Проблеми системи безпеки, які усунено в оновленні macOS Monterey 12.7.1

У цьому документі описано проблеми системи безпеки, які усунено в оновленні macOS Monterey 12.7.1.

Про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено в статті Випуски безпеки Apple.

У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

macOS Monterey 12.7.1

Дата випуску: 25 жовтня 2023 року

Automation

Цільовий продукт: macOS Monterey.

Вплив: програма з привілеями кореневого користувача може отримувати доступ до приватної інформації.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2023-42952: Zhipeng Huo (@R3dF09) з Tencent Security Xuanwu Lab (xlab.tencent.com)

Запис додано 16 лютого 2024 року

CoreAnimation

Цільовий продукт: macOS Monterey.

Вплив: програма може спричинити відмову в обслуговуванні.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2023-40449: Tomi Tokics (@tomitokics) з iTomsn0w

Core Recents

Цільовий продукт: macOS Monterey.

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему вирішено завдяки контрольній обробці журналів.

CVE-2023-42823

Запис додано 16 лютого 2024 року

FileProvider

Цільовий продукт: macOS Monterey.

Вплив: шкідлива програма може спричинити відмову в обслуговуванні клієнтів Endpoint Security.

Опис: проблему вирішено шляхом видалення вразливого коду.

CVE-2023-42854: Noah Roskin-Frazee та користувач Prof. J. (ZeroClicks.ai Lab)

Find My

Цільовий продукт: macOS Monterey.

Вплив: програма може отримувати доступ до конфіденційних даних про геопозицію.

Опис: цю проблему вирішено завдяки вдосконаленню обробки кешу.

CVE-2023-40413: Adam M.

Foundation

Цільовий продукт: macOS Monterey.

Вплив: вебсайт може отримувати доступ до конфіденційних даних користувача під час розв’язання символьних посилань.

Опис: проблему усунено завдяки поліпшенню обробки символьних посилань.

CVE-2023-42844: Ron Masas із BreakPoint.SH

libc

Цільовий продукт: macOS Monterey.

Вплив: обробка шкідливих вхідних даних може призвести до виконання довільного коду в програмах, інстальованих користувачем.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2023-40446: користувач inooo

Запис додано 3 листопада 2023 р.

ImageIO

Цільовий продукт: macOS Monterey.

Вплив: обробка зображення може призводити до розкриття пам’яті процесів.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2023-40416: користувач JZ

IOTextEncryptionFamily

Цільовий продукт: macOS Monterey.

Вплив: програма може виконувати довільний код із привілеями ядра.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2023-40423: анонімний дослідник

Kernel

Цільовий продукт: macOS Monterey.

Вплив: зловмисник, який уже дійшов до виконання коду в ядрі, може обходити засоби захисту пам’яті ядра.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2023-42849: Linus Henze із Pinauten GmbH (pinauten.de)

Model I/O

Цільовий продукт: macOS Monterey.

Вплив: обробка файлу може призводити до несподіваного завершення роботи програми або виконання довільного коду.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2023-42856: Michael DePlante (@izobashi) з компанії Trend Micro в межах ініціативи Zero Day Initiative

PackageKit

Цільовий продукт: macOS Monterey.

Вплив: програма може змінювати захищені частини файлової системи.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2023-42859: Arsenii Kostromin (0x3c3e), Mickey Jin (@patch1t) і компанія Hevel Engineering

CVE-2023-42877: Arsenii Kostromin (0x3c3e)

Запис додано 16 лютого 2024 року

PackageKit

Цільовий продукт: macOS Monterey.

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2023-42840: Mickey Jin (@patch1t) і Csaba Fitzl (@theevilbit) з Offensive Security

Запис додано 16 лютого 2024 року

PackageKit

Цільовий продукт: macOS Monterey.

Вплив: програма може обходити певні параметри приватності.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2023-42889: Mickey Jin (@patch1t)

Запис додано 16 лютого 2024 року

PackageKit

Цільовий продукт: macOS Monterey.

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.

CVE-2023-42853: Mickey Jin (@patch1t)

Запис додано 16 лютого 2024 року

PackageKit

Цільовий продукт: macOS Monterey.

Вплив: програма може змінювати захищені частини файлової системи.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2023-42860: Koh M. Nakagawa (@tsunek0h) з FFRI Security, Inc.

Запис додано 16 лютого 2024 року

Pro Res

Цільовий продукт: macOS Monterey.

Вплив: програма може виконувати довільний код із привілеями ядра.

Опис: проблему вирішено завдяки вдосконаленню перевірки меж.

CVE-2023-42873: Mingxuan Yang (@PPPF00L), користувач happybabywu та Guang Gong із 360 Vulnerability Research Institute

Запис додано 16 лютого 2024 року

Sandbox

Цільовий продукт: macOS Monterey.

Вплив: програма з привілеями кореневого користувача може отримувати доступ до приватної інформації.

Опис: проблему з приватністю вирішено шляхом поліпшення редагування приватних даних для записів журналу.

CVE-2023-40425: Чаба Фіцль (Csaba Fitzl, @theevilbit) з Offensive Security

SQLite

Цільовий продукт: macOS Monterey.

Вплив: віддалений користувач може спричинити відмову в обслуговуванні.

Опис: цю проблему вирішено завдяки вдосконаленню перевірок.

CVE-2023-36191

Запис додано 16 лютого 2024 року

talagent

Цільовий продукт: macOS Monterey.

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з доступом вирішено за допомогою додаткових обмежень.

CVE-2023-40421: Noah Roskin-Frazee та користувач Prof. J. (ZeroClicks.ai Lab)

WindowServer

Цільовий продукт: macOS Monterey.

Вплив: певний вебсайт може отримувати доступ до мікрофона без відображення індикатора використання мікрофона.

Опис: проблему вирішено шляхом видалення вразливого коду.

CVE-2023-41975: анонімний дослідник

WindowServer

Цільовий продукт: macOS Monterey.

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2023-42858: анонімний дослідник

Запис додано 16 лютого 2024 року

Додаткова подяка

GPU Drivers

Дякуємо за допомогу анонімному досліднику.

libarchive

Дякуємо за допомогу користувачу Bahaa Naamneh.

libxml2

Дякуємо за допомогу компанії OSS-Fuzz і користувачу Ned Williamson із підрозділу Google Project Zero.

Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.

Дата опублікування: