アップルからセキュリティアップデートのmacOS Monterey 12.7.6とセキュリティアップデートのSafari 17.6が公開されていたのでM1 Mac miniとIntel Mac miniにインストール、適用させました。M1 Macは20分ぐらいで終わったかな。Intelのは結構かかった感。
アップデート内容は
macOS Monterey 12.7.6 -- 再起動が必要です
このアップデートには重要なセキュリティ修正が含まれ、すべてのユーザに推奨されます。
Appleソフトウェア・アップデートのセキュリティコンテンツについては、以下のWebサイトをご覧ください:
https://support.apple.com/ja-jp/HT201222
でファイルサイズが1.59GB。
Safari 17.6
このアップデートでは、 重要な問題の修正およびセキュリティアップデートが含まれます。
このアップデートのセキュリティコンテンツについて詳しくは、次のサイトを参照してください:
https://support.apple.com/kb/HT201222
でファイルサイズが156MB。
アップデートしたSafariのユーザーエージェントは
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/17.6 Safari/605.1.15
でございますな。
詳細なアップデートは下記。
★macOS Monterey 12.7.6 のセキュリティコンテンツについて - Apple サポート (日本)
macOS Monterey 12.7.6
2024 年 7 月 29 日リリース
APFS
対象 OS:macOS Monterey
影響:悪意のあるアプリケーションがプライバシーの環境設定を回避する可能性がある。
説明:この問題は、データコンテナへのアクセス制限を改善することで解決しました。
CVE-2024-40783:Kandji の Csaba Fitzl 氏 (@theevilbit)
Apple Neural Engine
対象 OS:macOS Monterey
影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2024-27826:Minghao Lin 氏および Baidu Security の Ye Zhang 氏 (@VAR10CK)
AppleMobileFileIntegrity
対象 OS:macOS Monterey
影響:アプリが重要なユーザ情報を漏洩させる可能性がある。
説明:コード署名の制限を追加で設けて、ダウングレードの問題に対処しました。
CVE-2024-40775:Mickey Jin 氏 (@patch1t)
AppleMobileFileIntegrity
対象 OS:macOS Monterey
影響:アプリがプライバシーの環境設定を回避する可能性がある。
説明:コード署名の制限を追加で設けて、ダウングレードの問題に対処しました。
CVE-2024-40774:Mickey Jin 氏 (@patch1t)
AppleVA
対象 OS:macOS Monterey
影響:悪意を持って作成されたファイルを処理すると、サービス運用妨害を受ける可能性や、メモリのコンテンツが漏洩する可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2024-27877:Trend Micro Zero Day Initiative の Michael DePlante 氏 (@izobashi)
CoreGraphics
対象 OS:macOS Monterey
影響:悪意を持って作成されたファイルを処理すると、アプリが予期せず終了する可能性がある。
説明:入力検証を強化して、領域外読み込みの脆弱性に対処しました。
CVE-2024-40799:D4m0n 氏
CoreMedia
対象 OS:macOS Monterey
影響:悪意を持って作成されたビデオファイルを処理すると、アプリが予期せず終了する可能性がある。
説明:入力検証を強化することで、領域外書き込みの脆弱性に対処しました。
CVE-2024-27873:CrowdStrike Counter Adversary Operations の Amir Bazine 氏および Karsten König 氏
curl
対象 OS:macOS Monterey
影響:curl に複数の脆弱性がある。
説明:これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトには Apple ソフトウェアも含まれます。CVE-ID はサードパーティによって割り当てられました。この問題や CVE-ID について詳しくは、cve.org を確認してください。
CVE-2024-2004
CVE-2024-2379
CVE-2024-2398
CVE-2024-2466
DesktopServices
対象 OS:macOS Monterey
影響:アプリが任意のファイルに上書きできる可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-40827:匿名の研究者
Disk Management
対象 OS:macOS Monterey
影響:悪意のあるアプリがルート権限を取得できる可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-40828:Mickey Jin 氏 (@patch1t)
ImageIO
対象 OS:macOS Monterey
影響:画像を処理すると、サービス運用妨害を受ける可能性がある。
説明:これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトには Apple ソフトウェアも含まれます。CVE-ID はサードパーティによって割り当てられました。この問題や CVE-ID について詳しくは、cve.org を確認してください。
CVE-2023-6277
CVE-2023-52356
ImageIO
対象 OS:macOS Monterey
影響:悪意を持って作成されたファイルを処理すると、アプリが予期せず終了する可能性がある。
説明:入力検証を強化して、領域外読み込みの脆弱性に対処しました。
CVE-2024-40806:Yisumi 氏
Kernel
対象 OS:macOS Monterey
影響:ローカルの攻撃者にシステムを突然終了される可能性がある。
説明:入力検証を強化することで、領域外読み込みに対処しました。
CVE-2024-40816:sqrtpwn 氏
Kernel
対象 OS:macOS Monterey
影響:ローカルの攻撃者にシステムを突然終了される可能性がある。
説明:メモリ処理を強化し、型の取り違え (type confusion) の脆弱性に対処しました。
CVE-2024-40788:Zhejiang University の Minghao Lin 氏および Jiaxun Zhu 氏
Keychain Access
対象 OS:macOS Monterey
影響:攻撃者にアプリを突然終了される可能性がある。
説明:チェックを強化し、型の取り違え (type confusion) の脆弱性に対処しました。
CVE-2024-40803:DoubleYou および Objective-See Foundation の Patrick Wardle 氏
NetworkExtension
対象 OS:macOS Monterey
影響:プライベートブラウズで一部の閲覧履歴が漏洩する可能性がある。
説明:ログエントリに対するプライバシーデータの墨消しを改善することで、プライバシーの問題に対処しました。
CVE-2024-40796:Adam M. 氏
OpenSSH
対象 OS:macOS Monterey
影響:リモートの攻撃者によって任意のコードが実行される可能性がある。
説明:これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトには Apple ソフトウェアも含まれます。CVE-ID はサードパーティによって割り当てられました。この問題や CVE-ID について詳しくは、cve.org を確認してください。
CVE-2024-6387
PackageKit
対象 OS:macOS Monterey
影響:ローカルの攻撃者が権限を昇格できる場合がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-40781:Mickey Jin 氏 (@patch1t)
CVE-2024-40802:Mickey Jin 氏 (@patch1t)
PackageKit
対象 OS:macOS Monterey
影響:アプリが重要なユーザデータにアクセスできる可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-40823:JingDong の Dawn Security Lab の Zhongquan Li 氏 (@Guluisacat)
PackageKit
対象 OS:macOS Monterey
影響:ファイルシステムの保護された部分をアプリに変更されるおそれがある。
説明:制限を強化し、アクセス権の問題に対処しました。
CVE-2024-27882:Mickey Jin 氏 (@patch1t)
CVE-2024-27883:Kandji の Csaba Fitzl 氏 (@theevilbit)、Mickey Jin 氏 (@patch1t)
Restore Framework
対象 OS:macOS Monterey
影響:ファイルシステムの保護された部分をアプリに変更されるおそれがある。
説明:入力検証を強化し、入力検証の脆弱性に対処しました。
CVE-2024-40800:Cisco Talos の Claudio Bozzato 氏および Francesco Benvenuto 氏
RTKit
対象 OS:macOS Monterey
影響:任意のカーネル読み書き権限を持つ攻撃者が、カーネルメモリ保護を回避できる可能性がある。Apple では、この脆弱性が悪用された可能性があるという報告を把握しています。
説明:検証を強化し、メモリ破損の脆弱性に対処しました。
CVE-2024-23296
Safari
対象 OS:macOS Monterey
影響:悪意のあるコンテンツが含まれる Web サイトを表示すると、UI が偽装される可能性があります。
説明:UI の処理を改善することで、この問題を解決しました。
CVE-2024-40817:Yadhu Krishna M 氏、Suma Soft Pvt. Ltd (インド、プネー) の Narendra Bhati 氏 (Manager of Cyber Security)
Scripting Bridge
対象 OS:macOS Monterey
影響:アプリがユーザの連絡先に関する情報にアクセスできる可能性がある。
説明:ログエントリに対するプライバシーデータの墨消しを改善することで、プライバシーの問題に対処しました。
CVE-2024-27881:Kirin 氏 (@Pwnrin)
Security
対象 OS:macOS Monterey
影響:他社製のアプリの機能拡張に、サンドボックスの正しい制限が課されない場合がある。
説明:サンドボックスの制限を追加で設けて、アクセス関連の脆弱性に対処しました。
CVE-2024-40821:Joshua Jones 氏
Security
対象 OS:macOS Monterey
影響:アプリが Safari の閲覧履歴を読み取れる可能性がある。
説明:機微情報の墨消しを改善することで、この問題に対処しました。
CVE-2024-40798:Adam M. 氏
Shortcuts
対象 OS:macOS Monterey
影響:ショートカットが特定のアクションで、ユーザに確認することなく機微なユーザデータを使用できる可能性がある。
説明:チェックを強化し、ロジックの脆弱性に対処しました。
CVE-2024-40833:匿名の研究者
CVE-2024-40835:匿名の研究者
CVE-2024-40807:匿名の研究者
Shortcuts
対象 OS:macOS Monterey
影響:ショートカットがショートカットアプリの機微な設定情報を回避する可能性がある。
説明:ユーザの同意を求めるメッセージを追加することで、この問題に対処しました。
CVE-2024-40834:Tanto Security の Marcio Almeida 氏
Shortcuts
対象 OS:macOS Monterey
影響:インターネットのアクセス権の要件をショートカットが回避してしまう場合がある。
説明:ユーザの同意を求めるメッセージを追加することで、この問題に対処しました。
CVE-2024-40787:匿名の研究者
Shortcuts
対象 OS:macOS Monterey
影響:アプリが重要なユーザデータにアクセスできる可能性がある。
説明:この問題は、脆弱なコードを削除することで解決されました。
CVE-2024-40793:Kirin 氏 (@Pwnrin)
Shortcuts
対象 OS:macOS Monterey
影響:インターネットのアクセス権の要件をショートカットが回避してしまう場合がある。
説明:チェックを強化し、ロジックの脆弱性に対処しました。
CVE-2024-40809:匿名の研究者
CVE-2024-40812:匿名の研究者
Time Zone
対象 OS:macOS Monterey
影響:攻撃者が、別のユーザの情報を読み取ることができる場合がある。
説明:ステート管理を改善し、ロジックの問題に対処しました。
CVE-2024-23261:Matthew Loewen 氏
★Safari 17.6 のセキュリティコンテンツについて - Apple サポート (日本)
Safari 17.6
2024 年 7 月 29 日リリース
Safari
対象:macOS Monterey および macOS Ventura
影響:悪意のあるコンテンツが含まれる Web サイトを表示すると、UI が偽装される可能性があります。
説明:UI の処理を改善することで、この問題を解決しました。
CVE-2024-40817:Yadhu Krishna M 氏、Suma Soft Pvt. Ltd (インド、プネー) の Narendra Bhati 氏 (Manager of Cyber Security)
WebKit
対象:macOS Monterey および macOS Ventura
影響:悪意を持って作成された Web コンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。
説明:メモリ管理を強化し、解放済みメモリ使用 (use-after-free) の脆弱性に対処しました。
WebKit Bugzilla:273176
CVE-2024-40776:Ant Group Light-Year Security Lab の Huang Xilin 氏
WebKit Bugzilla:268770
CVE-2024-40782:Maksymilian Motyl 氏
WebKit
対象:macOS Monterey および macOS Ventura
影響:悪意を持って作成された Web コンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。
説明:配列境界チェック機能を改善することで、領域外読み込みの脆弱性に対処しました。
WebKit Bugzilla:275431
CVE-2024-40779:Ant Group Light-Year Security Lab の Huang Xilin 氏
WebKit Bugzilla:275273
CVE-2024-40780:Ant Group Light-Year Security Lab の Huang Xilin 氏
WebKit
対象:macOS Monterey および macOS Ventura
影響:悪意を持って作成された Web コンテンツを処理すると、クロスサイトスクリプティング攻撃につながるおそれがある。
説明:この問題は、チェックを強化することで解決されました。
WebKit Bugzilla:273805
CVE-2024-40785:Johan Carlsson 氏 (joaxcar)
WebKit
対象:macOS Monterey および macOS Ventura
影響:悪意を持って作成された Web コンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。
説明:配列境界チェック機能を改善することで、領域外アクセスの脆弱性に対処しました。
CVE-2024-40789:Trend Micro Zero Day Initiative に協力する KAIST Hacking Lab の Seunghyun Lee 氏 (@0x10n)
WebKit
対象:macOS Monterey および macOS Ventura
影響:悪意を持って作成された Web コンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。
説明:これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトには Apple ソフトウェアも含まれます。CVE-ID はサードパーティによって割り当てられました。この問題や CVE-ID について詳しくは、cve.org を確認してください。
WebKit Bugzilla:274165
CVE-2024-4558
WebKit
対象:macOS Monterey および macOS Ventura
影響:プライベートブラウズのタブに、認証されないままアクセスできる可能性がある。
説明:ステート管理を改善し、この問題に対処しました。
WebKit Bugzilla:275272
CVE-2024-40794:Matthew Butler 氏
です。