Obsah zabezpečenia v systéme macOS Monterey 12.6.8
V tomto dokumente sa opisuje obsah zabezpečenia v systéme macOS Monterey 12.6.8.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke s vydaniami zabezpečenia Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
macOS Monterey 12.6.8
Dátum vydania: 24. júla 2023
Accessibility
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2023-40442: Nick Brook
Dátum pridania záznamu: 8. septembra 2023
Apple Neural Engine
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-34425: pattern-f (@pattern_F_, Ant Security Light-Year Lab)
Dátum pridania záznamu: 27. júla 2023
AppSandbox
Dostupné pre: macOS Monterey
Dopad: Proces sandboxu môže byť schopný obísť obmedzenia sandboxu
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2023-32364: Gergely Kalman (@gergely_kalman)
Dátum pridania záznamu: 27. júla 2023
Assets
Dostupné pre: macOS Monterey
Dosah: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Tento problém bol vyriešený vylepšením ochrany dát.
CVE-2023-35983: Mickey Jin (@patch1t)
CFNetwork
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2023-40392: Wojciech Regula z tímu SecuRing (wojciechregula.blog)
Dátum pridania záznamu: 8. septembra 2023
CUPS
Dostupné pre: macOS Monterey
Dopad: Používateľ s oprávneniami v sieti môže byť schopný spôsobiť únik citlivých informácií
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-34241: Sei K.
Dátum pridania záznamu: 27. júla 2023
curl
Dostupné pre: macOS Monterey
Dopad: Viacero problémov v súčasti curl
Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizáciou súčasti curl.
CVE-2023-28319
CVE-2023-28320
CVE-2023-28321
CVE-2023-28322
Find My
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2023-32416: Wojciech Regula z tímu SecuRing (wojciechregula.blog)
FontParser
Dostupné pre: macOS Monterey
Dopad: Spracovanie súboru písma môže viesť k spusteniu ľubovoľného kódu. Spoločnosť Apple si je vedomá správy o tom, že tento problém mohol byť aktívne zneužívaný vo verziách systému iOS vydaných pred verziou iOS 15.7.1.
Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.
CVE-2023-41990: Apple, Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) a Boris Larin (@oct0xor) zo spoločnosti Kaspersky
Dátum pridania záznamu: 8. septembra 2023
Grapher
Dostupné pre: macOS Monterey
Dopad: Spracovanie súboru môže viesť k neočakávanému ukončeniu apky alebo k spusteniu ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-36854: Bool z tímu YunShangHuaAn(云上华安)
CVE-2023-32418: Bool z tímu YunShangHuaAn(云上华安)
Kernel
Dostupné pre: macOS Monterey
Dosah: Vzdialený používateľ môže byť schopný spôsobiť odopretie služby
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-38603: Zweig z tímu Kunlun Lab
Dátum pridania záznamu: 27. júla 2023
Kernel
Dostupné pre: macOS Monterey
Dopad: Vzdialený používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-38590: Zweig (Kunlun Lab)
Dátum pridania záznamu: 27. júla 2023
Kernel
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2023-38598: Mohamed GHANNAM (@_simo36)
Dátum pridania záznamu: 27. júla 2023
Kernel
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2023-36495: 香农的三蹦子 (Pangu Lab)
Dátum pridania záznamu: 27. júla 2023
Kernel
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2023-37285: Arsenii Kostromin (0x3c3e)
Dátum pridania záznamu: 27. júla 2023
Kernel
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2023-38604: Anonymný výskumník
Dátum pridania záznamu: 27. júla 2023
Kernel
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2023-32381: Anonymný výskumník
CVE-2023-32433: Zweig (Kunlun Lab)
CVE-2023-35993: Kaitao Xie a Xiaolong Bai (Alibaba Group)
Kernel
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná upravovať citlivé informácie o stave jadra. Spoločnosť Apple si je vedomá správy o tom, že tento problém mohol byť aktívne zneužívaný vo verziách systému iOS vydaných pred verziou iOS 15.7.1.
Popis: Tento problém bol vyriešený vylepšením správy stavu.
CVE-2023-38606: Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_), a Boris Larin (@oct0xor) zo spoločnosti Kaspersky
Kernel
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14) z tímu STAR Labs SG Pte. Ltd.
Kernel
Dostupné pre: macOS Monterey
Dosah: Vzdialený používateľ môže byť schopný spôsobiť odopretie služby
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-38603: Zweig z tímu Kunlun Lab
Dátum pridania záznamu: 22. decembra 2023
libxpc
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná získať oprávnenia používateľa root
Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením overovania.
CVE-2023-38565: Zhipeng Huo (@R3dF09) z tímu Tencent Security Xuanwu Lab (xlab.tencent.com)
libxpc
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spôsobiť odopretie služby
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
CVE-2023-38593: Noah Roskin-Frazee
Dostupné pre: macOS Monterey
Dopad: E-mail so šifrovaním S/MIME sa môže neúmyselne odoslať nešifrovaný
Popis: Tento problém bol vyriešený vylepšením správy stavu e-mailov so šifrovaním S/MIME.
CVE-2023-40440: Taavi Eomäe z tímu Zone Media OÜ
Dátum pridania záznamu: 8. septembra 2023
Music
Dostupné pre: macOS Monterey
Dosah: Apka môže byť schopná obísť nastavenia súkromia
Popis: Tento problém bol vyriešený vylepšením overovania symbolických odkazov.
CVE-2023-38571: Gergely Kalman (@gergely_kalman)
Dátum pridania záznamu: 27. júla 2023
Model I/O
Dostupné pre: macOS Monterey
Dopad: Spracovanie 3D modelu môže mať za následok odhalenie operačnej pamäte
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-38421: Mickey Jin (@patch1t) a Michael DePlante (@izobashi) z tímu Zero Day Initiative spoločnosti Trend Micro
CVE-2023-38258: Mickey Jin (@patch1t)
Dátum aktualizovania záznamu: 27. júla 2023
Model I/O
Dostupné pre: macOS Monterey
Dopad: Spracovanie obrázka môže mať za následok odhalenie operačnej pamäte
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-1916
Dátum pridania záznamu: 22. decembra 2023
ncurses
Dostupné pre: macOS Monterey
Dosah: Apka môže spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2023-29491: Jonathan Bar Or (Microsoft), Emanuele Cozzi (Microsoft) a Michael Pearse (Microsoft)
Dátum pridania záznamu: 8. septembra 2023
Net-SNMP
Dostupné pre: macOS Monterey
Dosah: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2023-38601: Csaba Fitzl (@theevilbit, Offensive Security)
Dátum pridania záznamu: 27. júla 2023
NSSpellChecker
Dostupné pre: macOS Monterey
Dopad: Proces sandboxu môže byť schopný obísť obmedzenia sandboxu
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.
CVE-2023-32444: Mickey Jin (@patch1t)
Dátum pridania záznamu: 27. júla 2023
OpenLDAP
Dostupné pre: macOS Monterey
Dosah: Vzdialený používateľ môže byť schopný spôsobiť odopretie služby
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-2953: Sandipan Roy
OpenSSH
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná získať prístup k heslám SSH
Popis: Problém bol vyriešený dodatočnými obmedzeniami pozorovateľnosti stavov apiek.
CVE-2023-42829: James Duffy (mangoSecure)
Dátum pridania záznamu: 22. decembra 2023
PackageKit
Dostupné pre: macOS Monterey
Dosah: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2023-38259: Mickey Jin (@patch1t)
PackageKit
Dostupné pre: macOS Monterey
Dosah: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.
CVE-2023-38602: Arsenii Kostromin (0x3c3e)
Security
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná identifikovať používateľa
Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2023-42831: James Duffy (mangoSecure)
Dátum pridania záznamu: 22. decembra 2023
Shortcuts
Dostupné pre: macOS Monterey
Dopad: Skratka môže byť schopná upravovať citlivé nastavenia apky Skratky
Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený vylepšením obmedzení prístupu.
CVE-2023-32442: Anonymný výskumník
sips
Dostupné pre: macOS Monterey
Dopad: Spracovanie súboru môže viesť k odopretiu služby alebo k potenciálnemu odhaleniu obsahu pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2023-32443: David Hoyt z tímu Hoyt LLC
Software Update
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná získať oprávnenia používateľa root
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením spracovania stavu.
CVE-2023-42832: Arsenii Kostromin (0x3c3e)
Dátum pridania záznamu: 22. decembra 2023
SQLite
Dostupné pre: macOS Monterey
Dosah: Apka môže byť schopná obísť nastavenia súkromia
Popis: Tento problém bol vyriešený pridaním ďalších obmedzení protokolovania SQLite.
CVE-2023-32422: Gergely Kalman (@gergely_kalman) a Wojciech Regula z tímu SecuRing (wojciechregula.blog)
Dátum pridania záznamu: 8. septembra 2023
SystemMigration
Dostupné pre: macOS Monterey
Dosah: Apka môže byť schopná obísť nastavenia súkromia
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-32429: Wenchao Li a Xiaolong Bai zo spoločnosti Hangzhou Orange Shield Information Technology Co., Ltd.
Dátum pridania záznamu: 27. júla 2023
tcpdump
Dostupné pre: macOS Monterey
Dopad: Útočník s oprávneniami v sieti môže byť schopný spustiť ľubovoľný kód
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2023-1801
Dátum pridania záznamu: 22. decembra 2023
Vim
Dostupné pre: macOS Monterey
Dosah: Viacero problémov týkajúcich sa softvéru Vim
Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizáciou softvéru Vim.
CVE-2023-2426
CVE-2023-2609
CVE-2023-2610
Dátum pridania záznamu: 22. decembra 2023
Weather
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná určiť aktuálnu polohu používateľa
Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.
CVE-2023-38605: Adam M.
Dátum pridania záznamu: 8. septembra 2023
Ďalšie poďakovanie
Poďakovanie za pomoc si zaslúži Parvez Anwar.
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.