Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan Apples säkerhetssläpp.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet.
macOS Monterey 12.7.1
Släpptes den 25 oktober 2023
Automation
Tillgängligt för: macOS Monterey
Effekt: En app med rotbehörighet kan ha tillgång till privat information
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-42952: Zhipeng Huo (@R3dF09) på Tencent Security Xuanwu Lab (xlab.tencent.com)
Lades till 16 februari 2024
CoreAnimation
Tillgängligt för: macOS Monterey
Effekt: En app kan orsaka ett dos-angrepp
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-40449: Tomi Tokics (@tomitokics) på iTomsn0w
Core Recents
Tillgängligt för: macOS Monterey
Effekt: En app kan komma åt användarkänsliga data
Beskrivning: Problemet löstes genom rensning av loggningar
CVE-2023-42823
Lades till 16 februari 2024
FileProvider
Tillgängligt för: macOS Monterey
Effekt: En app kan orsaka ett dos-angrepp på Endpoint Security-klienter
Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.
CVE-2023-42854: Noah Roskin-Frazee och professor J. (ZeroClicks.ai Lab)
Find My
Tillgängligt för: macOS Monterey
Effekt: En app kanske kan läsa känslig platsinformation
Beskrivning: Problemet åtgärdades genom förbättrad hantering av cache.
CVE-2023-40413: Adam M.
Foundation
Tillgängligt för: macOS Monterey
Effekt: En webbplats kan komma åt känsliga användardata när symlänkar löses
Beskrivning: Problemet åtgärdades genom förbättrad hantering av symlänkar.
CVE-2023-42844: Ron Masas på BreakPoint.SH
libc
Tillgängligt för: macOS Monterey
Effekt: Bearbetning av indata med skadligt innehåll kan leda till körning av opålitlig kod i användarinstallerade appar
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-40446: inooo
Lades till 3 november 2023
ImageIO
Tillgängligt för: macOS Monterey
Effekt: Bearbetning av en bild kan leda till spridning av processminne
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-40416: JZ
IOTextEncryptionFamily
Tillgängligt för: macOS Monterey
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-40423: En anonym forskare
Kernel
Tillgängligt för: macOS Monterey
Effekt: En angripare som redan har uppnått körning av kernel-kod kan kringgå kärnminnesbegränsningar
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-42849: Linus Henze på Pinauten GmbH (pinauten.de)
Model I/O
Tillgängligt för: macOS Monterey
Effekt: Bearbetning av en fil kan leda till oväntad appavslutning eller körning av opålitlig kod
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-42856: Michael DePlante (@izobashi) på Trend Micro Zero Day Initiative
PackageKit
Tillgängligt för: macOS Monterey
Effekt: En app kan ändra skyddade delar av filsystemet
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-42859: Arsenii Kostromin (0x3c3e), Mickey Jin (@patch1t) och Hevel Engineering
CVE-2023-42877: Arsenii Kostromin (0x3c3e)
Lades till 16 februari 2024
PackageKit
Tillgängligt för: macOS Monterey
Effekt: En app kan komma åt användarkänsliga data
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-42840: Mickey Jin (@patch1t) och Csaba Fitzl (@theevilbit) på Offensive Security
Lades till 16 februari 2024
PackageKit
Tillgängligt för: macOS Monterey
Effekt: En app kan kringgå vissa inställningar för Integritet
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-42889: Mickey Jin (@patch1t)
Lades till 16 februari 2024
PackageKit
Tillgängligt för: macOS Monterey
Effekt: En app kan komma åt användarkänsliga data
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.
CVE-2023-42853: Mickey Jin (@patch1t)
Lades till 16 februari 2024
PackageKit
Tillgängligt för: macOS Monterey
Effekt: En app kan ändra skyddade delar av filsystemet
Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.
CVE-2023-42860: Koh M. Nakagawa (@tsunek0h) på FFRI Security, Inc.
Lades till 16 februari 2024
Pro Res
Tillgängligt för: macOS Monterey
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Problemet hanterades med förbättrade gränskontroller.
CVE-2023-42873: Mingxuan Yang (@PPPF00L), happybabywu och Guang Gong på 360 Vulnerability Research Institute
Lades till 16 februari 2024
Sandbox
Tillgängligt för: macOS Monterey
Effekt: En app med rotbehörighet kan ha tillgång till privat information
Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.
CVE-2023-40425: Csaba Fitzl (@theevilbit) på Offensive Security
SQLite
Tillgängligt för: macOS Monterey
Effekt: En fjärrangripare kan orsaka ett dos-angrepp
Beskrivning: Problemet åtgärdades med förbättrade kontroller.
CVE-2023-36191
Lades till 16 februari 2024
talagent
Tillgängligt för: macOS Monterey
Effekt: En app kanske kan komma åt känsliga användardata
Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.
CVE-2023-40421: Noah Roskin-Frazee och professor J. (ZeroClicks.ai Lab)
WindowServer
Tillgängligt för: macOS Monterey
Effekt: En webbplats kan få tillgång till mikrofonen utan att mikrofonens indikator används
Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.
CVE-2023-41975: En anonym forskare
WindowServer
Tillgängligt för: macOS Monterey
Effekt: En app kan komma åt användarkänsliga data
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-42858: en anonym forskare
Lades till 16 februari 2024
Ytterligare tack
GPU Drivers
Vi vill tacka en anonym forskare för hjälpen.
libarchive
Vi vill tacka Bahaa Naamneh för hjälpen.
libxml2
Vi vill tacka OSS-Fuzz, Ned Williamson på Google Project Zero för hjälpen.