Obsah zabezpečenia v systéme macOS Monterey 12.7.2
V tomto dokumente sa opisuje obsah zabezpečenia v systéme macOS Monterey 12.7.2.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke s vydaniami zabezpečenia Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
macOS Monterey 12.7.2
Dátum vydania: 11. decembra 2023
Accounts
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam
Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2023-42919: Kirin (@Pwnrin)
AppleEvents
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná získať prístup k informáciám o používateľských kontaktoch
Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.
CVE-2023-42894: Noah Roskin-Frazee a Prof. J. (ZeroClicks.ai Lab)
Assets
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Problém bol vyriešený vylepšením spracovania dočasných súborov.
CVE-2023-42896: Mickey Jin (@patch1t)
Dátum pridania záznamu: 22. marca 2024
CoreServices
Dostupné pre: macOS Monterey
Dopad: Používateľ môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2023-42886: Koh M. Nakagawa (@tsunek0h)
DiskArbitration
Dostupné pre: macOS Monterey
Dopad: Proces môže získať oprávnenia správcu bez riadnej autentifikácie
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-42931: Yann GASCUEL (Alter Solutions)
Dátum pridania záznamu: 22. marca 2024
Emoji
Dostupné pre: macOS Monterey
Dopad: Útočník môže byť schopný spustiť ľubovoľný kód s oprávneniami používateľa root zo zamknutej obrazovky
Popis: Tento problém bol vyriešený obmedzením možností, ktoré sú dostupné v zamknutom zariadení.
CVE-2023-41989: Jewel Lambert
Dátum pridania záznamu: 16. júla 2024
FileURL
Dostupné pre: macOS Monterey
Dopad: Lokálny útočník môže byť schopný zvýšiť úroveň svojich oprávnení
Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2023-42892: Anthony Cruz (App Tyrant Corp)
Dátum pridania záznamu: 22. marca 2024
Find My
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.
CVE-2023-42922: Wojciech Regula z tímu SecuRing (wojciechregula.blog)
Find My
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam
Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením spracovania súborov.
CVE-2023-42834: Csaba Fitzl (@theevilbit, Offensive Security)
Dátum pridania záznamu: 16. februára 2024
ImageIO
Dostupné pre: macOS Monterey
Dopad: Spracovanie obrázka môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-42899: Meysam Firouzi @R00tkitSMM a Junsung Lee
IOKit
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná monitorovať stlačené klávesy bez používateľského povolenia
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-42891: Anonymný výskumník
IOUSBDeviceFamily
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením spracovania stavu.
CVE-2023-42974: Pan ZhenPeng (@Peterpan0927) z tímu STAR Labs SG Pte. Ltd.
Dátum pridania záznamu: 22. marca 2024
Kernel
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) zo spoločnosti Synacktiv (@Synacktiv)
Libsystem
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná získať prístup k chráneným používateľským dátam
Popis: Problém s povoleniami sa vyriešil odstránením nedostatočne zabezpečeného kódu a pridaním ďalších kontrol.
CVE-2023-42893
Dátum pridania záznamu: 22. marca 2024
Model I/O
Dostupné pre: macOS Monterey
Dopad: Spracovanie obrázka môže viesť k odopretiu služby
Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2023-3618
Dátum pridania záznamu: 22. marca 2024
ncurses
Dostupné pre: macOS Monterey
Dopad: Vzdialený používateľ môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2020-19185
CVE-2020-19186
CVE-2020-19187
CVE-2020-19188
CVE-2020-19189
CVE-2020-19190
quarantine
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spustiť ľubovoľný kód mimo svojho sandboxu alebo s určitými oprávneniami vyššej úrovne
Popis: Problém s prístupom bol vyriešený vylepšením sandboxu.
CVE-2023-42838: Yiğit Can YILMAZ (@yilmazcanyigit) a Csaba Fitzl (@theevilbit) z tímu Offensive Security
Dátum pridania záznamu: 16. februára 2024
Sandbox
Dostupné pre: macOS Monterey
Dopad: Útočník môže získať prístup k prepojeným sieťovým oddielom pripojeným v rámci domovského adresára
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
CVE-2023-42836: Yiğit Can YILMAZ (@yilmazcanyigit)
Dátum pridania záznamu: 16. februára 2024
Sandbox
Dostupné pre: macOS Monterey
Dosah: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.
CVE-2023-42936: Csaba Fitzl (@theevilbit) z tímu OffSec
Dátum pridania záznamu: 22. marca 2024, dátum aktualizácie: 16. júla 2024
Shell
Dostupné pre: macOS Monterey
Dosah: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-42930: Arsenii Kostromin (0x3c3e)
Dátum pridania záznamu: 22. marca 2024
TCC
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná získať prístup k chráneným používateľským dátam
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
CVE-2023-42932: Zhongquan Li (@Guluisacat)
TCC
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu
Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením overovania.
CVE-2023-42947: Zhongquan Li (@Guluisacat) z tímu Dawn Security Lab spoločnosti JingDong
Dátum pridania záznamu: 22. marca 2024
Vim
Dostupné pre: macOS Monterey
Dopad: Otvorenie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo spusteniu ľubovoľného kódu
Popis: Tento problém bol vyriešený aktualizovaním súčasti Vim na verziu 9.0.1969.
CVE-2023-5344
Ďalšie poďakovanie
Preview
Poďakovanie za pomoc si zaslúži Akshay Nagpal.
Dátum pridania záznamu: 16. februára 2024
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.