Сведения о проблемах системы безопасности, устраняемых обновлением macOS Monterey 12.6.8

В этом документе описаны проблемы системы безопасности, устраняемые обновлением macOS Monterey 12.6.8.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительную информацию о безопасности продуктов Apple см. на этой странице.

macOS Monterey 12.6.8

Дата выпуска: 24 июля 2023 г.

Accessibility

Целевые продукты: macOS Monterey

Воздействие. Приложение может получать доступ к конфиденциальным данным о геопозиции.

Описание. Проблема конфиденциальности была решена путем улучшения редактирования личных данных для записей журнала.

CVE-2023-40442: Nick Brook

Запись добавлена 8 сентября 2023 г.

Apple Neural Engine

Целевые продукты: macOS Monterey

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2023-34425: pattern-f (@pattern_F_) из Ant Security Light-Year Lab

Запись добавлена 27 июля 2023 г.

AppSandbox

Целевые продукты: macOS Monterey

Воздействие. Некий процесс в изолированной среде может обойти ограничения изолированной среды.

Описание. Проблема с логикой устранена путем улучшения ограничений.

CVE-2023-32364: Gergely Kalman (@gergely_kalman)

Запись добавлена 27 июля 2023 г.

Assets

Целевые продукты: macOS Monterey

Воздействие. Приложение может изменять защищенные области файловой системы.

Описание. Проблема устранена путем улучшения защиты данных.

CVE-2023-35983: Mickey Jin (@patch1t)

CFNetwork

Целевые продукты: macOS Monterey

Воздействие. Приложение может получать доступ к конфиденциальным данным о геопозиции.

Описание. Проблема конфиденциальности была решена путем улучшения редактирования личных данных для записей журнала.

CVE-2023-40392: Wojciech Regula из компании SecuRing (wojciechregula.blog)

Запись добавлена 8 сентября 2023 г.

CUPS

Целевые продукты: macOS Monterey

Воздействие. Пользователь с преимущественным положением в сети может вызвать утечку конфиденциальных данных.

Описание. Логическая проблема устранена путем улучшенного управления состояниями.

CVE-2023-34241: пользователь Sei K.

Запись добавлена 27 июля 2023 г.

curl

Целевые продукты: macOS Monterey

Воздействие. Обнаружен ряд проблем в curl.

Описание. Ряд проблем устранен путем обновления компонента curl.

CVE-2023-28319

CVE-2023-28320

CVE-2023-28321

CVE-2023-28322

Find My

Целевые продукты: macOS Monterey

Воздействие. Приложение может получать доступ к конфиденциальным данным о геопозиции.

Описание. Проблема с логикой устранена путем улучшения ограничений.

CVE-2023-32416: Wojciech Regula из компании SecuRing (wojciechregula.blog)

FontParser

Целевые продукты: macOS Monterey

Воздействие. Обработка файла шрифта может приводить к выполнению произвольного кода. Компании Apple известно о том, что эта проблема могла активно использоваться для нарушения безопасности iOS версий до 15.7.1.

Описание. Проблема устранена путем улучшенной обработки кэшей.

CVE-2023-41990: Apple, Валентин Пашков, Михаил Виноградов, Георгий Кучерин (@kucher1n), Леонид Безвершенко (@bzvr_) и Борис Ларин (@oct0xor) из Kaspersky

Запись добавлена 8 сентября 2023 г.

Grapher

Целевые продукты: macOS Monterey

Воздействие. Обработка файла может приводить к неожиданному завершению работы приложения или выполнению произвольного кода.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2023-36854: Bool из YunShangHuaAn(云上华安)

CVE-2023-32418: Bool из YunShangHuaAn(云上华安)

Kernel

Целевые продукты: macOS Monterey

Воздействие. Удаленный пользователь может вызывать отказ в обслуживании.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2023-38603: Zweig из Kunlun Lab

Запись добавлена 27 июля 2023 г.

Kernel

Целевые продукты: macOS Monterey

Воздействие. Удаленный пользователь может удаленно вызывать неожиданное завершение работы системы или повреждение памяти ядра.

Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.

CVE-2023-38590: Zweig из Kunlun Lab

Запись добавлена 27 июля 2023 г.

Kernel

Целевые продукты: macOS Monterey

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2023-38598: Mohamed GHANNAM (@_simo36)

Запись добавлена 27 июля 2023 г.

Kernel

Целевые продукты: macOS Monterey

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема целочисленного переполнения устранена путем улучшенной проверки ввода.

CVE-2023-36495: Zweig из Kunlun Lab

Запись добавлена 27 июля 2023 г.

Kernel

Целевые продукты: macOS Monterey

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2023-37285: Арсений Костромин (0x3c3e)

Запись добавлена 27 июля 2023 г.

Kernel

Целевые продукты: macOS Monterey

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2023-38604: анонимный исследователь

Запись добавлена 27 июля 2023 г.

Kernel

Целевые продукты: macOS Monterey

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2023-32381: анонимный исследователь

CVE-2023-32433: Zweig из Kunlun Lab

CVE-2023-35993: Kaitao Xie и Xiaolong Bai из Alibaba Group

Kernel

Целевые продукты: macOS Monterey

Воздействие. Приложение может изменять конфиденциальные данные о состоянии ядра. Компании Apple известно о том, что эта проблема могла активно использоваться для нарушения безопасности iOS версий до 15.7.1.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2023-38606: Валентин Пашков, Михаил Виноградов, Георгий Кучерин (@kucher1n), Леонид Безвершенко (@bzvr_) и Борис Ларин (@oct0xor) из Kaspersky

Kernel

Целевые продукты: macOS Monterey

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14) из STAR Labs SG Pte. Ltd.

Kernel

Целевые продукты: macOS Monterey

Воздействие. Удаленный пользователь может вызывать отказ в обслуживании.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2023-38603: Zweig из Kunlun Lab

Запись добавлена 22 декабря 2023 г.

libxpc

Целевые продукты: macOS Monterey

Воздействие. Приложение может получить привилегии пользователя root.

Описание. Проблема с обработкой пути устранена путем улучшенной проверки.

CVE-2023-38565: Zhipeng Huo (@R3dF09) из компании Tencent Security Xuanwu Lab (xlab.tencent.com)

libxpc

Целевые продукты: macOS Monterey

Воздействие. Приложение может вызывать отказ в обслуживании.

Описание. Проблема с логикой устранена путем улучшения проверок.

CVE-2023-38593: Noah Roskin-Frazee

Mail

Целевые продукты: macOS Monterey

Воздействие. Сообщение электронной почты с использованием шифрования S/MIME может непреднамеренно отправляться незашифрованным

Описание. Эта проблема устранена путем улучшенного управления состояниями сообщений с шифрованием S/MIME.

CVE-2023-40440: Taavi Eomäe из Zone Media OÜ

Запись добавлена 8 сентября 2023 г.

Music

Целевые продукты: macOS Monterey

Воздействие. Приложение может обойти настройки конфиденциальности.

Описание. Проблема устранена путем улучшенной проверки символьных ссылок.

CVE-2023-38571: Gergely Kalman (@gergely_kalman)

Запись добавлена 27 июля 2023 г.

Model I/O

Целевые продукты: macOS Monterey

Воздействие. Обработка 3D-модели может привести к раскрытию памяти процесса.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2023-38421: Mickey Jin (@patch1t) и Michael DePlante (@izobashi) из Trend Micro Zero Day Initiative

CVE-2023-38258: Mickey Jin (@patch1t)

Запись обновлена 27 июля 2023 г.

Model I/O

Целевые продукты: macOS Monterey

Воздействие. Обработка изображения может привести к раскрытию памяти процесса.

Описание. Проблема устранена путем улучшения проверок.

CVE-2023-1916

Запись добавлена 22 декабря 2023 г.

ncurses

Целевые продукты: macOS Monterey

Воздействие. Приложение может выполнить произвольный код или вызвать неожиданное завершение работы приложения.

Описание. Проблема с повреждением данных в памяти устранена путем улучшения проверки.

CVE-2023-29491: Jonathan Bar Or, Emanuele Cozzi и Michael Pearse из Microsoft

Запись добавлена 8 сентября 2023 г.

Net-SNMP

Целевые продукты: macOS Monterey

Воздействие. Приложение может изменять защищенные области файловой системы.

Описание. Проблема решена путем удаления уязвимого кода.

CVE-2023-38601: Csaba Fitzl (@theevilbit) из Offensive Security

Запись добавлена 27 июля 2023 г.

NSSpellChecker

Целевые продукты: macOS Monterey

Воздействие. Некий процесс в изолированной среде может обойти ограничения изолированной среды.

Описание. Проблема с логикой устранена путем улучшенной проверки.

CVE-2023-32444: Mickey Jin (@patch1t)

Запись добавлена 27 июля 2023 г.

OpenLDAP

Целевые продукты: macOS Monterey

Воздействие. Удаленный пользователь может вызывать отказ в обслуживании.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2023-2953: Sandipan Roy

OpenSSH

Целевые продукты: macOS Monterey

Воздействие. Приложение может получить доступ к парольным фразам SSH.

Описание. Проблема устранена путем ввода дополнительных ограничений на возможность отслеживать состояния приложений.

CVE-2023-42829: James Duffy (mangoSecure)

Запись добавлена 22 декабря 2023 г.

PackageKit

Целевые продукты: macOS Monterey

Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.

Описание. Проблема с логикой устранена путем улучшения ограничений.

CVE-2023-38259: Mickey Jin (@patch1t)

PackageKit

Целевые продукты: macOS Monterey

Воздействие. Приложение может изменять защищенные области файловой системы.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2023-38602: Арсений Костромин (0x3c3e)

Security

Целевые продукты: macOS Monterey

Воздействие. Приложение может снимать отпечатки пальцев пользователя.

Описание. Проблема решена путем удаления уязвимого кода.

CVE-2023-42831: James Duffy (mangoSecure)

Запись добавлена 22 декабря 2023 г.

Shortcuts

Целевые продукты: macOS Monterey

Воздействие. Быстрая команда может изменять конфиденциальные настройки приложения «Быстрые команды».

Описание. Проблема доступа устранена путем улучшения ограничений доступа.

CVE-2023-32442: анонимный исследователь

sips

Целевые продукты: macOS Monterey

Воздействие. Обработка файла может вызывать отказ в обслуживании или раскрывать содержимое памяти.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2023-32443: David Hoyt из компании Hoyt LLC

Software Update

Целевые продукты: macOS Monterey

Воздействие. Приложение может получить привилегии пользователя root.

Описание. Условие состязания устранено путем улучшения обработки состояний.

CVE-2023-42832: Арсений Костромин (0x3c3e)

Запись добавлена 22 декабря 2023 г.

SQLite

Целевые продукты: macOS Monterey

Воздействие. Приложение может обойти настройки конфиденциальности.

Описание. Проблема устранена путем добавления дополнительных ограничений на ведение журнала SQLite.

CVE-2023-32422: Gergely Kalman (@gergely_kalman) и Wojciech Regula из SecuRing (wojciechregula.blog)

Запись добавлена 8 сентября 2023 г.

SystemMigration

Целевые продукты: macOS Monterey

Воздействие. Приложение может обойти настройки конфиденциальности.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2023-32429: Wenchao Li и Xiaolong Bai из Hangzhou Orange Shield Information Technology Co., Ltd.

Запись добавлена 27 июля 2023 г.

tcpdump

Целевые продукты: macOS Monterey

Воздействие. Злоумышленник, имеющий привилегированное положение в сети, может выполнить произвольный код

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2023-1801

Запись добавлена 22 декабря 2023 г.

Vim

Целевые продукты: macOS Monterey

Воздействие. Обнаружен ряд проблем в Vim.

Описание. Ряд проблем устранен путем обновления компонента Vim.

CVE-2023-2426

CVE-2023-2609

CVE-2023-2610

Запись добавлена 22 декабря 2023 г.

Weather

Целевые продукты: macOS Monterey

Воздействие. Приложение может определить текущее местоположение пользователя.

Описание. Эта проблема устранена путем улучшенного редактирования конфиденциальной информации.

CVE-2023-38605: Adam M.

Запись добавлена 8 сентября 2023 г.

 

Дополнительные благодарности

Mail

Выражаем благодарность за помощь Parvez Anwar.

 

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: