Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke s vydaniami zabezpečenia Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
macOS Monterey 12.6.8
Dátum vydania: 24. júla 2023
Accessibility
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2023-40442: Nick Brook
Dátum pridania záznamu: 8. septembra 2023
Apple Neural Engine
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-34425: pattern-f (@pattern_F_, Ant Security Light-Year Lab)
Dátum pridania záznamu: 27. júla 2023
AppSandbox
Dostupné pre: macOS Monterey
Dopad: Proces sandboxu môže byť schopný obísť obmedzenia sandboxu
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2023-32364: Gergely Kalman (@gergely_kalman)
Dátum pridania záznamu: 27. júla 2023
Assets
Dostupné pre: macOS Monterey
Dosah: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Tento problém bol vyriešený vylepšením ochrany dát.
CVE-2023-35983: Mickey Jin (@patch1t)
CFNetwork
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2023-40392: Wojciech Regula z tímu SecuRing (wojciechregula.blog)
Dátum pridania záznamu: 8. septembra 2023
CUPS
Dostupné pre: macOS Monterey
Dopad: Používateľ s oprávneniami v sieti môže byť schopný spôsobiť únik citlivých informácií
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-34241: Sei K.
Dátum pridania záznamu: 27. júla 2023
curl
Dostupné pre: macOS Monterey
Dopad: Viacero problémov v súčasti curl
Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizáciou súčasti curl.
CVE-2023-28319
CVE-2023-28320
CVE-2023-28321
CVE-2023-28322
Find My
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2023-32416: Wojciech Regula z tímu SecuRing (wojciechregula.blog)
FontParser
Dostupné pre: macOS Monterey
Dopad: Spracovanie súboru písma môže viesť k spusteniu ľubovoľného kódu. Spoločnosť Apple si je vedomá správy o tom, že tento problém mohol byť aktívne zneužívaný vo verziách systému iOS vydaných pred verziou iOS 15.7.1.
Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.
CVE-2023-41990: Apple, Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) a Boris Larin (@oct0xor) zo spoločnosti Kaspersky
Dátum pridania záznamu: 8. septembra 2023
Grapher
Dostupné pre: macOS Monterey
Dopad: Spracovanie súboru môže viesť k neočakávanému ukončeniu apky alebo k spusteniu ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-36854: Bool z tímu YunShangHuaAn(云上华安)
CVE-2023-32418: Bool z tímu YunShangHuaAn(云上华安)
Kernel
Dostupné pre: macOS Monterey
Dosah: Vzdialený používateľ môže byť schopný spôsobiť odopretie služby
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-38603: Zweig z tímu Kunlun Lab
Dátum pridania záznamu: 27. júla 2023
Kernel
Dostupné pre: macOS Monterey
Dopad: Vzdialený používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-38590: Zweig (Kunlun Lab)
Dátum pridania záznamu: 27. júla 2023
Kernel
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2023-38598: Mohamed GHANNAM (@_simo36)
Dátum pridania záznamu: 27. júla 2023
Kernel
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2023-36495: 香农的三蹦子 (Pangu Lab)
Dátum pridania záznamu: 27. júla 2023
Kernel
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2023-37285: Arsenii Kostromin (0x3c3e)
Dátum pridania záznamu: 27. júla 2023
Kernel
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2023-38604: Anonymný výskumník
Dátum pridania záznamu: 27. júla 2023
Kernel
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2023-32381: Anonymný výskumník
CVE-2023-32433: Zweig (Kunlun Lab)
CVE-2023-35993: Kaitao Xie a Xiaolong Bai (Alibaba Group)
Kernel
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná upravovať citlivé informácie o stave jadra. Spoločnosť Apple si je vedomá správy o tom, že tento problém mohol byť aktívne zneužívaný vo verziách systému iOS vydaných pred verziou iOS 15.7.1.
Popis: Tento problém bol vyriešený vylepšením správy stavu.
CVE-2023-38606: Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_), a Boris Larin (@oct0xor) zo spoločnosti Kaspersky
Kernel
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14) z tímu STAR Labs SG Pte. Ltd.
Kernel
Dostupné pre: macOS Monterey
Dosah: Vzdialený používateľ môže byť schopný spôsobiť odopretie služby
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-38603: Zweig z tímu Kunlun Lab
Dátum pridania záznamu: 22. decembra 2023
libxpc
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná získať oprávnenia používateľa root
Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením overovania.
CVE-2023-38565: Zhipeng Huo (@R3dF09) z tímu Tencent Security Xuanwu Lab (xlab.tencent.com)
libxpc
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spôsobiť odopretie služby
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
CVE-2023-38593: Noah Roskin-Frazee
Dostupné pre: macOS Monterey
Dopad: E-mail so šifrovaním S/MIME sa môže neúmyselne odoslať nešifrovaný
Popis: Tento problém bol vyriešený vylepšením správy stavu e-mailov so šifrovaním S/MIME.
CVE-2023-40440: Taavi Eomäe z tímu Zone Media OÜ
Dátum pridania záznamu: 8. septembra 2023
Music
Dostupné pre: macOS Monterey
Dosah: Apka môže byť schopná obísť nastavenia súkromia
Popis: Tento problém bol vyriešený vylepšením overovania symbolických odkazov.
CVE-2023-38571: Gergely Kalman (@gergely_kalman)
Dátum pridania záznamu: 27. júla 2023
Model I/O
Dostupné pre: macOS Monterey
Dopad: Spracovanie 3D modelu môže mať za následok odhalenie operačnej pamäte
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-38421: Mickey Jin (@patch1t) a Michael DePlante (@izobashi) z tímu Zero Day Initiative spoločnosti Trend Micro
CVE-2023-38258: Mickey Jin (@patch1t)
Dátum aktualizovania záznamu: 27. júla 2023
Model I/O
Dostupné pre: macOS Monterey
Dopad: Spracovanie obrázka môže mať za následok odhalenie operačnej pamäte
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-1916
Dátum pridania záznamu: 22. decembra 2023
ncurses
Dostupné pre: macOS Monterey
Dosah: Apka môže spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2023-29491: Jonathan Bar Or (Microsoft), Emanuele Cozzi (Microsoft) a Michael Pearse (Microsoft)
Dátum pridania záznamu: 8. septembra 2023
Net-SNMP
Dostupné pre: macOS Monterey
Dosah: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2023-38601: Csaba Fitzl (@theevilbit, Offensive Security)
Dátum pridania záznamu: 27. júla 2023
NSSpellChecker
Dostupné pre: macOS Monterey
Dopad: Proces sandboxu môže byť schopný obísť obmedzenia sandboxu
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.
CVE-2023-32444: Mickey Jin (@patch1t)
Dátum pridania záznamu: 27. júla 2023
OpenLDAP
Dostupné pre: macOS Monterey
Dosah: Vzdialený používateľ môže byť schopný spôsobiť odopretie služby
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-2953: Sandipan Roy
OpenSSH
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná získať prístup k heslám SSH
Popis: Problém bol vyriešený dodatočnými obmedzeniami pozorovateľnosti stavov apiek.
CVE-2023-42829: James Duffy (mangoSecure)
Dátum pridania záznamu: 22. decembra 2023
PackageKit
Dostupné pre: macOS Monterey
Dosah: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2023-38259: Mickey Jin (@patch1t)
PackageKit
Dostupné pre: macOS Monterey
Dosah: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.
CVE-2023-38602: Arsenii Kostromin (0x3c3e)
Security
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná identifikovať používateľa
Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2023-42831: James Duffy (mangoSecure)
Dátum pridania záznamu: 22. decembra 2023
Shortcuts
Dostupné pre: macOS Monterey
Dopad: Skratka môže byť schopná upravovať citlivé nastavenia apky Skratky
Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený vylepšením obmedzení prístupu.
CVE-2023-32442: Anonymný výskumník
sips
Dostupné pre: macOS Monterey
Dopad: Spracovanie súboru môže viesť k odopretiu služby alebo k potenciálnemu odhaleniu obsahu pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2023-32443: David Hoyt z tímu Hoyt LLC
Software Update
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná získať oprávnenia používateľa root
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením spracovania stavu.
CVE-2023-42832: Arsenii Kostromin (0x3c3e)
Dátum pridania záznamu: 22. decembra 2023
SQLite
Dostupné pre: macOS Monterey
Dosah: Apka môže byť schopná obísť nastavenia súkromia
Popis: Tento problém bol vyriešený pridaním ďalších obmedzení protokolovania SQLite.
CVE-2023-32422: Gergely Kalman (@gergely_kalman) a Wojciech Regula z tímu SecuRing (wojciechregula.blog)
Dátum pridania záznamu: 8. septembra 2023
SystemMigration
Dostupné pre: macOS Monterey
Dosah: Apka môže byť schopná obísť nastavenia súkromia
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-32429: Wenchao Li a Xiaolong Bai zo spoločnosti Hangzhou Orange Shield Information Technology Co., Ltd.
Dátum pridania záznamu: 27. júla 2023
tcpdump
Dostupné pre: macOS Monterey
Dopad: Útočník s oprávneniami v sieti môže byť schopný spustiť ľubovoľný kód
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2023-1801
Dátum pridania záznamu: 22. decembra 2023
Vim
Dostupné pre: macOS Monterey
Dosah: Viacero problémov týkajúcich sa softvéru Vim
Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizáciou softvéru Vim.
CVE-2023-2426
CVE-2023-2609
CVE-2023-2610
Dátum pridania záznamu: 22. decembra 2023
Weather
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná určiť aktuálnu polohu používateľa
Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.
CVE-2023-38605: Adam M.
Dátum pridania záznamu: 8. septembra 2023
Ďalšie poďakovanie
Poďakovanie za pomoc si zaslúži Parvez Anwar.