O obsahu zabezpečenia systému macOS Monterey 12.7.6

V tomto dokumente sa popisuje obsah zabezpečenia v systéme macOS Monterey 12.7.6.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.

O obsahu zabezpečenia systému macOS Monterey 12.7.6

Vydané 29. júla 2024

APFS

Dostupné pre: macOS Monterey

Dopad: Apka so škodlivým kódom môže byť schopná obísť nastavenia ochrany súkromia

Popis: Problém bol vyriešený vylepšením obmedzenia prístupu k dátovému kontajneru.

CVE-2024-40783: Csaba Fitzl (@theevilbit) z tímu Kandji

Apple Neural Engine

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-27826: Minghao Lin a Ye Zhang (@VAR10CK) z tímu Baidu Security

AppleMobileFileIntegrity

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná spôsobiť únik citlivých používateľských informácií

Popis: Problém so znížením úrovne bol riešený dodatočnými obmedzeniami pri podpisovaní kódu.

CVE-2024-40775: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná obísť nastavenia súkromia

Popis: Problém so znížením úrovne bol riešený dodatočnými obmedzeniami pri podpisovaní kódu.

CVE-2024-40774: Mickey Jin (@patch1t)

AppleVA

Dostupné pre: macOS Monterey

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k odopretiu služby alebo k potenciálnemu odhaleniu obsahu pamäte

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-27877: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

CoreGraphics

Dostupné pre: macOS Monterey

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2024-40799: D4m0n

CoreMedia

Dostupné pre: macOS Monterey

Dopad: Spracovanie videosúboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2024-27873: Amir Bazine a Karsten König z CrowdStrike Counter Adversary Operations

curl

Dostupné pre: macOS Monterey

Dopad: Viacero problémov v súčasti curl

Popis: Ide o riziko v kóde open source a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2024-2004

CVE-2024-2379

CVE-2024-2398

CVE-2024-2466

DesktopServices

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná prepisovať ľubovoľné súbory

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-40827: Anonymný výskumník

Disk Management

Dostupné pre: macOS Monterey

Dopad: Apka so škodlivým kódom môže byť schopná získať prístup k oprávneniam používateľa root

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-40828: Mickey Jin (@patch1t)

ImageIO

Dostupné pre: macOS Monterey

Dopad: Spracovanie obrázka môže viesť k odopretiu služby

Popis: Ide o riziko v kóde open source a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2023-6277

CVE-2023-52356

ImageIO

Dostupné pre: macOS Monterey

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2024-40806: Yisumi

Kernel

Dostupné pre: macOS Monterey

Vplyv: Lokálny útočník môže byť schopný spôsobiť neočakávané vypnutie systému

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2024-40816: sqrtpwn

Kernel

Dostupné pre: macOS Monterey

Vplyv: Lokálny útočník môže byť schopný spôsobiť neočakávané vypnutie systému

Opis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-40788: Minghao Lin a Jiaxun Zhu z univerzity v Če-ťiangu

Keychain Access

Dostupné pre: macOS Monterey

Dopad: Útočník môže byť schopný spôsobiť neočakávané ukončenie apky

Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením kontrol.

CVE-2024-40803: Patrick Wardle z tímu DoubleYou a Objective-See Foundation

NetworkExtension

Dostupné pre: macOS Monterey

Dopad: Pri súkromnom prehliadaní môže dôjsť k úniku histórie prehliadania

Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.

CVE-2024-40796: Adam M.

OpenSSH

Dostupné pre: macOS Monterey

Dosah: Vzdialený útočník môže byť schopný spôsobiť spustenie ľubovoľného kódu

Popis: Ide o riziko v kóde open source a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2024-6387

PackageKit

Dostupné pre: macOS Monterey

Dopad: Miestny útočník môže byť schopný zvýšiť úroveň svojich oprávnení

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-40781: Mickey Jin (@patch1t)

CVE-2024-40802: Mickey Jin (@patch1t)

PackageKit

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-40823: Zhongquan Li (@Guluisacat) z tímu Dawn Security Lab spoločnosti JingDong

PackageKit

Dostupné pre: macOS Monterey

Dosah: Apka môže byť schopná upravovať chránené časti súborového systému

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2024-27882: Mickey Jin (@patch1t)

CVE-2024-27883: Csaba Fitzl (@theevilbit) z tímu Kandji a Mickey Jin (@patch1t)

Restore Framework

Dostupné pre: macOS Monterey

Dosah: Apka môže byť schopná upravovať chránené časti súborového systému

Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2024-40800: Claudio Bozzato a Francesco Benvenuto z tímu Cisco Talos

RTKit

Dostupné pre: macOS Monterey

Dopad: Útočník s ľubovoľným prístupom na čítanie jadra a zápis doň môže byť schopný obísť opatrenia na ochranu pamäte jadra. Spoločnosť Apple vie o hlásení o tom, že tento problém mohol byť zneužitý.

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.

CVE-2024-23296

Safari

Dostupné pre: macOS Monterey

Dopad: Návšteva stránky, ktorá obsahuje škodlivý obsah, môže viesť k sfalšovaniu používateľského rozhrania

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania používateľského rozhrania.

CVE-2024-40817: Yadhu Krishna M a Narendra Bhati, manažér kybernetickej bezpečnosti v spoločnosti Suma Soft Pvt. Ltd, Pune (India)

Scripting Bridge

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná získať prístup k informáciám o kontaktoch používateľa

Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.

CVE-2024-27881: Kirin (@Pwnrin)

Security

Dostupné pre: macOS Monterey

Dosah: Rozšírenia aplikácií tretej strany nemusia dostávať správne obmedzenia izolovaného priestoru

Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený používaním ďalších obmedzení sandboxu.

CVE-2024-40821: Joshua Jones

Security

Dostupné pre: macOS Monterey

Dopad: Apka môže byť schopná čítať históriu prehliadania v Safari

Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.

CVE-2024-40798: Adam M.

Shortcuts

Dostupné pre: macOS Monterey

Dopad: Skratka môže byť schopná používať pre určité akcie citlivé údaje bez zobrazenia výzvy pre používateľa

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2024-40833: Anonymný výskumník

CVE-2024-40835: Anonymný výskumník

CVE-2024-40807: Anonymný výskumník

Shortcuts

Dostupné pre: macOS Monterey

Dopad: Skratka môže byť schopná obchádzať citlivé nastavenia apky Skratky

Popis: Tento problém bol vyriešený pridaním ďalšej výzvy na získanie súhlasu používateľa.

CVE-2024-40834: Marcio Almeida z tímu Tanto Security

Shortcuts

Dostupné pre: macOS Monterey

Dopad: Skratka môže byť schopná obísť požiadavky internetových povolení

Popis: Tento problém bol vyriešený pridaním ďalšej výzvy na získanie súhlasu používateľa.

CVE-2024-40787: Anonymný výskumník

Shortcuts

Dostupné pre: macOS Monterey

Dosah: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2024-40793: Kirin (@Pwnrin)

Shortcuts

Dostupné pre: macOS Monterey

Dopad: Skratka môže byť schopná obísť požiadavky internetových povolení

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2024-40809: Anonymný výskumník

CVE-2024-40812: Anonymný výskumník

Siri

Dostupné pre: macOS Monterey

Dopad: Apka v sandboxe môže mať prístup k citlivým údajom používateľa v systémových protokoloch.

Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.

CVE-2024-44205: Jiahui Hu (梅零落) a Meng Zhang (鲸落) z NorthSea

Dátum pridania záznamu: 15. októbra 2024

Time Zone

Dostupné pre: macOS Monterey

Dopad: Útočník môže byť schopný čítať informácie patriace inému používateľovi

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2024-23261: Matthew Loewen

Ďalšie poďakovanie

Image Capture

Poďakovanie za pomoc si zaslúži anonymný výskumník.

Shortcuts

Poďakovanie za pomoc si zaslúži anonymný výskumník.

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.

Dátum zverejnenia: