Obsah zabezpečenia v systéme macOS Monterey 12.6.6

V tomto dokumente sa opisuje obsah zabezpečenia v systéme macOS Monterey 12.6.6.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.

macOS Monterey 12.6.6

Dátum vydania: 18. mája 2023

Accessibility

Dostupné pre: macOS Monterey

Dosah: Apka môže byť schopná obísť nastavenia súkromia

Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.

CVE-2023-32388: Kirin (@Pwnrin)

AppleEvents

Dostupné pre: macOS Monterey

Dosah: Apka môže byť schopná obísť nastavenia súkromia

Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.

CVE-2023-28191: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Dostupné pre: macOS Monterey

Dosah: Apka môže byť schopná obísť nastavenia súkromia

Popis: Tento problém bol vyriešený vylepšením autorizácie.

CVE-2023-32411: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná vložiť kód do citlivých binárnych súborov, ktoré sú súčasťou Xcode

Popis: Tento problém bol vyriešený vynútením zabezpečeného chodu príslušných binárnych súborov na úrovni systému.

CVE-2023-32383: James Duffy (mangoSecure)

Contacts

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná sledovať nechránené používateľské dáta

Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením spracovania dočasných súborov.

CVE-2023-32386: Kirin (@Pwnrin)

CUPS

Dostupné pre: macOS Monterey

Dopad: Neoverený používateľ môže mať prístup k nedávno vytlačeným dokumentom

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením správy stavu.

CVE-2023-32360: Gerhard Muth

dcerpc

Dostupné pre: macOS Monterey

Dopad: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu

Popis: Dochádzalo k problému s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2023-32387: Dimitrios Tatsis (Cisco Talos)

Dev Tools

Dostupné pre: macOS Monterey

Dopad: Apka v sandboxe môže byť schopná zhromažďovať systémové protokoly

Popis: Tento problém bol vyriešený vylepšením autorizácie.

CVE-2023-27945: Mickey Jin (@patch1t)

GeoServices

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná čítať citlivé informácie o polohe

Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.

CVE-2023-32392: Adam M.

Dátum aktualizovania záznamu: 21. decembra 2023

ImageIO

Dostupné pre: macOS Monterey

Dopad: Spracovanie obrázka so škodlivým kódom môže mať za následok odhalenie operačnej pamäte

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2023-23535: ryuzaki

ImageIO

Dostupné pre: macOS Monterey

Dopad: Spracovanie obrázka môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2023-32384: Meysam Firouzi (@R00tkitsmm) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

IOSurface

Dostupné pre: macOS Monterey

Dosah: Apka môže byť schopná spôsobiť únik citlivých informácií o stave jadra

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2023-32410: hou xuewei (@p1ay8y3ar) vmk msu

Kernel

Dostupné pre: macOS Monterey

Dopad: Apka v sandboxe môže byť schopná sledovať sieťové pripojenia používané v celom systéme

Popis: Tento problém bol vyriešený pridaním ďalších kontrol povolení.

CVE-2023-27940: James Duffy (mangoSecure)

Kernel

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná získať oprávnenia používateľa root

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením spracovania stavu.

CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) zo spoločnosti Synacktiv (@Synacktiv) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Kernel

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2023-32398: Adam Doupé (ASU SEFCOM)

LaunchServices

Dostupné pre: macOS Monterey

Dopad: Apka môže obísť kontroly služby Gatekeeper

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2023-32352: Wojciech Reguła (@_r3ggi, SecuRing, wojciechregula.blog)

libxpc

Dostupné pre: macOS Monterey

Dosah: Apka môže byť schopná upravovať chránené časti súborového systému

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2023-32369: Jonathan Bar Or (Microsoft), Anurag Bohra (Microsoft) a Michael Pearse (Microsoft)

libxpc

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná získať oprávnenia používateľa root

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2023-32405: Thijs Alkemade (@xnyhps, Computest Sector 7)

MallocStackLogging

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná získať oprávnenia používateľa root

Popis: Tento problém bol vyriešený vylepšením spracovania súborov.

CVE-2023-32428: Gergely Kalman (@gergely_kalman)

Dátum pridania záznamu: 21. decembra 2023

Metal

Dostupné pre: macOS Monterey

Dosah: Apka môže byť schopná obísť nastavenia súkromia

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2023-32407: Gergely Kalman (@gergely_kalman)

Model I/O

Dostupné pre: macOS Monterey

Dopad: Spracovanie 3D modelu môže mať za následok odhalenie operačnej pamäte

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2023-32375: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

CVE-2023-32382: Mickey Jin (@patch1t)

CVE-2023-32368: Mickey Jin (@patch1t)

Model I/O

Dostupné pre: macOS Monterey

Dopad: Spracovanie 3D modelu môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2023-32380: Mickey Jin (@patch1t)

NetworkExtension

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná čítať citlivé informácie o polohe

Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.

CVE-2023-32403: Adam M.

Dátum aktualizovania záznamu: 21. decembra 2023

PackageKit

Dostupné pre: macOS Monterey

Dosah: Apka môže byť schopná upravovať chránené časti súborového systému

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2023-32355: Mickey Jin (@patch1t)

Perl

Dostupné pre: macOS Monterey

Dosah: Apka môže byť schopná upravovať chránené časti súborového systému

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2023-32395: Arsenii Kostromin (0x3c3e)

Quick Look

Dostupné pre: macOS Monterey

Dopad: Analýza dokumentu balíka Office môže viesť k neočakávanému ukončeniu apky alebo k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2023-32401: Holger Fuhrmannek zo spoločnosti Deutsche Telekom Security GmbH v mene úradu BSI (Spolkový úrad pre bezpečnosť informačných technológií)

Dátum pridania záznamu: 21. decembra 2023

Sandbox

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná zachovať si prístup ku konfiguračným súborom systému aj po odvolaní jej povolenia

Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Jeff Johnson, Koh M. Nakagawa (FFRI Security, Inc.), Kirin (@Pwnrin) a Csaba Fitzl (@theevilbit, Offensive Security)

Shell

Dostupné pre: macOS Monterey

Dosah: Apka môže byť schopná upravovať chránené časti súborového systému

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2023-32397: Arsenii Kostromin (0x3c3e)

Telephony

Dostupné pre: macOS Monterey

Dopad: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu

Popis: Dochádzalo k problému s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2023-32412: Ivan Fratric (Google Project Zero)

TV App

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná čítať citlivé informácie o polohe

Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.

CVE-2023-32408: Adam M.

Ďalšie poďakovanie

libxml2

Poďakovanie za pomoc si zaslúžia OSS-Fuzz a Ned Williamson (Google Project Zero).

Reminders

Poďakovanie za pomoc si zaslúži Kirin (@Pwnrin).

Security

Poďakovanie za pomoc si zaslúži James Duffy (mangoSecure).

Wi-Fi

Poďakovanie za pomoc si zaslúži Adam M.

Dátum aktualizovania záznamu: 21. decembra 2023

Wi-Fi Connectivity

Poďakovanie za pomoc si zaslúži Adam M.

Dátum aktualizovania záznamu: 21. decembra 2023

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.

Dátum zverejnenia: