Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke s vydaniami zabezpečenia Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
macOS Monterey 12.7.4
Dátum vydania: 7. marca 2024
Admin Framework
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná zvyšovať úroveň oprávnení
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
CVE-2024-23276: Kirin (@Pwnrin)
AirPort
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.
CVE-2024-23227: Brian McNulty
AppleMobileFileIntegrity
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Dochádzalo k problému s prechodom na staršiu verziu, ktorý sa týkal počítačov Mac s procesorom Intel a bol vyriešený ďalšími obmedzeniami podpisovania kódu.
CVE-2024-23269: Mickey Jin (@patch1t)
ColorSync
Dostupné pre: macOS Monterey
Dopad: Spracovanie súboru môže viesť k neočakávanému ukončeniu apky alebo k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2024-23247: m4yfly z tímu TianGong Team of Legendsec spoločnosti Qi'anxin Group
CoreCrypto
Dostupné pre: macOS Monterey
Dopad: Útočník môže byť schopný dešifrovať staršie šifrované texty RSA PKCS#1 v1.5 bez súkromného kľúča
Popis: Dochádzalo k problému s časovaním vedľajšieho kanála, ktorý bol vyriešený vylepšením výpočtu časovej konštanty v kryptografických funkciách.
CVE-2024-23218: Clemens Lang
Disk Images
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2024-23299: anonymný výskumník
Dátum pridania záznamu: 29. mája 2024
Dock
Dostupné pre: macOS Monterey
Dopad: Po prihlásení správcu môže apka zo štandardného používateľského účtu eskalovať oprávnenia
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2024-23244: Csaba Fitzl (@theevilbit) zo spoločnosti OffSec
Image Processing
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2024-23270: Anonymný výskumník
ImageIO
Dostupné pre: macOS Monterey
Dopad: Spracovanie obrázka môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2024-23286: Junsung Lee v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, Amir Bazine a Karsten König z tímu CrowdStrike Counter Adversary Operations, Dohyun Lee (@l33d0hyun), Lyutoon a Mr.R
Dátum aktualizovania záznamu: 29. mája 2024
ImageIO
Dostupné pre: macOS Monterey
Dopad: Spracovanie obrázka môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2024-23257: Junsung Lee v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Intel Graphics Driver
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2024-23234: Murray Mike
Kerberos v5 PAM module
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2024-23266: Pedro Tôrres (@t0rr3sp3dr0)
Kernel
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo zapisovať do pamäte jadra
Popis: Nedostatočne zabezpečené miesto súvisiace s poškodením pamäte bolo odstránené vylepšením zamykania.
CVE-2024-23265: Xinru Chi z tímu Pangu Lab
Kernel
Dostupné pre: macOS Monterey
Dopad: Útočník s ľubovoľným prístupom na čítanie jadra a zápis doň môže byť schopný obísť opatrenia na ochranu pamäte jadra. Spoločnosť Apple vie o hlásení o tom, že tento problém mohol byť zneužitý.
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2024-23225
libxpc
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spôsobiť odopretie služby
Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.
CVE-2024-23201: Koh M. Nakagawa zo spoločnosti FFRI Security, Inc. a anonymný výskumník
MediaRemote
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam
Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.
CVE-2023-28826: Meng Zhang (鲸落) z tímu NorthSea
Metal
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.
CVE-2024-23264: Meysam Firouzi (@R00tkitsmm) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Notes
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2024-23283
PackageKit
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná zvyšovať úroveň oprávnení
Opis: Dochádzalo k problému súvisiacemu s vložením kódu, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2024-23274: Bohdan Stasiuk (@Bohdan_Stasiuk)
CVE-2024-23268: Mickey Jin (@patch1t) a Pedro Tôrres (@t0rr3sp3dr0)
PackageKit
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná získať prístup k chráneným používateľským dátam
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.
CVE-2024-23275: Mickey Jin (@patch1t)
PackageKit
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná obísť určité nastavenia súkromia
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2024-23267: Mickey Jin (@patch1t)
PackageKit
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná prepisovať ľubovoľné súbory
Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením overovania.
CVE-2024-23216: Pedro Tôrres (@t0rr3sp3dr0)
SharedFileList
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam
Popis: Tento problém bol vyriešený vylepšením spracovania súborov.
CVE-2024-23230: Mickey Jin (@patch1t)
Shortcuts
Dostupné pre: macOS Monterey
Dopad: Skratka môže byť schopná používať pre určité akcie citlivé údaje bez zobrazenia výzvy pre používateľa
Popis: Tento problém bol vyriešený pridaním ďalších kontrol povolení.
CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)
Shortcuts
Dostupné pre: macOS Monterey
Dopad: Skratky od iných výrobcov môžu pomocou staršej akcie Automatora odosielať do apiek udalosti bez súhlasu používateľa
Popis: Tento problém bol vyriešený pridaním ďalšej výzvy na získanie súhlasu používateľa.
CVE-2024-23245: Anonymný výskumník
Storage Services
Dostupné pre: macOS Monterey
Dopad: Používateľ môže získať prístup do chránených častí súborového systému
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
CVE-2024-23272: Mickey Jin (@patch1t)
Transparency
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam
Popis: Problém bol vyriešený vylepšením obmedzenia prístupu k dátovému kontajneru.
CVE-2023-40389: Csaba Fitzl (@theevilbit) z tímu Offensive Security a Joshua Jewett (@JoshJewett33)
Dátum pridania záznamu: 29. mája 2024