Obsah zabezpečenia v systéme macOS Monterey 12.7.5

V tomto dokumente sa popisuje obsah zabezpečenia v systéme macOS Monterey 12.7.5.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke s vydaniami zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.

macOS Monterey 12.7.5

Core Data

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením overovania premenných prostredia.

CVE-2024-27805: Kirin (@Pwnrin) a 小来来 (@Smi1eSEC)

CoreMedia

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-27817: pattern-f (@pattern_F_), Ant Security Light-Year Lab

CoreMedia

Dostupné pre: macOS Monterey

Dopad: Spracovanie súboru môže viesť k neočakávanému ukončeniu apky alebo k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2024-27831: Amir Bazine a Karsten König z CrowdStrike Counter Adversary Operations

Disk Management

Dostupné pre: macOS Monterey

Dopad: Užívateľ môže byť schopný zvýšiť úroveň oprávnení

Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2024-27798: Yann GASCUEL (Alter Solutions)

Find My

Dostupné pre: macOS Monterey

Dosah: Apka so škodlivým kódom môže byť schopná získať prístup k dátam služby Nájsť

Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.

CVE-2024-23229: Joshua Jewett (@JoshJewett33)

Foundation

Dostupné pre: macOS Monterey

Dosah: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2024-27789: Mickey Jin (@patch1t)

IOHIDFamily

Dostupné pre: macOS Monterey

Vplyv: Neprivilegovaná aplikácia môže byť schopná zaznamenávať stlačené klávesy v iných aplikáciách vrátane tých, ktoré používajú zabezpečený vstupný režim.

Popis: Tento problém bol vyriešený dodatočnými kontrolami oprávnení.

CVE-2024-27799: anonymný výskumník

Kernel

Dostupné pre: macOS Monterey

Dopad: Útočník, ktorý už dosiahol spustenie kódu jadra, môže byť schopný obísť ochranu pamäte jadra.

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-27840: anonymný výskumník

Kernel

Dostupné pre: macOS Monterey

Vplyv: Útočník v privilegovanej pozícii v sieti môže byť schopný falšovať sieťové pakety

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením zamykania.

CVE-2024-27823: Benny Pinkas z Bar-Ilan University, Prof. Amit Klein z Hebrejskej univerzity a EP

Maps

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná čítať citlivé informácie o polohe

Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením overovania.

CVE-2024-27810: LFY@secsys z univerzity Fudan

Messages

Dostupné pre: macOS Monterey

Dopad: Spracovanie správy so škodlivým kódom môže viesť k odmietnutiu služby.

Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2024-27800: Daniel Zajork a Joshua Zajork

Metal

Dostupné pre: macOS Monterey

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

PackageKit

Dostupné pre: macOS Monterey

Dosah: Apka môže byť schopná upravovať chránené časti súborového systému

Popis: Tento problém bol vyriešený vylepšením overovania symbolických odkazov.

CVE-2024-27885: Mickey Jin (@patch1t)

PackageKit

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná zvyšovať úroveň oprávnení

Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2024-27824: Pedro Tôrres (@t0rr3sp3dr0)

SharedFileList

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná zvyšovať úroveň oprávnení

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2024-27843: Mickey Jin (@patch1t)

Spotlight

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Tento problém bol vyriešený vylepšením čistenia prostredia.

CVE-2024-27806

Sync Services

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná obísť nastavenia súkromia

Popis: Tento problém bol vyriešený vylepšením kontrol

CVE-2024-27847: Mickey Jin (@patch1t)

Voice Control

Dostupné pre: macOS Monterey

Dopad: Užívateľ môže byť schopný zvýšiť úroveň oprávnení

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-27796: ajajfxhj

Ďalšie poďakovanie

App Store

Poďakovanie za pomoc si zaslúži anonymný výskumník.