macOS Monterey 12.7.4のセキュリティコンテンツについて

macOS Monterey 12.7.4のセキュリティコンテンツについて説明します。

Appleセキュリティアップデートについて

Appleでは、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Appleのセキュリティリリース」ページに一覧形式でまとめています。

Appleのセキュリティ関連の文書では、可能な場合、脆弱性のCVE-ID に言及しています。

セキュリティについて詳しくは、Apple製品のセキュリティに関するページを参照してください。

macOS Monterey 12.7.4

Admin Framework

対象OS：macOS Monterey

影響：アプリが権限を昇格させることが可能な場合がある。

説明：チェックを強化し、ロジックの脆弱性に対処しました。

CVE-2024-23276：Kirin氏（@Pwnrin）

AirMac

対象OS：macOS Monterey

影響：アプリが重要な位置情報を読み取れる可能性がある。

説明：機微情報の墨消しを改善することで、この問題に対処しました。

CVE-2024-23227：Brian McNulty氏

AppleMobileFileIntegrity

対象OS：macOS Monterey

影響：ファイルシステムの保護された部分をアプリに変更されるおそれがある。

説明：Intel搭載モデルのMacコンピュータでダウングレードの問題が起きていましたが、コード署名の制限を追加することで対処しました。

CVE-2024-23269：Mickey Jin氏（@patch1t）

ColorSync

対象OS：macOS Monterey

影響：ファイルを処理すると、アプリが予期せず終了したり、任意のコードが実行される可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2024-23247：Qi'anxin GroupのLegendsecのTianGong Teamのm4yfly氏

CoreCrypto

対象OS：macOS Monterey

影響：攻撃者が、レガシーのRSA PKCS#1 v1.5の暗号文を秘密鍵がなくても復号化できてしまう場合があある。

説明：暗号化機能の演算処理の時間差をなくすよう改善し、タイミングサイドチャネル攻撃の問題に対処しました。

CVE-2024-23218：Clemens Lang氏

Disk Images

対象OS：macOS Monterey

影響：アプリがサンドボックスを破って外部で実行される可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-23299：匿名の研究者

Dock

対象OS：macOS Monterey

影響：通常ユーザアカウントで入手したアプリが、管理者ユーザがログインした後で権限を昇格できる可能性がある。

説明：制限を強化し、ロジックの脆弱性に対処しました。

CVE-2024-23244：OffSecのCsaba Fitzl氏（@theevilbit）

Image Processing

対象OS：macOS Monterey

影響：アプリがカーネル権限で任意のコードを実行できる可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2024-23270：匿名の研究者

ImageIO

対象OS：macOS Monterey

影響：画像を処理すると、任意のコードが実行される可能性がある。

説明：メモリ処理を強化し、バッファオーバーフローの脆弱性に対処しました。

CVE-2024-23286：Trend Micro Zero Day Initiativeに取り組んでいるJunsung Lee氏、CrowdStrike Counter Adversary OperationsのAmir Bazine氏およびKarsten König氏、Dohyun Lee氏（@l33d0hyun）、およびLyutoon氏とMr.R氏

ImageIO

対象OS：macOS Monterey

影響：画像を処理すると、プロセスメモリが漏洩する可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2024-23257：Trend Micro Zero Day Initiativeに協力するJunsung Lee氏

Intel Graphics Driver

対象OS：macOS Monterey

影響：アプリがカーネル権限で任意のコードを実行できる可能性がある。

説明：入力検証を強化することで、領域外書き込みの脆弱性に対処しました。

CVE-2024-23234：Murray Mike氏

Kerberos v5 PAM module

対象OS：macOS Monterey

影響：ファイルシステムの保護された部分をアプリに変更されるおそれがある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-23266：Pedro Tôrres氏（@t0rr3sp3dr0）

Kernel

対象OS：macOS Monterey

影響：アプリにシステムを突然終了されたり、カーネルメモリに書き込まれる可能性がある。

説明：ロック処理を強化し、メモリ破損の脆弱性に対処しました。

CVE-2024-23265：Pangu LabのXinru Chi氏

Kernel

対象OS：macOS Monterey

影響：任意のカーネル読み書き権限を持つ攻撃者が、カーネルメモリ保護を回避できる可能性がある。Appleでは、この脆弱性が悪用された可能性があるという報告を把握しています。

説明：検証を強化し、メモリ破損の脆弱性に対処しました。

CVE-2024-23225

libxpc

対象OS：macOS Monterey

影響：アプリからサービス運用妨害を受ける可能性がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2024-23201：FFRI Security, Inc.のKoh M. Nakagawa氏、匿名の研究者

MediaRemote

対象OS：macOS Monterey

影響：アプリがユーザの機微データにアクセスできる可能性がある。

説明：機微情報の墨消しを改善することで、この問題に対処しました。

CVE-2023-28826：NorthSeaのMeng Zhang（鲸落）氏

Metal

対象OS：macOS Monterey

影響：アプリケーションが、制限されたメモリを読み取れる可能性がある。

説明：入力のサニタイズ処理を強化し、検証の脆弱性に対処しました。

CVE-2024-23264：Trend Micro Zero Day Initiativeに協力するMeysam Firouzi氏（@R00tkitsmm）

Notes

対象OS：macOS Monterey

影響：アプリが重要なユーザデータにアクセスできる可能性がある。

説明：ログエントリに対するプライバシーデータの墨消しを改善することで、プライバシーの問題に対処しました。

CVE-2024-23283

PackageKit

対象OS：macOS Monterey

影響：アプリが権限を昇格させることが可能な場合がある。

説明：入力検証を強化し、インジェクションの脆弱性に対処しました。

CVE-2024-23274：Bohdan Stasiuk氏（@Bohdan_Stasiuk）

CVE-2024-23268：Mickey Jin氏（@patch1t）、Pedro Tôrres氏（@t0rr3sp3dr0）

PackageKit

対象OS：macOS Monterey

影響：アプリが保護されたユーザデータにアクセスできる可能性がある。

説明：検証を追加することで、競合状態に対処しました。

CVE-2024-23275：Mickey Jin氏（@patch1t）

PackageKit

対象OS：macOS Monterey

影響：アプリが一部のプライバシーの環境設定を回避する可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-23267：Mickey Jin氏（@patch1t）

PackageKit

対象OS：macOS Monterey

影響：アプリが任意のファイルに上書きできる可能性がある。

説明：検証を強化して、パスの処理における脆弱性に対処しました。

CVE-2024-23216：Pedro Tôrres氏（@t0rr3sp3dr0）

SharedFileList

対象OS：macOS Monterey

影響：アプリがユーザの機微データにアクセスできる可能性がある。

説明：この問題は、ファイルの処理を改善することで解決されました。

CVE-2024-23230：Mickey Jin氏（@patch1t）

Shortcuts

対象OS：macOS Monterey

影響：ショートカットが特定のアクションで、ユーザに確認することなく機微なユーザデータを使用できる可能性がある。

説明：アクセス権のチェックを追加で設けることで、この問題に対処しました。

CVE-2024-23204：Jubaer Alnazi氏（@h33tjubaer）

Shortcuts

対象OS：macOS Monterey

影響：サードパーティのショートカットがAutomatorのレガシーアクションを使って、ユーザの同意なくアプリにイベントを送信する場合がある。

説明：ユーザの同意を求めるメッセージを追加することで、この問題に対処しました。

CVE-2024-23245：匿名の研究者

Storage Services

対象OS：macOS Monterey

影響：ユーザがファイルシステムの保護された部分へのアクセス権を取得できる可能性がある。

説明：チェックを強化し、ロジックの脆弱性に対処しました。

CVE-2024-23272：Mickey Jin氏（@patch1t）

Transparency

対象OS：macOS Monterey

影響：アプリがユーザの機微データにアクセスできる可能性がある。

説明：この問題は、データコンテナへのアクセス制限を改善することで解決しました。

CVE-2023-40389：Offensive SecurityのCsaba Fitzl氏（@theevilbit）、およびJoshua Jewett氏（@JoshJewett33）

ご協力いただいたその他の方々

Messages

Petar Mataić氏のご協力に感謝いたします。