Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Выпуски безопасности Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
Дополнительную информацию о безопасности продуктов Apple см. на этой странице.
macOS Monterey 12.7.1
Дата выпуска: 25 октября 2023 г.
Automation
Целевые продукты: macOS Monterey
Воздействие. Приложение с привилегиями root может получить доступ к личной информации.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2023-42952: Zhipeng Huo (@R3dF09) из компании Tencent Security Xuanwu Lab (xlab.tencent.com)
Запись добавлена 16 февраля 2024 г.
CoreAnimation
Целевые продукты: macOS Monterey
Воздействие. Приложение может вызывать отказ в обслуживании.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2023-40449: Tomi Tokics (@tomitokics) из iTomsn0w
Core Recents
Целевые продукты: macOS Monterey
Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.
Описание. Проблема решена путем очистки журнала.
CVE-2023-42823
Запись добавлена 16 февраля 2024 г.
FileProvider
Целевые продукты: macOS Monterey
Воздействие. Приложение может вызывать отказ в обслуживании клиентов конечных устройств.
Описание. Проблема решена путем удаления уязвимого кода.
CVE-2023-42854: Noah Roskin-Frazee и Prof. J. (ZeroClicks.ai Lab)
Find My
Целевые продукты: macOS Monterey
Воздействие. Приложение может получать доступ к конфиденциальным данным о геопозиции.
Описание. Проблема устранена путем улучшенной обработки кэшей.
CVE-2023-40413: Adam M.
Foundation
Целевые продукты: macOS Monterey
Воздействие. Веб-сайт может получить доступ к конфиденциальным данным пользователя при обработке символических ссылок.
Описание. Проблема устранена путем улучшенной обработки символических ссылок.
CVE-2023-42844: Ron Masas из BreakPoint.SH
libc
Целевые продукты: macOS Monterey
Воздействие. Обработка вредоносных входящих данных может привести к выполнению произвольного кода в приложениях, установленных пользователем.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2023-40446: inooo
Запись добавлена 3 ноября 2023 г.
ImageIO
Целевые продукты: macOS Monterey
Воздействие. Обработка изображения может привести к раскрытию памяти процесса.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2023-40416: пользователь JZ
IOTextEncryptionFamily
Целевые продукты: macOS Monterey
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2023-40423: анонимный исследователь
Kernel
Целевые продукты: macOS Monterey
Воздействие. Злоумышленник, который уже добился выполнения кода в ядре, может обойти меры защиты памяти ядра.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2023-42849: Linus Henze из Pinauten GmbH (pinauten.de)
Model I/O
Целевые продукты: macOS Monterey
Воздействие. Обработка файла может приводить к неожиданному завершению работы приложения или выполнению произвольного кода.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2023-42856: Michael DePlante (@izobashi) в сотрудничестве с Trend Micro по программе Zero Day Initiative
PackageKit
Целевые продукты: macOS Monterey
Воздействие. Приложение может изменять защищенные области файловой системы.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2023-42859: Arsenii Kostromin (0x3c3e), Mickey Jin (@patch1t) и Hevel Engineering
CVE-2023-42877: Arsenii Kostromin (0x3c3e)
Запись добавлена 16 февраля 2024 г.
PackageKit
Целевые продукты: macOS Monterey
Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2023-42840: Mickey Jin (@patch1t) и Csaba Fitzl (@theevilbit) из Offensive Security
Запись добавлена 16 февраля 2024 г.
PackageKit
Целевые продукты: macOS Monterey
Воздействие. Приложение может обходить определенные настройки конфиденциальности
Описание. Проблема устранена путем улучшенной проверки.
CVE-2023-42889: Mickey Jin (@patch1t)
Запись добавлена 16 февраля 2024 г.
PackageKit
Целевые продукты: macOS Monterey
Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.
Описание. Проблема с логикой устранена путем улучшения проверок.
CVE-2023-42853: Mickey Jin (@patch1t)
Запись добавлена 16 февраля 2024 г.
PackageKit
Целевые продукты: macOS Monterey
Воздействие. Приложение может изменять защищенные области файловой системы.
Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.
CVE-2023-42860: Koh M. Nakagawa (@tsunek0h) из FFRI Security, Inc.
Запись добавлена 16 февраля 2024 г.
Pro Res
Целевые продукты: macOS Monterey
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема устранена путем улучшенной проверки границ.
CVE-2023-42873: Mingxuan Yang (@PPPF00L), пользователь happybabywu и Guang Gong из 360 Vulnerability Research Institute
Запись добавлена 16 февраля 2024 г.
Sandbox
Целевые продукты: macOS Monterey
Воздействие. Приложение с привилегиями root может получить доступ к личной информации.
Описание. Проблема конфиденциальности была решена путем улучшения редактирования личных данных для записей журнала.
CVE-2023-40425: Csaba Fitzl (@theevilbit) из Offensive Security
SQLite
Целевые продукты: macOS Monterey
Воздействие. Удаленный пользователь может вызывать отказ в обслуживании.
Описание. Проблема устранена путем улучшения проверок.
CVE-2023-36191
Запись добавлена 16 февраля 2024 г.
talagent
Целевые продукты: macOS Monterey
Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.
Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.
CVE-2023-40421: Noah Roskin-Frazee и Prof. J. (ZeroClicks.ai Lab)
WindowServer
Целевые продукты: macOS Monterey
Воздействие. Веб-сайт может получать доступ к микрофону без отображения индикатора микрофона.
Описание. Проблема решена путем удаления уязвимого кода.
CVE-2023-41975: анонимный исследователь
WindowServer
Целевые продукты: macOS Monterey
Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2023-42858: анонимный исследователь
Запись добавлена 16 февраля 2024 г.
Дополнительные благодарности
GPU Drivers
Выражаем благодарность за помощь анонимному исследователю.
libarchive
Выражаем благодарность за помощь Bahaa Naamneh.
libxml2
Выражаем благодарность за помощь сервису OSS-Fuzz и Ned Williamson из Google Project Zero.