Сведения о проблемах системы безопасности, устраняемых обновлением macOS Monterey 12.6.8
В этом документе описаны проблемы системы безопасности, устраняемые обновлением macOS Monterey 12.6.8.
Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Выпуски безопасности Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
Дополнительную информацию о безопасности продуктов Apple см. на этой странице.
macOS Monterey 12.6.8
Дата выпуска: 24 июля 2023 г.
Accessibility
Целевые продукты: macOS Monterey
Воздействие. Приложение может получать доступ к конфиденциальным данным о геопозиции.
Описание. Проблема конфиденциальности была решена путем улучшения редактирования личных данных для записей журнала.
CVE-2023-40442: Nick Brook
Запись добавлена 8 сентября 2023 г.
Apple Neural Engine
Целевые продукты: macOS Monterey
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2023-34425: pattern-f (@pattern_F_) из Ant Security Light-Year Lab
Запись добавлена 27 июля 2023 г.
AppSandbox
Целевые продукты: macOS Monterey
Воздействие. Некий процесс в изолированной среде может обойти ограничения изолированной среды.
Описание. Проблема с логикой устранена путем улучшения ограничений.
CVE-2023-32364: Gergely Kalman (@gergely_kalman)
Запись добавлена 27 июля 2023 г.
Assets
Целевые продукты: macOS Monterey
Воздействие. Приложение может изменять защищенные области файловой системы.
Описание. Проблема устранена путем улучшения защиты данных.
CVE-2023-35983: Mickey Jin (@patch1t)
CFNetwork
Целевые продукты: macOS Monterey
Воздействие. Приложение может получать доступ к конфиденциальным данным о геопозиции.
Описание. Проблема конфиденциальности была решена путем улучшения редактирования личных данных для записей журнала.
CVE-2023-40392: Wojciech Regula из компании SecuRing (wojciechregula.blog)
Запись добавлена 8 сентября 2023 г.
CUPS
Целевые продукты: macOS Monterey
Воздействие. Пользователь с преимущественным положением в сети может вызвать утечку конфиденциальных данных.
Описание. Логическая проблема устранена путем улучшенного управления состояниями.
CVE-2023-34241: пользователь Sei K.
Запись добавлена 27 июля 2023 г.
curl
Целевые продукты: macOS Monterey
Воздействие. Обнаружен ряд проблем в curl.
Описание. Ряд проблем устранен путем обновления компонента curl.
CVE-2023-28319
CVE-2023-28320
CVE-2023-28321
CVE-2023-28322
Find My
Целевые продукты: macOS Monterey
Воздействие. Приложение может получать доступ к конфиденциальным данным о геопозиции.
Описание. Проблема с логикой устранена путем улучшения ограничений.
CVE-2023-32416: Wojciech Regula из компании SecuRing (wojciechregula.blog)
FontParser
Целевые продукты: macOS Monterey
Воздействие. Обработка файла шрифта может приводить к выполнению произвольного кода. Компании Apple известно о том, что эта проблема могла активно использоваться для нарушения безопасности iOS версий до 15.7.1.
Описание. Проблема устранена путем улучшенной обработки кэшей.
CVE-2023-41990: Apple, Валентин Пашков, Михаил Виноградов, Георгий Кучерин (@kucher1n), Леонид Безвершенко (@bzvr_) и Борис Ларин (@oct0xor) из Kaspersky
Запись добавлена 8 сентября 2023 г.
Grapher
Целевые продукты: macOS Monterey
Воздействие. Обработка файла может приводить к неожиданному завершению работы приложения или выполнению произвольного кода.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2023-36854: Bool из YunShangHuaAn(云上华安)
CVE-2023-32418: Bool из YunShangHuaAn(云上华安)
Kernel
Целевые продукты: macOS Monterey
Воздействие. Удаленный пользователь может вызывать отказ в обслуживании.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2023-38603: Zweig из Kunlun Lab
Запись добавлена 27 июля 2023 г.
Kernel
Целевые продукты: macOS Monterey
Воздействие. Удаленный пользователь может удаленно вызывать неожиданное завершение работы системы или повреждение памяти ядра.
Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.
CVE-2023-38590: Zweig из Kunlun Lab
Запись добавлена 27 июля 2023 г.
Kernel
Целевые продукты: macOS Monterey
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
CVE-2023-38598: Mohamed GHANNAM (@_simo36)
Запись добавлена 27 июля 2023 г.
Kernel
Целевые продукты: macOS Monterey
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема целочисленного переполнения устранена путем улучшенной проверки ввода.
CVE-2023-36495: Zweig из Kunlun Lab
Запись добавлена 27 июля 2023 г.
Kernel
Целевые продукты: macOS Monterey
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2023-37285: Арсений Костромин (0x3c3e)
Запись добавлена 27 июля 2023 г.
Kernel
Целевые продукты: macOS Monterey
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2023-38604: анонимный исследователь
Запись добавлена 27 июля 2023 г.
Kernel
Целевые продукты: macOS Monterey
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
CVE-2023-32381: анонимный исследователь
CVE-2023-32433: Zweig из Kunlun Lab
CVE-2023-35993: Kaitao Xie и Xiaolong Bai из Alibaba Group
Kernel
Целевые продукты: macOS Monterey
Воздействие. Приложение может изменять конфиденциальные данные о состоянии ядра. Компании Apple известно о том, что эта проблема могла активно использоваться для нарушения безопасности iOS версий до 15.7.1.
Описание. Эта проблема устранена путем улучшенного управления состояниями.
CVE-2023-38606: Валентин Пашков, Михаил Виноградов, Георгий Кучерин (@kucher1n), Леонид Безвершенко (@bzvr_) и Борис Ларин (@oct0xor) из Kaspersky
Kernel
Целевые продукты: macOS Monterey
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14) из STAR Labs SG Pte. Ltd.
Kernel
Целевые продукты: macOS Monterey
Воздействие. Удаленный пользователь может вызывать отказ в обслуживании.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2023-38603: Zweig из Kunlun Lab
Запись добавлена 22 декабря 2023 г.
libxpc
Целевые продукты: macOS Monterey
Воздействие. Приложение может получить привилегии пользователя root.
Описание. Проблема с обработкой пути устранена путем улучшенной проверки.
CVE-2023-38565: Zhipeng Huo (@R3dF09) из компании Tencent Security Xuanwu Lab (xlab.tencent.com)
libxpc
Целевые продукты: macOS Monterey
Воздействие. Приложение может вызывать отказ в обслуживании.
Описание. Проблема с логикой устранена путем улучшения проверок.
CVE-2023-38593: Noah Roskin-Frazee
Целевые продукты: macOS Monterey
Воздействие. Сообщение электронной почты с использованием шифрования S/MIME может непреднамеренно отправляться незашифрованным
Описание. Эта проблема устранена путем улучшенного управления состояниями сообщений с шифрованием S/MIME.
CVE-2023-40440: Taavi Eomäe из Zone Media OÜ
Запись добавлена 8 сентября 2023 г.
Music
Целевые продукты: macOS Monterey
Воздействие. Приложение может обойти настройки конфиденциальности.
Описание. Проблема устранена путем улучшенной проверки символьных ссылок.
CVE-2023-38571: Gergely Kalman (@gergely_kalman)
Запись добавлена 27 июля 2023 г.
Model I/O
Целевые продукты: macOS Monterey
Воздействие. Обработка 3D-модели может привести к раскрытию памяти процесса.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2023-38421: Mickey Jin (@patch1t) и Michael DePlante (@izobashi) из Trend Micro Zero Day Initiative
CVE-2023-38258: Mickey Jin (@patch1t)
Запись обновлена 27 июля 2023 г.
Model I/O
Целевые продукты: macOS Monterey
Воздействие. Обработка изображения может привести к раскрытию памяти процесса.
Описание. Проблема устранена путем улучшения проверок.
CVE-2023-1916
Запись добавлена 22 декабря 2023 г.
ncurses
Целевые продукты: macOS Monterey
Воздействие. Приложение может выполнить произвольный код или вызвать неожиданное завершение работы приложения.
Описание. Проблема с повреждением данных в памяти устранена путем улучшения проверки.
CVE-2023-29491: Jonathan Bar Or, Emanuele Cozzi и Michael Pearse из Microsoft
Запись добавлена 8 сентября 2023 г.
Net-SNMP
Целевые продукты: macOS Monterey
Воздействие. Приложение может изменять защищенные области файловой системы.
Описание. Проблема решена путем удаления уязвимого кода.
CVE-2023-38601: Csaba Fitzl (@theevilbit) из Offensive Security
Запись добавлена 27 июля 2023 г.
NSSpellChecker
Целевые продукты: macOS Monterey
Воздействие. Некий процесс в изолированной среде может обойти ограничения изолированной среды.
Описание. Проблема с логикой устранена путем улучшенной проверки.
CVE-2023-32444: Mickey Jin (@patch1t)
Запись добавлена 27 июля 2023 г.
OpenLDAP
Целевые продукты: macOS Monterey
Воздействие. Удаленный пользователь может вызывать отказ в обслуживании.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2023-2953: Sandipan Roy
OpenSSH
Целевые продукты: macOS Monterey
Воздействие. Приложение может получить доступ к парольным фразам SSH.
Описание. Проблема устранена путем ввода дополнительных ограничений на возможность отслеживать состояния приложений.
CVE-2023-42829: James Duffy (mangoSecure)
Запись добавлена 22 декабря 2023 г.
PackageKit
Целевые продукты: macOS Monterey
Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.
Описание. Проблема с логикой устранена путем улучшения ограничений.
CVE-2023-38259: Mickey Jin (@patch1t)
PackageKit
Целевые продукты: macOS Monterey
Воздействие. Приложение может изменять защищенные области файловой системы.
Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.
CVE-2023-38602: Арсений Костромин (0x3c3e)
Security
Целевые продукты: macOS Monterey
Воздействие. Приложение может снимать отпечатки пальцев пользователя.
Описание. Проблема решена путем удаления уязвимого кода.
CVE-2023-42831: James Duffy (mangoSecure)
Запись добавлена 22 декабря 2023 г.
Shortcuts
Целевые продукты: macOS Monterey
Воздействие. Быстрая команда может изменять конфиденциальные настройки приложения «Быстрые команды».
Описание. Проблема доступа устранена путем улучшения ограничений доступа.
CVE-2023-32442: анонимный исследователь
sips
Целевые продукты: macOS Monterey
Воздействие. Обработка файла может вызывать отказ в обслуживании или раскрывать содержимое памяти.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2023-32443: David Hoyt из компании Hoyt LLC
Software Update
Целевые продукты: macOS Monterey
Воздействие. Приложение может получить привилегии пользователя root.
Описание. Условие состязания устранено путем улучшения обработки состояний.
CVE-2023-42832: Арсений Костромин (0x3c3e)
Запись добавлена 22 декабря 2023 г.
SQLite
Целевые продукты: macOS Monterey
Воздействие. Приложение может обойти настройки конфиденциальности.
Описание. Проблема устранена путем добавления дополнительных ограничений на ведение журнала SQLite.
CVE-2023-32422: Gergely Kalman (@gergely_kalman) и Wojciech Regula из SecuRing (wojciechregula.blog)
Запись добавлена 8 сентября 2023 г.
SystemMigration
Целевые продукты: macOS Monterey
Воздействие. Приложение может обойти настройки конфиденциальности.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2023-32429: Wenchao Li и Xiaolong Bai из Hangzhou Orange Shield Information Technology Co., Ltd.
Запись добавлена 27 июля 2023 г.
tcpdump
Целевые продукты: macOS Monterey
Воздействие. Злоумышленник, имеющий привилегированное положение в сети, может выполнить произвольный код
Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2023-1801
Запись добавлена 22 декабря 2023 г.
Vim
Целевые продукты: macOS Monterey
Воздействие. Обнаружен ряд проблем в Vim.
Описание. Ряд проблем устранен путем обновления компонента Vim.
CVE-2023-2426
CVE-2023-2609
CVE-2023-2610
Запись добавлена 22 декабря 2023 г.
Weather
Целевые продукты: macOS Monterey
Воздействие. Приложение может определить текущее местоположение пользователя.
Описание. Эта проблема устранена путем улучшенного редактирования конфиденциальной информации.
CVE-2023-38605: Adam M.
Запись добавлена 8 сентября 2023 г.
Дополнительные благодарности
Выражаем благодарность за помощь Parvez Anwar.
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.