macOS Monterey 12.7.4 のセキュリティコンテンツについて

macOS Monterey 12.7.4 のセキュリティコンテンツについて説明します。

Apple セキュリティアップデートについて

Apple では、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Apple のセキュリティリリース」ページに一覧形式でまとめています。

Apple のセキュリティ関連の文書では、可能な場合、脆弱性の CVE-ID に言及しています。

セキュリティについて詳しくは、Apple 製品のセキュリティに関するページを参照してください。

macOS Monterey 12.7.4

Admin Framework

対象 OS：macOS Monterey

影響：アプリが権限を昇格させることが可能な場合がある。

説明：チェックを強化し、ロジックの脆弱性に対処しました。

CVE-2024-23276：Kirin 氏 (@Pwnrin)

AirMac

対象 OS：macOS Monterey

影響：アプリが重要な位置情報を読み取れる可能性がある。

説明：機微情報の墨消しを改善することで、この問題に対処しました。

CVE-2024-23227：Brian McNulty 氏

AppleMobileFileIntegrity

対象 OS：macOS Monterey

影響：ファイルシステムの保護された部分をアプリに変更されるおそれがある。

説明：Intel 搭載モデルの Mac コンピュータでダウングレードの問題が起きていましたが、コード署名の制限を追加することで対処しました。

CVE-2024-23269：Mickey Jin 氏 (@patch1t)

ColorSync

対象 OS：macOS Monterey

影響：ファイルを処理すると、アプリが予期せず終了したり、任意のコードが実行される可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2024-23247：Qi'anxin Group の Legendsec の TianGong Team の m4yfly 氏

CoreCrypto

対象 OS：macOS Monterey

影響：攻撃者が、レガシーの RSA PKCS#1 v1.5 の暗号文を秘密鍵がなくても復号化できてしまう場合があある。

説明：暗号化機能の演算処理の時間差をなくすよう改善し、タイミングサイドチャネル攻撃の問題に対処しました。

CVE-2024-23218：Clemens Lang 氏

Disk Images

対象 OS：macOS Monterey

影響：アプリがサンドボックスを破って外部で実行される可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-23299：匿名の研究者

Dock

対象 OS：macOS Monterey

影響：通常ユーザアカウントで入手したアプリが、管理者ユーザがログインした後で権限を昇格できる可能性がある。

説明：制限を強化し、ロジックの脆弱性に対処しました。

CVE-2024-23244：OffSec の Csaba Fitzl 氏 (@theevilbit)

Image Processing

対象 OS：macOS Monterey

影響：アプリがカーネル権限で任意のコードを実行できる可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2024-23270：匿名の研究者

ImageIO

対象 OS：macOS Monterey

影響：画像を処理すると、任意のコードが実行される可能性がある。

説明：メモリ処理を強化し、バッファオーバーフローの脆弱性に対処しました。

CVE-2024-23286：Trend Micro Zero Day Initiative に取り組んでいる Junsung Lee 氏、CrowdStrike Counter Adversary Operations の Amir Bazine 氏および Karsten König 氏、Dohyun Lee 氏 (@l33d0hyun)、および Lyutoon 氏と Mr.R 氏

ImageIO

対象 OS：macOS Monterey

影響：画像を処理すると、プロセスメモリが漏洩する可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2024-23257：Trend Micro Zero Day Initiative に協力する Junsung Lee 氏

Intel Graphics Driver

対象 OS：macOS Monterey

影響：アプリがカーネル権限で任意のコードを実行できる可能性がある。

説明：入力検証を強化することで、領域外書き込みの脆弱性に対処しました。

CVE-2024-23234：Murray Mike 氏

Kerberos v5 PAM module

対象 OS：macOS Monterey

影響：ファイルシステムの保護された部分をアプリに変更されるおそれがある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-23266：Pedro Tôrres 氏 (@t0rr3sp3dr0)

Kernel

対象 OS：macOS Monterey

影響：アプリにシステムを突然終了されたり、カーネルメモリに書き込まれる可能性がある。

説明：ロック処理を強化し、メモリ破損の脆弱性に対処しました。

CVE-2024-23265：Pangu Lab の Xinru Chi 氏

Kernel

対象 OS：macOS Monterey

影響：任意のカーネル読み書き権限を持つ攻撃者が、カーネルメモリ保護を回避できる可能性がある。Apple では、この脆弱性が悪用された可能性があるという報告を把握しています。

説明：検証を強化し、メモリ破損の脆弱性に対処しました。

CVE-2024-23225

libxpc

対象 OS：macOS Monterey

影響：アプリからサービス運用妨害を受ける可能性がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2024-23201：FFRI Security, Inc. の Koh M. Nakagawa 氏、匿名の研究者

MediaRemote

対象 OS：macOS Monterey

影響：アプリがユーザの機微データにアクセスできる可能性がある。

説明：機微情報の墨消しを改善することで、この問題に対処しました。

CVE-2023-28826：NorthSea の Meng Zhang (鲸落) 氏

Metal

対象 OS：macOS Monterey

影響：アプリケーションが、制限されたメモリを読み取れる可能性がある。

説明：入力のサニタイズ処理を強化し、検証の脆弱性に対処しました。

CVE-2024-23264：Trend Micro Zero Day Initiative に協力する Meysam Firouzi 氏 (@R00tkitsmm)

Notes

対象 OS：macOS Monterey

影響：アプリが重要なユーザデータにアクセスできる可能性がある。

説明：ログエントリに対するプライバシーデータの墨消しを改善することで、プライバシーの問題に対処しました。

CVE-2024-23283

PackageKit

対象 OS：macOS Monterey

影響：アプリが権限を昇格させることが可能な場合がある。

説明：入力検証を強化し、インジェクションの脆弱性に対処しました。

CVE-2024-23274：Bohdan Stasiuk 氏 (@Bohdan_Stasiuk)

CVE-2024-23268：Mickey Jin 氏 (@patch1t)、Pedro Tôrres 氏 (@t0rr3sp3dr0)

PackageKit

対象 OS：macOS Monterey

影響：アプリが保護されたユーザデータにアクセスできる可能性がある。

説明：検証を追加することで、競合状態に対処しました。

CVE-2024-23275：Mickey Jin 氏 (@patch1t)

PackageKit

対象 OS：macOS Monterey

影響：アプリが一部のプライバシーの環境設定を回避する可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-23267：Mickey Jin 氏 (@patch1t)

PackageKit

対象 OS：macOS Monterey

影響：アプリが任意のファイルに上書きできる可能性がある。

説明：検証を強化して、パスの処理における脆弱性に対処しました。

CVE-2024-23216：Pedro Tôrres 氏 (@t0rr3sp3dr0)

SharedFileList

対象 OS：macOS Monterey

影響：アプリがユーザの機微データにアクセスできる可能性がある。

説明：この問題は、ファイルの処理を改善することで解決されました。

CVE-2024-23230：Mickey Jin 氏 (@patch1t)

Shortcuts

対象 OS：macOS Monterey

影響：ショートカットが特定のアクションで、ユーザに確認することなく機微なユーザデータを使用できる可能性がある。

説明：アクセス権のチェックを追加で設けることで、この問題に対処しました。

CVE-2024-23204：Jubaer Alnazi 氏 (@h33tjubaer)

Shortcuts

対象 OS：macOS Monterey

影響：サードパーティのショートカットが Automator のレガシーアクションを使って、ユーザの同意なくアプリにイベントを送信する場合がある。

説明：ユーザの同意を求めるメッセージを追加することで、この問題に対処しました。

CVE-2024-23245：匿名の研究者

Storage Services

対象 OS：macOS Monterey

影響：ユーザがファイルシステムの保護された部分へのアクセス権を取得できる可能性がある。

説明：チェックを強化し、ロジックの脆弱性に対処しました。

CVE-2024-23272：Mickey Jin 氏 (@patch1t)

Transparency

対象 OS：macOS Monterey

影響：アプリがユーザの機微データにアクセスできる可能性がある。

説明：この問題は、データコンテナへのアクセス制限を改善することで解決しました。

CVE-2023-40389：Offensive Security の Csaba Fitzl 氏 (@theevilbit)、および Joshua Jewett 氏 (@JoshJewett33)