Відомості про оновлення системи безпеки Apple
Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски див. в статті Оновлення системи безпеки Apple.
У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.
Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.
macOS Monterey 12.7.5
Випущено 13 травня 2024 р.
Core Data
Цільовий продукт: macOS Monterey.
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему вирішено завдяки вдосконаленню перевірки змінних середовища.
CVE-2024-27805: Kirin (@Pwnrin) і 小来来 (@Smi1eSEC)
Запис додано 10 червня 2024 р.
CoreMedia
Цільовий продукт: macOS Monterey.
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2024-27817: pattern-f (@pattern_F_) з Ant Security Light-Year Lab
Запис додано 10 червня 2024 р.
CoreMedia
Цільовий продукт: macOS Monterey.
Вплив: обробка файлу може призводити до несподіваного завершення роботи програми або виконання довільного коду.
Опис: проблему записування за межами виділеної пам’яті вирішено завдяки вдосконаленню перевірки вводу.
CVE-2024-27831: Amir Bazine і Karsten König із CrowdStrike Counter Adversary Operations
Запис додано 10 червня 2024 р.
Disk Management
Цільовий продукт: macOS Monterey.
Вплив: користувач може підвищувати рівень привілеїв.
Опис: проблему з авторизацією вирішено завдяки вдосконаленню керування станами.
CVE-2024-27798: Yann Gascuel з Alter Solutions
Запис додано 10 червня 2024 р.
Find My
Цільовий продукт: macOS Monterey.
Вплив: шкідлива програма може отримувати доступ до даних програми «Локатор».
Опис: проблему вирішено шляхом удосконалення редагування конфіденційної інформації.
CVE-2024-23229: Joshua Jewett (@JoshJewett33)
Foundation
Цільовий продукт: macOS Monterey.
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.
CVE-2024-27789: Mickey Jin (@patch1t)
IOHIDFamily
Цільовий продукт: macOS Monterey.
Вплив: непривілейована програма може реєструвати натискання клавіш в інших програмах, зокрема тих, які використовують безпечний режим введення.
Опис: цю проблему вирішено завдяки додатковим перевіркам на відповідність вимогам.
CVE-2024-27799: анонімний дослідник
Запис додано 10 червня 2024 р.
Kernel
Цільовий продукт: macOS Monterey.
Вплив: зловмисник, який уже дійшов до виконання коду в ядрі, може обходити засоби захисту пам’яті ядра.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2024-27840: анонімний дослідник
Запис додано 10 червня 2024 р.
Maps
Цільовий продукт: macOS Monterey.
Вплив: програма може отримувати доступ до конфіденційних даних про геопозицію.
Опис: проблему з обробкою шляху вирішено завдяки поліпшенню перевірки.
CVE-2024-27810: LFY@secsys з Університету Фудань
Запис додано 10 червня 2024 р.
Messages
Цільовий продукт: macOS Monterey.
Вплив: обробка шкідливого повідомлення може призводити до відмови в обслуговуванні.
Опис: проблему вирішено шляхом видалення вразливого коду.
CVE-2024-27800: Daniel Zajork і Joshua Zajork
Запис додано 10 червня 2024 р.
Metal
Цільовий продукт: macOS Monterey.
Вплив: обробка шкідливого файлу може призводити до несподіваного завершення роботи програми або виконання довільного коду.
Опис: проблему з читанням за межами виділеної області пам’яті усунено завдяки вдосконаленню перевірки вводу.
CVE-2024-27802: Meysam Firouzi (@R00tkitsmm), що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»
Запис додано 10 червня 2024 р.
PackageKit
Цільовий продукт: macOS Monterey.
Вплив: програма може змінювати захищені частини файлової системи.
Опис: проблему усунено завдяки поліпшенню перевірки символьних посилань.
CVE-2024-27885: Mickey Jin (@patch1t)
Запис додано 10 червня 2024 р.
PackageKit
Цільовий продукт: macOS Monterey.
Вплив: програма може підвищувати рівень привілеїв.
Опис: проблему вирішено шляхом видалення вразливого коду.
CVE-2024-27824: Pedro Tôrres (@t0rr3sp3dr0)
Запис додано 10 червня 2024 р.
SharedFileList
Цільовий продукт: macOS Monterey.
Вплив: програма може підвищувати рівень привілеїв.
Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.
CVE-2024-27843: Mickey Jin (@patch1t)
Запис додано 10 червня 2024 р.
Spotlight
Цільовий продукт: macOS Monterey.
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: цю проблему вирішено завдяки поліпшенню очищення середовища.
CVE-2024-27806
Запис додано 10 червня 2024 р.
Sync Services
Цільовий продукт: macOS Monterey.
Вплив: програма може обходити параметри приватності.
Опис: цю проблему вирішено завдяки вдосконаленню перевірок
CVE-2024-27847: Mickey Jin (@patch1t)
Запис додано 10 червня 2024 р.
Voice Control
Цільовий продукт: macOS Monterey.
Вплив: користувач може підвищувати рівень привілеїв.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2024-27796: ajajfxhj
Запис додано 10 червня 2024 р.
Додаткова подяка
App Store
Дякуємо за допомогу анонімному досліднику.