Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate în pagina Versiuni de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
macOS Monterey 12.6.8
Publicat pe 24 iulie 2023
Accessibility
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate citi informații de localizare sensibile
Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.
CVE-2023-40442: Nick Brook
Adăugare intrare: 8 septembrie 2023
Apple Neural Engine
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-34425: pattern-f (@pattern_F_) (Ant Security Light-Year Lab)
Adăugare intrare: 27 iulie 2023
AppSandbox
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.
CVE-2023-32364: Gergely Kalman (@gergely_kalman)
Adăugare intrare: 27 iulie 2023
Assets
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: această problemă a fost rezolvată prin protecția îmbunătățită a datelor.
CVE-2023-35983: Mickey Jin (@patch1t)
CFNetwork
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate citi informații de localizare sensibile
Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.
CVE-2023-40392: Wojciech Regula de la SecuRing (wojciechregula.blog)
Adăugare intrare: 8 septembrie 2023
CUPS
Disponibilitate pentru: macOS Monterey
Impact: un utilizator cu poziție privilegiată în rețea poate scurge informații sensibile
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2023-34241: Sei K.
Adăugare intrare: 27 iulie 2023
curl
Disponibilitate pentru: macOS Monterey
Impact: mai multe probleme în curl
Descriere: mai multe probleme au fost rezolvate prin actualizarea curl.
CVE-2023-28319
CVE-2023-28320
CVE-2023-28321
CVE-2023-28322
Find My
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate citi informații de localizare sensibile
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.
CVE-2023-32416: Wojciech Regula de la SecuRing (wojciechregula.blog)
FontParser
Disponibilitate pentru: macOS Monterey
Impact: procesarea unui fișier de font poate cauza executarea unui cod arbitrar. Apple a luat cunoștință de un raport conform căruia este posibil ca această problemă să fi fost exploatată în mod activ împotriva versiunilor de iOS lansate înainte de iOS 15.7.1.
Descriere: problema a fost remediată printr-o manipulare îmbunătățită a cache-urilor.
CVE-2023-41990: Apple, Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) și Boris Larin (@oct0xor) (Kaspersky)
Adăugare intrare: 8 septembrie 2023
Grapher
Disponibilitate pentru: macOS Monterey
Impact: procesarea unui fișier poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-36854: Bool de la YunShangHuaAn(云上华ध)
CVE-2023-32418: Bool de la YunShangHuaAn(云上华ध)
Kernel
Disponibilitate pentru: macOS Monterey
Impact: un utilizator la distanță poate provoca un refuz al serviciului
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-38603: Zweig de la Kunlun Lab
Adăugare intrare: 27 iulie 2023
Kernel
Disponibilitate pentru: macOS Monterey
Impact: un utilizator la distanță ar putea cauza închiderea neașteptată a sistemului sau ar putea corupe memoria kernel
Descriere: a fost rezolvată o problemă de depășire a memoriei-tampon prin îmbunătățirea tratării memoriei.
CVE-2023-38590: Zweig de la Kunlun Lab
Adăugare intrare: 27 iulie 2023
Kernel
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2023-38598: Mohamed GHANNAM (@_simo36)
Adăugare intrare: 27 iulie 2023
Kernel
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.
CVE-2023-36495: 香农的三蹦子 (Pangu Lab)
Adăugare intrare: 27 iulie 2023
Kernel
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2023-37285: Arsenii Kostromin (0x3c3e)
Adăugare intrare: 27 iulie 2023
Kernel
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.
CVE-2023-38604: un cercetător anonim
Adăugare intrare: 27 iulie 2023
Kernel
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2023-32381: un cercetător anonim
CVE-2023-32433: Zweig de la Kunlun Lab
CVE-2023-35993: Kaitao Xie și Xiaolong Bai (Alibaba Group)
Kernel
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca o aplicație să poată modifica informații sensibile privind starea kernelului. Apple a luat cunoștință de un raport conform căruia este posibil ca această problemă să fi fost exploatată în mod activ împotriva versiunilor de iOS lansate înainte de iOS 15.7.1.
Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2023-38606: Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) și Boris Larin (@oct0xor) de la Kaspersky
Kernel
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14) de la STAR Labs SG Pte. Ltd.
Kernel
Disponibilitate pentru: macOS Monterey
Impact: un utilizator la distanță poate provoca un refuz al serviciului
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-38603: Zweig de la Kunlun Lab
Adăugare intrare: 22 decembrie 2023
libxpc
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca o aplicație să obțină privilegii de rădăcină
Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.
CVE-2023-38565: Zhipeng Huo (@R3dF09) de la Tencent Security Xuanwu Lab (xlab.tencent.com)
libxpc
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate provoca o refuzare a serviciului
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.
CVE-2023-38593: Noah Roskin-Frazee
Disponibilitate pentru: macOS Monterey
Impact: un e-mail criptat S/MIME poate fi trimis din greșeală necriptat
Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării e-mailurilor criptate S/MIME.
CVE-2023-40440: Taavi Eomäe (Zone Media OÜ)
Adăugare intrare: 8 septembrie 2023
Music
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate să ocolească preferințele de confidențialitate
Descriere: această problemă a fost rezolvată prin îmbunătățirea validării linkurilor simbolice.
CVE-2023-38571: Gergely Kalman (@gergely_kalman)
Adăugare intrare: 27 iulie 2023
Model I/O
Disponibilitate pentru: macOS Monterey
Impact: procesarea unui model 3D poate cauza divulgarea memoriei de proces
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-38421: Mickey Jin (@patch1t) și Michael DePlante (@izobashi) (Trend Micro Zero Day Initiative)
CVE-2023-38258: Mickey Jin (@patch1t)
Actualizare intrare: 27 iulie 2023
Model I/O
Disponibilitate pentru: macOS Monterey
Impact: procesarea unei imagini poate cauza divulgarea memoriei de proces
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2023-1916
Adăugare intrare: 22 decembrie 2023
ncurses
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate cauza închiderea neașteptată a aplicației sau executarea arbitrară a codului
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării.
CVE-2023-29491: Jonathan Bar Or (Microsoft), Emanuele Cozzi (Microsoft) și Michael Pearse (Microsoft)
Adăugare intrare: 8 septembrie 2023
Net-SNMP
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.
CVE-2023-38601: Csaba Fitzl (@theevilbit) de la Offensive Security
Adăugare intrare: 27 iulie 2023
NSSpellChecker
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea validării.
CVE-2023-32444: Mickey Jin (@patch1t)
Adăugare intrare: 27 iulie 2023
OpenLDAP
Disponibilitate pentru: macOS Monterey
Impact: un utilizator la distanță poate provoca un refuz al serviciului
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-2953: Sandipan Roy
OpenSSH
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca o aplicație să poată accesa parolele de acces SSH
Descriere: problema a fost rezolvată prin restricții suplimentare privind observabilitatea stărilor aplicațiilor.
CVE-2023-42829: James Duffy (mangoSecure)
Adăugare intrare: 22 decembrie 2023
PackageKit
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.
CVE-2023-38259: Mickey Jin (@patch1t)
PackageKit
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.
CVE-2023-38602: Arsenii Kostromin (0x3c3e)
Securitate
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca o aplicație să poată amprenta utilizatorul
Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.
CVE-2023-42831: James Duffy (mangoSecure)
Adăugare intrare: 22 decembrie 2023
Shortcuts
Disponibilitate pentru: macOS Monterey
Impact: o comandă rapidă poate să modifice configurările sensibile ale aplicației Comenzi rapide
Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru acces.
CVE-2023-32442: un cercetător anonim
sips
Disponibilitate pentru: macOS Monterey
Impact: procesarea unui fișier ar putea provoca o refuzare a serviciului sau ar putea dezvălui conținutul memoriei
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2023-32443: David Hoyt (Hoyt LLC)
Software Update
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca o aplicație să obțină privilegii de rădăcină
Descriere: a fost tratată o condiție de rulare prin îmbunătățirea tratării stării.
CVE-2023-42832: Arsenii Kostromin (0x3c3e)
Adăugare intrare: 22 decembrie 2023
SQLite
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate să ocolească preferințele de confidențialitate
Descriere: această problemă a fost abordată prin adăugarea de restricții suplimentare de înregistrare în SQLite
CVE-2023-32422: Gergely Kalman (@gergely_kalman) și Wojciech Regula de la SecuRing (wojciechregula.blog)
Adăugare intrare: 8 septembrie 2023
SystemMigration
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate să ocolească preferințele de confidențialitate
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-32429: Wenchao Li și Xiaolong Bai de la Hangzhou Orange Shield Information Technology Co., Ltd.
Adăugare intrare: 27 iulie 2023
tcpdump
Disponibilitate pentru: macOS Monterey
Impact: un atacator cu poziție privilegiată în rețea poate executa un cod arbitrar
Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.
CVE-2023-1801
Adăugare intrare: 22 decembrie 2023
Vim
Disponibilitate pentru: macOS Monterey
Impact: probleme multiple în Vim
Descriere: mai multe probleme au fost rezolvate prin actualizarea Vim.
CVE-2023-2426
CVE-2023-2609
CVE-2023-2610
Adăugare intrare: 22 decembrie 2023
Weather
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate determina locația curentă a unui utilizator
Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.
CVE-2023-38605: Adam M.
Adăugare intrare: 8 septembrie 2023
Alte mențiuni
Dorim să îi mulțumim lui Parvez Anwar pentru asistența acordată.