Obsah zabezpečenia v systéme macOS Monterey 12.6.6
V tomto dokumente sa opisuje obsah zabezpečenia v systéme macOS Monterey 12.6.6.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
macOS Monterey 12.6.6
Dátum vydania: 18. mája 2023
Accessibility
Dostupné pre: macOS Monterey
Dosah: Apka môže byť schopná obísť nastavenia súkromia
Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2023-32388: Kirin (@Pwnrin)
AppleEvents
Dostupné pre: macOS Monterey
Dosah: Apka môže byť schopná obísť nastavenia súkromia
Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.
CVE-2023-28191: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Dostupné pre: macOS Monterey
Dosah: Apka môže byť schopná obísť nastavenia súkromia
Popis: Tento problém bol vyriešený vylepšením autorizácie.
CVE-2023-32411: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná vložiť kód do citlivých binárnych súborov, ktoré sú súčasťou Xcode
Popis: Tento problém bol vyriešený vynútením zabezpečeného chodu príslušných binárnych súborov na úrovni systému.
CVE-2023-32383: James Duffy (mangoSecure)
Contacts
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná sledovať nechránené používateľské dáta
Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením spracovania dočasných súborov.
CVE-2023-32386: Kirin (@Pwnrin)
CUPS
Dostupné pre: macOS Monterey
Dopad: Neoverený používateľ môže mať prístup k nedávno vytlačeným dokumentom
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-32360: Gerhard Muth
dcerpc
Dostupné pre: macOS Monterey
Dopad: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Dochádzalo k problému s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2023-32387: Dimitrios Tatsis (Cisco Talos)
Dev Tools
Dostupné pre: macOS Monterey
Dopad: Apka v sandboxe môže byť schopná zhromažďovať systémové protokoly
Popis: Tento problém bol vyriešený vylepšením autorizácie.
CVE-2023-27945: Mickey Jin (@patch1t)
GeoServices
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2023-32392: Adam M.
Dátum aktualizovania záznamu: 21. decembra 2023
ImageIO
Dostupné pre: macOS Monterey
Dopad: Spracovanie obrázka so škodlivým kódom môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-23535: ryuzaki
ImageIO
Dostupné pre: macOS Monterey
Dopad: Spracovanie obrázka môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2023-32384: Meysam Firouzi (@R00tkitsmm) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
IOSurface
Dostupné pre: macOS Monterey
Dosah: Apka môže byť schopná spôsobiť únik citlivých informácií o stave jadra
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2023-32410: hou xuewei (@p1ay8y3ar) vmk msu
Kernel
Dostupné pre: macOS Monterey
Dopad: Apka v sandboxe môže byť schopná sledovať sieťové pripojenia používané v celom systéme
Popis: Tento problém bol vyriešený pridaním ďalších kontrol povolení.
CVE-2023-27940: James Duffy (mangoSecure)
Kernel
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná získať oprávnenia používateľa root
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením spracovania stavu.
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) zo spoločnosti Synacktiv (@Synacktiv) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Kernel
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2023-32398: Adam Doupé (ASU SEFCOM)
LaunchServices
Dostupné pre: macOS Monterey
Dopad: Apka môže obísť kontroly služby Gatekeeper
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
CVE-2023-32352: Wojciech Reguła (@_r3ggi, SecuRing, wojciechregula.blog)
libxpc
Dostupné pre: macOS Monterey
Dosah: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-32369: Jonathan Bar Or (Microsoft), Anurag Bohra (Microsoft) a Michael Pearse (Microsoft)
libxpc
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná získať oprávnenia používateľa root
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
CVE-2023-32405: Thijs Alkemade (@xnyhps, Computest Sector 7)
MallocStackLogging
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná získať oprávnenia používateľa root
Popis: Tento problém bol vyriešený vylepšením spracovania súborov.
CVE-2023-32428: Gergely Kalman (@gergely_kalman)
Dátum pridania záznamu: 21. decembra 2023
Metal
Dostupné pre: macOS Monterey
Dosah: Apka môže byť schopná obísť nastavenia súkromia
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
Model I/O
Dostupné pre: macOS Monterey
Dopad: Spracovanie 3D modelu môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2023-32375: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)
CVE-2023-32382: Mickey Jin (@patch1t)
CVE-2023-32368: Mickey Jin (@patch1t)
Model I/O
Dostupné pre: macOS Monterey
Dopad: Spracovanie 3D modelu môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2023-32380: Mickey Jin (@patch1t)
NetworkExtension
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.
CVE-2023-32403: Adam M.
Dátum aktualizovania záznamu: 21. decembra 2023
PackageKit
Dostupné pre: macOS Monterey
Dosah: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-32355: Mickey Jin (@patch1t)
Perl
Dostupné pre: macOS Monterey
Dosah: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-32395: Arsenii Kostromin (0x3c3e)
Quick Look
Dostupné pre: macOS Monterey
Dopad: Analýza dokumentu balíka Office môže viesť k neočakávanému ukončeniu apky alebo k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2023-32401: Holger Fuhrmannek zo spoločnosti Deutsche Telekom Security GmbH v mene úradu BSI (Spolkový úrad pre bezpečnosť informačných technológií)
Dátum pridania záznamu: 21. decembra 2023
Sandbox
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná zachovať si prístup ku konfiguračným súborom systému aj po odvolaní jej povolenia
Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Jeff Johnson, Koh M. Nakagawa (FFRI Security, Inc.), Kirin (@Pwnrin) a Csaba Fitzl (@theevilbit, Offensive Security)
Shell
Dostupné pre: macOS Monterey
Dosah: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-32397: Arsenii Kostromin (0x3c3e)
Telephony
Dostupné pre: macOS Monterey
Dopad: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Dochádzalo k problému s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2023-32412: Ivan Fratric (Google Project Zero)
TV App
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.
CVE-2023-32408: Adam M.
Ďalšie poďakovanie
libxml2
Poďakovanie za pomoc si zaslúžia OSS-Fuzz a Ned Williamson (Google Project Zero).
Reminders
Poďakovanie za pomoc si zaslúži Kirin (@Pwnrin).
Security
Poďakovanie za pomoc si zaslúži James Duffy (mangoSecure).
Wi-Fi
Poďakovanie za pomoc si zaslúži Adam M.
Dátum aktualizovania záznamu: 21. decembra 2023
Wi-Fi Connectivity
Poďakovanie za pomoc si zaslúži Adam M.
Dátum aktualizovania záznamu: 21. decembra 2023
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.