Tietoja macOS Monterey 12.6.6:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan macOS Monterey 12.6.6:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
macOS Monterey 12.6.6
Julkaistu 18.5.2023
Accessibility
Saatavuus: macOS Monterey
Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2023-32388: Kirin (@Pwnrin)
AppleEvents
Saatavuus: macOS Monterey
Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.
Kuvaus: Ongelma ratkaistiin parantamalla arkaluonteisten tietojen sensurointia.
CVE-2023-28191: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Saatavuus: macOS Monterey
Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.
Kuvaus: ongelma on ratkaistu parannetuilla oikeuksilla.
CVE-2023-32411: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Saatavuus: macOS Monterey
Vaikutus: appi saattoi pystyä lisäämään ohjelmakoodia Xcodella koostettuihin kriittisiin binaaritiedostoihin.
Kuvaus: ongelma korjattiin pakottamalla järjestelmätason vahvistettu käytönaikainen suojaus binaaritiedostoille, joihin ongelma vaikutti.
CVE-2023-32383: James Duffy (mangoSecure)
Contacts
Saatavuus: macOS Monterey
Vaikutus: appi saattoi pystyä tarkastelemaan suojaamattomia käyttäjätietoja.
Kuvaus: Tietosuojaongelma on ratkaistu parantamalla tilapäisten tiedostojen käsittelyä.
CVE-2023-32386: Kirin (@Pwnrin)
CUPS
Saatavuus: macOS Monterey
Vaikutus: todentautumaton käyttäjä saattoi pystyä käyttämään äskettäin tulostettuja asiakirjoja.
Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2023-32360: Gerhard Muth
dcerpc
Saatavuus: macOS Monterey
Vaikutus: etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2023-32387: Dimitrios Tatsis (Cisco Talos)
Dev Tools
Saatavuus: macOS Monterey
Vaikutus: eristetty appi saattoi pystyä keräämään järjestelmälokeja.
Kuvaus: ongelma on ratkaistu parannetuilla oikeuksilla.
CVE-2023-27945: Mickey Jin (@patch1t)
GeoServices
Saatavuus: macOS Monterey
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2023-32392: Adam M.
Kohta päivitetty 21.12.2023
ImageIO
Saatavuus: macOS Monterey
Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-23535: ryuzaki
ImageIO
Saatavuus: macOS Monterey
Vaikutus: kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: puskurin ylivuoto on korjattu parantamalla rajojen tarkistusta.
CVE-2023-32384: Meysam Firouzi (@R00tkitSMM) yhteistyössä Trend Micro Zero Day Initiativen kanssa
IOSurface
Saatavuus: macOS Monterey
Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia kernelin tilatietoja.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2023-32410: hou xuewei (@p1ay8y3ar) vmk msu
Kernel
Saatavuus: macOS Monterey
Vaikutus: eristetty appi saattoi pystyä tarkastelemaan järjestelmänlaajuisia verkkoyhteyksiä.
Kuvaus: ongelma ratkaistiin lisäämällä käyttöoikeuksien tarkistuksia.
CVE-2023-27940: James Duffy (mangoSecure)
Kernel
Saatavuus: macOS Monterey
Vaikutus: appi saattoi saada pääkäyttöoikeudet.
Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.
CVE-2023-32413: Trend Micro Zero Day Initiativen parissa työskentelevä Eloi Benoist-Vanderbeken (@elvanderb, Synacktiv, @Synacktiv)
Kernel
Saatavuus: macOS Monterey
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2023-32398: Adam Doupé (ASU SEFCOM)
LaunchServices
Saatavuus: macOS Monterey
Vaikutus: appi saattoi ohittaa Gatekeeper-tarkistukset.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2023-32352: Wojciech Reguła (@_r3ggi, SecuRing, wojciechregula.blog)
libxpc
Saatavuus: macOS Monterey
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2023-32369: Jonathan Bar Or (Microsoft), Anurag Bohra (Microsoft) ja Michael Pearse (Microsoft)
libxpc
Saatavuus: macOS Monterey
Vaikutus: appi saattoi saada pääkäyttöoikeudet.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2023-32405: Thijs Alkemade (@xnyhps, Computest Sector 7)
MallocStackLogging
Saatavuus: macOS Monterey
Vaikutus: appi saattoi saada pääkäyttöoikeudet.
Kuvaus: ongelma on ratkaistu parantamalla tiedostojen käsittelyä.
CVE-2023-32428: Gergely Kalman (@gergely_kalman)
Kohta lisätty 21.12.2023
Metal
Saatavuus: macOS Monterey
Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
Model I/O
Saatavuus: macOS Monterey
Vaikutus: 3D-mallin käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2023-32375: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)
CVE-2023-32382: Mickey Jin (@patch1t)
CVE-2023-32368: Mickey Jin (@patch1t)
Model I/O
Saatavuus: macOS Monterey
Vaikutus: 3D-mallin käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2023-32380: Mickey Jin (@patch1t)
NetworkExtension
Saatavuus: macOS Monterey
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.
Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen poistamista.
CVE-2023-32403: Adam M.
Kohta päivitetty 21.12.2023
PackageKit
Saatavuus: macOS Monterey
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2023-32355: Mickey Jin (@patch1t)
Perl
Saatavuus: macOS Monterey
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2023-32395: Arsenii Kostromin (0x3c3e)
Quick Look
Saatavuus: macOS Monterey
Vaikutus: Office-tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mahdollistaa mielivaltaisen ohjelmakoodin suorittamisen.
Kuvaus: puskurin ylivuoto on korjattu parantamalla rajojen tarkistusta.
CVE-2023-32401: Holger Fuhrmannek (Deutsche Telekom Security GmbH, BSI / German Federal Office for Information Securityn puolesta)
Kohta lisätty 21.12.2023
Sandbox
Saatavuus: macOS Monterey
Vaikutus: Appi saattoi pystyä säilyttämään järjestelmän määritystietojen käyttöoikeudet, vaikka apin lupa kumottiin.
Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Jeff Johnson, Koh M. Nakagawa (FFRI Security, Inc.), Kirin (@Pwnrin) ja Csaba Fitzl (@theevilbit, Offensive Security)
Shell
Saatavuus: macOS Monterey
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2023-32397: Arsenii Kostromin (0x3c3e)
Telephony
Saatavuus: macOS Monterey
Vaikutus: etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2023-32412: Ivan Fratric (Google Project Zero)
TV App
Saatavuus: macOS Monterey
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.
Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.
CVE-2023-32408: Adam M.
Kiitokset
libxml2
Haluamme kiittää avusta OSS-Fuzzia sekä Ned Williamsonia (Google Project Zero).
Reminders
Haluamme kiittää avusta Kiriniä (@Pwnrin).
Security
Haluamme kiittää avusta James Duffya (mangoSecure).
Wi-Fi
Kiitämme Adam M:ää hänen antamastaan avusta.
Kohta päivitetty 21.12.2023
Wi-Fi Connectivity
Kiitämme Adam M:ää hänen antamastaan avusta.
Kohta päivitetty 21.12.2023
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.