Сведения о проблемах системы безопасности, устраняемых обновлением macOS Monterey 12.6.3

В этом документе описаны проблемы системы безопасности, устраняемые обновлением macOS Monterey 12.6.3.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительную информацию о безопасности продуктов Apple см. на этой странице.

macOS Monterey 12.6.3

AppleMobileFileIntegrity

Целевые продукты: macOS Monterey

Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.

Описание. Проблема устранена путем включения защищенной среды выполнения.

CVE-2023-23499: Wojciech Reguła (@_r3ggi) из SecuRing (wojciechregula.blog)

curl

Целевые продукты: macOS Monterey

Воздействие. Обнаружен ряд проблем в curl.

Описание. Ряд проблем устранен путем обновления компонента curl до версии 7.86.0.

CVE-2022-42915

CVE-2022-42916

CVE-2022-32221

CVE-2022-35260

curl

Целевые продукты: macOS Monterey

Воздействие. Обнаружен ряд проблем в curl.

Описание. Ряд проблем устранен путем обновления компонента curl до версии 7.85.0.

CVE-2022-35252

dcerpc

Целевые продукты: macOS Monterey

Воздействие. При подключении вредоносного сетевого ресурса Samba возможно выполнение произвольного кода.

Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.

CVE-2023-23513: Dimitrios Tatsis и Aleksandar Nikolic из Cisco Talos

DiskArbitration

Целевые продукты: macOS Monterey

Воздействие. Зашифрованный том может быть отключен и снова подключен другим пользователем без запроса пароля.

Описание. Логическая проблема устранена путем улучшенного управления состояниями.

CVE-2023-23493: Oliver Norpoth (@norpoth) из KLIXX GmbH (klixx.com)

DriverKit

Целевые продукты: macOS Monterey

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема смешения типов устранена путем улучшения проверок.

CVE-2022-32915: Tommy Muir (@Muirey03)

Intel Graphics Driver

Целевые продукты: macOS Monterey

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема устранена путем улучшенной проверки границ.

CVE-2023-23507: анонимный исследователь

Kernel

Целевые продукты: macOS Monterey

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2023-23516: Йорди Зомер (Jordy Zomer, @pwningsystems)

Kernel

Целевые продукты: macOS Monterey

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2023-23504: Adam Doupé из ASU SEFCOM

Kernel

Целевые продукты: macOS Monterey

Воздействие. Программа может выявлять схему распределения памяти в ядре.

Описание. Проблема утечки информации решена посредством удаления уязвимого кода.

CVE-2023-23502: Pan ZhenPeng (@Peterpan0927) из STAR Labs SG Pte. Ltd. (@starlabs_sg)

Mail

Целевые продукты: macOS Monterey

Воздействие. Приложение может получать доступ к вложениям в папке электронной почты через временный каталог, используемый во время сжатия.

Описание. Проблема доступа устранена путем улучшения ограничений доступа.

CVE-2022-42834: Wojciech Reguła (@_r3ggi) из SecuRing

PackageKit

Целевые продукты: macOS Monterey

Воздействие. Приложение может получить привилегии пользователя root.

Описание. Логическая проблема устранена путем улучшенного управления состояниями.

CVE-2023-23497: Mickey Jin (@patch1t)

Screen Time

Целевые продукты: macOS Monterey

Воздействие. Приложение может получать доступ к информации о контактах пользователя.

Описание. Проблема конфиденциальности была решена путем улучшения редактирования личных данных для записей журнала.

CVE-2023-23505: Войцех Регула (Wojciech Regula, wojciechregula.blog) из SecuRing и Чаба Фицль (Csaba Fitzl, @theevilbit) из Offensive Security

TCC

Целевые продукты: macOS Monterey

Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.

Описание. Проблема решена путем удаления уязвимого кода.

CVE-2023-27931: Mickey Jin (@patch1t)

Weather

Целевые продукты: macOS Monterey

Воздействие. Приложение может обойти настройки конфиденциальности.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2023-23511: Wojciech Reguła из компании SecuRing (wojciechregula.blog), анонимный исследователь

WebKit

Целевые продукты: macOS Monterey

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2023-23518: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) из команды ApplePIE

CVE-2023-23517: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) из команды ApplePIE

Windows Installer

Целевые продукты: macOS Monterey

Воздействие. Приложение может обойти настройки конфиденциальности.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2023-23508: Mickey Jin (@patch1t)

Дополнительные благодарности

Kernel

Выражаем благодарность за помощь Nick Stenning из Replicate.