Obsah zabezpečenia v systéme macOS Monterey 12.6.4
V tomto dokumente sa opisuje obsah zabezpečenia v systéme macOS Monterey 12.6.4.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
macOS Monterey 12.6.4
Dátum vydania: 27. marca 2023
Apple Neural Engine
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-23540: Mohamed GHANNAM (@_simo36)
AppleMobileFileIntegrity
Dostupné pre: macOS Monterey
Dopad: Plugin môže byť schopný prevziať povolenia apky a získať prístup k dátam používateľa
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-28207: Wojciech Reguła (@_r3ggi) z tímu SecuRing
Dátum pridania záznamu: 20. marca 2025
AppleMobileFileIntegrity
Dostupné pre: macOS Monterey
Dopad: Používateľ môže získať prístup do chránených častí súborového systému
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-23527: Mickey Jin (@patch1t)
Archive Utility
Dostupné pre: macOS Monterey
Dopad: Archív môže byť schopný obísť funkciu Gatekeeper
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-27951: Brandon Dalton (@partyD0lphin, Red Canary) a Csaba Fitzl (@theevilbit, Offensive Security)
Dátum aktualizovania záznamu: 8. júna 2023
Calendar
Dostupné pre: macOS Monterey
Dopad: Importovanie pozvánky so škodlivým kódom do kalendára môže viesť k exfiltrácii informácií o používateľovi
Popis: Dochádzalo k viacerým problémom s overovaním, ktoré boli vyriešené vylepšením čistenia vstupu.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
ColorSync
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná čítať ľubovoľné súbory
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-27955: JeongOhKyea
CommCenter
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo zapisovať do pamäte jadra
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2023-27936: Tingting Yin (Univerzita Čching-chua)
CoreCapture
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-28181: Tingting Yin (Univerzita Čching-chua)
Dátum pridania záznamu: 8. júna 2023
CoreServices
Dostupné pre: macOS Monterey
Dopad: Proces sandboxu môže byť schopný obísť obmedzenia sandboxu
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-40398: Mickey Jin (@patch1t)
Dátum pridania záznamu: 16. júla 2024
dcerpc
Dostupné pre: macOS Monterey
Dopad: Vzdialený používateľ môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.
CVE-2023-27935: Aleksandar Nikolic (Cisco Talos)
dcerpc
Dostupné pre: macOS Monterey
Dopad: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Bol vyriešený problém s inicializáciou pamäte.
CVE-2023-27934: Aleksandar Nikolic (Cisco Talos)
Dátum pridania záznamu: 8. júna 2023
dcerpc
Dostupné pre: macOS Monterey
Dopad: Vzdialený používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-27953: Aleksandar Nikolic (Cisco Talos)
CVE-2023-27958: Aleksandar Nikolic (Cisco Talos)
Find My
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2023-23537: Adam M.
Dátum pridania záznamu: 21. decembra 2023
FontParser
Dostupné pre: macOS Monterey
Dopad: Spracovanie súboru písma môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2023-32366: Ye Zhang (@VAR10CK) z tímu Baidu Security
Dátum pridania záznamu: 21. decembra 2023
Foundation
Dostupné pre: macOS Monterey
Dopad: Analýza súboru plist so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2023-27937: Anonymný výskumník
ImageIO
Dostupné pre: macOS Monterey
Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2023-27946: Mickey Jin (@patch1t)
IOAcceleratorFamily
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2023-32378: Murray Mike
Dátum pridania záznamu: 21. decembra 2023
Kernel
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná odhaliť obsah pamäte jadra
Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý viedol k odhaleniu pamäte jadra. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2023-27941: Arsenii Kostromin (0x3c3e)
CVE-2023-28199: Arsenii Kostromin (0x3c3e)
Dátum pridania záznamu: 8. júna 2023, dátum aktualizovania: 21. decembra 2023
Kernel
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.
CVE-2023-23536: Félix Poulin-Bélanger a David Pan Ogea
Dátum pridania záznamu: 8. júna 2023, dátum aktualizovania: 21. decembra 2023
Kernel
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2023-23514: Xinru Chi (Pangu Lab) a Ned Williamson (Google Project Zero)
Kernel
Dostupné pre: macOS Monterey
Dopad: Apka s oprávneniami používateľa root môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-27933: sqrtpwn
Kernel
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná odhaliť obsah pamäte jadra
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.
CVE-2023-28200: Arsenii Kostromin (0x3c3e)
Kernel
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spôsobiť odopretie služby
Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2023-28185: Pan ZhenPeng (STAR Labs SG Pte. Ltd.
Dátum pridania záznamu: 21. decembra 2023
libpthread
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením kontrol.
CVE-2023-41075: Zweig (Kunlun Lab)
Dátum pridania záznamu: 21. decembra 2023
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná zobraziť si citlivé informácie
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-28189: Mickey Jin (@patch1t)
Dátum pridania záznamu: 8. júna 2023
Messages
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený používaním ďalších obmedzení sandboxu.
CVE-2023-28197: Joshua Jones
Dátum pridania záznamu: 21. decembra 2023
Model I/O
Dostupné pre: macOS Monterey
Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2023-27949: Mickey Jin (@patch1t)
NetworkExtension
Dostupné pre: macOS Monterey
Dopad: Používateľ s oprávneniami v sieti môže byť schopný predstierať server VPN nakonfigurovaný v zariadení len s autentifikáciou EAP
Popis: Tento problém bol vyriešený vylepšením overovania.
CVE-2023-28182: Zhuowei Zhang
PackageKit
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
CVE-2023-23538: Mickey Jin (@patch1t)
CVE-2023-27962: Mickey Jin (@patch1t)
Podcasts
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-27942: Mickey Jin (@patch1t)
Sandbox
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
CVE-2023-23533: Mickey Jin (@patch1t), Koh M. Nakagawa (FFRI Security, Inc.) a Csaba Fitzl (@theevilbit, Offensive Security)
Sandbox
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná obísť nastavenia súkromia
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.
CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)
Shortcuts
Dostupné pre: macOS Monterey
Dopad: Skratka môže byť schopná používať pre určité akcie citlivé údaje bez zobrazenia výzvy pre používateľa
Popis: Tento problém bol vyriešený pridaním ďalších kontrol povolení.
CVE-2023-27963: Jubaer Alnazi Jabin (TRS Group Of Companies) a Wenchao Li a Xiaolong Bai (Alibaba Group)
System Settings
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2023-23542: Adam M.
Dátum aktualizovania záznamu: 21. decembra 2023
System Settings
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený vylepšením overovania.
CVE-2023-28192: Guilherme Rambo (Best Buddy Apps, rambo.codes)
Vim
Dostupné pre: macOS Monterey
Dopad: Viacero problémov týkajúcich sa softvéru Vim
Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizáciou súčasti Vim na verziu 9.0.1191.
CVE-2023-0433
CVE-2023-0512
XPC
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu
Popis: Tento problém bol vyriešený novými oprávneniami.
CVE-2023-27944: Mickey Jin (@patch1t)
Ďalšie poďakovanie
Activation Lock
Poďakovanie za pomoc si zaslúži Christian Mina.
CoreServices
Poďakovanie za pomoc si zaslúži Mickey Jin (@patch1t).
NSOpenPanel
Poďakovanie za pomoc si zaslúži Alexandre Colucci (@timacfr).
Wi-Fi
Poďakovanie za pomoc si zaslúži anonymný výskumník.
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.