Despre conținutul de securitate din macOS Monterey 12.7.5

Acest document descrie conținutul de securitate din macOS Monterey 12.7.5.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate în pagina Versiuni de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.

macOS Monterey 12.7.5

Core Data

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: a fost rezolvată o problemă prin îmbunătățirea validării variabilelor de mediu.

CVE-2024-27805: Kirin (@Pwnrin) și 小来来 (@Smi1eSEC)

CoreMedia

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-27817: pattern-f (@pattern_F_) (Ant Security Light-Year Lab)

CoreMedia

Disponibilitate pentru: macOS Monterey

Impact: procesarea unui fișier poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.

CVE-2024-27831: Amir Bazine și Karsten König de la CrowdStrike Counter Adversary Operations

Disk Management

Disponibilitate pentru: macOS Monterey

Impact: un utilizator poate să acorde privilegii superioare

Descriere: o problemă de autorizare a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2024-27798: Yann GASCUEL de la Alter Solutions

Find My

Disponibilitate pentru: macOS Monterey

Impact: O aplicație rău intenționată poate accesa date din aplicația Găsire

Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.

CVE-2024-23229: Joshua Jewett (@JoshJewett33)

Foundation

Disponibilitate pentru: macOS Monterey

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2024-27789: Mickey Jin (@patch1t)

IOHIDFamily

Disponibilitate pentru: macOS Monterey

Impact: O aplicație fără privilegii poate înregistra tastarea în alte aplicații, inclusiv cele care utilizează modul securizat de intrare

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite ale drepturilor.

CVE-2024-27799: un cercetător anonim

Kernel

Disponibilitate pentru: macOS Monterey

Impact: un atacator care a obținut deja executarea codului kernel poate reuși să evite protecțiile memoriei kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2024-27840: un cercetător anonim

Kernel

Disponibilitate pentru: macOS Monterey

Impact: este posibil ca un atacator aflat pe o poziție privilegiată în rețea să poată falsifica pachete de rețea

Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea blocării.

CVE-2024-27823: Prof. Benny Pinkas din cadrul Universității Bar-Ilan, Prof. Amit Klein din cadrul Universității Ebraice și EP

Maps

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate citi informații de localizare sensibile

Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.

CVE-2024-27810: LFY@secsys de la Fudan University

Messages

Disponibilitate pentru: macOS Monterey

Impact: procesarea unui mesaj creat cu rea intenție poate cauza o refuzare a serviciului

Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.

CVE-2024-27800: Daniel Zajork și Joshua Zajork

Metal

Disponibilitate pentru: macOS Monterey

Impact: procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2024-27802: Meysam Firouzi @R00tkitsmm în colaborare cu Trend Micro Zero Day Initiative

PackageKit

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere

Descriere: această problemă a fost rezolvată prin îmbunătățirea validării linkurilor simbolice.

CVE-2024-27885: Mickey Jin (@patch1t)

PackageKit

Disponibilitate pentru: macOS Monterey

Impact: este posibil ca o aplicație să ridice nivelul privilegiilor

Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.

CVE-2024-27824: Pedro Tôrres (@t0rr3sp3dr0)

SharedFileList

Disponibilitate pentru: macOS Monterey

Impact: este posibil ca o aplicație să ridice nivelul privilegiilor

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2024-27843: Mickey Jin (@patch1t)

Spotlight

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: această problemă a fost rezolvată printr-o igienizare îmbunătățită a mediului.

CVE-2024-27806

Sync Services

Disponibilitate pentru: macOS Monterey

Impact: o aplicație poate să ocolească preferințele de confidențialitate

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite

CVE-2024-27847: Mickey Jin (@patch1t)

Voice Control

Disponibilitate pentru: macOS Monterey

Impact: un utilizator poate să acorde privilegii superioare

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-27796: ajajfxhj

Alte mențiuni

App Store

Dorim să îi mulțumim unui cercetător anonim pentru asistență.