Informace o bezpečnostním obsahu macOS Monterey 12.2
Tento dokument popisuje bezpečnostní obsah macOS Monterey 12.2.
Informace o bezpečnostních aktualizacích Apple
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.
Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.
Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.
macOS Monterey 12.2
AMD Kernel
K dispozici pro: macOS Monterey
Dopad: Škodlivé aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením kontroly rozsahu.
CVE-2022-22586: anonymní výzkumník
ColorSync
K dispozici pro: macOS Monterey
Dopad: Zpracování škodlivého souboru může vést ke spuštění libovolného kódu.
Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování.
CVE-2022-22584: Mickey Jin (@patch1t) ze společnosti Trend Micro
Crash Reporter
K dispozici pro: macOS Monterey
Dopad: Škodlivé aplikaci se může podařit získat kořenová oprávnění.
Popis: Problém v logice byl vyřešen vylepšením ověřování.
CVE-2022-22578: Zhipeng Huo (@R3dF09) a Yuebin Sun (@yuebinsun2020) z týmu Tencent Security Xuanwu Lab (xlab.tencent.com)
iCloud
K dispozici pro: macOS Monterey
Dopad: Aplikaci se může podařit získat přístup k uživatelovým souborům.
Popis: U symbolických odkazů existoval problém v logice ověřování cest. Problém byl vyřešen vylepšením sanitizace cest.
CVE-2022-22585: Zhipeng Huo (@R3dF09) z týmu Tencent Security Xuanwu Lab (https://xlab.tencent.com)
Intel Graphics Driver
K dispozici pro: macOS Monterey
Dopad: Škodlivé aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2022-22591: Antonio Zekic (@antoniozekic) ze společnosti Diverto
IOMobileFrameBuffer
K dispozici pro: macOS Monterey
Dopad: Škodlivé aplikaci se může podařit spustit libovolný kód s oprávněními k jádru. Apple má informace o tom, že tento problém mohl být aktivně zneužit.
Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.
CVE-2022-22587: anonymní výzkumník, Meysam Firouzi (@R00tkitSMM) z týmu MBition – Mercedes-Benz Innovation Lab, Siddharth Aeri (@b1n4r1b01)
Kernel
K dispozici pro: macOS Monterey
Dopad: Škodlivé aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s přetečením vyrovnávací paměti byl vyřešen vylepšením správy paměti.
CVE-2022-22593: Peter Nguyễn Vũ Hoàng ze společnosti STAR Labs
Model I/O
K dispozici pro: macOS Monterey
Dopad: Zpracování škodlivého STL souboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Problém s odhalováním informací byl vyřešen vylepšením správy stavu.
CVE-2022-22579: Mickey Jin (@patch1t) ze společnosti Trend Micro
PackageKit
K dispozici pro: macOS Monterey
Dopad: Škodlivé aplikaci se může podařit upravit chráněné části souborového systému.
Popis: Problém byl vyřešen odebráním zranitelného kódu.
CVE-2022-22646: Mickey Jin (@patch1t), Mickey Jin (@patch1t) z Trend Micro
PackageKit
K dispozici pro: macOS Monterey
Dopad: Aplikace může být schopna odstranit soubory, pro které nemá oprávnění
Popis: Problém s ověřováním zpracovávání událostí v XPC Services API byl vyřešen odebráním služby.
CVE-2022-22676: Mickey Jin (@patch1t) ze společnosti Trend Micro
PackageKit
K dispozici pro: macOS Monterey
Dopad: Aplikaci se může podařit získat přístup k omezeným souborům.
Popis: Problém s oprávněními byl vyřešen vylepšením ověřování.
CVE-2022-22583: Ron Hass (@ronhass7) ze společnosti Perception Point, Mickey Jin (@patch1t)
WebKit
K dispozici pro: macOS Monterey
Dopad: Zpracování škodlivého e‑mailu může vést ke spuštění libovolného javascriptu.
Popis: Problém s ověřováním byl vyřešen vylepšením sanitizace vstupů.
CVE-2022-22589: Heige z týmu KnownSec 404 (knownsec.com) a Bo Qu ze společnosti Palo Alto Networks (paloaltonetworks.com)
WebKit
K dispozici pro: macOS Monterey
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
CVE-2022-22590: Toan Pham z Team Orca společnosti Sea Security (security.sea.com)
WebKit
K dispozici pro: macOS Monterey
Dopad: Kvůli zpracování škodlivého webového obsahu nemusí být vynucena zásada zabezpečení obsahu.
Popis: Problém v logice byl vyřešen vylepšením správy stavu.
CVE-2022-22592: Prakash (@1lastBr3ath)
WebKit Storage
K dispozici pro: macOS Monterey
Dopad: Weby můžou sledovat citlivá data uživatelů.
Popis: Problém se získáváním dat napříč původy v API IndexDB byl vyřešen vylepšením ověřování vstupů.
CVE-2022-22594: Martin Bajanik ze společnosti FingerprintJS
Další poděkování
Kernel
Poděkování za pomoc zaslouží Tao Huang jako nezávislý výzkumník.
Metal
Poděkování za pomoc zaslouží Tao Huang.
PackageKit
Poděkování za pomoc zaslouží Mickey Jin (@patch1t) ze společnosti Trend Micro.
WebKit
Poděkování za pomoc zaslouží Prakash (@1lastBr3ath) a bo13oy ze Cyber Kunlun Lab.
Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.