Informace o bezpečnostních aktualizacích Apple
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.
Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.
Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.
macOS Monterey 12.6
Vydáno 12. září 2022
AppleMobileFileIntegrity
K dispozici pro: macOS Monterey
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém v ověřování podpisů kódu byl vyřešen vylepšením kontrol.
CVE-2022-42789: Koh M. Nakagawa ze společnosti FFRI Security, Inc.
Záznam přidán 27. října 2022
ATS
K dispozici pro: macOS Monterey
Dopad: Aplikaci se může podařit obejít předvolby soukromí.
Popis: Problém v logice byl vyřešen vylepšením správy stavu.
CVE-2022-32902: Mickey Jin (@patch1t)
Záznam přidán 27. října 2022
ATS
K dispozici pro: macOS Monterey
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém s přístupem byl vyřešen přidáním dalších omezení sandboxu.
CVE-2022-32904: Mickey Jin (@patch1t)
Záznam přidán 27. října 2022
ATS
K dispozici pro: macOS Monterey
Dopad: Aplikaci se může podařit obejít předvolby soukromí.
Popis: Problém v logice byl vyřešen vylepšením správy stavu.
CVE-2022-32902: Mickey Jin (@patch1t)
Calendar
K dispozici pro: macOS Monterey
Dopad: Aplikaci se může podařit číst citlivé polohové informace.
Popis: Problém s přístupem byl vyřešen vylepšením přístupových omezení.
CVE-2022-42819: anonymní výzkumník
Záznam přidán 27. října 2022
GarageBand
K dispozici pro: macOS Monterey
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém s konfigurací byl vyřešen přidáním dalších omezení.
CVE-2022-32877: Wojciech Reguła (@_r3ggi) ze společnosti SecuRing
Záznam přidán 27. října 2022
ImageIO
K dispozici pro: macOS Monterey
Dopad: Zpracování obrázku může vést k odepření služby.
Popis: Problém s odmítnutím služby byl vyřešen vylepšením ověřování.
CVE-2022-1622
Záznam přidán 27. října 2022
Image Processing
K dispozici pro: macOS Monterey
Dopad: Aplikaci v sandboxu se může podařit zjistit, která aplikace momentálně používá kameru.
Popis: Problém byl vyřešen přidáním dalších omezení k viditelnosti stavů aplikací.
CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)
Záznam přidán 27. října 2022
iMovie
K dispozici pro: macOS Monterey
Dopad: Uživateli se může podařit zobrazit citlivé uživatelské údaje.
Popis: Tento problém byl vyřešen povolením nastavení Hardened Runtime.
CVE-2022-32896: Wojciech Reguła (@_r3ggi)
Kernel
K dispozici pro: macOS Monterey
Dopad: Připojení ke škodlivému NFS serveru může vést ke spuštění libovolného kódu s oprávněními k jádru.
Popis: Problém byl vyřešen vylepšením kontroly rozsahu.
CVE-2022-46701: Felix Poulin-Belanger
Záznam přidán 11. května 2023
Kernel
K dispozici pro: macOS Monterey
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními jádra.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
CVE-2022-32914: Zweig z týmu Kunlun Lab
Záznam přidán 27. října 2022
Kernel
K dispozici pro: macOS Monterey
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními jádra.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2022-32911: Zweig z týmu Kunlun Lab
CVE-2022-32866: Linus Henze ze společnosti Pinauten GmbH (pinauten.de)
CVE-2022-32924: Ian Beer z týmu Google Project Zero
Záznam aktualizován 27. října 2022
Kernel
K dispozici pro: macOS Monterey
Dopad: Aplikaci se může podařit odhalit obsah paměti jádra.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2022-32864: Linus Henze ze společnosti Pinauten GmbH (pinauten.de)
Kernel
K dispozici pro: macOS Monterey
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru. Apple má informace o tom, že tento problém mohl být aktivně zneužit.
Popis: Problém byl vyřešen vylepšením kontroly rozsahu.
CVE-2022-32917: anonymní výzkumník
Maps
K dispozici pro: macOS Monterey
Dopad: Aplikaci se může podařit číst citlivé polohové informace.
Popis: Problém v logice byl vyřešen vylepšením omezení.
CVE-2022-32883: Ron Masas z týmu breakpointhq.com
Záznam aktualizován 27. října 2022
MediaLibrary
K dispozici pro: macOS Monterey
Dopad: Uživateli se může podařit navýšit oprávnění.
Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.
CVE-2022-32908: anonymní výzkumník
ncurses
K dispozici pro: macOS Monterey
Dopad: Uživateli se může podařit způsobit nečekané ukončení aplikace nebo spustit libovolný kód.
Popis: Problém s přetečením zásobníku byl vyřešen vylepšením kontroly rozsahu.
CVE-2021-39537
Záznam přidán 27. října 2022
Notes
K dispozici pro: macOS Monterey
Dopad: Uživateli s vysokými oprávněními v síti se může podařit sledovat aktivitu uživatelů.
Popis: Problém byl vyřešen vylepšením ochrany dat.
CVE-2022-42818: Gustav Hansen ze společnosti WithSecure
Záznam přidán 22. prosince 2022
PackageKit
K dispozici pro: macOS Monterey
Dopad: Aplikaci se může podařit navýšit si oprávnění.
Popis: Problém v logice byl vyřešen vylepšením správy stavu.
CVE-2022-32900: Mickey Jin (@patch1t)
Sandbox
K dispozici pro: macOS Monterey
Dopad: Aplikaci se může podařit upravit chráněné části souborového systému.
Popis: Problém v logice byl vyřešen vylepšením omezení.
CVE-2022-32881: Csaba Fitzl (@theevilbit) ze společnosti Offensive Security
Záznam přidán 27. října 2022
Security
K dispozici pro: macOS Monterey
Dopad: Aplikaci se může podařit obejít kontroly podpisu kódu.
Popis: Problém v ověřování podpisů kódu byl vyřešen vylepšením kontrol.
CVE-2022-42793: Linus Henze ze společnosti Pinauten GmbH (pinauten.de)
Záznam přidán 27. října 2022
Sidecar
K dispozici pro: macOS Monterey
Dopad: Uživateli se může podařit zobrazit omezený obsah na zamčené obrazovce.
Popis: Problém v logice byl vyřešen vylepšením správy stavu.
CVE-2022-42790: Om kothawade ze společnosti Zaprico Digital
Záznam přidán 27. října 2022
SMB
K dispozici pro: macOS Monterey
Dopad: Vzdálenému uživateli se může podařit spustit kód na úrovni jádra.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2022-32934: Felix Poulin-Belanger
Záznam přidán 27. října 2022
Vim
K dispozici pro: macOS Monterey
Dopad: Zpracování škodlivého souboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením ověřování vstupů.
CVE-2022-0261
CVE-2022-0318
CVE-2022-0319
CVE-2022-0351
CVE-2022-0359
CVE-2022-0361
CVE-2022-0368
CVE-2022-0392
Záznam přidán 27. října 2022
Vim
K dispozici pro: macOS Monterey
Dopad: Zpracování škodlivého souboru může vést k odmítnutí služby nebo k potenciálnímu odhalení obsahu paměti.
Popis: Problém byl vyřešen vylepšením kontrol.
CVE-2022-1720
CVE-2022-2000
CVE-2022-2042
CVE-2022-2124
CVE-2022-2125
CVE-2022-2126
Záznam přidán 27. října 2022
Weather
K dispozici pro: macOS Monterey
Dopad: Aplikaci se může podařit číst citlivé polohové informace.
Popis: Problém v logice byl vyřešen vylepšením správy stavu.
CVE-2022-32875: anonymní výzkumník
Záznam přidán 27. října 2022
WebKit
K dispozici pro: macOS Monterey
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.
Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením kontroly rozsahu.
WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)
Záznam přidán 27. října 2022
Další poděkování
apache
Poděkování za pomoc zaslouží Tricia Lee z týmu Enterprise Service Center.
Záznam přidán 11. května 2023
Identity Services
Poděkování za cennou pomoc zaslouží Joshua Jones.