Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate în pagina Versiuni de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
macOS Monterey 12.7.4
Lansare: 7 martie 2024
Admin Framework
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca o aplicație să ridice nivelul privilegiilor
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.
CVE-2024-23276: Kirin (@Pwnrin)
Airport
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate citi informații de localizare sensibile
Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.
CVE-2024-23227: Brian McNulty
AppleMobileFileIntegrity
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: o problemă de downgrade care afectează computerele Mac cu procesor Intel a fost rezolvată prin restricții suplimentare pentru semnarea codului.
CVE-2024-23269: Mickey Jin (@patch1t)
ColorSync
Disponibilitate pentru: macOS Monterey
Impact: procesarea unui fișier poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2024-23247: m4yfly din TianGong Team de la Legendsec din cadrul Qi'anxin Group
CoreCrypto
Disponibilitate pentru: macOS Monterey
Impact: un atacator ar putea decripta texte cifrate RSA PKCS#1 v1.5 vechi fără a avea cheia privată
Descriere: o problemă de canal secundar de sincronizare a fost rezolvată prin îmbunătățiri aduse calculului în timp constant în funcțiile criptografice.
CVE-2024-23218: Clemens Lang
Disk Images
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate evada din sandbox
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-23299: un cercetător anonim
Intrare adăugată pe 29 mai 2024
Dock
Disponibilitate pentru: macOS Monterey
Impact: o aplicație dintr-un cont de utilizator standard poate escalada privilegiul după conectarea utilizatorului administrator
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.
CVE-2024-23244: Csaba Fitzl (@theevilbit) de la OffSec
Image Processing
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2024-23270: un cercetător anonim
ImageIO
Disponibilitate pentru: macOS Monterey
Impact: procesarea unei imagini poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de depășire a memoriei-tampon prin îmbunătățirea tratării memoriei.
CVE-2024-23286: Junsung Lee, în colaborare cu Trend Micro Zero Day Initiative, Amir Bazine și Karsten König din cadrul CrowdStrike Counter Adversary Operations, Dohyun Lee (@l33d0hyun), precum și Lyutoon și Mr.R
Intrare actualizată pe 29 mai 2024
ImageIO
Disponibilitate pentru: macOS Monterey
Impact: procesarea unei imagini poate cauza divulgarea memoriei de proces
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2024-23257: Junsung Lee în colaborare cu Trend Micro Zero Day Initiative
Intel Graphics Driver
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.
CVE-2024-23234: Murray Mike
Kerberos v5 PAM module
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-23266: Pedro Tôrres (@t0rr3sp3dr0)
Kernel
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate duce la închiderea neașteptată a sistemului sau poate scrie în memoria kernel
Descriere: a fost rezolvată o vulnerabilitate de deteriorare a memoriei prin îmbunătățirea blocării.
CVE-2024-23265: Xinru Chi de la Pangu Lab
Kernel
Disponibilitate pentru: macOS Monterey
Impact: un atacator cu capacitate arbitrară de citire și scriere kernel poate reuși să evite măsurile de protecție ale memoriei kernel. Apple a luat cunoștință de o raportare conform căreia este posibil ca această problemă să fi fost exploatată.
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării.
CVE-2024-23225
libxpc
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate provoca o refuzare a serviciului
Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.
CVE-2024-23201: Koh M. Nakagawa de la FFRI Security, Inc. și un cercetător anonim
MediaRemote
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca o aplicație să acceseze date sensibile despre utilizatori
Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.
CVE-2023-28826: Meng Zhang (鲸落) de la NorthSea
Metal
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate citi memorie restricționată
Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.
CVE-2024-23264: Meysam Firouzi @R00tkitsmm în colaborare cu Trend Micro Zero Day Initiative
Notes
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.
CVE-2024-23283
PackageKit
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca o aplicație să ridice nivelul privilegiilor
Descriere: a fost rezolvată o problemă de injectare prin îmbunătățirea validării intrării.
CVE-2024-23274: Bohdan Stasiuk (@Bohdan_Stasiuk)
CVE-2024-23268: Mickey Jin (@patch1t) și Pedro Tôrres (@t0rr3sp3dr0)
PackageKit
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate accesa date protejate despre utilizator
Descriere: a fost rezolvată o condiție de rulare prin validare suplimentară.
CVE-2024-23275: Mickey Jin (@patch1t)
PackageKit
Disponibilitate pentru: macOS Monterey
Impact: o aplicație ar putea să ocolească anumite preferințe de confidențialitate
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-23267: Mickey Jin (@patch1t)
PackageKit
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate suprascrie fișiere arbitrare
Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.
CVE-2024-23216: Pedro Tôrres (@t0rr3sp3dr0)
SharedFileList
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca o aplicație să acceseze date sensibile despre utilizatori
Descriere: problema a fost remediată prin îmbunătățirea gestionării fișierelor.
CVE-2024-23230: Mickey Jin (@patch1t)
Shortcuts
Disponibilitate pentru: macOS Monterey
Impact: o scurtătură poate fi capabilă să utilizeze date sensibile cu anumite acțiuni fără a solicita utilizatorului
Descriere: problema a fost remediată prin verificări suplimentare ale permisiunilor.
CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)
Shortcuts
Disponibilitate pentru: macOS Monterey
Impact: scurtăturile terțe pot utiliza o acțiune existentă din Automator pentru a trimite evenimente către aplicații fără consimțământul utilizatorului
Descriere: problema a fost remediată prin adăugarea unei solicitări suplimentare a acordului utilizatorului.
CVE-2024-23245: un cercetător anonim
Storage Services
Disponibilitate pentru: macOS Monterey
Descriere: un utilizator poate obține acces la componente protejate ale sistemului de fișiere
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.
CVE-2024-23272: Mickey Jin (@patch1t)
Transparență
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca o aplicație să acceseze date sensibile despre utilizatori
Descriere: problema a fost remediată prin îmbunătățirea restricției accesului la containerul de date
CVE-2023-40389: Csaba Fitzl (@theevilbit) din cadrul Offensive Security și Joshua Jewett (@JoshJewett33)
Intrare adăugată pe 29 mai 2024