Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του macOS Monterey 12.6.8

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του macOS Monterey 12.6.8.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά CVE-ID όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

macOS Monterey 12.6.8

Accessibility

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα ανάγνωσης ευαίσθητων πληροφοριών τοποθεσίας

Περιγραφή: Ένα ζήτημα απορρήτου αντιμετωπίστηκε με βελτιωμένη έκδοση απόρρητων δεδομένων για τις εγγραφές του αρχείου καταγραφής.

CVE-2023-40442: Nick Brook

Apple Neural Engine

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2023-34425: pattern-f (@pattern_F_) της Ant Security Light-Year Lab

AppSandbox

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Μια διεργασία sandbox μπορεί να αποκτήσει τη δυνατότητα να παρακάμψει τους περιορισμούς του sandbox

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.

CVE-2023-32364: Gergely Kalman (@gergely_kalman)

Assets

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να τροποποιήσει προστατευμένα τμήματα του συστήματος αρχείων

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη προστασία δεδομένων.

CVE-2023-35983: Mickey Jin (@patch1t)

CFNetwork

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα ανάγνωσης ευαίσθητων πληροφοριών τοποθεσίας

Περιγραφή: Ένα ζήτημα απορρήτου αντιμετωπίστηκε με βελτιωμένη έκδοση απόρρητων δεδομένων για τις εγγραφές του αρχείου καταγραφής.

CVE-2023-40392: Wojciech Regula της SecuRing (wojciechregula.blog)

CUPS

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Ένας χρήστης σε προνομιακή θέση δικτύου ενδέχεται να μπορεί να διαρρεύσει ευαίσθητες πληροφορίες

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2023-34241: Sei K.

curl

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Πολλαπλά προβλήματα στο curl

Περιγραφή: Πολλά προβλήματα αντιμετωπίστηκαν με την ενημέρωση του curl.

CVE-2023-28319

CVE-2023-28320

CVE-2023-28321

CVE-2023-28322

Find My

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα ανάγνωσης ευαίσθητων πληροφοριών τοποθεσίας

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.

CVE-2023-32416: Wojciech Regula της SecuRing (wojciechregula.blog)

FontParser

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Η επεξεργασία ενός αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα. Η Apple έχει λάβει υπόψη της μια αναφορά ότι μπορεί να έχει γίνει ενεργή εκμετάλλευση αυτού του προβλήματος σε εκδόσεις του iOS που κυκλοφόρησαν πριν από την έκδοση iOS 15.7.1.

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό των μνημών cache.

CVE-2023-41990: Apple, Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) και Boris Larin (@oct0xor) της Kaspersky

Grapher

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Η επεξεργασία ενός αρχείου μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2023-36854: Bool της YunShangHuaAn(云上华安)

CVE-2023-32418: Bool της YunShangHuaAn(云上华安)

Kernel

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Ένας απομακρυσμένος χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2023-38603: Zweig του Kunlun Lab

Kernel

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Ένας απομακρυσμένος χρήστης ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό συστήματος ή να καταστρέψει τη μνήμη πυρήνα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2023-38590: Zweig του Kunlun Lab

Kernel

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use-after-free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2023-38598: Mohamed GHANNAM (@_simo36)

Kernel

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Μια υπερχείλιση ακεραίων αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.

CVE-2023-36495: 香农的三蹦子 του Pangu Lab

Kernel

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2023-37285: Arsenii Kostromin (0x3c3e)

Kernel

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2023-38604: ανώνυμος ερευνητής

Kernel

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use-after-free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2023-32381: ανώνυμος ερευνητής

CVE-2023-32433: Zweig του Kunlun Lab

CVE-2023-35993: Kaitao Xie και Xiaolong Bai της Alibaba Group

Kernel

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να τροποποιήσει ευαίσθητη κατάσταση πυρήνα. Η Apple έχει λάβει υπόψη της μια αναφορά ότι μπορεί να έχει γίνει ενεργή εκμετάλλευση αυτού του προβλήματος σε εκδόσεις του iOS που κυκλοφόρησαν πριν από την έκδοση iOS 15.7.1.

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2023-38606: Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) και Boris Larin (@oct0xor) της Kaspersky

Kernel

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14) της STAR Labs SG Pte. Ltd.

Kernel

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Ένας απομακρυσμένος χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2023-38603: Zweig του Kunlun Lab

libxpc

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει προνόμια ρίζας

Περιγραφή: Ένα πρόβλημα χειρισμού διαδρομής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2023-38565: Zhipeng Huo (@R3dF09) του Tencent Security Xuanwu Lab (xlab.tencent.com)

libxpc

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2023-38593: Noah Roskin-Frazee

Mail

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Ένα email με κρυπτογράφηση S/MIME μπορεί να αποσταλεί ακούσια μη κρυπτογραφημένο

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης των email με κρυπτογράφηση S/MIME.

CVE-2023-40440: Taavi Eomäe από τη Zone Media OÜ

Music

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να παρακάμψει τις προτιμήσεις Απορρήτου

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με τη βελτιωμένη επαλήθευση symlinks.

CVE-2023-38571: Gergely Kalman (@gergely_kalman)

Model I/O

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Η επεξεργασία ενός τρισδιάστατου μοντέλου μπορεί να οδηγήσει σε αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2023-38421: Mickey Jin (@patch1t), και Michael DePlante (@izobashi) της πρωτοβουλίας Zero Day Initiative της Trend Micro

CVE-2023-38258: Mickey Jin (@patch1t)

Model I/O

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Η επεξεργασία ενός ειδώλου μπορεί να οδηγήσει σε αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2023-1916

ncurses

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2023-29491: Jonathan Bar Or της Microsoft, Emanuele Cozzi της Microsoft και Michael Pearse της Microsoft

Net-SNMP

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να τροποποιήσει προστατευμένα τμήματα του συστήματος αρχείων

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.

CVE-2023-38601: Csaba Fitzl (@theevilbit) της Offensive Security

NSSpellChecker

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Μια διεργασία sandbox μπορεί να αποκτήσει τη δυνατότητα να παρακάμψει τους περιορισμούς του sandbox

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2023-32444: Mickey Jin (@patch1t)

OpenLDAP

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Ένας απομακρυσμένος χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2023-2953: Sandipan Roy

OpenSSH

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε συνθηματικά SSH

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με πρόσθετους περιορισμούς σχετικά με την παρατηρησιμότητα των καταστάσεων της εφαρμογής.

CVE-2023-42829: James Duffy (mangoSecure)

PackageKit

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.

CVE-2023-38259: Mickey Jin (@patch1t)

PackageKit

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να τροποποιήσει προστατευμένα τμήματα του συστήματος αρχείων

Περιγραφή: Ένα πρόβλημα με τα δικαιώματα αντιμετωπίστηκε με πρόσθετους περιορισμούς.

CVE-2023-38602: Arsenii Kostromin (0x3c3e)

Security

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να πάρει το δακτυλικό αποτύπωμα χρήστη

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.

CVE-2023-42831: James Duffy (mangoSecure)

Shortcuts

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Μια συντόμευση ενδέχεται να μπορεί να τροποποιήσει ευαίσθητες ρυθμίσεις της εφαρμογής Συντομεύσεις

Περιγραφή: Ένα πρόβλημα πρόσβασης αντιμετωπίστηκε με βελτιωμένους περιορισμούς πρόσβασης.

CVE-2023-32442: ανώνυμος ερευνητής

sips

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Η επεξεργασία ενός αρχείου μπορεί να οδηγήσει σε άρνηση υπηρεσίας ή ενδεχομένως να αποκαλύψει περιεχόμενα της μνήμης

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2023-32443: David Hoyt της Hoyt LLC

Software Update

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει προνόμια ρίζας

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού κατάστασης.

CVE-2023-42832: Arsenii Kostromin (0x3c3e)

SQLite

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να παρακάμψει τις προτιμήσεις Απορρήτου

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με την προσθήκη επιπλέον περιορισμών καταγραφής SQLite.

CVE-2023-32422: Gergely Kalman (@gergely_kalman) και Wojciech Regula της SecuRing (wojciechregula.blog)

SystemMigration

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να παρακάμψει τις προτιμήσεις Απορρήτου

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2023-32429: Wenchao Li και Xiaolong Bai της Hangzhou Orange Shield Information Technology Co., Ltd.

tcpdump

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2023-1801

Vim

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Πολλαπλά προβλήματα στο Vim

Περιγραφή: Πολλαπλά προβλήματα αντιμετωπίστηκαν με την ενημέρωση του Vim.

CVE-2023-2426

CVE-2023-2609

CVE-2023-2610

Weather

Διατίθεται για: macOS Monterey

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να προσδιορίσει την τρέχουσα τοποθεσία ενός χρήστη

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη απάλειψη ευαίσθητων πληροφοριών.

CVE-2023-38605: Adam M.

Επιπλέον αναγνώριση

Mail

Θα θέλαμε να ευχαριστήσουμε τον Parvez Anwar για τη βοήθειά του.