Om sikkerhetsinnholdet i macOS Monterey 12.7.5

Dette dokumentet beskriver sikkerhetsinnholdet i macOS Monterey 12.7.5.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apples sikkerhetsutgivelser.

Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.

For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.

macOS Monterey 12.7.5

Utgitt 13. mai 2024

Core Data

Tilgjengelig for: macOS Monterey

Virkning: Et program kan få tilgang til sensitive brukerdata

Beskrivelse: Et problem ble løst ved å forbedre valideringen av miljøvariabler.

CVE-2024-27805: Kirin (@Pwnrin) og 小来来 (@Smi1eSEC)

Oppføring lagt til 10. juni 2024

CoreMedia

Tilgjengelig for: macOS Monterey

Virkning: Et program kan utilsiktet kjøre kode med kjernerettigheter

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-27817: pattern-f (@pattern_F_) fra Ant Security Light-Year Lab

Oppføring lagt til 10. juni 2024

CoreMedia

Tilgjengelig for: macOS Monterey

Virkning: Behandling av en fil kan føre til uventet appavslutning eller kjøring av vilkårlig kode

Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.

CVE-2024-27831: Amir Bazine og Karsten König fra CrowdStrike Counter Adversary Operations

Oppføring lagt til 10. juni 2024

Disk Management

Tilgjengelig for: macOS Monterey

Virkning: En bruker kan være i stand til å utvide rettigheter

Beskrivelse: Et problem med autorisering ble løst gjennom forbedret tilstandshåndtering.

CVE-2024-27798: Yann GASCUEL fra Alter Solutions

Oppføring lagt til 10. juni 2024

Find My

Tilgjengelig for: macOS Monterey

Virkning: En skadelig app kan få tilgang til Hvor er?-data

Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.

CVE-2024-23229: Joshua Jewett (@JoshJewett33)

Foundation

Tilgjengelig for: macOS Monterey

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

CVE-2024-27789: Mickey Jin (@patch1t)

IOHIDFamily

Tilgjengelig for: macOS Monterey

Virkning: En uprivilegert app kan logge tastetrykk i andre apper, også apper som bruker sikker inntastingsmodus

Beskrivelse: Problemet ble løst gjennom ytterligere rettighetskontroller.

CVE-2024-27799: en anonym forsker

Oppføring lagt til 10. juni 2024

Kernel

Tilgjengelig for: macOS Monterey

Virkning: En angriper som allerede har oppnådd kjernekodekjøring, kan forbigå kjerneminnebeskyttelser

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2024-27840: en anonym forsker

Oppføring lagt til 10. juni 2024

Kernel

Tilgjengelig for: macOS Monterey

Virkning: En angriper med en nettverksplassering med rettigheter kan være i stand til å forfalske nettverkspakker

Beskrivelse: En kappløpssituasjon ble løst gjennom forbedret låsing.

CVE-2024-27823: Prof. Benny Pinkas fra Bar-Ilan University, Prof. Amit Klein fra Hebrew University og EP

Oppføring lagt til 29. juli 2024

Maps

Tilgjengelig for: macOS Monterey

Virkning: En app kan få tilgang til sensitiv stedsinformasjon

Beskrivelse: Et problem med banehåndtering ble løst gjennom forbedret validering.

CVE-2024-27810: LFY@secsys fra Fudan University

Oppføring lagt til 10. juni 2024

Messages

Tilgjengelig for: macOS Monterey

Virkning: Behandling av en skadelig melding kan føre til tjenestenekt

Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.

CVE-2024-27800: Daniel Zajork og Joshua Zajork

Oppføring lagt til 10. juni 2024

Metal

Tilgjengelig for: macOS Monterey

Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning eller kjøring av vilkårlig kode

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) i samarbeid med Trend Micro Zero Day Initiative

Oppføring lagt til 10. juni 2024

PackageKit

Tilgjengelig for: macOS Monterey

Virkning: En app kan endre beskyttede deler av filsystemet

Beskrivelse: Problemet ble løst gjennom forbedret symlink-validering.

CVE-2024-27885: Mickey Jin (@patch1t)

Oppføring lagt til 10. juni 2024

PackageKit

Tilgjengelig for: macOS Monterey

Virkning: En app kan utvide rettigheter

Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.

CVE-2024-27824: Pedro Tôrres (@t0rr3sp3dr0)

Oppføring lagt til 10. juni 2024

SharedFileList

Tilgjengelig for: macOS Monterey

Virkning: En app kan utvide rettigheter

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

CVE-2024-27843: Mickey Jin (@patch1t)

Oppføring lagt til 10. juni 2024

Spotlight

Tilgjengelig for: macOS Monterey

Virkning: Et program kan få tilgang til sensitive brukerdata

Beskrivelse: Problemet ble løst gjennom forbedret miljørensing.

CVE-2024-27806

Oppføring lagt til 10. juni 2024

Sync Services

Tilgjengelig for: macOS Monterey

Virkning: En app kan være i stand til å omgå personvernpreferanser

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-27847: Mickey Jin (@patch1t)

Oppføring lagt til 10. juni 2024

Voice Control

Tilgjengelig for: macOS Monterey

Virkning: En bruker kan være i stand til å utvide rettigheter

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-27796: ajajfxhj

Oppføring lagt til 10. juni 2024

Ytterligere anerkjennelser

App Store

Vi vil gjerne takke en anonym forsker for hjelpen.

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: