Obsah zabezpečenia v systéme macOS Monterey 12.6.3

V tomto dokumente sa opisuje obsah zabezpečenia v systéme macOS Monterey 12.6.3.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.

macOS Monterey 12.6.3

AppleMobileFileIntegrity

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Tento problém bol vyriešený zapnutím zabezpečeného chodu apky.

CVE-2023-23499: Wojciech Reguła (@_r3ggi) z tímu SecuRing (wojciechregula.blog)

curl

Dostupné pre: macOS Monterey

Dopad: Viacero problémov v súčasti curl

Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizáciou súčasti curl na verziu 7.86.0.

CVE-2022-42915

CVE-2022-42916

CVE-2022-32221

CVE-2022-35260

curl

Dostupné pre: macOS Monterey

Dopad: Viacero problémov v súčasti curl

Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizáciou súčasti curl na verziu 7.85.0.

CVE-2022-35252

dcerpc

Dostupné pre: macOS Monterey

Dopad: Pripojenie zdieľaného sieťového prvku Samba so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2023-23513: Dimitrios Tatsis a Aleksandar Nikolic zo spoločnosti Cisco Talos

DiskArbitration

Dostupné pre: macOS Monterey

Dopad: Šifrovaný disk je možné odpojiť a pripojiť pod iným používateľom bez zobrazenia výzvy na zadanie hesla

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2023-23493: Oliver Norpoth (@norpoth) zo spoločnosti KLIXX GmbH (klixx.com)

DriverKit

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením kontrol.

CVE-2022-32915: Tommy Muir (@Muirey03)

Intel Graphics Driver

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.

CVE-2023-23507: Anonymný výskumník

Kernel

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2023-23516: Jordy Zomer (@pwningsystems)

Kernel

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2023-23504: Adam Doupé z tímu ASU SEFCOM

Kernel

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná určiť rozloženie pamäte jadra

Popis: Dochádzalo k problému súvisiacemu s únikom informácií, ktorý bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2023-23502: Pan ZhenPeng (@Peterpan0927) z tímu STAR Labs SG Pte. Ltd. (@starlabs_sg)

Mail

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná získať prístup k prílohám v priečinkoch pošty prostredníctvom dočasného adresára použitého počas komprimovania

Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený vylepšením obmedzení prístupu.

CVE-2022-42834: Wojciech Reguła (@_r3ggi) z tímu SecuRing

PackageKit

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná získať oprávnenia používateľa root

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2023-23497: Mickey Jin (@patch1t)

Screen Time

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná získať prístup k informáciám o kontaktoch používateľa

Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.

CVE-2023-23505: Wojciech Regula z tímu SecuRing (wojciechregula.blog) a Csaba Fitzl (@theevilbit) z tímu Offensive Security

TCC

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2023-27931: Mickey Jin (@patch1t)

Weather

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná obísť nastavenia súkromia

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2023-23511: Wojciech Regula z tímu SecuRing (wojciechregula.blog), anonymný výskumník

WebKit

Dostupné pre: macOS Monterey

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2023-23518: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107) a Dohyun Lee (@l33d0hyun) z tímu ApplePIE

CVE-2023-23517: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107) a Dohyun Lee (@l33d0hyun) z tímu ApplePIE

Windows Installer

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná obísť nastavenia súkromia

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2023-23508: Mickey Jin (@patch1t)

Ďalšie poďakovanie

Kernel

Poďakovanie za pomoc si zaslúži Nick Stenning (Replicate).