Om säkerhetsinnehållet i macOS Monterey 12.6.6
I det här dokumentet beskrivs säkerhetsinnehållet i macOS Monterey 12.6.6.
Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.
Apples säkerhetsdokument hänvisar till sårbarheter med hjälp av CVE-ID när det är möjligt.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet.
macOS Monterey 12.6.6
Släpptes 18 maj 2023
Accessibility
Tillgängligt för: macOS Monterey
Effekt: En app kan kringgå inställningar för Integritet
Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.
CVE-2023-32388: Kirin (@Pwnrin)
AppleEvents
Tillgängligt för: macOS Monterey
Effekt: En app kan kringgå inställningar för Integritet
Beskrivning: Problemet åtgärdades med förbättrad redigering av känslig information.
CVE-2023-28191: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Tillgängligt för: macOS Monterey
Effekt: En app kan kringgå inställningar för Integritet
Beskrivning: Problemet åtgärdades med förbättrade behörigheter.
CVE-2023-32411: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Tillgängligt för: macOS Monterey
Effekt: En app kanske kan införa kod i känsliga binära filer som levereras med Xcode
Beskrivning: Detta problem löstes genom att aktivera härdad exekvering på de berörda binärfilerna på systemnivå.
CVE-2023-32383: James Duffy (mangoSecure)
Contacts
Tillgängligt för: macOS Monterey
Effekt: En app kan observera oskyddade användardata
Beskrivning: Ett integritetsproblem åtgärdades med förbättrad hantering av tillfälliga filer.
CVE-2023-32386: Kirin (@Pwnrin)
CUPS
Tillgängligt för: macOS Monterey
Effekt: En oautentiserad användare kan få tillgång till nyligen utskrivna dokument
Beskrivning: Ett problem med autentisering åtgärdades genom förbättrad tillståndshantering.
CVE-2023-32360: Gerhard Muth
dcerpc
Tillgängligt för: macOS Monterey
Effekt: En fjärrangripare kunde orsaka ett oväntat appavslut eller körning av opålitlig kod
Beskrivning: Ett UAF-fel åtgärdades genom förbättrad minneshantering.
CVE-2023-32387: Dimitrios Tatsis på Cisco Talos
Dev Tools
Tillgängligt för: macOS Monterey
Effekt: En app i sandlådeläge kan kanske samla in systemloggar
Beskrivning: Problemet åtgärdades med förbättrade behörigheter.
CVE-2023-27945: Mickey Jin (@patch1t)
GeoServices
Tillgängligt för: macOS Monterey
Effekt: En app kanske kan läsa känslig platsinformation
Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.
CVE-2023-32392: Adam M.
Uppdaterades 21 december 2023
ImageIO
Tillgängligt för: macOS Monterey
Effekt: Bearbetning av en skadlig bild kan leda till spridning av processminne
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-23535: Ryuzaki
ImageIO
Tillgängligt för: macOS Monterey
Effekt: Bearbetning av en bildfil kan leda till körning av opålitlig kod
Beskrivning: Ett buffertspill åtgärdades med förbättrad gränskontroll.
CVE-2023-32384: Meysam Firouzi (@R00tkitSMM) i samarbete med Trend Micro Zero Day Initiative
IOSurface
Tillgängligt för: macOS Monterey
Effekt: En app kan läcka känsliga kerneltillstånd
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2023-32410: Hou xuewei (@p1ay8y3ar) vmk msu
Kernel
Tillgängligt för: macOS Monterey
Effekt: En app i sandlådeläge kanske kan observera nätverksanslutningar i hela systemet
Beskrivning: Problemet har åtgärdats med ytterligare behörighetskontroller.
CVE-2023-27940: James Duffy (mangoSecure)
Kernel
Tillgängligt för: macOS Monterey
Effekt: En app kan få rotbehörigheter
Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad tillståndshantering.
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) på Synacktiv (@Synacktiv) i samarbete med Trend Micro Zero Day Initiative
Kernel
Tillgängligt för: macOS Monterey
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett UAF-fel åtgärdades genom förbättrad minneshantering.
CVE-2023-32398: Adam Doupé på ASU SEFCOM
LaunchServices
Tillgängligt för: macOS Monterey
Effekt: En app kan kringgå Gatekeeper-kontroller
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.
CVE-2023-32352: Wojciech Reguła (@_r3ggi) på SecuRing (wojciechregula.blog)
libxpc
Tillgängligt för: macOS Monterey
Effekt: En app kan ändra skyddade delar av filsystemet
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2023-32369: Jonathan Bar Or på Microsoft, Anurag Bohra på Microsoft och Michael Pearse på Microsoft
libxpc
Tillgängligt för: macOS Monterey
Effekt: En app kan få rotbehörigheter
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.
CVE-2023-32405: Thijs Alkemade (@xnyhps) på Computest Sector 7
MallocStackLogging
Tillgängligt för: macOS Monterey
Effekt: En app kan få rotbehörigheter
Beskrivning: Problemet åtgärdades genom förbättrad filhantering.
CVE-2023-32428: Gergely Kalman (@gergely_kalman)
Lades till 21 december 2023
Metal
Tillgängligt för: macOS Monterey
Effekt: En app kan kringgå inställningar för Integritet
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
Model I/O
Tillgängligt för: macOS Monterey
Effekt: Bearbetning av en 3D-modell kan leda till spridning av processminne
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2023-32375: Michael DePlante (@izobashi) på Trend Micro Zero Day Initiative
CVE-2023-32382: Mickey Jin (@patch1t)
CVE-2023-32368: Mickey Jin (@patch1t)
Model I/O
Tillgängligt för: macOS Monterey
Effekt: Bearbetning av en 3D-modell kan ge upphov till körning av opålitlig kod
Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2023-32380: Mickey Jin (@patch1t)
NetworkExtension
Tillgängligt för: macOS Monterey
Effekt: En app kanske kan läsa känslig platsinformation
Beskrivning: Problemet åtgärdades med förbättrad redigering av känslig information.
CVE-2023-32403: Adam M.
Uppdaterades 21 december 2023
PackageKit
Tillgängligt för: macOS Monterey
Effekt: En app kan ändra skyddade delar av filsystemet
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2023-32355: Mickey Jin (@patch1t)
Perl
Tillgängligt för: macOS Monterey
Effekt: En app kan ändra skyddade delar av filsystemet
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2023-32395: Arsenii Kostromin (0x3c3e)
Quick Look
Tillgängligt för: macOS Monterey
Effekt: Tolkning av ett Office-dokument kan leda till en oväntad appavslutning eller körning av opålitlig kod
Beskrivning: Ett buffertspill åtgärdades med förbättrad gränskontroll.
CVE-2023-32401: Holger Fuhrmannek på Deutsche Telekom Security GmbH på uppdrag av BSI (German Federal Office for Information Security)
Lades till 21 december 2023
Sandbox
Tillgängligt för: macOS Monterey
Effekt: En app kan ha kvar åtkomst till systemkonfigurationsfiler även efter att dess behörighet har återkallats
Beskrivning: Ett problem med auktorisation åtgärdades genom förbättrad tillståndshantering.
CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Jeff Johnson, Koh M. Nakagawa på FFRI Security, Inc., Kirin (@Pwnrin) och Csaba Fitzl (@theevilbit) på Offensive Security
Shell
Tillgängligt för: macOS Monterey
Effekt: En app kan ändra skyddade delar av filsystemet
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2023-32397: Arsenii Kostromin (0x3c3e)
Telephony
Tillgängligt för: macOS Monterey
Effekt: En fjärrangripare kunde orsaka ett oväntat appavslut eller körning av opålitlig kod
Beskrivning: Ett UAF-fel åtgärdades genom förbättrad minneshantering.
CVE-2023-32412: Ivan Fratric på Google Project Zero
TV App
Tillgängligt för: macOS Monterey
Effekt: En app kanske kan läsa känslig platsinformation
Beskrivning: Problemet åtgärdades genom förbättrad hantering av cache.
CVE-2023-32408: Adam M.
Ytterligare tack
libxml2
Vi vill tacka OSS-Fuzz och Ned Williamson på Google Project Zero för hjälpen.
Reminders
Vi vill tacka Kirin (@Pwnrin) för hjälpen.
Security
Vi vill tacka James Duffy (mangoSecure) för hjälpen.
Wi-Fi
Vi vill tacka Adam M. för hjälpen.
Uppdaterades 21 december 2023
Wi-Fi Connectivity
Vi vill tacka Adam M. för hjälpen.
Uppdaterades 21 december 2023
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.