關於 macOS Monterey 12.7.4 的安全性內容

本文說明 macOS Monterey 12.7.4 的安全性內容。

關於 Apple 安全性更新

為保障客戶的安全，Apple 在進行調查並提供修補程式或版本之前，不會揭露、討論或確認安全性問題。最新版本列於「Apple 安全性發布」頁面上。

Apple 安全性文件會盡可能以 CVE-ID 參照安全漏洞。

如需安全性的詳細資訊，請參閱 Apple 產品安全性頁面。

macOS Monterey 12.7.4

Admin Framework

適用於：macOS Monterey

影響：App 或許可以提高權限

說明：改進檢查機制後，已解決邏輯問題。

CVE-2024-23276：Kirin（@Pwnrin）

AirPort

適用於：macOS Monterey

影響：App 或許可以讀取敏感的位置資訊

說明：改進敏感資訊修訂機制後，已解決此問題。

CVE-2024-23227：Brian McNulty

AppleMobileFileIntegrity

適用於：macOS Monterey

影響：App 或許可以修改檔案系統的受保護部分

說明：增加編碼簽名限制機制後，已解決影響配備 Intel 處理器的 Mac 電腦的降級問題。

CVE-2024-23269：Mickey Jin（@patch1t）

ColorSync

適用於：macOS Monterey

影響：處理檔案時，可能導致 App 意外終止或執行任何程式碼

說明：改進記憶體處理機制後，已解決此問題。

CVE-2024-23247：m4yfly 與 Qi'anxin Group Legendsec 的 TianGong Team

CoreCrypto

適用於：macOS Monterey

影響：攻擊者或許可以不使用專用密鑰，即可解密舊式的 RSA PKCS#1 v1.5 密文

說明：改進加密函數中的恆定時間計算機制後，已解決計時旁通道問題。

CVE-2024-23218：Clemens Lang

Disk Images

適用於：macOS Monterey

影響：App 或許可以打破其沙箱

說明：改進檢查機制後，已解決此問題。

CVE-2024-23299：匿名研究員

Dock

適用於：macOS Monterey

影響：標準使用者帳號的 App 或許可以在管理使用者登入後提高權限

說明：改進限制機制後，已解決邏輯問題。

CVE-2024-23244：OffSec 的 Csaba Fitzl（@theevilbit）

Image Processing

適用於：macOS Monterey

影響：App 或許可以利用核心權限執行任何程式碼

說明：改進記憶體處理機制後，已解決此問題。

CVE-2024-23270：匿名研究員

ImageIO

適用於：macOS Monterey

影響：處理影像可能導致執行任何程式碼

說明：改進記憶體處理機制後，已解決緩衝區溢位問題。

CVE-2024-23286：Junsung Lee（與 Trend Micro Zero Day Initiative 合作）、CrowdStrike Counter Adversary Operations 的 Amir Bazine 和 Karsten König、Dohyun Lee（@l33d0hyun），以及 Lyutoon and Mr.R

ImageIO

適用於：macOS Monterey

影響：處理影像可能導致程序記憶體外洩

說明：改進記憶體處理機制後，已解決此問題。

CVE-2024-23257：Junsung Lee（與 Trend Micro Zero Day Initiative 合作）

Intel Graphics Driver

適用於：macOS Monterey

影響：App 或許可以利用核心權限執行任何程式碼

說明：改進輸入驗證機制後，已解決超出界限的寫入問題。

CVE-2024-23234：Murray Mike

Kerberos v5 PAM module

適用於：macOS Monterey

影響：App 或許可以修改檔案系統的受保護部分

說明：改進檢查機制後，已解決此問題。

CVE-2024-23266：Pedro Tôrres（@t0rr3sp3dr0）

Kernel

適用於：macOS Monterey

影響：App 或許可以導致系統意外終止或寫入核心記憶體

說明：改進鎖定機制後，已解決記憶體損毀漏洞問題。

CVE-2024-23265：Pangu Lab 的 Xinru Chi

Kernel

適用於：macOS Monterey

影響：具備任何核心讀寫能力的攻擊者，或許可以規避核心記憶體的防護機制。Apple 知道有報告指出，有人利用此問題來攻擊。

說明：改進驗證機制後，已解決記憶體損毀問題。

CVE-2024-23225

libxpc

適用於：macOS Monterey

影響：App 或許可以導致阻斷服務

說明：增加限制機制後，已解決權限問題。

CVE-2024-23201：FFRI Security, Inc. 的 Koh M. Nakagawa，以及匿名研究員

MediaRemote

適用於：macOS Monterey

影響：App 或許可以存取敏感的使用者資料

說明：改進敏感資訊修訂機制後，已解決此問題。

CVE-2023-28826：NorthSea 的 Meng Zhang（鯨落）

Metal

適用於：macOS Monterey

影響：應用程式或許可以讀取受限制的記憶體

說明：改進輸入清理機制後，已解決驗證問題。

CVE-2024-23264：Meysam Firouzi @R00tkitsmm（與 Trend Micro Zero Day Initiative 合作）

Notes

適用於：macOS Monterey

影響：App 或許可以存取使用者的敏感資料

說明：改進記錄項目的私人資料修訂機制後，已解決隱私權問題。

CVE-2024-23283

PackageKit

適用於：macOS Monterey

影響：App 或許可以提高權限

說明：改進輸入驗證機制後，已解決注入問題。

CVE-2024-23274：Bohdan Stasiuk（@Bohdan_Stasiuk）

CVE-2024-23268：Mickey Jin（@patch1t）和 Pedro Tôrres（@t0rr3sp3dr0）

PackageKit

適用於：macOS Monterey

影響：App 或許可以存取受保護的使用者資料

說明：增加驗證機制後，已解決競爭條件問題。

CVE-2024-23275：Mickey Jin（@patch1t）

PackageKit

適用於：macOS Monterey

影響：App 或許可以規避某些「隱私權」偏好設定

說明：改進檢查機制後，已解決此問題。

CVE-2024-23267：Mickey Jin（@patch1t）

PackageKit

適用於：macOS Monterey

影響：App 或許可以覆寫任何檔案

說明：改進驗證機制後，已解決路徑處理問題。

CVE-2024-23216：Pedro Tôrres（@t0rr3sp3dr0）

SharedFileList

適用於：macOS Monterey

影響：App 或許可以存取敏感的使用者資料

說明：改進檔案處理機制後，已解決此問題。

CVE-2024-23230：Mickey Jin（@patch1t）

Shortcuts

適用於：macOS Monterey

影響：捷徑或許可以在未提示使用者的情況下，透過特定動作來使用敏感資料

說明：新增額外的權限檢查機制後，已解決此問題。

CVE-2024-23204：Jubaer Alnazi（@h33tjubaer）

Shortcuts

適用於：macOS Monterey

影響：第三方捷徑可能會使用 Automator 中的舊版動作，在未經使用者同意的情況下將行程傳送至其他 App

說明：額外加入提示使用者同意的機制後，已解決此問題。

CVE-2024-23245：匿名研究員

Storage Services

適用於：macOS Monterey

影響：使用者或許可以存取檔案系統受保護的部分

說明：改進檢查機制後，已解決邏輯問題。

CVE-2024-23272：Mickey Jin（@patch1t）

Transparency

適用於：macOS Monterey

影響：App 或許可以存取敏感的使用者資料

說明：改進資料容器存取的限制機制後，已解決此問題。

CVE-2023-40389: Offensive Security 的 Csaba Fitzl（@theevilbit）和 Joshua Jewett（@JoshJewett33）