Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet.
macOS Monterey 12.6.4
Släpptes 27 mars 2023
Apple Neural Engine
Tillgängligt för: macOS Monterey
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-23540: Mohamed GHANNAM (@_simo36)
AppleMobileFileIntegrity
Tillgängligt för: macOS Monterey
Effekt: En användare kan få tillgång till skyddade delar av filsystemet
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-23527: Mickey Jin (@patch1t)
Archive Utility
Tillgängligt för: macOS Monterey
Effekt: Ett arkiv kanske kan kringgå Gatekeeper
Beskrivning: Problemet hanterades med förbättrade kontroller.
Uppdaterades 8 juni 2023
Calendar
Tillgängligt för: macOS Monterey
Effekt: Import av en skadlig kalenderinbjudan kan sprida användarinformation
Beskrivning: Flera valideringsproblem åtgärdades genom förbättrad indatasanering.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
ColorSync
Tillgängligt för: macOS Monterey
Effekt: En app kan läsa godtyckliga filer
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-27955: JeongOhKyea
CommCenter
Tillgängligt för: macOS Monterey
Effekt: En app kan leda till oväntad systemavstängning eller skrivning till kernelminne
Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2023-27936: Tingting Yin på Tsinghua University
CoreCapture
Tillgängligt för: macOS Monterey
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-28181: Tingting Yin på Tsinghua University
Lades till 8 juni 2023
dcerpc
Tillgängligt för: macOS Monterey
Effekt: En fjärranvändare kunde orsaka ett oväntat programavslut eller körning av opålitlig kod
Beskrivning: Problemet hanterades med förbättrade gränskontroller.
CVE-2023-27935: Aleksandar Nikolic på Cisco Talos
dcerpc
Tillgängligt för: macOS Monterey
Effekt: En fjärrangripare kunde orsaka ett oväntat appavslut eller körning av opålitlig kod
Beskrivning: Ett minnesinitieringsfel åtgärdades.
CVE-2023-27934: Aleksandar Nikolic på Cisco Talos
Lades till 8 juni 2023
dcerpc
Tillgängligt för: macOS Monterey
Effekt: En fjärranvändare kan orsaka att systemet avslutas oväntat eller att kernelminnet blir korrupt
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-27953: Aleksandar Nikolic på Cisco Talos
CVE-2023-27958: Aleksandar Nikolic på Cisco Talos
Find My
Tillgängligt för: macOS Monterey
Effekt: En app kanske kan läsa känslig platsinformation
Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.
CVE-2023-23537: Adam M.
Lades till 21 december 2023
FontParser
Tillgängligt för: macOS Monterey
Effekt: Bearbetning av en typsnittsfil kan leda till opålitlig kodkörning
Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2023-32366: Ye Zhang (@VAR10CK) på Baidu Security
Lades till 21 december 2023
Foundation
Tillgängligt för: macOS Monterey
Effekt: Tolkning av en .plist-fil med skadligt innehåll kan leda till oväntad appavslutning eller körning av opålitlig kod
Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.
CVE-2023-27937: En anonym forskare
ImageIO
Tillgängligt för: macOS Monterey
Effekt: Bearbetning av en fil med skadligt innehåll kan leda till oväntad appavslutning eller körning av opålitlig kod
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2023-27946: Mickey Jin (@patch1t)
IOAcceleratorFamily
Tillgängligt för: macOS Monterey
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett uaf-fel åtgärdades med förbättrad minneshantering.
CVE-2023-32378: Murray Mike
Lades till 21 december 2023
Kernel
Tillgängligt för: macOS Monterey
Effekt: en app kan avslöja kernelminnet
Beskrivning: Det förekom ett problem med läsning utanför gränserna som ledde till att kernelminne avslöjades. Problemet har åtgärdats genom förbättrad indatavalidering.
CVE-2023-27941: Arsenii Kostromin (0x3c3e)
CVE-2023-28199: Arsenii Kostromin (0x3c3e)
Lades till 8 juni 2023, uppdaterades 21 december 2023
Kernel
Tillgängligt för: macOS Monterey
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Problemet hanterades med förbättrade gränskontroller.
CVE-2023-23536: Félix Poulin-Bélanger och David Pan Ogea
Lades till 8 juni 2023, uppdaterades 21 december 2023
Kernel
Tillgängligt för: macOS Monterey
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett uaf-fel åtgärdades genom förbättrad minneshantering.
CVE-2023-23514: Xinru Chi på Pangu Lab och Ned Williamson på Google Project Zero
Kernel
Tillgängligt för: macOS Monterey
Effekt: En app med rotbehörigheter kan köra opålitlig kod med kernelbehörighet
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-27933: Sqrtpwn
Kernel
Tillgängligt för: macOS Monterey
Effekt: En app kan avslöja kernelminnet
Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.
CVE-2023-28200: Arsenii Kostromin (0x3c3e)
Kernel
Tillgängligt för: macOS Monterey
Effekt: En app kan orsaka ett dos-angrepp
Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.
CVE-2023-28185: Pan ZhenPeng på STAR Labs SG Pte. Ltd.
Lades till 21 december 2023
libpthread
Tillgängligt för: macOS Monterey
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrade kontroller.
CVE-2023-41075: Zweig på Kunlun Lab
Lades till 21 december 2023
Tillgängligt för: macOS Monterey
Effekt: En app kanske kan visa känslig information
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-28189: Mickey Jin (@patch1t)
Lades till 8 juni 2023
Messages
Tillgängligt för: macOS Monterey
Effekt: En app kan komma åt användarkänsliga data
Beskrivning: Ett åtkomstproblem åtgärdades genom ytterligare sandlådebegränsningar.
CVE-2023-28197: Joshua Jones
Lades till 21 december 2023
Model I/O
Tillgängligt för: macOS Monterey
Effekt: Bearbetning av en fil med skadligt innehåll kan leda till oväntad appavslutning eller körning av opålitlig kod
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2023-27949: Mickey Jin (@patch1t)
NetworkExtension
Tillgängligt för: macOS Monterey
Effekt: En användare i en behörig nätverksposition kanske kan förfalska en VPN-server som är konfigurerad med endast EAP-autentisering på en enhet
Beskrivning: Problemet har åtgärdats genom förbättrad autentisering.
CVE-2023-28182: Zhuowei Zhang
PackageKit
Tillgängligt för: macOS Monterey
Effekt: En app kan ändra skyddade delar av filsystemet
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.
CVE-2023-23538: Mickey Jin (@patch1t)
CVE-2023-27962: Mickey Jin (@patch1t)
Podcasts
Tillgängligt för: macOS Monterey
Effekt: En app kan komma åt användarkänsliga data
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-27942: Mickey Jin (@patch1t)
Sandbox
Tillgängligt för: macOS Monterey
Effekt: En app kan ändra skyddade delar av filsystemet
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.
CVE-2023-23533: Mickey Jin (@patch1t), Koh M. Nakagawa på FFRI Security, Inc. och Csaba Fitzl (@theevilbit) på Offensive Security
Sandbox
Tillgängligt för: macOS Monterey
Effekt: En app kan kringgå inställningar för Integritet
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrad validering.
CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)
Shortcuts
Tillgängligt för: macOS Monterey
Effekt: En genväg kan använda känsliga data med vissa åtgärder utan att tillfråga användaren
Beskrivning: Problemet har åtgärdats med ytterligare behörighetskontroller.
CVE-2023-27963: Jubaer Alnazi Jabin på TRS Group Of Companies och Wenchao Li och Xiaolong Bai på Alibaba Group
System Settings
Tillgängligt för: macOS Monterey
Effekt: En app kan komma åt användarkänsliga data
Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.
CVE-2023-23542: Adam M.
Uppdaterades 21 december 2023
System Settings
Tillgängligt för: macOS Monterey
Effekt: En app kanske kan läsa känslig platsinformation
Beskrivning: Ett tillståndsproblem åtgärdades med hjälp av förbättrad validering.
CVE-2023-28192: Guilherme Rambo på Best Buddy Apps (rambo.codes)
Vim
Tillgängligt för: macOS Monterey
Effekt: Flera problem i Vim
Beskrivning: Flera problem åtgärdades genom att uppdatera till Vim-version 9.0.1191.
CVE-2023-0433
CVE-2023-0512
XPC
Tillgängligt för: macOS Monterey
Effekt: En app kan bryta sig ut från sin sandlåda
Beskrivning: Problemet hanterades med en ny behörighet.
CVE-2023-27944: Mickey Jin (@patch1t)
Ytterligare tack
Activation Lock
Vi vill tacka Christian Mina för hjälpen.
AppleMobileFileIntegrity
Vi vill tacka Wojciech Reguła (@_r3ggi) på SecuRing (wojciechregula.blog) för hjälpen.
CoreServices
Vi vill tacka Mickey Jin (@patch1t) för hjälpen.
NSOpenPanel
Vi vill tacka Alexandre Colucci (@timacfr) för hjälpen.
Wi-Fi
Vi vill tacka en anonym forskare för hjälpen.