Om säkerhetsinnehållet i macOS Monterey 12.7.4
I det här dokumentet beskrivs säkerhetsinnehållet i macOS Monterey 12.7.4.
Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan Apples säkerhetssläpp.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
Mer information om säkerhet finns på sidan Apples produktsäkerhet.
macOS Monterey 12.7.4
Släpptes 7 mars 2024
Admin Framework
Tillgängligt för: macOS Monterey
Effekt: En app kanske kan öka behörigheter
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.
CVE-2024-23276: Kirin (@Pwnrin)
Airport
Tillgängligt för: macOS Monterey
Effekt: En app kanske kan läsa känslig platsinformation
Beskrivning: Problemet åtgärdades med förbättrad redigering av känslig information.
CVE-2024-23227: Brian McNulty
AppleMobileFileIntegrity
Tillgängligt för: macOS Monterey
Effekt: En app kan ändra skyddade delar av filsystemet
Beskrivning: Ett nedgraderingsproblem som påverkade Intel-baserade Mac-datorer åtgärdades med ytterligare kodsigneringsbegränsningar.
CVE-2024-23269: Mickey Jin (@patch1t)
ColorSync
Tillgängligt för: macOS Monterey
Effekt: Bearbetning av en fil kan leda till oväntad appavslutning eller körning av opålitlig kod
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2024-23247: m4yfly med TianGong Team of Legendsec på Qi'anxin Group
CoreCrypto
Tillgängligt för: macOS Monterey
Effekt: En angripare kan dekryptera äldre RSA PKCS#1 v1.5-kodtexter utan tillgång till den privata nyckeln
Beskrivning: Ett problem med en timingsidokanal åtgärdades med förbättringar av kontinuerlig tidsberäkning av kryptografiska funktioner.
CVE-2024-23218: Clemens Lang
Skivavbilder
Tillgängligt för: macOS Monterey
Effekt: En app kan bryta sig ut från sin sandlåda
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2024-23299: en anonym forskare
Lades till 29 maj 2024
Dock
Tillgängligt för: macOS Monterey
Effekt: En app från ett standardanvändarkonto kan eskalera behörigheter efter inloggning som administratörsanvändare
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.
CVE-2024-23244: Csaba Fitzl (@theevilbit) på OffSec
Image Processing
Tillgängligt för: macOS Monterey
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2024-23270: En anonym forskare
ImageIO
Tillgängligt för: macOS Monterey
Effekt: Bearbetning av en bildfil kan leda till körning av opålitlig kod
Beskrivning: ett problem med buffertspill åtgärdades genom förbättrad minneshantering.
CVE-2024-23286: Junsung Lee i samarbete med Trend Micro Zero Day Initiative, Amir Bazine och Karsten König på CrowdStrike Counter Adversary Operations, Dohyun Lee (@l33d0hyun) och Lyutoon and Mr.R
Uppdaterades 29 maj 2024
ImageIO
Tillgängligt för: macOS Monterey
Effekt: Bearbetning av en bild kan leda till spridning av processminne
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2024-23257: Junsung Lee i samarbete med Trend Micro Zero Day Initiative
Intel Graphics Driver
Tillgängligt för: macOS Monterey
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2024-23234: Murray Mike
Kerberos v5 PAM module
Tillgängligt för: macOS Monterey
Effekt: En app kan ändra skyddade delar av filsystemet
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2024-23266: Pedro Tôrres (@t0rr3sp3dr0)
Kernel
Tillgängligt för: macOS Monterey
Effekt: En app kan leda till oväntad systemavstängning eller skrivning till kernelminne
Beskrivning: En sårbarhet för minnesfel åtgärdades med förbättrad låsning.
CVE-2024-23265: Xinru Chi på Pangu Lab
Kernel
Tillgängligt för: macOS Monterey
Effekt: En angripare med opålitlig läs- och skrivkapacitet till kernel kan kringgå kernelns minnesskydd. Apple känner till en rapport om att det här problemet kan ha utnyttjats.
Beskrivning: Ett minnesfel åtgärdades med hjälp av förbättrad validering.
CVE-2024-23225
libxpc
Tillgängligt för: macOS Monterey
Effekt: En app kan orsaka ett DoS-angrepp
Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.
CVE-2024-23201: Koh M. Nakagawa på FFRI Security, Inc. och en anonym forskare
MediaRemote
Tillgängligt för: macOS Monterey
Effekt: En app kanske kan komma åt känsliga användardata
Beskrivning: Problemet åtgärdades med förbättrad redigering av känslig information.
CVE-2023-28826: Meng Zhang (鲸落) från NorthSea
Metal
Tillgängligt för: macOS Monterey
Effekt: En app utan rättigheter kan läsa det begränsade minnet
Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.
CVE-2024-23264: Meysam Firouzi @R00tkitsmm i samarbete med Trend Micro Zero Day Initiative
Notes
Tillgängligt för: macOS Monterey
Effekt: En app kan komma åt användarkänsliga data
Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.
CVE-2024-23283
PackageKit
Tillgängligt för: macOS Monterey
Effekt: En app kanske kan öka behörigheter
Beskrivning: Ett problem med inmatning åtgärdades genom förbättrad validering av indata.
CVE-2024-23274: Bohdan Stasiuk (@Bohdan_Stasiuk)
CVE-2024-23268: Mickey Jin (@patch1t) och Pedro Tôrres (@t0rr3sp3dr0)
PackageKit
Tillgängligt för: macOS Monterey
Effekt: En app kanske kan komma åt skyddade användardata
Beskrivning: Ett konkurrenstillstånd åtgärdades genom ytterligare validering.
CVE-2024-23275: Mickey Jin (@patch1t)
PackageKit
Tillgängligt för: macOS Monterey
Effekt: En app kan kringgå vissa inställningar för Integritet
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2024-23267: Mickey Jin (@patch1t)
PackageKit
Tillgängligt för: macOS Monterey
Effekt: En app kan skriva över opålitliga filer
Beskrivning: Ett problem med hantering av sökvägar åtgärdades med hjälp av förbättrad validering.
CVE-2024-23216: Pedro Tôrres (@t0rr3sp3dr0)
SharedFileList
Tillgängligt för: macOS Monterey
Effekt: En app kanske kan komma åt känsliga användardata
Beskrivning: Problemet åtgärdades genom förbättrad filhantering.
CVE-2024-23230: Mickey Jin (@patch1t)
Shortcuts
Tillgängligt för: macOS Monterey
Effekt: En genväg kan använda känsliga data med vissa åtgärder utan att tillfråga användaren
Beskrivning: Problemet har åtgärdats med ytterligare behörighetskontroller.
CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)
Shortcuts
Tillgängligt för: macOS Monterey
Effekt: Kortkommandon från tredje part kan använda en äldre åtgärd från Automator för att skicka händelser till appar utan användarens tillstånd
Beskrivning: Det här problemet åtgärdades genom att lägga till en extra uppmaning om användarens samtycke.
CVE-2024-23245: En anonym forskare
Storage Services
Tillgängligt för: macOS Monterey
Effekt: En användare kan få tillgång till skyddade delar av filsystemet
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.
CVE-2024-23272: Mickey Jin (@patch1t)
Transparens
Tillgängligt för: macOS Monterey
Effekt: En app kanske kan komma åt känsliga användardata
Beskrivning: Problemet åtgärdades genom förbättrad begränsning av åtkomst till databehållare.
CVE-2023-40389: Csaba Fitzl (@theevilbit) på Offensive Security och Joshua Jewett (@JoshJewett33)
Lades till 29 maj 2024
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.