Сведения о проблемах системы безопасности, устраняемых обновлением macOS Monterey 12.6.3

В этом документе описаны проблемы системы безопасности, устраняемые обновлением macOS Monterey 12.6.3.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительную информацию о безопасности продуктов Apple см. на этой странице.

macOS Monterey 12.6.3

Дата выпуска: 23 января 2023 г.

AppleMobileFileIntegrity

Целевые продукты: macOS Monterey

Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.

Описание. Проблема устранена путем включения защищенной среды выполнения.

CVE-2023-23499: Wojciech Reguła (@_r3ggi) из SecuRing (wojciechregula.blog)

curl

Целевые продукты: macOS Monterey

Воздействие. Обнаружен ряд проблем в curl.

Описание. Ряд проблем устранен путем обновления компонента curl до версии 7.86.0.

CVE-2022-42915

CVE-2022-42916

CVE-2022-32221

CVE-2022-35260

curl

Целевые продукты: macOS Monterey

Воздействие. Обнаружен ряд проблем в curl.

Описание. Ряд проблем устранен путем обновления компонента curl до версии 7.85.0.

CVE-2022-35252

dcerpc

Целевые продукты: macOS Monterey

Воздействие. При подключении вредоносного сетевого ресурса Samba возможно выполнение произвольного кода.

Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.

CVE-2023-23513: Dimitrios Tatsis и Aleksandar Nikolic из Cisco Talos

DiskArbitration

Целевые продукты: macOS Monterey

Воздействие. Зашифрованный том может быть отключен и снова подключен другим пользователем без запроса пароля.

Описание. Логическая проблема устранена путем улучшенного управления состояниями.

CVE-2023-23493: Oliver Norpoth (@norpoth) из KLIXX GmbH (klixx.com)

DriverKit

Целевые продукты: macOS Monterey

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема смешения типов устранена путем улучшения проверок.

CVE-2022-32915: Tommy Muir (@Muirey03)

Intel Graphics Driver

Целевые продукты: macOS Monterey

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема устранена путем улучшенной проверки границ.

CVE-2023-23507: анонимный исследователь

Kernel

Целевые продукты: macOS Monterey

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2023-23516: Йорди Зомер (Jordy Zomer, @pwningsystems)

Запись добавлена 11 мая 2023 г.

Kernel

Целевые продукты: macOS Monterey

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2023-23504: Adam Doupé из ASU SEFCOM

Kernel

Целевые продукты: macOS Monterey

Воздействие. Программа может выявлять схему распределения памяти в ядре.

Описание. Проблема утечки информации решена посредством удаления уязвимого кода.

CVE-2023-23502: Pan ZhenPeng (@Peterpan0927) из STAR Labs SG Pte. Ltd. (@starlabs_sg)

Mail

Целевые продукты: macOS Monterey

Воздействие. Приложение может получать доступ к вложениям в папке электронной почты через временный каталог, используемый во время сжатия.

Описание. Проблема доступа устранена путем улучшения ограничений доступа.

CVE-2022-42834: Wojciech Reguła (@_r3ggi) из SecuRing

Запись добавлена 11 мая 2023 г.

PackageKit

Целевые продукты: macOS Monterey

Воздействие. Приложение может получить привилегии пользователя root.

Описание. Логическая проблема устранена путем улучшенного управления состояниями.

CVE-2023-23497: Mickey Jin (@patch1t)

Screen Time

Целевые продукты: macOS Monterey

Воздействие. Приложение может получать доступ к информации о контактах пользователя.

Описание. Проблема конфиденциальности была решена путем улучшения редактирования личных данных для записей журнала.

CVE-2023-23505: Войцех Регула (Wojciech Regula, wojciechregula.blog) из SecuRing и Чаба Фицль (Csaba Fitzl, @theevilbit) из Offensive Security

Запись обновлена 11 мая 2023 г.

TCC

Целевые продукты: macOS Monterey

Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.

Описание. Проблема решена путем удаления уязвимого кода.

CVE-2023-27931: Mickey Jin (@patch1t)

Запись добавлена 11 мая 2023 г.

Weather

Целевые продукты: macOS Monterey

Воздействие. Приложение может обойти настройки конфиденциальности.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2023-23511: Wojciech Reguła из компании SecuRing (wojciechregula.blog), анонимный исследователь

WebKit

Целевые продукты: macOS Monterey

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

WebKit Bugzilla: 248268

CVE-2023-23518: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) из команды ApplePIE

WebKit Bugzilla: 248268

CVE-2023-23517: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) из команды ApplePIE

Windows Installer

Целевые продукты: macOS Monterey

Воздействие. Приложение может обойти настройки конфиденциальности.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2023-23508: Mickey Jin (@patch1t)

Дополнительные благодарности

Kernel

Выражаем благодарность за помощь Nick Stenning из Replicate.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: