Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
macOS Monterey 12.6.4
Dátum vydania: 27. marca 2023
Apple Neural Engine
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-23540: Mohamed GHANNAM (@_simo36)
AppleMobileFileIntegrity
Dostupné pre: macOS Monterey
Dopad: Používateľ môže získať prístup do chránených častí súborového systému
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-23527: Mickey Jin (@patch1t)
Archive Utility
Dostupné pre: macOS Monterey
Dopad: Archív môže byť schopný obísť funkciu Gatekeeper
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-27951: Brandon Dalton (@partyD0lphin, Red Canary) a Csaba Fitzl (@theevilbit, Offensive Security)
Dátum aktualizovania záznamu: 8. júna 2023
Calendar
Dostupné pre: macOS Monterey
Dopad: Importovanie pozvánky so škodlivým kódom do kalendára môže viesť k exfiltrácii informácií o používateľovi
Popis: Dochádzalo k viacerým problémom s overovaním, ktoré boli vyriešené vylepšením čistenia vstupu.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
ColorSync
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná čítať ľubovoľné súbory
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-27955: JeongOhKyea
CommCenter
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo zapisovať do pamäte jadra
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2023-27936: Tingting Yin (Univerzita Čching-chua)
CoreCapture
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-28181: Tingting Yin (Univerzita Čching-chua)
Dátum pridania záznamu: 8. júna 2023
dcerpc
Dostupné pre: macOS Monterey
Dopad: Vzdialený používateľ môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.
CVE-2023-27935: Aleksandar Nikolic (Cisco Talos)
dcerpc
Dostupné pre: macOS Monterey
Dopad: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Bol vyriešený problém s inicializáciou pamäte.
CVE-2023-27934: Aleksandar Nikolic (Cisco Talos)
Dátum pridania záznamu: 8. júna 2023
dcerpc
Dostupné pre: macOS Monterey
Dopad: Vzdialený používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-27953: Aleksandar Nikolic (Cisco Talos)
CVE-2023-27958: Aleksandar Nikolic (Cisco Talos)
Find My
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2023-23537: Adam M.
Dátum pridania záznamu: 21. decembra 2023
FontParser
Dostupné pre: macOS Monterey
Dopad: Spracovanie súboru písma môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2023-32366: Ye Zhang (@VAR10CK) z tímu Baidu Security
Dátum pridania záznamu: 21. decembra 2023
Foundation
Dostupné pre: macOS Monterey
Dopad: Analýza súboru plist so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2023-27937: Anonymný výskumník
ImageIO
Dostupné pre: macOS Monterey
Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2023-27946: Mickey Jin (@patch1t)
IOAcceleratorFamily
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2023-32378: Murray Mike
Dátum pridania záznamu: 21. decembra 2023
Kernel
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná odhaliť obsah pamäte jadra
Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý viedol k odhaleniu pamäte jadra. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2023-27941: Arsenii Kostromin (0x3c3e)
CVE-2023-28199: Arsenii Kostromin (0x3c3e)
Dátum pridania záznamu: 8. júna 2023, dátum aktualizovania: 21. decembra 2023
Kernel
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.
CVE-2023-23536: Félix Poulin-Bélanger a David Pan Ogea
Dátum pridania záznamu: 8. júna 2023, dátum aktualizovania: 21. decembra 2023
Kernel
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2023-23514: Xinru Chi (Pangu Lab) a Ned Williamson (Google Project Zero)
Kernel
Dostupné pre: macOS Monterey
Dosah: Apka s oprávneniami používateľa root môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-27933: sqrtpwn
Kernel
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná odhaliť obsah pamäte jadra
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.
CVE-2023-28200: Arsenii Kostromin (0x3c3e)
Kernel
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spôsobiť odopretie služby
Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2023-28185: Pan ZhenPeng (STAR Labs SG Pte. Ltd.
Dátum pridania záznamu: 21. decembra 2023
libpthread
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením kontrol.
CVE-2023-41075: Zweig (Kunlun Lab)
Dátum pridania záznamu: 21. decembra 2023
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná zobraziť si citlivé informácie
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-28189: Mickey Jin (@patch1t)
Dátum pridania záznamu: 8. júna 2023
Messages
Dostupné pre: macOS Monterey
Dosah: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený používaním ďalších obmedzení sandboxu.
CVE-2023-28197: Joshua Jones
Dátum pridania záznamu: 21. decembra 2023
Model I/O
Dostupné pre: macOS Monterey
Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2023-27949: Mickey Jin (@patch1t)
NetworkExtension
Dostupné pre: macOS Monterey
Dopad: Používateľ s oprávneniami v sieti môže byť schopný predstierať server VPN nakonfigurovaný v zariadení len s autentifikáciou EAP
Popis: Tento problém bol vyriešený vylepšením overovania.
CVE-2023-28182: Zhuowei Zhang
PackageKit
Dostupné pre: macOS Monterey
Dosah: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
CVE-2023-23538: Mickey Jin (@patch1t)
CVE-2023-27962: Mickey Jin (@patch1t)
Podcasts
Dostupné pre: macOS Monterey
Dosah: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-27942: Mickey Jin (@patch1t)
Sandbox
Dostupné pre: macOS Monterey
Dosah: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
CVE-2023-23533: Mickey Jin (@patch1t), Koh M. Nakagawa (FFRI Security, Inc.) a Csaba Fitzl (@theevilbit, Offensive Security)
Sandbox
Dostupné pre: macOS Monterey
Dosah: Apka môže byť schopná obísť nastavenia súkromia
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.
CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)
Shortcuts
Dostupné pre: macOS Monterey
Dopad: Skratka môže byť schopná používať pre určité akcie citlivé údaje bez zobrazenia výzvy pre používateľa
Popis: Tento problém bol vyriešený pridaním ďalších kontrol povolení.
CVE-2023-27963: Jubaer Alnazi Jabin (TRS Group Of Companies) a Wenchao Li a Xiaolong Bai (Alibaba Group)
System Settings
Dostupné pre: macOS Monterey
Dosah: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2023-23542: Adam M.
Dátum aktualizovania záznamu: 21. decembra 2023
System Settings
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený vylepšením overovania.
CVE-2023-28192: Guilherme Rambo (Best Buddy Apps, rambo.codes)
Vim
Dostupné pre: macOS Monterey
Dosah: Viacero problémov týkajúcich sa softvéru Vim
Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizáciou súčasti Vim na verziu 9.0.1191.
CVE-2023-0433
CVE-2023-0512
XPC
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu
Popis: Tento problém bol vyriešený novými oprávneniami.
CVE-2023-27944: Mickey Jin (@patch1t)
Ďalšie poďakovanie
Activation Lock
Poďakovanie za pomoc si zaslúži Christian Mina.
AppleMobileFileIntegrity
Poďakovanie za pomoc si zaslúži Wojciech Reguła (@_r3ggi, wojciechregula.blog) zo spoločnosti SecuRing.
CoreServices
Poďakovanie za pomoc si zaslúži Mickey Jin (@patch1t).
NSOpenPanel
Poďakovanie za pomoc si zaslúži Alexandre Colucci (@timacfr).
Wi-Fi
Poďakovanie za pomoc si zaslúži anonymný výskumník.