Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
macOS Monterey 12.6.4
Lansare: 27 martie 2023
Apple Neural Engine
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-23540: Mohamed GHANNAM (@_simo36)
AppleMobileFileIntegrity
Disponibilitate pentru: macOS Monterey
Descriere: un utilizator poate obține acces la componente protejate ale sistemului de fișiere
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-23527: Mickey Jin (@patch1t)
Archive Utility
Disponibilitate pentru: macOS Monterey
Impact: o arhivă poate ocoli Gatekeeper
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-27951: Brandon Dalton (@partyD0lphin) de la Red Canary și Csaba Fitzl (@theevilbit) de la Offensive Security
Actualizare intrare: 8 iunie 2023
Calendar
Disponibilitate pentru: macOS Monterey
Impact: importarea unei invitații de calendar create cu rea intenție poate exfiltra informații ale utilizatorului
Descriere: au fost rezolvate mai multe probleme de validare prin îmbunătățirea igienizării intrării.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
ColorSync
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate citi fișiere arbitrare
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-27955: JeongOhKyea
CommCenter
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate duce la închiderea neașteptată a sistemului sau poate scrie în memoria kernel
Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.
CVE-2023-27936: Tingting Yin de la Tsinghua University
CoreCapture
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-28181: Tingting Yin de la Tsinghua University
Adăugare intrare: 8 iunie 2023
dcerpc
Disponibilitate pentru: macOS Monterey
Impact: un utilizator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.
CVE-2023-27935: Aleksandar Nikolic (Cisco Talos)
dcerpc
Disponibilitate pentru: macOS Monterey
Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de inițializare a memoriei.
CVE-2023-27934: Aleksandar Nikolic (Cisco Talos)
Adăugare intrare: 8 iunie 2023
dcerpc
Disponibilitate pentru: macOS Monterey
Impact: un utilizator la distanță ar putea cauza închiderea neașteptată a sistemului sau ar putea corupe memoria kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-27953: Aleksandar Nikolic (Cisco Talos)
CVE-2023-27958: Aleksandar Nikolic (Cisco Talos)
Find My
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate citi informații de localizare sensibile
Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.
CVE-2023-23537: Adam M.
Intrare adăugată la 21 decembrie 2023
FontParser
Disponibilitate pentru: macOS Monterey
Impact: procesarea unui fișier de font poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.
CVE-2023-32366: Ye Zhang (@VAR10CK) (Baidu Security)
Intrare adăugată la 21 decembrie 2023
Foundation
Disponibilitate pentru: macOS Monterey
Impact: analizarea unui plist creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.
CVE-2023-27937: un cercetător anonim
ImageIO
Disponibilitate pentru: macOS Monterey
Impact: procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2023-27946: Mickey Jin (@patch1t)
IOAcceleratorFamily
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2023-32378: Murray Mike
Intrare adăugată la 21 decembrie 2023
Kernel
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate să divulge conținutul memoriei kernel
Descriere: a existat o problemă de citire în afara limitelor care conducea la divulgarea conținutului memoriei kernel. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2023-27941: Arsenii Kostromin (0x3c3e)
CVE-2023-28199: Arsenii Kostromin (0x3c3e)
Intrare adăugată la 8 iunie 2023, actualizată la 21 decembrie 2023
Kernel
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.
CVE-2023-23536: Félix Poulin-Bélanger și David Pan Ogea
Intrare adăugată la 8 iunie 2023, actualizată la 21 decembrie 2023
Kernel
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2023-23514: Xinru Chi (Pangu Lab) și Ned Williamson (Google Project Zero)
Kernel
Disponibilitate pentru: macOS Monterey
Impact: o aplicație cu privilegii de root poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-27933: sqrtpwn
Kernel
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate să divulge conținutul memoriei kernel
Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.
CVE-2023-28200: Arsenii Kostromin (0x3c3e)
Kernel
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate provoca o refuzare a serviciului
Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.
CVE-2023-28185: Pan ZhenPeng (STAR Labs SG Pte.) Ltd.
Intrare adăugată la 21 decembrie 2023
libpthread
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea verificărilor.
CVE-2023-41075: Zweig (Kunlun Lab)
Intrare adăugată la 21 decembrie 2023
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate vizualiza informații sensibile
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-28189: Mickey Jin (@patch1t)
Adăugare intrare: 8 iunie 2023
Mesaje
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru sandbox.
CVE-2023-28197: Joshua Jones
Intrare adăugată la 21 decembrie 2023
Model I/O
Disponibilitate pentru: macOS Monterey
Impact: procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2023-27949: Mickey Jin (@patch1t)
NetworkExtension
Disponibilitate pentru: macOS Monterey
Impact: un utilizator aflat într-o poziție privilegiată în rețea poate fi capabil să falsifice un server VPN care este configurat cu autentificare EAP-only pe un dispozitiv
Descriere: problema a fost rezolvată prin îmbunătățirea autentificării.
CVE-2023-28182: Zhuowei Zhang
PackageKit
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.
CVE-2023-23538: Mickey Jin (@patch1t)
CVE-2023-27962: Mickey Jin (@patch1t)
Podcasturi
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-27942: Mickey Jin (@patch1t)
Sandbox
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.
CVE-2023-23533: Mickey Jin (@patch1t), Koh M. Nakagawa (FFRI Security, Inc.) și Csaba Fitzl (@theevilbit) (Offensive Security)
Sandbox
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate să ocolească preferințele de confidențialitate
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea validării.
CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)
Shortcuts
Disponibilitate pentru: macOS Monterey
Impact: o scurtătură poate fi capabilă să utilizeze date sensibile cu anumite acțiuni fără a solicita utilizatorului
Descriere: problema a fost remediată prin verificări suplimentare ale permisiunilor.
CVE-2023-27963: Jubaer Alnazi Jabin (TRS Group Of Companies) și Wenchao Li și Xiaolong Bai (Alibaba Group)
System Settings
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.
CVE-2023-23542: Adam M.
Intrare adăugată la 21 decembrie 2023
System Settings
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate citi informații de localizare sensibile
Descriere: a fost rezolvată o problemă de permisiune prin îmbunătățirea validării.
CVE-2023-28192: Guilherme Rambo de la Best Buddy Apps (rambo.codes)
Vim
Disponibilitate pentru: macOS Monterey
Impact: probleme multiple în Vim
Descriere: mai multe probleme au fost rezolvate prin actualizarea la versiunea Vim 9.0.1191.
CVE-2023-0433
CVE-2023-0512
XPC
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate evada din sandbox
Descriere: această problemă a fost rezolvată prin noi drepturi.
CVE-2023-27944: Mickey Jin (@patch1t)
Alte mențiuni
Activation Lock
Dorim să îi mulțumim lui Christian Mina pentru asistență.
AppleMobileFileIntegrity
Dorim să îi mulțumim lui Wojciech Reguła (@_r3ggi) de la SecuRing (wojciechregula.blog) pentru asistența acordată.
CoreServices
Dorim să-i mulțumim lui Mickey Jin (@patch1t) pentru asistența acordată.
NSOpenPanel
Dorim să-i mulțumim lui Alexandre Colucci (@timacfr) pentru asistența acordată.
Wi-Fi
Dorim să îi mulțumim unui cercetător anonim pentru asistență.