Obsah zabezpečenia v systéme macOS Monterey 12.6.8

V tomto dokumente sa opisuje obsah zabezpečenia v systéme macOS Monterey 12.6.8.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke s vydaniami zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.

macOS Monterey 12.6.8

Dátum vydania: 24. júla 2023

Accessibility

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná čítať citlivé informácie o polohe

Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.

CVE-2023-40442: Nick Brook

Dátum pridania záznamu: 8. septembra 2023

Apple Neural Engine

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2023-34425: pattern-f (@pattern_F_, Ant Security Light-Year Lab)

Dátum pridania záznamu: 27. júla 2023

AppSandbox

Dostupné pre: macOS Monterey

Dopad: Proces sandboxu môže byť schopný obísť obmedzenia sandboxu

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2023-32364: Gergely Kalman (@gergely_kalman)

Dátum pridania záznamu: 27. júla 2023

Assets

Dostupné pre: macOS Monterey

Dosah: Apka môže byť schopná upravovať chránené časti súborového systému

Popis: Tento problém bol vyriešený vylepšením ochrany dát.

CVE-2023-35983: Mickey Jin (@patch1t)

CFNetwork

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná čítať citlivé informácie o polohe

Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.

CVE-2023-40392: Wojciech Regula z tímu SecuRing (wojciechregula.blog)

Dátum pridania záznamu: 8. septembra 2023

CUPS

Dostupné pre: macOS Monterey

Dopad: Používateľ s oprávneniami v sieti môže byť schopný spôsobiť únik citlivých informácií

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2023-34241: Sei K.

Dátum pridania záznamu: 27. júla 2023

curl

Dostupné pre: macOS Monterey

Dopad: Viacero problémov v súčasti curl

Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizáciou súčasti curl.

CVE-2023-28319

CVE-2023-28320

CVE-2023-28321

CVE-2023-28322

Find My

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná čítať citlivé informácie o polohe

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2023-32416: Wojciech Regula z tímu SecuRing (wojciechregula.blog)

FontParser

Dostupné pre: macOS Monterey

Dopad: Spracovanie súboru písma môže viesť k spusteniu ľubovoľného kódu. Spoločnosť Apple si je vedomá správy o tom, že tento problém mohol byť aktívne zneužívaný vo verziách systému iOS vydaných pred verziou iOS 15.7.1.

Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.

CVE-2023-41990: Apple, Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) a Boris Larin (@oct0xor) zo spoločnosti Kaspersky

Dátum pridania záznamu: 8. septembra 2023

Grapher

Dostupné pre: macOS Monterey

Dopad: Spracovanie súboru môže viesť k neočakávanému ukončeniu apky alebo k spusteniu ľubovoľného kódu

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2023-36854: Bool z tímu YunShangHuaAn(云上华安)

CVE-2023-32418: Bool z tímu YunShangHuaAn(云上华安)

Kernel

Dostupné pre: macOS Monterey

Dosah: Vzdialený používateľ môže byť schopný spôsobiť odopretie služby

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2023-38603: Zweig z tímu Kunlun Lab

Dátum pridania záznamu: 27. júla 2023

Kernel

Dostupné pre: macOS Monterey

Dopad: Vzdialený používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2023-38590: Zweig (Kunlun Lab)

Dátum pridania záznamu: 27. júla 2023

Kernel

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2023-38598: Mohamed GHANNAM (@_simo36)

Dátum pridania záznamu: 27. júla 2023

Kernel

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2023-36495: 香农的三蹦子 (Pangu Lab)

Dátum pridania záznamu: 27. júla 2023

Kernel

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2023-37285: Arsenii Kostromin (0x3c3e)

Dátum pridania záznamu: 27. júla 2023

Kernel

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2023-38604: Anonymný výskumník

Dátum pridania záznamu: 27. júla 2023

Kernel

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2023-32381: Anonymný výskumník

CVE-2023-32433: Zweig (Kunlun Lab)

CVE-2023-35993: Kaitao Xie a Xiaolong Bai (Alibaba Group)

Kernel

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná upravovať citlivé informácie o stave jadra. Spoločnosť Apple si je vedomá správy o tom, že tento problém mohol byť aktívne zneužívaný vo verziách systému iOS vydaných pred verziou iOS 15.7.1.

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2023-38606: Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_), a Boris Larin (@oct0xor) zo spoločnosti Kaspersky

Kernel

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14) z tímu STAR Labs SG Pte. Ltd.

Kernel

Dostupné pre: macOS Monterey

Dosah: Vzdialený používateľ môže byť schopný spôsobiť odopretie služby

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2023-38603: Zweig z tímu Kunlun Lab

Dátum pridania záznamu: 22. decembra 2023

libxpc

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná získať oprávnenia používateľa root

Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením overovania.

CVE-2023-38565: Zhipeng Huo (@R3dF09) z tímu Tencent Security Xuanwu Lab (xlab.tencent.com)

libxpc

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná spôsobiť odopretie služby

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2023-38593: Noah Roskin-Frazee

Mail

Dostupné pre: macOS Monterey

Dopad: E-mail so šifrovaním S/MIME sa môže neúmyselne odoslať nešifrovaný

Popis: Tento problém bol vyriešený vylepšením správy stavu e-mailov so šifrovaním S/MIME.

CVE-2023-40440: Taavi Eomäe z tímu Zone Media OÜ

Dátum pridania záznamu: 8. septembra 2023

Music

Dostupné pre: macOS Monterey

Dosah: Apka môže byť schopná obísť nastavenia súkromia

Popis: Tento problém bol vyriešený vylepšením overovania symbolických odkazov.

CVE-2023-38571: Gergely Kalman (@gergely_kalman)

Dátum pridania záznamu: 27. júla 2023

Model I/O

Dostupné pre: macOS Monterey

Dopad: Spracovanie 3D modelu môže mať za následok odhalenie operačnej pamäte

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2023-38421: Mickey Jin (@patch1t) a Michael DePlante (@izobashi) z tímu Zero Day Initiative spoločnosti Trend Micro

CVE-2023-38258: Mickey Jin (@patch1t)

Dátum aktualizovania záznamu: 27. júla 2023

Model I/O

Dostupné pre: macOS Monterey

Dopad: Spracovanie obrázka môže mať za následok odhalenie operačnej pamäte

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2023-1916

Dátum pridania záznamu: 22. decembra 2023

ncurses

Dostupné pre: macOS Monterey

Dosah: Apka môže spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.

CVE-2023-29491: Jonathan Bar Or (Microsoft), Emanuele Cozzi (Microsoft) a Michael Pearse (Microsoft)

Dátum pridania záznamu: 8. septembra 2023

Net-SNMP

Dostupné pre: macOS Monterey

Dosah: Apka môže byť schopná upravovať chránené časti súborového systému

Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2023-38601: Csaba Fitzl (@theevilbit, Offensive Security)

Dátum pridania záznamu: 27. júla 2023

NSSpellChecker

Dostupné pre: macOS Monterey

Dopad: Proces sandboxu môže byť schopný obísť obmedzenia sandboxu

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.

CVE-2023-32444: Mickey Jin (@patch1t)

Dátum pridania záznamu: 27. júla 2023

OpenLDAP

Dostupné pre: macOS Monterey

Dosah: Vzdialený používateľ môže byť schopný spôsobiť odopretie služby

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2023-2953: Sandipan Roy

OpenSSH

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná získať prístup k heslám SSH

Popis: Problém bol vyriešený dodatočnými obmedzeniami pozorovateľnosti stavov apiek.

CVE-2023-42829: James Duffy (mangoSecure)

Dátum pridania záznamu: 22. decembra 2023

PackageKit

Dostupné pre: macOS Monterey

Dosah: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2023-38259: Mickey Jin (@patch1t)

PackageKit

Dostupné pre: macOS Monterey

Dosah: Apka môže byť schopná upravovať chránené časti súborového systému

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2023-38602: Arsenii Kostromin (0x3c3e)

Security

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná identifikovať používateľa

Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2023-42831: James Duffy (mangoSecure)

Dátum pridania záznamu: 22. decembra 2023

Shortcuts

Dostupné pre: macOS Monterey

Dopad: Skratka môže byť schopná upravovať citlivé nastavenia apky Skratky

Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený vylepšením obmedzení prístupu.

CVE-2023-32442: Anonymný výskumník

sips

Dostupné pre: macOS Monterey

Dopad: Spracovanie súboru môže viesť k odopretiu služby alebo k potenciálnemu odhaleniu obsahu pamäte

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2023-32443: David Hoyt z tímu Hoyt LLC

Software Update

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná získať oprávnenia používateľa root

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením spracovania stavu.

CVE-2023-42832: Arsenii Kostromin (0x3c3e)

Dátum pridania záznamu: 22. decembra 2023

SQLite

Dostupné pre: macOS Monterey

Dosah: Apka môže byť schopná obísť nastavenia súkromia

Popis: Tento problém bol vyriešený pridaním ďalších obmedzení protokolovania SQLite.

CVE-2023-32422: Gergely Kalman (@gergely_kalman) a Wojciech Regula z tímu SecuRing (wojciechregula.blog)

Dátum pridania záznamu: 8. septembra 2023

SystemMigration

Dostupné pre: macOS Monterey

Dosah: Apka môže byť schopná obísť nastavenia súkromia

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2023-32429: Wenchao Li a Xiaolong Bai zo spoločnosti Hangzhou Orange Shield Information Technology Co., Ltd.

Dátum pridania záznamu: 27. júla 2023

tcpdump

Dostupné pre: macOS Monterey

Dopad: Útočník s oprávneniami v sieti môže byť schopný spustiť ľubovoľný kód

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2023-1801

Dátum pridania záznamu: 22. decembra 2023

Vim

Dostupné pre: macOS Monterey

Dosah: Viacero problémov týkajúcich sa softvéru Vim

Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizáciou softvéru Vim.

CVE-2023-2426

CVE-2023-2609

CVE-2023-2610

Dátum pridania záznamu: 22. decembra 2023

Weather

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná určiť aktuálnu polohu používateľa

Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.

CVE-2023-38605: Adam M.

Dátum pridania záznamu: 8. septembra 2023

Ďalšie poďakovanie

Mail

Poďakovanie za pomoc si zaslúži Parvez Anwar.

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.

Dátum zverejnenia: