Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate în pagina Versiuni de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
macOS Monterey 12.7.1
Lansare: 25 octombrie 2023
Automation
Disponibilitate pentru: macOS Monterey
Impact: o aplicație cu privilegii de rădăcină poate accesa informații private
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-42952: Zhipeng Huo (@R3dF09) (Laboratorul Tencent Security Xuanwu) (xlab.tencent.com)
Intrare adăugată la 16 februarie 2024
CoreAnimation
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate provoca o refuzare a serviciului
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-40449: Tomi Tokics (@tomitokics) (iTomsn0w)
Core Recents
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: problema a fost rezolvată prin curățarea înregistrărilor
CVE-2023-42823
Intrare adăugată la 16 februarie 2024
FileProvider
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate cauza o refuzare a serviciului clienților Endpoint Security
Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.
CVE-2023-42854: Noah Roskin-Frazee și Prof. J. (ZeroClicks.ai Lab)
Find My
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate citi informații de localizare sensibile
Descriere: problema a fost remediată printr-o manipulare îmbunătățită a cache-urilor.
CVE-2023-40413: Adam M.
Foundation
Disponibilitate pentru: macOS Monterey
Impact: un site web poate avea acces la date sensibile despre utilizatori atunci când rezolvă linkurile simbolice
Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării linkurilor simbolice.
CVE-2023-42844: Ron Masas de la BreakPoint.SH
libc
Disponibilitate pentru: macOS Monterey
Impact: procesarea de date introduse create cu rea intenție poate duce la executarea unui cod arbitrar la aplicațiile instalate de utilizator
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-40446: inooo
Intrare adăugată la 3 noiembrie 2023
ImageIO
Disponibilitate pentru: macOS Monterey
Impact: procesarea unei imagini poate cauza divulgarea memoriei de proces
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-40416: JZ
IOTextEncryptionFamily
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-40423: un cercetător anonim
Kernel
Disponibilitate pentru: macOS Monterey
Impact: un atacator care a obținut deja executarea codului kernel poate reuși să evite atenuări ale memoriei kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-42849: Linus Henze (Pinauten GmbH) (pinauten.de)
Model I/O
Disponibilitate pentru: macOS Monterey
Impact: procesarea unui fișier poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-42856: Michael DePlante (@izobashi) Zero Day Initiative (Trend Micro)
PackageKit
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-42859: Arsenii Kostromin (0x3c3e), Mickey Jin (@patch1t) și Hevel Engineering
CVE-2023-42877: Arsenii Kostromin (0x3c3e)
Intrare adăugată la 16 februarie 2024
PackageKit
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-42840: Mickey Jin (@patch1t) și Csaba Fitzl (@theevilbit) de la Offensive Security
Intrare adăugată la 16 februarie 2024
PackageKit
Disponibilitate pentru: macOS Monterey
Impact: o aplicație ar putea să ocolească anumite preferințe de confidențialitate
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-42889: Mickey Jin (@patch1t)
Intrare adăugată la 16 februarie 2024
PackageKit
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.
CVE-2023-42853: Mickey Jin (@patch1t)
Intrare adăugată la 16 februarie 2024
PackageKit
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.
CVE-2023-42860: Koh M. Nakagawa (@tsunek0h) de la FFRI Security, Inc.
Intrare adăugată la 16 februarie 2024
Pro Res
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.
CVE-2023-42873: Mingxuan Yang (@PPPF00L), happybabywu și Guang Gong de la 360 Vulnerability Research Institute
Intrare adăugată la 16 februarie 2024
Sandbox
Disponibilitate pentru: macOS Monterey
Impact: o aplicație cu privilegii de rădăcină poate accesa informații private
Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.
CVE-2023-40425: Csaba Fitzl (@theevilbit) de la Offensive Security
SQLite
Disponibilitate pentru: macOS Monterey
Impact: un utilizator la distanță poate provoca un refuz al serviciului
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2023-36191
Intrare adăugată la 16 februarie 2024
talagent
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca o aplicație să acceseze date sensibile despre utilizatori
Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.
CVE-2023-40421: Noah Roskin-Frazee și Prof. J. (ZeroClicks.ai Lab)
WindowServer
Disponibilitate pentru: macOS Monterey
Impact: un site web ar putea accesa microfonul fără afișarea indicatorului de utilizare a microfonului
Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.
CVE-2023-41975: un cercetător anonim
WindowServer
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-42858: un cercetător anonim
Intrare adăugată la 16 februarie 2024
Alte mențiuni
GPU Drivers
Dorim să îi mulțumim unui cercetător anonim pentru asistență.
libarchive
Dorim să-i mulțumim lui Bahaa Naamneh pentru asistența acordată.
libxml2
Dorim să le mulțumim lui OSS-Fuzz și lui Ned Williamson (Google Project Zero) pentru asistență.