macOS Monterey 12.7.5のセキュリティコンテンツについて

macOS Monterey 12.7.5のセキュリティコンテンツについて説明します。

Appleセキュリティアップデートについて

Appleでは、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Appleのセキュリティリリース」ページに一覧形式でまとめています。

Appleのセキュリティ関連の文書では、可能な場合、脆弱性のCVE-ID に言及しています。

セキュリティについて詳しくは、Apple製品のセキュリティに関するページを参照してください。

macOS Monterey 12.7.5

AVEVideoEncoder

対象OS：macOS Monterey

影響：アプリがカーネル権限で任意のコードを実行できる可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2024-40771：匿名の研究者

Core Data

対象OS：macOS Monterey

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：環境変数の検証を改善することで、この問題に対処しました。

CVE-2024-27805：Kirin 氏 (@Pwnrin) および小来来氏 (@Smi1eSEC)

CoreMedia

対象OS：macOS Monterey

影響：アプリがカーネル権限で任意のコードを実行できる可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-27817：Ant Security Light-Year Labのpattern-f氏（@pattern_F_）

CoreMedia

対象OS：macOS Monterey

影響：ファイルを処理すると、アプリが予期せず終了したり、任意のコードが実行される可能性がある。

説明：入力検証を強化することで、領域外書き込みの脆弱性に対処しました。

CVE-2024-27831：CrowdStrike Counter Adversary OperationsのAmir Bazine氏およびKarsten König氏

Disk Management

対象OS：macOS Monterey

影響：ユーザが権限を昇格できる場合がある。

説明：ステート管理を改善し、認証の脆弱性に対処しました。

CVE-2024-27798：Alter SolutionsのYann GASCUEL氏

Find My

対象OS：macOS Monterey

影響：悪意のあるアプリケーションに、「探す」のデータにアクセスされる可能性がある。

説明：機微情報の墨消しを改善することで、この問題に対処しました。

CVE-2024-23229：Joshua Jewett氏（@JoshJewett33）

Foundation

対象OS：macOS Monterey

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：チェックを強化し、ロジックの脆弱性に対処しました。

CVE-2024-27789：Mickey Jin氏（@patch1t）

IOHIDFamily

対象OS：macOS Monterey

影響：権限のないアプリがセキュア入力モードを使用しているアプリを含むほかのアプリのキー操作をログできる可能性がある。

説明：この問題は、追加のエンタイトルメントチェックを設けることで解決されました。

CVE-2024-27799：匿名の研究者

Kernel

対象OS：macOS Monterey

影響：カーネルコードの実行をやり遂げた攻撃者が、カーネルメモリ保護を回避できる可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2024-27840：匿名の研究者

Kernel

対象OS：macOS Monterey

影響：ネットワーク上で特権的な地位を悪用した攻撃者に、ネットワークパケットを偽装される可能性がある。

説明：ロック処理を強化することで、競合状態の脆弱性に対処しました。

CVE-2024-27823：Bar-Ilan UniversityのProf. Benny Pinkas氏、Hebrew UniversityのProf. Amit Klein氏、EP氏

Maps

対象OS：macOS Monterey

影響：アプリが機微な位置情報を読み取れる可能性がある。

説明：検証を強化して、パスの処理における脆弱性に対処しました。

CVE-2024-27810：Fudan UniversityのLFY@secsys氏

Messages

対象OS：macOS Monterey

影響：悪意を持って作成されたメッセージを処理すると、サービス運用妨害を受ける可能性がある。

説明：この問題は、脆弱なコードを削除することで解決されました。

CVE-2024-27800：Daniel Zajork氏およびJoshua Zajork氏

Metal

対象OS：macOS Monterey

影響：悪意を持って作成された ファイルを処理すると、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。

説明：入力検証を強化することで、領域外読み込みに対処しました。

CVE-2024-27802：Trend Micro Zero Day Initiativeに協力するMeysam Firouzi氏（@R00tkitsmm）

PackageKit

対象OS：macOS Monterey

影響：ファイルシステムの保護された部分をアプリに変更されるおそれがある。

説明：シンボリックリンクの検証を改善することで、この問題に対処しました。

CVE-2024-27885：Mickey Jin氏（@patch1t）

PackageKit

対象OS：macOS Monterey

影響：アプリが権限を昇格させることが可能な場合がある。

説明：この問題は、脆弱なコードを削除することで解決されました。

CVE-2024-27824：Pedro Tôrres氏（@t0rr3sp3dr0）

SharedFileList

対象OS：macOS Monterey

影響：アプリが権限を昇格させることが可能な場合がある。

説明：チェックを強化し、ロジックの脆弱性に対処しました。

CVE-2024-27843：Mickey Jin氏（@patch1t）

Spotlight

対象OS：macOS Monterey

影響：アプリがユーザの機微データにアクセスできる可能性がある。

説明：この問題は、環境のサニタイズ処理を改善することで解決されました。

CVE-2024-27806

Sync Services

対象OS：macOS Monterey

影響：アプリがプライバシーの環境設定を回避する可能性がある。

説明：この問題は、チェックを強化することで解決されました。

CVE-2024-27847：Mickey Jin氏（@patch1t）

Voice Control

対象OS：macOS Monterey

影響：ユーザが権限を昇格できる場合がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-27796：ajajfxhj氏

ご協力いただいたその他の方々

App Store

匿名の研究者のご協力に感謝いたします。