Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate în pagina Versiuni de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
macOS Monterey 12.7.6
Publicat pe 29 iulie 2024
APFS
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca o aplicație rău intenționată să poată ocoli preferințele de confidențialitate
Descriere: problema a fost remediată prin îmbunătățirea restricției accesului la containerul de date
CVE-2024-40783: Csaba Fitzl (@theevilbit) din cadrul Kandji
Apple Neural Engine
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2024-27826: Minghao Lin și Ye Zhang (@VAR10CK) din cadrul Baidu Security
AppleMobileFileIntegrity
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate scurge informații sensibile ale utilizatorilor
Descriere: o problemă de downgrade a fost rezolvată cu restricții suplimentare pentru semnarea codului.
CVE-2024-40775: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate să ocolească preferințele de confidențialitate
Descriere: o problemă de downgrade a fost rezolvată cu restricții suplimentare pentru semnarea codului.
CVE-2024-40774: Mickey Jin (@patch1t)
AppleVA
Disponibilitate pentru: macOS Monterey
Impact: procesarea unui fișier creat cu rea intenție ar putea provoca o refuzare a serviciului sau ar putea dezvălui conținutul memoriei
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2024-27877: Michael DePlante (@izobashi) din cadrul Trend Micro Zero Day Initiative
CoreGraphics
Disponibilitate pentru: macOS Monterey
Impact: procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2024-40799: D4m0n
CoreMedia
Disponibilitate pentru: macOS Monterey
Impact: procesarea unui fișier video creat cu rea intenție poate cauza închiderea neașteptată a aplicației
Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.
CVE-2024-27873: Amir Bazine și Karsten König din cadrul CrowdStrike Counter Adversary Operations
curl
Disponibilitate pentru: macOS Monterey
Impact: mai multe probleme în curl
Descriere: aceasta este o vulnerabilitate a codului în sursă deschisă, iar software-ul Apple se află printre proiectele afectate. CVE-ID a fost alocat de un terț. Află mai multe despre problemă și despre CVE-ID la adresa cve.org.
CVE-2024-2004
CVE-2024-2379
CVE-2024-2398
CVE-2024-2466
DesktopServices
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate suprascrie fișiere arbitrare
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-40827: un cercetător anonim
Disk Management
Disponibilitate pentru: macOS Monterey
Impact: o aplicație rău intenționată poate să obțină privilegii de rădăcină
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-40828: Mickey Jin (@patch1t)
ImageIO
Disponibilitate pentru: macOS Monterey
Impact: procesarea unei imagini poate duce la refuzul serviciului
Descriere: aceasta este o vulnerabilitate a codului în sursă deschisă, iar software-ul Apple se află printre proiectele afectate. CVE-ID a fost alocat de un terț. Află mai multe despre problemă și despre CVE-ID la adresa cve.org.
CVE-2023-6277
CVE-2023-52356
ImageIO
Disponibilitate pentru: macOS Monterey
Impact: procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2024-40806: Yisumi
Kernel
Disponibilitate pentru: macOS Monterey
Impact: un atacator local ar putea cauza închiderea neașteptată a sistemului
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2024-40816: sqrtpwn
Kernel
Disponibilitate pentru: macOS Monterey
Impact: un atacator local ar putea cauza închiderea neașteptată a sistemului
Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea tratării memoriei.
CVE-2024-40788: Minghao Lin și Jiaxun Zhu din cadrul Universității Zhejiang
Keychain Access
Disponibilitate pentru: macOS Monterey
Impact: un atacator ar putea cauza închiderea neașteptată a aplicației
Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea verificărilor.
CVE-2024-40803: Patrick Wardle din cadrul DoubleYou & the Objective-See Foundation
NetworkExtension
Disponibilitate pentru: macOS Monterey
Impact: la navigarea în spațiu privat, este posibil să se producă scăpări ale istoricului de navigare
Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.
CVE-2024-40796: Adam M.
OpenSSH
Disponibilitate pentru: macOS Monterey
Impact: un atacator de la distanță poate cauza executarea unui cod arbitrar
Descriere: aceasta este o vulnerabilitate a codului în sursă deschisă, iar software-ul Apple se află printre proiectele afectate. CVE-ID a fost alocat de un terț. Află mai multe despre problemă și despre CVE-ID la adresa cve.org.
CVE-2024-6387
PackageKit
Disponibilitate pentru: macOS Monterey
Impact: un atacator local poate fi capabil să-și ridice nivelul privilegiilor
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-40781: Mickey Jin (@patch1t)
CVE-2024-40802: Mickey Jin (@patch1t)
PackageKit
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-40823: Zhongquan Li (@Guluisacat) din cadrul Dawn Security Lab din JingDong
PackageKit
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.
CVE-2024-27882: Mickey Jin (@patch1t)
CVE-2024-27883: Csaba Fitzl (@theevilbit) din Kandji și Mickey Jin (@patch1t)
Restore Framework
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: o problemă de validare a intrării a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2024-40800: Claudio Bozzato și Francesco Benvenuto din cadrul Cisco Talos
RTKit
Disponibilitate pentru: macOS Monterey
Impact: un atacator cu capacitate arbitrară de citire și scriere kernel poate reuși să evite protecțiile memoriei kernel. Apple a luat cunoștință de o raportare conform căreia este posibil ca această problemă să fi fost exploatată.
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării.
CVE-2024-23296
Safari
Disponibilitate pentru: macOS Monterey
Impact: vizitarea unui site web care conține conținut rău intenționat poate duce la falsificarea interfeței de utilizator
Descriere: problema a fost remediată prin îmbunătățirea gestionării interfeței cu utilizatorul.
CVE-2024-40817: Yadhu Krishna M și Narendra Bhati, director al Cyber Security At Suma Soft Pvt. Ltd, Pune (India)
Scripting Bridge
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate accesa informații despre contactele unui utilizator
Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.
CVE-2024-27881: Kirin (@Pwnrin)
Security
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca extensiile de aplicații terță parte să nu primească restricțiile sandbox corecte
Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru sandbox.
CVE-2024-40821: Joshua Jones
Security
Disponibilitate pentru: macOS Monterey
Impact: o aplicație ar putea citi istoricul de navigare din Safari
Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.
CVE-2024-40798: Adam M.
Shortcuts
Disponibilitate pentru: macOS Monterey
Impact: o scurtătură poate fi capabilă să utilizeze date sensibile cu anumite acțiuni fără a solicita utilizatorului
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.
CVE-2024-40833: un cercetător anonim
CVE-2024-40835: un cercetător anonim
CVE-2024-40807: un cercetător anonim
Shortcuts
Disponibilitate pentru: macOS Monterey
Impact: o comandă rapidă ar putea să ocolească configurările sensibile ale aplicației Comenzi rapide
Descriere: problema a fost remediată prin adăugarea unei solicitări suplimentare a acordului utilizatorului.
CVE-2024-40834: Marcio Almeida din cadrul Tanto Security
Shortcuts
Disponibilitate pentru: macOS Monterey
Impact: O scurtătură ar putea ocoli cerințele privind permisiunile pentru Internet
Descriere: problema a fost remediată prin adăugarea unei solicitări suplimentare a acordului utilizatorului.
CVE-2024-40787: un cercetător anonim
Shortcuts
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.
CVE-2024-40793: Kirin (@Pwnrin)
Shortcuts
Disponibilitate pentru: macOS Monterey
Impact: O scurtătură ar putea ocoli cerințele privind permisiunile pentru Internet
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.
CVE-2024-40809: un cercetător anonim
CVE-2024-40812: un cercetător anonim
Time Zone
Disponibilitate pentru: macOS Monterey
Impact: un atacator ar putea citi informații care aparțin altui utilizator
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2024-23261: Matthew Loewen
Alte mențiuni
Image Capture
Dorim să îi mulțumim unui cercetător anonim pentru asistență.
Shortcuts
Dorim să îi mulțumim unui cercetător anonim pentru asistență.