de pe ecranul de blocare

Descriere: problema a fost rezolvată prin restricționarea opțiunilor oferite pe un dispozitiv blocat.

CVE-2023-41989: Jewel Lambert

Intrare adăugată pe 16 iulie 2024

FileURL

Disponibilitate pentru: macOS Monterey

Impact: un atacator local poate fi capabil să-și ridice nivelul privilegiilor

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2023-42892: Anthony Cruz @App Tyrant Corp

Intrare adăugată pe 22 martie 2024

Find My

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate citi informații de localizare sensibile

Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.

CVE-2023-42922: Wojciech Regula (SecuRing) (wojciechregula.blog)

Find My

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea gestionării fișierelor.

CVE-2023-42834: Csaba Fitzl (@theevilbit) de la Offensive Security

Intrare adăugată pe 16 februarie 2024

ImageIO

Disponibilitate pentru: macOS Monterey

Impact: procesarea unei imagini poate cauza executarea unui cod arbitrar

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-42899: Meysam Firouzi @R00tkitSMM și Junsung Lee

IOKit

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate monitoriza apăsările de taste fără permisiunea utilizatorului

Descriere: a fost rezolvată o problemă de autentificare prin îmbunătățirea gestionării stării.

CVE-2023-42891: un cercetător anonim

IOUSBDeviceFamily

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: a fost tratată o condiție de rulare prin îmbunătățirea tratării stării.

CVE-2023-42974: Pan ZhenPeng (@Peterpan0927) STAR Labs SG Pte. Ltd.

Intrare adăugată pe 22 martie 2024

Kernel

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate evada din sandbox

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) de la Synacktiv (@Synacktiv)

Libsystem

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate accesa date protejate despre utilizator

Descriere: a fost rezolvată o problemă legată de permisiuni prin eliminarea codului vulnerabil și adăugarea de verificări suplimentare.

CVE-2023-42893

Intrare adăugată pe 22 martie 2024

Model I/O

Disponibilitate pentru: macOS Monterey

Impact: procesarea unei imagini poate duce la refuzul serviciului

Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.

CVE-2023-3618

Intrare adăugată pe 22 martie 2024

ncurses

Disponibilitate pentru: macOS Monterey

Impact: un utilizator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2020-19185

CVE-2020-19186

CVE-2020-19187

CVE-2020-19188

CVE-2020-19189

CVE-2020-19190

quarantine

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate să execute cod arbitrar în afara propriului sandbox sau cu anumite privilegii ridicate

Descriere: o problemă de acces a fost rezolvată prin aducerea de îmbunătățiri la sandbox.

CVE-2023-42838: Yiğit Can YILMAZ (@yilmazcanyigit) și Csaba Fitzl (@theevilbit) de la Offensive Security

Intrare adăugată pe 16 februarie 2024

Sandbox

Disponibilitate pentru: macOS Monterey

Impact: un atacator poate accesa volume de rețea conectate care sunt montate în directorul de reședință

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2023-42836: Yiğit Can YILMAZ (@yilmazcanyigit)

Intrare adăugată pe 16 februarie 2024

Sandbox

Disponibilitate pentru: macOS Monterey

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.

CVE-2023-42936: Csaba Fitzl (@theevilbit) de la OffSec

Intrare adăugată pe 22 martie 2024, actualizată pe 16 iulie 2024

Shell

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2023-42930: Arsenii Kostromin (0x3c3e)

Intrare adăugată pe 22 martie 2024

TCC

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate accesa date protejate despre utilizator

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2023-42932: Zhongquan Li (@Guluisacat)

TCC

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate evada din sandbox

Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.

CVE-2023-42947: Zhongquan Li (@Guluisacat) de la Dawn Security Lab (JingDong)

Intrare adăugată pe 22 martie 2024

Vim

Disponibilitate pentru: macOS Monterey

Impact: deschiderea unui fișier creat cu rea intenție poate duce la închiderea neașteptată a aplicației sau la executarea unui cod aleatoriu

Descriere: această problemă a fost rezolvată prin actualizarea la versiunea Vim 9.0.1969.

CVE-2023-5344

Alte mențiuni

Preview

Dorim să-i mulțumim lui Akshay Nagpal pentru asistența acordată.

Intrare adăugată pe 16 februarie 2024

Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.

Data publicării: