周一，苹果不仅更新了 macOS Ventura，而且该公司还发布了 macOS Monterey 12.6.4 和 Big Sur 11.7.5，这是 Ventura 之前的两个操作系统。由于蒙特利和大苏尔较老，苹果不会对它们进行功能更新，但会不时发布安全更新。标准发行说明仅指出该更新”提供了重要的安全修复，建议所有用户使用。”

以下是安全更新详细信息

macOS Monterey 12.6.4 安全更新

以下安全更新适用于 macOS Monterey 12.7.4，尽管其中几个适用于 Monterey 和 Big苏尔机器：

苹果神经引擎

• 适用于：ma​​cOS Monterey/macOS Big Sur
• 影响：应用可能能够使用内核权限执行任意代码
• 描述：该问题已通过改进内存处理得到解决。
• CVE-2023-23540：Mohamed GHANNAM (@_simo36)

AppleMobileFileIntegrity

• 适用于：ma​​cOS Monterey/macOS Big Sur
• 影响：用户可能会获得对文件系统受保护部分的访问权限
• 描述：该问题已通过改进检查得到解决。
• CVE-2023-23527：Mickey Jin (@patch1t)

存档实用程序

• 适用于：ma​​cOS Monterey/macOS Big Sur
• 影响：存档可能能够绕过 Gatekeeper
• 描述：该问题已通过改进检查得到解决。
• CVE-2023-27951：Red Canary 的 Brandon Dalton 和 Offective Security 的 Csaba Fitzl (@theevilbit)

日历

• 适用于：ma​​cOS Monterey/macOS Big Sur
• 影响：导入恶意制作的日历邀请可能会泄露用户信息
• 说明：通过改进输入清理解决了多个验证问题。
• CVE-2023-27961：Rıza Sabuncu (@rizasabuncu)

色彩同步

• 适用于：ma​​cOS Monterey/macOS Big Sur
• 影响：应用可能能够读取任意文件
• 描述：该问题已通过改进检查得到解决。
• CVE-2023-27955： JeongOhKyea

通讯中心

• 适用于：ma​​cOS Monterey/macOS Big Sur
• 影响：应用可能会导致系统意外终止或写入内核内存
• 描述：越界写入问题已通过改进输入验证得到解决。
• CVE-2023-27936：清华大学的 Tingting Yin

dcerpc

• 适用于：ma​​cOS Monterey/macOS Big Sur
• 影响：远程用户可能会导致应用意外终止或任意代码执行
• 描述：该问题已通过改进边界检查得到解决。
• CVE-2023-27935： Cisco Talos 的 Aleksandar Nikolic

dcerpc

• 适用于：ma​​cOS Monterey/macOS Big Sur
• 影响：远程用户可能会导致系统意外终止或内核内存损坏
• 描述：该问题已通过改进内存处理得到解决。
• CVE-2023-27953：思科 Talos 的 Aleksandar Nikolic
• CVE-2023-27958： Cisco Talos 的 Aleksandar Nikolic

基础

• 适用于：ma​​cOS Monterey/macOS Big Sur
• 影响：解析恶意制作的 plist 可能会导致应用意外终止或任意代码执行
• 描述：已通过改进输入验证解决整数溢出问题。
• CVE-2023-27937：匿名研究人员

图像IO

• 适用于：ma​​cOS Monterey/macOS Big Sur
• 影响：处理恶意制作的文件可能会导致应用意外终止或任意代码执行
• 描述：已通过改进边界检查解决越界读取问题。
• CVE-2023-27946：Mickey Jin (@patch1t)

内核

• 适用于：ma​​cOS Monterey/macOS Big Sur
• 影响：应用可能能够使用内核权限执行任意代码
• 描述：已通过改进内存管理解决释放后使用问题。
• CVE-2023-23514：盘古实验室的 Xinru Chi 和 Google 零号项目的 Ned Williamson

内核

• 适用于：ma​​cOS 蒙特利
• 影响：具有 root 权限的应用可能能够使用内核权限执行任意代码
• 描述：该问题已通过改进内存处理得到解决。
• CVE-2023-27933： sqrtpwn

内核

• 适用于：ma​​cOS Monterey/macOS Big Sur
• 影响：应用可能会泄露内核内存
• 描述：通过改进输入清理解决了验证问题。
• CVE-2023-28200：Arsenii Kostromin (0x3c3e)

模型 I/O

• 适用于：ma​​cOS 蒙特利
• 影响：处理恶意制作的文件可能会导致应用意外终止或任意代码执行
• 描述：已通过改进输入验证解决越界读取问题。
• CVE-2023-27949：Mickey Jin (@patch1t)

网络扩展

• 适用于：ma​​cOS Monterey/macOS Big Sur
• 影响：拥有特权网络地位的用户可能能够欺骗在设备上配置了仅 EAP 身份验证的 VPN 服务器
• 描述：该问题已通过改进身份验证得到解决。
• CVE-2023-28182：张卓伟

PackageKit

• 适用于：ma​​cOS Monterey/macOS Big Sur
• 影响：应用或许能够修改文件系统的受保护部分
• 描述：已通过改进检查解决逻辑问题。
• CVE-2023-23538：Mickey Jin (@patch1t)
• CVE-2023-27962：Mickey Jin (@patch1t)

播客

• 适用于：ma​​cOS Monterey
• 影响：应用可能能够访问用户敏感数据
• 描述：该问题已通过改进检查得到解决。
• CVE-2023-27942：Mickey Jin (@patch1t)

沙盒

• 适用于：ma​​cOS Monterey
• 影响：应用或许能够修改文件系统的受保护部分
• 描述：已通过改进检查解决逻辑问题。
• CVE-2023-23533：FFRI Security, Inc. 的 Mickey Jin (@patch1t)、Koh M. Nakakawa 和 Offective Security 的 Csaba Fitzl (@theevilbit)

沙盒

• 适用于：ma​​cOS Monterey
• 影响：应用可能能够绕过隐私偏好设置
• 描述：已通过改进验证解决逻辑问题。
• CVE-2023-28178：Yiğit Can YILMAZ (@yilmazcanyigit)

快捷方式

• 适用于：ma​​cOS Monterey
• 影响：快捷方式可能能够在某些操作中使用敏感数据，而无需提示用户
• 描述：该问题已通过额外的权限检查得到解决。
• CVE-2023-27963：TRS Group Of Companies 的 Jubaer Alnazi Jabin 以及阿里巴巴集团的 Wenchao Li 和 Xilong Bai

系统设置

• 适用于：ma​​cOS Monterey/macOS Big Sur
• 影响：应用可能能够访问用户敏感数据
• 说明：通过改进日志条目的私人数据编辑功能解决了隐私问题。
• CVE-2023-23542：匿名研究人员

系统设置

• 适用于：ma​​cOS Monterey/macOS Big Sur
• 影响：应用可能能够读取敏感位置信息
• 说明：已通过改进验证解决权限问题。
• CVE-2023-28192： Best Buddy Apps 的 Guilherme Rambo (rambo.codes)

Vim

• 适用于：ma​​cOS Monterey/macOS Big Sur
• 影响： Vim 中存在多个问题
• 说明： 更新到 Vim 版本 9.0.1191 解决了多个问题。
• CVE-2023-0433
• CVE-2023-0512

XPC

• 适用于：ma​​cOS Monterey/macOS Big Sur
• 影响：应用或许能够突破沙盒
• 说明：此问题已通过新权利得到解决。
• CVE-2023-27944：Mickey Jin (@patch1t)

macOS Big Sur 11.7.5 安全更新

除了上述更新之外，以下安全补丁仅适用于macOS Big Sur 11.7.5：

AppleAVD

• 适用于：ma​​cOS Big Sur
• 影响：应用程序可能能够使用内核权限执行任意代码
• 描述：已通过改进内存管理解决释放后使用问题。
• CVE-2022-26702：匿名研究员 Antonio Zekic (@antoniozekic) 和 John Aakerblom (@jaakerblom)

碳芯

• 适用于：ma​​cOS Big Sur
• 影响：处理恶意制作的图像可能会导致进程内存泄露
• 描述：该问题已通过改进检查得到解决。
• CVE-2023-23534：Mickey Jin (@patch1t)

查找我的

• 适用于：ma​​cOS Big Sur
• 影响：应用可能能够读取敏感位置信息
• 说明：通过改进日志条目的私人数据编辑功能解决了隐私问题。
• CVE-2023-23537：匿名研究人员

身份服务

• 适用于：ma​​cOS Big Sur
• 影响：应用或许能够访问有关用户联系人的信息
• 说明：通过改进日志条目的私人数据编辑功能解决了隐私问题。
• CVE-2023-27928：进攻性安全部门的 Csaba Fitzl (@theevilbit)

图像IO

• 适用于：ma​​cOS Big Sur
• 影响：处理恶意制作的图像可能会导致进程内存泄露
• 描述：该问题已通过改进内存处理得到解决。
• CVE-2023-23535： ryuzaki

如何更新到 macOS

Apple 建议所有用户尽快安装更新。要将它们安装到您的计算机上，请按照以下说明操作：

1. 打开系统偏好设置。
2. 点击”软件更新”。
3. 您的 Mac 将花费一分钟左右的时间检查更新，如果有适用于您的 Mac 的更新，您可以选择点击”立即升级”，然后下载 macOS 更新的安装程序。
4. 下载安装程序时，您将能够继续使用您的 Mac。下载安装程序后，您可以点击安装新的更新。