Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
macOS Monterey 12.6.6
Lansare: 18 mai 2023
Accessibility
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate să ocolească preferințele de confidențialitate
Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.
CVE-2023-32388: Kirin (@Pwnrin)
AppleEvents
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate să ocolească preferințele de confidențialitate
Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.
CVE-2023-28191: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate să ocolească preferințele de confidențialitate
Descriere: această problemă a fost rezolvată prin îmbunătățirea drepturilor.
CVE-2023-32411: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca o aplicație să injecteze codul în codurile binare sensibile grupate cu Xcode
Descriere: această problemă a fost rezolvată prin forțarea unui runtime consolidat pe codurile binare afectate la nivel de sistem.
CVE-2023-32383: James Duffy (mangoSecure)
Intrare adăugată la 21 decembrie 2023
Contacts
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate observa date de utilizator neprotejate
Descriere: a fost rezolvată o problemă de confidențialitate printr-o manipulare îmbunătățită a fișierelor temporare.
CVE-2023-32386: Kirin (@Pwnrin)
CUPS
Disponibilitate pentru: macOS Monterey
Impact: un utilizator neautentificat ar putea accesa documentele tipărite recent
Descriere: a fost rezolvată o problemă de autentificare prin îmbunătățirea gestionării stării.
CVE-2023-32360: Gerhard Muth
dcerpc
Disponibilitate pentru: macOS Monterey
Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2023-32387: Dimitrios Tatsis (Cisco Talos)
Dev Tools
Disponibilitate pentru: macOS Monterey
Impact: o aplicație din sandbox ar putea colecta jurnale de sistem
Descriere: această problemă a fost rezolvată prin îmbunătățirea drepturilor.
CVE-2023-27945: Mickey Jin (@patch1t)
GeoServices
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate citi informații de localizare sensibile
Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.
CVE-2023-32392: Adam M.
Intrare adăugată la 21 decembrie 2023
ImageIO
Disponibilitate pentru: macOS Monterey
Impact: procesarea unei imagini create cu rea intenție poate cauza divulgarea memoriei de proces
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-23535: ryuzaki
ImageIO
Disponibilitate pentru: macOS Monterey
Impact: procesarea unei imagini poate cauza executarea unui cod arbitrar
Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.
CVE-2023-32384: Meysam Firouzi @R00tkitsmm în colaborare cu Trend Micro Zero Day Initiative
IOSurface
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate scurge informații sensibile privind starea kernelului
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2023-32410: hou xuewei (@p1ay8y3ar) vmk msu
Kernel
Disponibilitate pentru: macOS Monterey
Impact: o aplicație din sandbox poate fi capabilă să observe conexiunile de rețea la nivelul întregului sistem
Descriere: problema a fost remediată prin verificări suplimentare ale permisiunilor.
CVE-2023-27940: James Duffy (mangoSecure)
Kernel
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca o aplicație să obțină privilegii de rădăcină
Descriere: a fost tratată o condiție de rulare prin îmbunătățirea tratării stării.
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) (Synacktiv) (@Synacktiv) în colaborare cu Trend Micro Zero Day Initiative
Kernel
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2023-32398: Adam Doupé (ASU SEFCOM)
LaunchServices
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate ocoli verificările Gatekeeper
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.
CVE-2023-32352: Wojciech Reguła (@_r3ggi) (SecuRing) (wojciechregula.blog)
libxpc
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2023-32369: Jonathan Bar Or (Microsoft), Anurag Bohra (Microsoft) și Michael Pearse (Microsoft)
libxpc
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca o aplicație să obțină privilegii de rădăcină
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.
CVE-2023-32405: Thijs Alkemade (@xnyhps) (Computest Sector 7)
MallocStackLogging
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca o aplicație să obțină privilegii de rădăcină
Descriere: problema a fost remediată prin îmbunătățirea gestionării fișierelor.
CVE-2023-32428: Gergely Kalman (@gergely_kalman)
Intrare adăugată la 21 decembrie 2023
Metal
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate să ocolească preferințele de confidențialitate
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
Model I/O
Disponibilitate pentru: macOS Monterey
Impact: procesarea unui model 3D poate cauza divulgarea memoriei de proces
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2022-26751: Michael DePlante (@izobashi) (Trend Micro Zero Day Initiative)
CVE-2023-32382: Mickey Jin (@patch1t)
CVE-2023-32368: Mickey Jin (@patch1t)
Model I/O
Disponibilitate pentru: macOS Monterey
Impact: procesarea unui model 3D poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2023-32380: Mickey Jin (@patch1t)
NetworkExtension
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate citi informații de localizare sensibile
Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.
CVE-2023-32403: Adam M.
Intrare adăugată la 21 decembrie 2023
PackageKit
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2023-32355: Mickey Jin (@patch1t)
Perl
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2023-32395: Arsenii Kostromin (0x3c3e)
Quick Look
Disponibilitate pentru: macOS Monterey
Impact: analizarea unui document Office poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.
CVE-2023-32401: Holger Fuhrmannek (Deutsche Telekom Security GmbH) în numele BSI (Oficiul Federal German pentru Securitatea Informației)
Intrare adăugată la 21 decembrie 2023
Sandbox
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate păstra accesul la fișierele de configurație a sistemului după revocarea permisiunii
Descriere: o problemă de autorizare a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Jeff Johnson, Koh M. Nakagawa (FFRI Security, Inc.), Kirin (@Pwnrin) și Csaba Fitzl (@theevilbit) (Offensive Security)
Shell
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2023-32397: Arsenii Kostromin (0x3c3e)
Telephony
Disponibilitate pentru: macOS Monterey
Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2023-32412: Ivan Fratric (Google Project Zero)
TV App
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate citi informații de localizare sensibile
Descriere: problema a fost remediată printr-o manipulare îmbunătățită a cache-urilor.
CVE-2023-32408: Adam M.
Alte mențiuni
libxml2
Dorim să le mulțumim lui OSS-Fuzz și lui Ned Williamson (Google Project Zero) pentru asistența acordată.
Reminders
Dorim să-i mulțumim lui Kirin (@Pwnrin) pentru asistența acordată.
Securitate
Dorim să-i mulțumim lui James Duffy (mangoSecure) pentru asistența acordată.
Wi-Fi
Am dori să îi mulțumim lui Adam M. pentru asistență.
Intrare adăugată la 21 decembrie2023
Wi-Fi Connectivity
Am dori să îi mulțumim lui Adam M. pentru asistență.
Intrare adăugată la 21 decembrie 2023