Om säkerhetsinnehållet i macOS Monterey 12.6.8
I det här dokumentet beskrivs säkerhetsinnehållet i macOS Monterey 12.6.8.
Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan Apples säkerhetssläpp.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet.
macOS Monterey 12.6.8
Släpptes 24 juli 2023
Accessibility
Tillgängligt för: macOS Monterey
Effekt: En app kanske kan läsa känslig platsinformation
Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.
CVE-2023-40442: Nick Brook
Lades till 8 september 2023
Apple Neural Engine
Tillgängligt för: macOS Monterey
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-34425: Pattern-f (@pattern_F_) på Ant Security Light-Year Lab
Lades till 27 juli 2023
AppSandbox
Tillgängligt för: macOS Monterey
Effekt: En process i sandlådeläge kan kringgå sandlådebegränsningarna
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.
CVE-2023-32364: Gergely Kalman (@gergely_kalman)
Lades till 27 juli 2023
Assets
Tillgängligt för: macOS Monterey
Effekt: En app kan ändra skyddade delar av filsystemet
Beskrivning: Problemet åtgärdades genom förbättrat dataskydd.
CVE-2023-35983: Mickey Jin (@patch1t)
CFNetwork
Tillgängligt för: macOS Monterey
Effekt: En app kanske kan läsa känslig platsinformation
Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.
CVE-2023-40392: Wojciech Regula på SecuRing (wojciechregula.blog)
Lades till 8 september 2023
CUPS
Tillgängligt för: macOS Monterey
Effekt: En användare i en behörig nätverksposition kan läcka känslig information
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2023-34241: Sei K.
Lades till 27 juli 2023
curl
Tillgängligt för: macOS Monterey
Effekt: Flera problem i curl
Beskrivning: Flera problem åtgärdades genom att uppdatera curl.
CVE-2023-28319
CVE-2023-28320
CVE-2023-28321
CVE-2023-28322
Find My
Tillgängligt för: macOS Monterey
Effekt: En app kanske kan läsa känslig platsinformation
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.
CVE-2023-32416: Wojciech Regula på SecuRing (wojciechregula.blog)
FontParser
Tillgängligt för: macOS Monterey
Effekt: Bearbetning av en typsnittsfil kan leda till opålitlig kodkörning. Apple känner till en rapport om att det här problemet kan ha utnyttjats aktivt på versioner av iOS som släppts före iOS 15.7.1.
Beskrivning: Problemet åtgärdades genom förbättrad hantering av cache.
CVE-2023-41990: Apple, Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) och Boris Larin (@oct0xor) på Kaspersky
Lades till 8 september 2023
Grapher
Tillgängligt för: macOS Monterey
Effekt: Bearbetning av en fil kan leda till oväntad appavslutning eller körning av opålitlig kod
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-36854: Bool of YunShangHuaAn(云上华安)
CVE-2023-32418: Bool of YunShangHuaAn(云上华安)
Kernel
Tillgängligt för: macOS Monterey
Effekt: En fjärrangripare kan orsaka ett dos-angrepp
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-38603: Zweig på Kunlun Lab
Lades till 27 juli 2023
Kernel
Tillgängligt för: macOS Monterey
Effekt: En fjärranvändare kan orsaka att systemet avslutas oväntat eller att kernelminnet blir korrupt
Beskrivning: Ett problem med buffertspill åtgärdades genom förbättrad minneshantering.
CVE-2023-38590: Zweig på Kunlun Lab
Lades till 27 juli 2023
Kernel
Tillgängligt för: macOS Monterey
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett uaf-fel åtgärdades med förbättrad minneshantering.
CVE-2023-38598: Mohamed GHANNAM (@_simo36)
Lades till 27 juli 2023
Kernel
Tillgängligt för: macOS Monterey
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.
CVE-2023-36495: 香农的三蹦子 på Pangu Lab
Lades till 27 juli 2023
Kernel
Tillgängligt för: macOS Monterey
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2023-37285: Arsenii Kostromin (0x3c3e)
Lades till 27 juli 2023
Kernel
Tillgängligt för: macOS Monterey
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2023-38604: En anonym forskare
Lades till 27 juli 2023
Kernel
Tillgängligt för: macOS Monterey
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett uaf-fel åtgärdades med förbättrad minneshantering.
CVE-2023-32381: En anonym forskare
CVE-2023-32433: Zweig på Kunlun Lab
CVE-2023-35993: Kaitao Xie och Xiaolong Bai på Alibaba Group
Kernel
Tillgängligt för: macOS Monterey
Effekt: En app kan ändra känsliga kerneltillstånd. Apple känner till en rapport om att det här problemet kan ha utnyttjats aktivt på versioner av iOS som släppts före iOS 15.7.1.
Beskrivning: Problemet åtgärdades med förbättrad tillståndshantering.
CVE-2023-38606: Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) och Boris Larin (@oct0xor) på Kaspersky
Kernel
Tillgängligt för: macOS Monterey
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14) på STAR Labs SG Pte. Ltd.
Kernel
Tillgängligt för: macOS Monterey
Effekt: En fjärrangripare kan orsaka ett dos-angrepp
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-38603: Zweig på Kunlun Lab
Lades till 22 december 2023
libxpc
Tillgängligt för: macOS Monterey
Effekt: En app kan få rotbehörigheter
Beskrivning: Ett problem med hantering av sökvägar åtgärdades med hjälp av förbättrad validering.
CVE-2023-38565: Zhipeng Huo (@R3dF09) på Tencent Security Xuanwu Lab (xlab.tencent.com)
libxpc
Tillgängligt för: macOS Monterey
Effekt: En app kan orsaka ett dos-angrepp
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.
CVE-2023-38593: Noah Roskin-Frazee
Tillgängligt för: macOS Monterey
Effekt: Ett e-postmeddelande som krypterats med S/MIME kan oavsiktligen ha skickats okrypterat
Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering av e-post krypterad med S/MIME.
CVE-2023-40440: Taavi Eomäe från Zone Media OÜ
Lades till 8 september 2023
Music
Tillgängligt för: macOS Monterey
Effekt: En app kan kringgå inställningar för Integritet
Beskrivning: Problemet åtgärdades genom förbättrad validering av symlänkar.
CVE-2023-38571: Gergely Kalman (@gergely_kalman)
Lades till 27 juli 2023
Model I/O
Tillgängligt för: macOS Monterey
Effekt: Bearbetning av en 3D-modell kan leda till spridning av processminne
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-38421: Mickey Jin (@patch1t) och Michael DePlante (@izobashi) på Trend Micro Zero Day Initiative
CVE-2023-38258: Mickey Jin (@patch1t)
Uppdaterades 27 juli 2023
Model I/O
Tillgängligt för: macOS Monterey
Effekt: Bearbetning av en bild kan leda till spridning av processminne
Beskrivning: Problemet åtgärdades med förbättrade kontroller.
CVE-2023-1916
Lades till 22 december 2023
ncurses
Tillgängligt för: macOS Monterey
Effekt: En app kan orsaka att appar avslutas oväntat eller att opålitlig kod körs
Beskrivning: Ett minnesfel åtgärdades med hjälp av förbättrad validering.
CVE-2023-29491: Jonathan Bar Or på Microsoft, Emanuele Cozzi på Microsoft och Michael Pearse på Microsoft
Lades till 8 september 2023
Net-SNMP
Tillgängligt för: macOS Monterey
Effekt: En app kan ändra skyddade delar av filsystemet
Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.
CVE-2023-38601: Csaba Fitzl (@theevilbit) på Offensive Security
Lades till 27 juli 2023
NSSpellChecker
Tillgängligt för: macOS Monterey
Effekt: En process i sandlådeläge kan kringgå sandlådebegränsningarna
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrad validering.
CVE-2023-32444: Mickey Jin (@patch1t)
Lades till 27 juli 2023
OpenLDAP
Tillgängligt för: macOS Monterey
Effekt: En fjärrangripare kan orsaka ett dos-angrepp
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-2953: Sandipan Roy
OpenSSH
Tillgängligt för: macOS Monterey
Effekt: En app kanske kan komma åt SSH-lösenfraser
Beskrivning: Problemet åtgärdades med ytterligare begränsningar för visning av applägen.
CVE-2023-42829: James Duffy (mangoSecure)
Lades till 22 december 2023
PackageKit
Tillgängligt för: macOS Monterey
Effekt: En app kan komma åt användarkänsliga data
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.
CVE-2023-38259: Mickey Jin (@patch1t)
PackageKit
Tillgängligt för: macOS Monterey
Effekt: En app kan ändra skyddade delar av filsystemet
Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.
CVE-2023-38602: Arsenii Kostromin (0x3c3e)
Security
Tillgängligt för: macOS Monterey
Effekt: En app kanske kan ta fingeravtryck på användaren
Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.
CVE-2023-42831: James Duffy (mangoSecure)
Lades till 22 december 2023
Shortcuts
Tillgängligt för: macOS Monterey
Effekt: En genväg kanske kan ändra känsliga inställningar för appen Genvägar
Beskrivning: Ett åtkomstproblem åtgärdades genom ytterligare åtkomstbegränsningar.
CVE-2023-32442: En anonym forskare
sips
Tillgängligt för: macOS Monterey
Effekt: Bearbetning av en fil kan leda till ett dos-angrepp eller möjligen avslöja innehåll från minnet
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2023-32443: David Hoyt på Hoyt LLC
Software Update
Tillgängligt för: macOS Monterey
Effekt: En app kan få rotbehörigheter
Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad tillståndshantering.
CVE-2023-42832: Arsenii Kostromin (0x3c3e)
Lades till 22 december 2023
SQLite
Tillgängligt för: macOS Monterey
Effekt: En app kan kringgå inställningar för Integritet
Beskrivning: Problemet hanterades genom att lägga till ytterligare begränsningar för SQLite-loggning.
CVE-2023-32422: Gergely Kalman (@gergely_kalman) och Wojciech Regula på SecuRing (wojciechregula.blog)
Lades till 8 september 2023
SystemMigration
Tillgängligt för: macOS Monterey
Effekt: En app kan kringgå inställningar för Integritet
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-32429: Wenchao Li och Xiaolong Bai från Hangzhou Orange Shield Information Technology Co., Ltd.
Lades till 27 juli 2023
tcpdump
Tillgängligt för: macOS Monterey
Effekt: En angripare i en privilegierad nätverksposition kan köra opålitlig kod
Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2023-1801
Lades till 22 december 2023
Vim
Tillgängligt för: macOS Monterey
Effekt: Flera problem i Vim
Beskrivning: Flera problem åtgärdades genom att uppdatera Vim.
CVE-2023-2426
CVE-2023-2609
CVE-2023-2610
Lades till 22 december 2023
Weather
Tillgängligt för: macOS Monterey
Effekt: En app kanske kan avgöra en användares aktuella plats
Beskrivning: Problemet åtgärdades genom förbättrad redigering av känslig information.
CVE-2023-38605: Adam M.
Lades till 8 september 2023
Ytterligare tack
Vi vill tacka Parvez Anwar för hjälpen.
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.