Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke s vydaniami zabezpečenia Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
macOS Monterey 12.7.1
Dátum vydania: 25. októbra 2023
Automation
Dostupné pre: macOS Monterey
Dopad: Apka s oprávneniami používateľa root môže byť schopná získať prístup k súkromným informáciám
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-42952: Zhipeng Huo (@R3dF09) z tímu Tencent Security Xuanwu Lab (xlab.tencent.com)
Dátum pridania záznamu: 16. februára 2024
CoreAnimation
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spôsobiť odopretie služby
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-40449: Tomi Tokics (@tomitokics) z tímu iTomsn0w
Core Recents
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Tento problém bol vyriešený vyčistením protokolovania.
CVE-2023-42823
Dátum pridania záznamu: 16. februára 2024
FileProvider
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spôsobiť odopretie služby klientom koncového zabezpečenia
Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2023-42854: Noah Roskin-Frazee a Prof. J. (ZeroClicks.ai Lab)
Find My
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.
CVE-2023-40413: Adam M.
Foundation
Dostupné pre: macOS Monterey
Dopad: Webová stránka môže byť schopná získať prístup k citlivým dátam používateľa pri prevodoch symbolických odkazov
Popis: Tento problém bol vyriešený vylepšením spracovania symbolických odkazov.
CVE-2023-42844: Ron Masas z tímu BreakPoint.SH
libc
Dostupné pre: macOS Monterey
Dopad: Spracovanie škodlivého vstupu môže mať za následok spustenie ľubovoľného kódu v apkách nainštalovaných používateľom
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-40446: inooo
Dátum pridania záznamu: 3. novembra 2023
ImageIO
Dostupné pre: macOS Monterey
Dopad: Spracovanie obrázka môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-40416: JZ
IOTextEncryptionFamily
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-40423: Anonymný výskumník
Kernel
Dostupné pre: macOS Monterey
Dopad: Útočník, ktorý už dosiahol spustenie kódu v režime jadra, môže byť schopný obísť bezpečnostné opatrenia v pamäti jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-42849: Linus Henze z tímu Pinauten GmbH (pinauten.de)
Model I/O
Dostupné pre: macOS Monterey
Dopad: Spracovanie súboru môže viesť k neočakávanému ukončeniu apky alebo k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-42856: Michael DePlante (@izobashi) z tímu Zero Day Initiative spoločnosti Trend Micro
PackageKit
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-42859: Arsenii Kostromin (0x3c3e), Mickey Jin (@patch1t) a Hevel Engineering
CVE-2023-42877: Arsenii Kostromin (0x3c3e)
Dátum pridania záznamu: 16. februára 2024
PackageKit
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-42840: Mickey Jin (@patch1t) a Csaba Fitzl (@theevilbit) z tímu Offensive Security
Dátum pridania záznamu: 16. februára 2024
PackageKit
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná obísť určité nastavenia súkromia
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-42889: Mickey Jin (@patch1t)
Dátum pridania záznamu: 16. februára 2024
PackageKit
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
CVE-2023-42853: Mickey Jin (@patch1t)
Dátum pridania záznamu: 16. februára 2024
PackageKit
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.
CVE-2023-42860: Koh M. Nakagawa (@tsunek0h, FFRI Security, Inc.)
Dátum pridania záznamu: 16. februára 2024
Pro Res
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.
CVE-2023-42873: Mingxuan Yang (@PPPF00L) a happybabywu a Guang Gong z tímu 360 Vulnerability Research Institute
Dátum pridania záznamu: 16. februára 2024
Sandbox
Dostupné pre: macOS Monterey
Dopad: Apka s oprávneniami používateľa root môže byť schopná získať prístup k súkromným informáciám
Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2023-40425: Csaba Fitzl (@theevilbit) z tímu Offensive Security
SQLite
Dostupné pre: macOS Monterey
Dopad: Vzdialený používateľ môže byť schopný spôsobiť odopretie služby
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-36191
Dátum pridania záznamu: 16. februára 2024
talagent
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam
Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.
CVE-2023-40421: Noah Roskin-Frazee a Prof. J. (ZeroClicks.ai Lab)
WindowServer
Dostupné pre: macOS Monterey
Dopad: Webová stránka môže byť schopná získať prístup k mikrofónu bez toho, aby sa zobrazoval indikátor používania mikrofónu
Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2023-41975: Anonymný výskumník
WindowServer
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-42858: Anonymný výskumník
Dátum pridania záznamu: 16. februára 2024
Ďalšie poďakovanie
GPU Drivers
Poďakovanie za pomoc si zaslúži anonymný výskumník.
libarchive
Poďakovanie za pomoc si zaslúži Bahaa Naamneh.
libxml2
Poďakovanie za pomoc si zaslúžia OSS-Fuzz a Ned Williamson (Google Project Zero).