Obsah zabezpečenia v systéme macOS Monterey 12.7.2

V tomto dokumente sa opisuje obsah zabezpečenia v systéme macOS Monterey 12.7.2.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke s vydaniami zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.

macOS Monterey 12.7.2

Dátum vydania: 11. decembra 2023

Accounts

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.

CVE-2023-42919: Kirin (@Pwnrin)

AppleEvents

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná získať prístup k informáciám o používateľských kontaktoch

Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.

CVE-2023-42894: Noah Roskin-Frazee a Prof. J. (ZeroClicks.ai Lab)

Assets

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná upravovať chránené časti súborového systému

Popis: Problém bol vyriešený vylepšením spracovania dočasných súborov.

CVE-2023-42896: Mickey Jin (@patch1t)

Dátum pridania záznamu: 22. marca 2024

CoreServices

Dostupné pre: macOS Monterey

Dopad: Používateľ môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2023-42886: Koh M. Nakagawa (@tsunek0h)

DiskArbitration

Dostupné pre: macOS Monterey

Dopad: Proces môže získať oprávnenia správcu bez riadnej autentifikácie

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2023-42931: Yann GASCUEL (Alter Solutions)

Dátum pridania záznamu: 22. marca 2024

Emoji

Dostupné pre: macOS Monterey

Dopad: Útočník môže byť schopný spustiť ľubovoľný kód s oprávneniami používateľa root zo zamknutej obrazovky

Popis: Tento problém bol vyriešený obmedzením možností, ktoré sú dostupné v zamknutom zariadení.

CVE-2023-41989: Jewel Lambert

Dátum pridania záznamu: 16. júla 2024

FileURL

Dostupné pre: macOS Monterey

Dopad: Lokálny útočník môže byť schopný zvýšiť úroveň svojich oprávnení

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2023-42892: Anthony Cruz (App Tyrant Corp)

Dátum pridania záznamu: 22. marca 2024

Find My

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná čítať citlivé informácie o polohe

Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.

CVE-2023-42922: Wojciech Regula z tímu SecuRing (wojciechregula.blog)

Find My

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením spracovania súborov.

CVE-2023-42834: Csaba Fitzl (@theevilbit, Offensive Security)

Dátum pridania záznamu: 16. februára 2024

ImageIO

Dostupné pre: macOS Monterey

Dopad: Spracovanie obrázka môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2023-42899: Meysam Firouzi @R00tkitSMM a Junsung Lee

IOKit

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná monitorovať stlačené klávesy bez používateľského povolenia

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením správy stavu.

CVE-2023-42891: Anonymný výskumník

IOUSBDeviceFamily

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením spracovania stavu.

CVE-2023-42974: Pan ZhenPeng (@Peterpan0927) z tímu STAR Labs SG Pte. Ltd.

Dátum pridania záznamu: 22. marca 2024

Kernel

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) zo spoločnosti Synacktiv (@Synacktiv)

Libsystem

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná získať prístup k chráneným používateľským dátam

Popis: Problém s povoleniami sa vyriešil odstránením nedostatočne zabezpečeného kódu a pridaním ďalších kontrol.

CVE-2023-42893

Dátum pridania záznamu: 22. marca 2024

Model I/O

Dostupné pre: macOS Monterey

Dopad: Spracovanie obrázka môže viesť k odopretiu služby

Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2023-3618

Dátum pridania záznamu: 22. marca 2024

ncurses

Dostupné pre: macOS Monterey

Dopad: Vzdialený používateľ môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2020-19185

CVE-2020-19186

CVE-2020-19187

CVE-2020-19188

CVE-2020-19189

CVE-2020-19190

quarantine

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná spustiť ľubovoľný kód mimo svojho sandboxu alebo s určitými oprávneniami vyššej úrovne

Popis: Problém s prístupom bol vyriešený vylepšením sandboxu.

CVE-2023-42838: Yiğit Can YILMAZ (@yilmazcanyigit) a Csaba Fitzl (@theevilbit) z tímu Offensive Security

Dátum pridania záznamu: 16. februára 2024

Sandbox

Dostupné pre: macOS Monterey

Dopad: Útočník môže získať prístup k prepojeným sieťovým oddielom pripojeným v rámci domovského adresára

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2023-42836: Yiğit Can YILMAZ (@yilmazcanyigit)

Dátum pridania záznamu: 16. februára 2024

Sandbox

Dostupné pre: macOS Monterey

Dosah: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.

CVE-2023-42936: Csaba Fitzl (@theevilbit) z tímu OffSec

Dátum pridania záznamu: 22. marca 2024, dátum aktualizácie: 16. júla 2024

Shell

Dostupné pre: macOS Monterey

Dosah: Apka môže byť schopná upravovať chránené časti súborového systému

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2023-42930: Arsenii Kostromin (0x3c3e)

Dátum pridania záznamu: 22. marca 2024

TCC

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná získať prístup k chráneným používateľským dátam

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2023-42932: Zhongquan Li (@Guluisacat)

TCC

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu

Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením overovania.

CVE-2023-42947: Zhongquan Li (@Guluisacat) z tímu Dawn Security Lab spoločnosti JingDong

Dátum pridania záznamu: 22. marca 2024

Vim

Dostupné pre: macOS Monterey

Dopad: Otvorenie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo spusteniu ľubovoľného kódu

Popis: Tento problém bol vyriešený aktualizovaním súčasti Vim na verziu 9.0.1969.

CVE-2023-5344

Ďalšie poďakovanie

Preview

Poďakovanie za pomoc si zaslúži Akshay Nagpal.

Dátum pridania záznamu: 16. februára 2024

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.

Dátum zverejnenia: