Om sikkerhedsindholdet i macOS Monterey 12.3
I dette dokument beskrives sikkerhedsindholdet i macOS Monterey 12.3.
Om Apple-sikkerhedsopdateringer
Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.
Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.
macOS Monterey 12.3
Accelerate Framework
Fås til: macOS Monterey
Effekt: Åbning af et skadeligt PDF-arkiv kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode
Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.
CVE-2022-22633: ryuzaki
AMD
Fås til: macOS Monterey
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.
CVE-2022-22669: en anonym programmør
AppKit
Fås til: macOS Monterey
Effekt: Et skadeligt program kan muligvis opnå rodrettigheder
Beskrivelse: Et logikproblem er løst via forbedret godkendelse.
CVE-2022-22665: Lockheed Martin Red Team
AppleEvents
Fås til: macOS Monterey
Effekt: En ekstern hacker kan få adgang til at udføre uventet applukning eller køre vilkårlig kode
Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.
CVE-2022-22630: Jeremy Brown, der arbejder med Trend Micro Zero Day Initiative
AppleGraphicsControl
Fås til: macOS Monterey
Effekt: Et program kan få adgang til hævede rettigheder
Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.
CVE-2022-22631: Wang Yu fra cyberserval
AppleScript
Fås til: macOS Monterey
Effekt: Behandling af et skadeligt binært AppleScript-arkiv kan medføre uventet programlukning eller afsløring af proceshukommelse
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2022-22625: Mickey Jin (@patch1t) fra Trend Micro
AppleScript
Fås til: macOS Monterey
Effekt: Et program kan muligvis læse beskyttet hukommelse
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2022-22648: Mickey Jin (@patch1t) fra Trend Micro
AppleScript
Fås til: macOS Monterey
Effekt: Behandling af et skadeligt binært AppleScript-arkiv kan medføre uventet programlukning eller afsløring af proceshukommelse
Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.
CVE-2022-22626: Mickey Jin (@patch1t) fra Trend Micro
CVE-2022-22627: Qi Sun og Robert Ai fra Trend Micro
AppleScript
Fås til: macOS Monterey
Effekt: Behandling af et skadeligt arkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.
CVE-2022-22597: Qi Sun og Robert Ai fra Trend Micro
BOM
Fås til: macOS Monterey
Effekt: Et skadeligt ZIP-arkiv kan omgå Gatekeeper-kontroller
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2022-22616: Ferdous Saljooki (@malwarezoo) og Jaron Bradley (@jbradley89) fra Jamf Software, Mickey Jin (@patch1t)
CoreTypes
Fås til: macOS Monterey
Effekt: Et skadeligt program kan omgå Gatekeeper-kontrollerne
Beskrivelse: Problemet er løst ved hjælp af forbedret kontrol for at forhindre uautoriserede handlinger i at blive udført.
CVE-2022-22663: Arsenii Kostromin (0x3c3e)
CUPS
Fås til: macOS Monterey
Effekt: Et program kan få adgang til hævede rettigheder
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2022-26691: Joshua Mason fra Mandiant
curl
Fås til: macOS Monterey
Effekt: Flere sikkerhedsproblemer i curl
Beskrivelse: Flere problemer blev løst ved at opdatere til curl version 7.79.1.
CVE-2021-22946
CVE-2021-22947
CVE-2021-22945
FaceTime
Fås til: macOS Monterey
Effekt: En bruger kan sende lyd og video i et FaceTime-opkald uden at være klar over det
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2022-22643: Sonali Luthar fra University of Virginia, Michael Liao fra University of Illinois ved Urbana-Champaign, Rohan Pahwa fra Rutgers University og Bao Nguyen fra University of Florida
GarageBand MIDI
Fås til: macOS Monterey
Effekt: Åbning af et skadeligt arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Et problem med hukommelsesinitialisering er løst via forbedret hukommelseshåndtering.
CVE-2022-22657: Brandon Perry fra Atredis Partners
GarageBand MIDI
Fås til: macOS Monterey
Effekt: Åbning af et skadeligt arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.
CVE-2022-22664: Brandon Perry fra Atredis Partners
Graphics Drivers
Fås til: macOS Monterey
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Der var et problem med bufferoverløb, som blev løst gennem forbedret kontrol af grænser.
CVE-2021-30977: Jack Dates fra RET2 Systems, Inc.
ImageIO
Fås til: macOS Monterey
Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2022-22611: Xingyu Jin fra Google
ImageIO
Fås til: macOS Monterey
Effekt: Behandling af et skadeligt billede kan medføre beskadigelse af heap
Beskrivelse: Et problem med hukommelsesforbrug er løst via forbedret hukommelseshåndtering.
CVE-2022-22612: Xingyu Jin fra Google
Intel Graphics Driver
Fås til: macOS Monterey
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med forveksling af typer er løst via forbedret statushåndtering.
CVE-2022-46706: Wang Yu fra Cyberserval og Pan ZhenPeng (@Peterpan0927) fra Alibaba Security Pandora Lab
Intel Graphics Driver
Fås til: macOS Monterey
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med forveksling af typer er løst via forbedret statushåndtering.
CVE-2022-22661: Wang Yu fra Cyberserval og Pan ZhenPeng (@Peterpan0927) fra Alibaba Security Pandora Lab
IOGPUFamily
Fås til: macOS Monterey
Effekt: Et program kan få adgang til hævede rettigheder
Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.
CVE-2022-22641: Mohamed Ghannam (@_simo36)
Kernel
Fås til: macOS Monterey
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.
CVE-2022-22613: Alex, en anonym programmør
Kernel
Fås til: macOS Monterey
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.
CVE-2022-22614: en anonym programmør
CVE-2022-22615: en anonym programmør
Kernel
Fås til: macOS Monterey
Effekt: Et skadeligt program kan muligvis få adgang til hævede rettigheder
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2022-22632: Keegan Saunders
Kernel
Fås til: macOS Monterey
Effekt: En hacker med en privilegeret position kan muligvis fremkalde et DoS-angreb
Beskrivelse: En reference til en null-pointer er rettet gennem forbedret validering.
CVE-2022-22638: derrek (@derrekr6)
Kernel
Fås til: macOS Monterey
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.
CVE-2022-22640: sqrtpwn
LaunchServices
Fås til: macOS Monterey
Effekt: En app kan muligvis omgå visse indstillinger for fortrolighed
Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.
CVE-2021-30946: @gorelics og Ron Masas fra BreakPoint.sh
libarchive
Fås til: macOS Monterey
Effekt: Flere problemer i libarchive
Beskrivelse: Der var flere problemer med korruption af hukommelsen i libarchive. Problemerne er løst ved forbedret godkendelse af input.
CVE-2021-36976
LLVM
Fås til: macOS Monterey
Effekt: Et program kan muligvis slette filer, som det ikke har tilladelse til
Beskrivelse: En konkurrencetilstand er blevet løst med yderligere validering.
CVE-2022-21658: Florian Weimer (@fweimer)
Login Window
Fås til: macOS Monterey
Effekt: En person med adgang til en Mac kan muligvis omgå log ind-vinduet
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2022-22647: Yuto Ikeda fra Kyushu University
LoginWindow
Fås til: macOS Monterey
Effekt: En lokal hacker kan muligvis se skrivebordet for den bruger, der tidligere var logget ind, fra skærmen Hurtigt brugerskift
Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.
CVE-2022-22656
MobileAccessoryUpdater
Fås til: macOS Monterey
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2022-22672: Siddharth Aeri (@b1n4r1b01)
NSSpellChecker
Fås til: macOS Monterey
Effekt: Et skadeligt program kan muligvis få adgang til oplysninger om en brugers kontakter
Beskrivelse: Der var et fortrolighedsproblem i behandlingen af kontaktkort. Det er løst ved hjælp af forbedret statusadministration.
CVE-2022-22644: Thomas Roth (@stacksmashing) fra leveldown security
PackageKit
Fås til: macOS Monterey
Effekt: Et skadeligt program kan muligvis ændre beskyttede dele af arkivsystemet
Beskrivelse: En konkurrencetilstand er blevet løst med yderligere validering.
CVE-2022-26690: Mickey Jin (@patch1t) fra Trend Micro
PackageKit
Fås til: macOS Monterey
Effekt: En skadelig app med rodrettigheder kan muligvis ændre indholdet af systemfiler
Beskrivelse: Et problem i forbindelse med behandlingen af symbolske links er løst via forbedret godkendelse.
CVE-2022-26688: Mickey Jin (@patch1t) fra Trend Micro
PackageKit
Fås til: macOS Monterey
Effekt: Et program kan få adgang til hævede rettigheder
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2022-22617: Mickey Jin (@patch1t)
Preferences
Fås til: macOS Monterey
Effekt: Et skadeligt program kan muligvis læse andre programmers indstillinger
Beskrivelse: Problemet er løst med yderligere tilladelseskontroller.
CVE-2022-22609: Mickey Jin (@patch1t), og Zhipeng Huo (@R3dF09) og Yuebin Sun (@yuebinsun2020) fra Tencent Security Xuanwu Lab (xlab.tencent.com)
QuickTime Player
Fås til: macOS Monterey
Effekt: Et tilbehør kan muligvis nedarve programmets tilladelser og få adgang til brugerdata
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2022-22650: Wojciech Reguła (@_r3ggi) fra SecuRing
Safari Downloads
Fås til: macOS Monterey
Effekt: Et skadeligt ZIP-arkiv kan omgå Gatekeeper-kontroller
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2022-22616: Ferdous Saljooki (@malwarezoo) og Jaron Bradley (@jbradley89) fra Jamf Software, Mickey Jin (@patch1t)
Sandbox
Fås til: macOS Monterey
Effekt: En app kan forårsage, at der lækkes følsomme brugeroplysninger
Beskrivelse: Et adgangsproblem er løst med forbedringer af sandbox'en.
CVE-2022-22655: Csaba Fitzl (@theevilbit) fra Offensive Security
Sandbox
Fås til: macOS Monterey
Effekt: Et skadeligt program kan muligvis omgå visse indstillinger for fortrolighed
Beskrivelse: Problemet er løst med forbedret tilladelseslogik.
CVE-2022-22600: Sudhakar Muthumani (@sudhakarmuthu04) fra Primefort Private Limited, Khiem Tran
Siri
Fås til: macOS Monterey
Effekt: En person med fysisk adgang til en enhed kan muligvis bruge Siri til at skaffe sig nogle lokationsoplysninger fra låseskærmen
Beskrivelse: Et tilladelsesproblem er løst via forbedret godkendelse.
CVE-2022-22599: Andrew Goldberg fra University of Texas i Austin, McCombs School of Business (linkedin.com/andrew-goldberg-/)
SMB
Fås til: macOS Monterey
Effekt: En hacker kan muligvis udløse pludselig programlukning eller læsning af kernehukommelsen
Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.
CVE-2022-22651: Felix Poulin-Belanger
SoftwareUpdate
Fås til: macOS Monterey
Effekt: Et program kan få adgang til hævede rettigheder
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2022-22639: Mickey Jin (@patch1t)
System Preferences
Fås til: macOS Monterey
Effekt: En app kan muligvis efterligne systemnotifikationer og grænseflader
Beskrivelse: Problemet er løst med en ny rettighed.
CVE-2022-22660: Guilherme Rambo fra Best Buddy Apps (rambo.codes)
UIKit
Fås til: macOS Monterey
Effekt: En person med fysisk adgang til en iOS-enhed kan muligvis se følsomme oplysninger via tastaturforslag
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2022-22621: Joey Hewitt
Vim
Fås til: macOS Monterey
Effekt: Flere problemer i Vim
Beskrivelse: Flere problemer er løst ved at opdatere Vim.
CVE-2021-4136
CVE-2021-4166
CVE-2021-4173
CVE-2021-4187
CVE-2021-4192
CVE-2021-4193
CVE-2021-46059
CVE-2022-0128
CVE-2022-0156
CVE-2022-0158
VoiceOver
Fås til: macOS Monterey
Effekt: En bruger kan muligvis se begrænset indhold på låseskærmen
Beskrivelse: Et problem med låseskærmen blev løst ved forbedret statusadministration.
CVE-2021-30918: en anonym programmør
WebKit
Fås til: macOS Monterey
Effekt: Behandling af skadeligt webindhold kan medføre afsløring af følsomme brugeroplysninger.
Beskrivelse: Et problem med cookiehåndtering blev løst gennem forbedret statusadministration.
CVE-2022-22662: Prakash (@1lastBr3ath) fra Threat Nix
WebKit
Fås til: macOS Monterey
Effekt: Behandling af webindhold med skadelig kode kan føre til kodekørsel
Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.
CVE-2022-22610: Quan Yin fra Bigo Technology Live Client Team
WebKit
Fås til: macOS Monterey
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.
CVE-2022-22624: Kirin (@Pwnrin) fra Tencent Security Xuanwu Lab
CVE-2022-22628: Kirin (@Pwnrin) fra Tencent Security Xuanwu Lab
WebKit
Fås til: macOS Monterey
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Et problem med bufferoverløb blev løst ved forbedret hukommelsesbehandling.
CVE-2022-22629: Jeonghoon Shin fra Theori i samarbejde med Trend Micro Zero Day Initiative
WebKit
Fås til: macOS Monterey
Effekt: Et skadeligt websted kan medføre uventet funktionsmåde på tværs af oprindelsessteder
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2022-22637: Tom McKee fra Google
Wi-Fi
Fås til: macOS Monterey
Effekt: Et skadeligt program kan lække følsomme brugeroplysninger
Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.
CVE-2022-22668: MrPhil17
xar
Fås til: macOS Monterey
Effekt: En lokal bruger kan muligvis skrive vilkårlige arkiver
Beskrivelse: Der var et godkendelsesproblem i håndteringen af symbolske links. Problemet er løst ved forbedret godkendelse af symbolske links.
CVE-2022-22582: Richard Warren fra NCC Group
Yderligere anerkendelser
AirDrop
Vi vil gerne takke Omar Espino (omespino.com) samt Ron Masas fra BreakPoint.sh for hjælpen.
Bluetooth
Vi vil gerne takke en anonym programmør samt chenyuwang (@mzzzz__) fra Tencent Security Xuanwu Lab for hjælpen.
Diskværktøj
Vi vil gerne takke Csaba Fitzl (@theevilbit) fra Offensive Security for hjælpen.
Face Gallery
Vi vil gerne takke Tian Zhang (@KhaosT) for hjælpen.
Intel Graphics Driver
Vi vil gerne takke Jack Dates fra RET2 Systems, Inc. samt Yinyi Wu (@3ndy1) for hjælpen.
Lokal godkendelse
Vi vil gerne takke en anonym programmør for hjælpen.
Notes
Vi vil gerne takke Nathaniel Ekoniak fra Ennate Technologies for hjælpen.
Password Manager
Vi vil gerne takke Maximilian Golla (@m33x) raf Max Planck Institute for Security and Privacy (MPI-SP) for hjælpen.
Siri
Vi vil gerne takke en anonym programmør for hjælpen.
syslog
Vi vil gerne takke Yonghwi Jin (@jinmo123) fra Theori for hjælpen.
TCC
Vi vil gerne takke Csaba Fitzl (@theevilbit) fra Offensive Security for hjælpen.
UIKit
Vi vil gerne takke Tim Shadel fra Day Logger, Inc. for hjælpen.
WebKit
Vi vil gerne takke Abdullah Md Shaleh for hjælpen.
WebKit Storage
Vi vil gerne takke Martin Bajanik fra FingerprintJS for hjælpen.
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.