Проблеми системи безпеки, які усунено в оновленні macOS Monterey 12.6.8
У цьому документі описано проблеми системи безпеки, які усунено в оновленні macOS Monterey 12.6.8.
Відомості про оновлення системи безпеки Apple
Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски див. в статті Оновлення системи безпеки Apple.
У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.
Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.
macOS Monterey 12.6.8
Дата випуску: 24 липня 2023 р.
Accessibility
Цільовий продукт: macOS Monterey.
Вплив: програма може отримувати доступ до конфіденційних даних про геопозицію.
Опис: проблему з приватністю вирішено шляхом поліпшення редагування приватних даних для записів журналу.
CVE-2023-40442: Нік Брук (Nick Brook)
Запис додано 8 вересня 2023 р.
Apple Neural Engine
Цільовий продукт: macOS Monterey.
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2023-34425: pattern-f (@pattern_F_) з Ant Security Light-Year Lab
Запис додано 27 липня 2023 р.
AppSandbox
Цільовий продукт: macOS Monterey.
Вплив: певний процес в ізольованому програмному середовищі може обходити обмеження цього середовища.
Опис: проблему з логікою вирішено завдяки поліпшенню обмежень.
CVE-2023-32364: користувач Gergely Kalman (@gergely_kalman)
Запис додано 27 липня 2023 р.
Assets
Цільовий продукт: macOS Monterey.
Вплив: програма може змінювати захищені частини файлової системи.
Опис: цю проблему вирішено завдяки вдосконаленню захисту даних.
CVE-2023-35983: Міккі Джин (Mickey Jin, @patch1t)
CFNetwork
Цільовий продукт: macOS Monterey.
Вплив: програма може отримувати доступ до конфіденційних даних про геопозицію.
Опис: проблему з приватністю вирішено шляхом поліпшення редагування приватних даних для записів журналу.
CVE-2023-40392: Войцех Регула (Wojciech Regula) із SecuRing (wojciechregula.blog)
Запис додано 8 вересня 2023 р.
CUPS
Цільовий продукт: macOS Monterey.
Вплив: користувач із привілейованим положенням у мережі може спричинити витік конфіденційної інформації.
Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.
CVE-2023-34241: користувач Sei K.
Запис додано 27 липня 2023 р.
curl
Цільовий продукт: macOS Monterey.
Вплив: виявлено кілька проблем у curl.
Вплив: численні проблеми вирішено через оновлення curl.
CVE-2023-28319
CVE-2023-28320
CVE-2023-28321
CVE-2023-28322
Find My
Цільовий продукт: macOS Monterey.
Вплив: програма може зчитувати конфіденційну інформацію про місцезнаходження
Опис: проблему з логікою вирішено завдяки поліпшенню обмежень.
CVE-2023-32416: Войцех Регула (Wojciech Regula) із SecuRing (wojciechregula.blog)
FontParser
Цільовий продукт: macOS Monterey.
Вплив: обробка файлу шрифту може призводити до виконання довільного коду. Компанії Apple відомо про те, що ця проблема могла активно впливати на версії iOS, випущені до оновлення iOS 15.7.1.
Опис: цю проблему вирішено завдяки вдосконаленню обробки кешу.
CVE-2023-41990: фахівці Apple, Валентин Пашков (Valentin Pashkov), Міхаїл Виноградов (Mikhail Vinogradov), Георгій Кучерін (Georgy Kucherin, @kucher1n), Леонід Безвершенко (Leonid Bezvershenko, @bzvr_) і Борис Ларін (Boris Larin, @oct0xor) із Kaspersky
Запис додано 8 вересня 2023 р.
Grapher
Цільовий продукт: macOS Monterey.
Вплив: обробка файлу може призводити до несподіваного завершення роботи програми або виконання довільного коду.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2023-36854: Bool із YunShangHuaAn(云上华安)
CVE-2023-32418: Bool із YunShangHuaAn(云上华安)
Kernel
Цільовий продукт: macOS Monterey.
Вплив: віддалений користувач може спричинити відмову в обслуговуванні.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2023-38603: користувач Zweig із Kunlun Lab
Запис додано 27 липня 2023 р.
Kernel
Цільовий продукт: macOS Monterey.
Вплив: віддалений користувач може спричиняти несподіване завершення роботи системи або пошкодження пам’яті ядра.
Опис: проблему переповнення буфера вирішено завдяки поліпшенню обробки звернень до пам’яті.
CVE-2023-38590: користувач Zweig із Kunlun Lab
Запис додано 27 липня 2023 р.
Kernel
Цільовий продукт: macOS Monterey.
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему Use-After-Free вирішено завдяки вдосконаленню керування пам’яттю.
CVE-2023-38598: Мохамед Ганнам (Mohamed GHANNAM, @_simo36)
Запис додано 27 липня 2023 р.
Kernel
Цільовий продукт: macOS Monterey.
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему цілочисельного переповнення вирішено завдяки вдосконаленню перевірки вводу.
CVE-2023-36495: 香农的三蹦子 з Pangu Lab
Запис додано 27 липня 2023 р.
Kernel
Цільовий продукт: macOS Monterey.
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему з читанням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.
CVE-2023-37285: Арсеній Костромін (Arsenii Kostromin, 0x3c3e)
Запис додано 27 липня 2023 р.
Kernel
Цільовий продукт: macOS Monterey.
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему записування за межами виділеної пам’яті вирішено завдяки вдосконаленню перевірки вводу.
CVE-2023-38604: анонімний дослідник
Запис додано 27 липня 2023 р.
Kernel
Цільовий продукт: macOS Monterey.
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему Use-After-Free вирішено завдяки вдосконаленню керування пам’яттю.
CVE-2023-32381: анонімний дослідник
CVE-2023-32433: користувач Zweig із Kunlun Lab
CVE-2023-35993: Кайтао Се (Kaitao Xie) та Сяолун Бай (Xiaolong Bai) з Alibaba Group
Kernel
Цільовий продукт: macOS Monterey.
Вплив: програма може змінювати конфіденційну інформацію про стан ядра. Компанії Apple відомо про те, що ця проблема могла активно впливати на версії iOS, випущені до оновлення iOS 15.7.1.
Опис: цю проблему вирішено шляхом вдосконалення керування станами.
CVE-2023-38606: Валентин Пашков (Valentin Pashkov), Міхаїл Виноградов (Mikhail Vinogradov), Георгій Кучерін (Georgy Kucherin, @kucher1n), Леонід Безвершенко (Leonid Bezvershenko, @bzvr_) і Борис Ларін (Boris Larin, @oct0xor) із Kaspersky
Kernel
Цільовий продукт: macOS Monterey.
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2023-32441: Пітер Нгуєн Ву Хоанг (Peter Nguyễn Vũ Hoàng, @peternguyen14) зі STAR Labs SG Pte. Ltd.
Kernel
Цільовий продукт: macOS Monterey.
Вплив: віддалений користувач може спричинити відмову в обслуговуванні.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2023-38603: користувач Zweig із Kunlun Lab
Запис додано 22 грудня 2023 р.
libxpc
Цільовий продукт: macOS Monterey.
Вплив: програма може отримувати права кореневого користувача.
Опис: проблему з обробкою шляху вирішено завдяки поліпшенню перевірки.
CVE-2023-38565: Чжипен Хо (Zhipeng Huo, @R3dF09) із Tencent Security Xuanwu Lab (xlab.tencent.com)
libxpc
Цільовий продукт: macOS Monterey.
Вплив: програма може спричинити відмову в обслуговуванні.
Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.
CVE-2023-38593: Ноа Роскін-Фразі (Noah Roskin-Frazee)
Цільовий продукт: macOS Monterey.
Вплив: електронний лист із шифруванням S/MIME може випадково надсилатися незашифрованим.
Опис: цю проблему вирішено шляхом удосконалення керування станами електронних листів із шифруванням S/MIME.
CVE-2023-40440: Тааві Еомяе (Taavi Eomäe) з Zone Media OÜ
Запис додано 8 вересня 2023 р.
Music
Цільовий продукт: macOS Monterey.
Вплив: програма може обходити параметри приватності.
Опис: проблему усунено завдяки поліпшенню перевірки символьних посилань.
CVE-2023-38571: Гергелі Кальман (Gergely Kalman, @gergely_kalman)
Запис додано 27 липня 2023 р.
Model I/O
Цільовий продукт: macOS Monterey.
Вплив: обробка тривимірної моделі може призводити до розкриття пам’яті процесів.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2023-38421: Міккі Джин (Mickey Jin, @patch1t) і Майкл Депланте (Michael DePlante, @izobashi), що співпрацюють із компанією Trend Micro в межах ініціативи Zero Day Initiative
CVE-2023-38258: Міккі Джин (Mickey Jin, @patch1t)
Запис оновлено 27 липня 2023 р.
Model I/O
Цільовий продукт: macOS Monterey.
Вплив: обробка зображення може призводити до розкриття пам’яті процесів.
Опис: цю проблему вирішено завдяки вдосконаленню перевірок.
CVE-2023-1916
Запис додано 22 грудня 2023 р.
ncurses
Цільовий продукт: macOS Monterey.
Вплив: програма може спричинити неочікуване завершення роботи програми або виконання довільного коду.
Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки вдосконаленню перевірки.
CVE-2023-29491: Джонатан Бар Ор (Jonathan Bar Or), Емануель Коцці (Emanuele Cozzi) та Майкл Пірс (Michael Pearse) із корпорації Майкрософт
Запис додано 8 вересня 2023 р.
Net-SNMP
Цільовий продукт: macOS Monterey.
Вплив: програма може змінювати захищені частини файлової системи.
Опис: проблему вирішено шляхом видалення вразливого коду.
CVE-2023-38601: Чаба Фіцль (Csaba Fitzl, @theevilbit) з Offensive Security
Запис додано 27 липня 2023 р.
NSSpellChecker
Цільовий продукт: macOS Monterey.
Вплив: певний процес в ізольованому програмному середовищі може обходити обмеження цього середовища.
Опис: проблему з логікою вирішено завдяки поліпшенню перевірки.
CVE-2023-32444: Міккі Джин (Mickey Jin, @patch1t)
Запис додано 27 липня 2023 р.
OpenLDAP
Цільовий продукт: macOS Monterey.
Вплив: віддалений користувач може спричинити відмову в обслуговуванні.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2023-2953: Сандіпан Рой (Sandipan Roy)
OpenSSH
Цільовий продукт: macOS Monterey.
Вплив: програма може отримувати доступ до парольних фраз SSH.
Опис: проблему вирішено шляхом додаткових обмежень щодо спостережуваності станів програми.
CVE-2023-42829: Джеймс Даффі (James Duffy, mangoSecure)
Запис додано 22 грудня 2023 р.
PackageKit
Цільовий продукт: macOS Monterey.
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з логікою вирішено завдяки поліпшенню обмежень.
CVE-2023-38259: Міккі Джин (Mickey Jin, @patch1t)
PackageKit
Цільовий продукт: macOS Monterey.
Вплив: програма може змінювати захищені частини файлової системи.
Опис: проблему з доступом вирішено за допомогою додаткових обмежень.
CVE-2023-38602: Арсеній Костромін (Arsenii Kostromin, 0x3c3e)
Security
Цільовий продукт: macOS Monterey.
Вплив: програма може знімати відбитки пальців користувача.
Опис: проблему вирішено шляхом видалення вразливого коду.
CVE-2023-42831: Джеймс Даффі (James Duffy, mangoSecure)
Запис додано 22 грудня 2023 р.
Shortcuts
Цільовий продукт: macOS Monterey.
Вплив: швидка команда може змінювати конфіденційні налаштування програми «Швидкі команди».
Опис: проблему вирішено завдяки вдосконаленню обмежень доступу.
CVE-2023-32442: анонімний дослідник
sips
Цільовий продукт: macOS Monterey.
Вплив: обробка файлу може викликати відмову в обслуговуванні або розкрити вміст пам’яті.
Опис: проблему з читанням за межами виділеної області пам’яті усунено завдяки вдосконаленню перевірки вводу.
CVE-2023-32443: Девід Хойт (David Hoyt) із Hoyt LLC
Software Update
Цільовий продукт: macOS Monterey.
Вплив: програма може отримувати права кореневого користувача.
Опис: проблему з виникненням умови змагання вирішено завдяки вдосконаленню керування станами.
CVE-2023-42832: Арсеній Костромін (Arsenii Kostromin, 0x3c3e)
Запис додано 22 грудня 2023 р.
SQLite
Цільовий продукт: macOS Monterey.
Вплив: програма може обходити параметри приватності.
Опис: проблему вирішено завдяки додаванню додаткових обмежень на ведення журналу SQLite.
CVE-2023-32422: Гергелі Кальман (Gergely Kalman @gergely_kalman) і Войцех Регула (Wojciech Reguła) із SecuRing (wojciechregula.blog)
Запис додано 8 вересня 2023 р.
SystemMigration
Цільовий продукт: macOS Monterey.
Вплив: програма може обходити параметри приватності.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2023-32429: Веньчао Лі (Wenchao Li) та Сяолун Бай (Xiaolong Bai) із Hangzhou Orange Shield Information Technology Co., Ltd.
Запис додано 27 липня 2023 р.
tcpdump
Цільовий продукт: macOS Monterey.
Вплив: зловмисник із привілейованим положенням у мережі може виконати довільний код.
Опис: проблему записування за межами виділеної пам’яті вирішено завдяки вдосконаленню перевірки вводу.
CVE-2023-1801
Запис додано 22 грудня 2023 р.
Vim
Цільовий продукт: macOS Monterey.
Вплив: виявлено кілька проблем у Vim.
Опис: кілька проблем вирішено завдяки оновленню Vim.
CVE-2023-2426
CVE-2023-2609
CVE-2023-2610
Запис додано 22 грудня 2023 р.
Weather
Цільовий продукт: macOS Monterey.
Вплив: програма може визначити поточне розташування користувача.
Опис: цю проблему вирішено за допомогою покращеного редагування конфіденційної інформації.
CVE-2023-38605: користувач Adam M.
Запис додано 8 вересня 2023 р.
Додаткова подяка
Дякуємо за допомогу Парве Анвару (Parvez Anwar).
Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.