Om sikkerhedsindholdet i macOS Monterey 12.4

I dette dokument beskrives sikkerhedsindholdet i macOS Monterey 12.4.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-id.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

macOS Monterey 12.4

Udgivet 16. maj 2022

AMD

Fås til: macOS Monterey

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2022-26772: En anonym programmør

AMD

Fås til: macOS Monterey

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med bufferoverløb blev løst ved forbedret hukommelsesbehandling.

CVE-2022-26741: ABC Research s.r.o

CVE-2022-26742: ABC Research s.r.o

CVE-2022-26749: ABC Research s.r.o

CVE-2022-26750: ABC Research s.r.o

CVE-2022-26752: ABC Research s.r.o

CVE-2022-26753: ABC Research s.r.o

CVE-2022-26754: ABC Research s.r.o

apache

Fås til: macOS Monterey

Effekt: Flere problemer i Apache

Beskrivelse: Flere problemer blev løst ved at opdatere Apache til version 2.4.53.

CVE-2021-44224

CVE-2021-44790

CVE-2022-22719

CVE-2022-22720

CVE-2022-22721

AppleGraphicsControl

Fås til: macOS Monterey

Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2022-26751: Michael DePlante (@izobashi) fra Trend Micros Zero Day Initiative

AppleMobileFileIntegrity

Fås til: macOS Monterey

Effekt: En bruger kan muligvis se følsomme brugeroplysninger

Beskrivelse: Et problem i forbindelse med behandlingen af miljøvariabler er løst via forbedret godkendelse.

CVE-2022-26707: Wojciech Reguła (@_r3ggi) fra SecuRing

Post tilføjet 6. juli 2022

AppleScript

Fås til: macOS Monterey

Effekt: Behandling af et skadeligt binært AppleScript-arkiv kan medføre uventet programlukning eller afsløring af proceshukommelse

Beskrivelse: Et out-of-bounds-læseproblem blev løst ved forbedret inputvalidering.

CVE-2022-26697: Qi Sun og Robert Ai fra Trend Micro

AppleScript

Fås til: macOS Monterey

Effekt: Behandling af et skadeligt binært AppleScript-arkiv kan medføre uventet programlukning eller afsløring af proceshukommelse

Beskrivelse: Et out-of-bounds-læseproblem blev løst via forbedret kontrol af grænser.

CVE-2022-26698: Qi Sun fra Trend Micro, Ye Zhang (@co0py_Cat) fra Baidu Security

Post opdateret 6. juli 2022

AVEVideoEncoder

Fås til: macOS Monterey

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.

CVE-2022-26736: En anonym programmør

CVE-2022-26737: En anonym programmør

CVE-2022-26738: En anonym programmør

CVE-2022-26739: En anonym programmør

CVE-2022-26740: En anonym programmør

Bluetooth

Fås til: macOS Monterey

Effekt: En app kan muligvis få uautoriseret adgang til Bluetooth

Beskrivelse: Et logikproblem er løst ved forbedret kontrol.

CVE-2022-32783: Jon Thompson fra Evolve (Des Moines, IA)

Post tilføjet 6. juli 2022

Contacts

Fås til: macOS Monterey

Effekt: Et tilbehør kan muligvis nedarve programmets tilladelser og få adgang til brugerdata

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2022-26694: Wojciech Reguła (@_r3ggi) fra SecuRing

CVMS

Fås til: macOS Monterey

Effekt: Et skadeligt program kan muligvis opnå rodrettigheder

Beskrivelse: Et problem med hukommelsesinitialisering er blevet løst.

CVE-2022-26721: Yonghwi Jin (@jinmo123) fra Theori

CVE-2022-26722: Yonghwi Jin (@jinmo123) fra Theori

DriverKit

Fås til: macOS Monterey

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et out-of-bounds-adgangsproblem blev løst via forbedret kontrol af grænser.

CVE-2022-26763: Linus Henze fra Pinauten GmbH (pinauten.de)

FaceTime

Fås til: macOS Monterey

Effekt: En app med rodrettigheder kan muligvis få adgang til en brugers private oplysninger

Beskrivelse: Dette problem blev løst ved at aktivere hardened runtime.

CVE-2022-32781: Wojciech Reguła (@_r3ggi) fra SecuRing

Post tilføjet 6. juli 2022

ImageIO

Fås til: macOS Monterey

Effekt: En ekstern hacker kan muligvis forårsage pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.

CVE-2022-26711: actae0n fra Blacksun Hackers Club, der arbejder med Trend Micros Zero Day Initiative

ImageIO

Fås til: macOS Monterey

Effekt: Oplysninger om placeringen af billeder kan blive bevaret, efter de er fjernet med Preview Inspector

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2022-26725: Andrew Williams og Avi Drissman fra Google

Intel Graphics Driver

Fås til: macOS Monterey

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.

CVE-2022-26720: Liu Long fra Ant Security Light-Year Lab

Intel Graphics Driver

Fås til: macOS Monterey

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2022-26769: Antonio Zekic (@antoniozekic)

Intel Graphics Driver

Fås til: macOS Monterey

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret inputvalidering.

CVE-2022-26770: Liu Long fra Ant Security Light-Year Lab

Intel Graphics Driver

Fås til: macOS Monterey

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Et out-of-bounds-skriveproblem er løst via forbedret inputvalidering.

CVE-2022-26748: Jeonghoon Shin fra Theori, der arbejder med Trend Micros Zero Day Initiative

Intel Graphics Driver

Fås til: macOS Monterey

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et out-of-bounds-skriveproblem blev løst ved forbedret inputvalidering.

CVE-2022-26756: Jack Dates fra RET2 Systems, Inc

IOKit

Fås til: macOS Monterey

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: En konkurrencetilstand er løst ved forbedret låsning.

CVE-2022-26701: chenyuwang (@mzzzz__) fra Tencent Security Xuanwu Lab

IOMobileFrameBuffer

Fås til: macOS Monterey

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2022-26768: En anonym programmør

Kernel

Fås til: macOS Monterey

Effekt: Et skadeligt program kan forårsage uventede ændringer i hukommelse, der deles mellem processer

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2022-26758: en anonym programmør

Post tilføjet 31. oktober 2023

Kernel

Fås til: macOS Monterey

Effekt: En hacker, der allerede har opnået kørsel af kode i macOS-gendannelse, kan muligvis eskalere til kernerettigheder

Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.

CVE-2022-26743: Jordy Zomer (@pwningsystems)

Kernel

Fås til: macOS Monterey

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.

CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) fra STAR Labs (@starlabs_sg)

Kernel

Fås til: macOS Monterey

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2022-26757: Ned Williamson fra Google Project Zero

Kernel

Fås til: macOS Monterey

Effekt: En hacker, der allerede har opnået kørsel af kernekode, kan muligvis være i stand til at omgå løsning af kernehukommelsen

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.

CVE-2022-26764: Linus Henze fra Pinauten GmbH (pinauten.de)

Kernel

Fås til: macOS Monterey

Effekt: En hacker med vilkårlig mulighed for at læse og skrive kan muligvis omgå markørgodkendelse

Beskrivelse: En konkurrencetilstand er løst med forbedret tilstandshåndtering.

CVE-2022-26765: Linus Henze fra Pinauten GmbH (pinauten.de)

LaunchServices

Fås til: macOS Monterey

Effekt: En sandbox-proces kan muligvis gå uden om sandbox-begrænsningerne

Beskrivelse: Et adgangsproblem blev løst via yderligere sandbox-begrænsninger på tredjepartsapps.

CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or fra Microsoft

Post opdateret 6. juli 2022

LaunchServices

Fås til: macOS Monterey

Effekt: Et skadeligt program kan muligvis omgå indstillingerne for fortrolighed

Beskrivelse: Problemet er løst med yderligere tilladelseskontroller.

CVE-2022-26767: Wojciech Reguła (@_r3ggi) fra SecuRing

Libinfo

Fås til: macOS Monterey

Effekt: En app kan muligvis omgå indstillingerne for fortrolighed

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2022-32882: Zhipeng Huo (@R3dF09) og Yuebin Sun (@yuebinsun2020) fra Tencent Security Xuanwu Lab

Post tilføjet 16. september 2022

libresolv

Fås til: macOS Monterey

Effekt: En ekstern bruger kan muligvis forårsage DoS-angreb

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2022-32790: Max Shavrick (@_mxms) fra Googles sikkerhedsteam

Post tilføjet 21. juni 2022

libresolv

Fås til: macOS Monterey

Effekt: En hacker kan forårsage uventet programafslutning eller kørsel af vilkårlig kode

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2022-26776: Zubair Ashraf fra Crowdstrike, Max Shavrick (@_mxms) fra Googles sikkerhedsteam

CVE-2022-26708: Max Shavrick (@_mxms) fra Googles sikkerhedsteam

libresolv

Fås til: macOS Monterey

Effekt: En hacker kan forårsage uventet programafslutning eller kørsel af vilkårlig kode

Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.

CVE-2022-26775: Max Shavrick (@_mxms) fra Googles sikkerhedsteam

LibreSSL

Fås til: macOS Monterey

Effekt: Behandling af et skadeligt certifikat kan medføre DoS (Denial of Service)

Beskrivelse: Et Denial of Service-problem blev rettet via forbedret inputvalidering.

CVE-2022-0778

libxml2

Fås til: macOS Monterey

Effekt: En ekstern hacker kan muligvis forårsage pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2022-23308

Loginvindue

Fås til: macOS Monterey

Effekt: En person med adgang til en Mac kan muligvis omgå log ind-vinduet

Beskrivelse: Et konsistensproblem er løst gennem forbedret statusbehandling.

CVE-2022-48575: Paul Walker fra Bury og Nathaniel Ekoniak fra Ennate Technologies

Post tilføjet 31. oktober 2023

OpenSSL

Fås til: macOS Monterey

Effekt: Behandling af et skadeligt certifikat kan medføre DoS (Denial of Service)

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2022-0778

PackageKit

Fås til: macOS Monterey

Effekt: En app kan muligvis få adgang til ekstra rettigheder

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2022-32794: Mickey Jin (@patch1t)

Post tilføjet 4. oktober 2022

PackageKit

Fås til: macOS Monterey

Effekt: Et program kan få adgang til hævede rettigheder

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2022-22617: Mickey Jin (@patch1t)

Post tilføjet 6. juli 2022

PackageKit

Fås til: macOS Monterey

Effekt: Et skadeligt program kan muligvis ændre beskyttede dele af arkivsystemet

Beskrivelse: Problemet blev løst ved at fjerne den sårbare kode.

CVE-2022-26712: Mickey Jin (@patch1t)

PackageKit

Fås til: macOS Monterey

Effekt: Et skadeligt program kan muligvis ændre beskyttede dele af arkivsystemet

Beskrivelse: Problemet er løst ved forbedret godkendelse.

CVE-2022-26727: Mickey Jin (@patch1t)

Photo Booth

Fås til: macOS Monterey

Effekt: En app med rodrettigheder kan muligvis få adgang til en brugers private oplysninger

Beskrivelse: Dette problem blev løst ved at aktivere hardened runtime.

CVE-2022-32782: Wojciech Reguła (@_r3ggi) fra SecuRing

Post tilføjet 6. juli 2022

Billedfremviser

Fås til: macOS Monterey

Effekt: Et tilbehør kan muligvis nedarve programmets tilladelser og få adgang til brugerdata

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2022-26693: Wojciech Reguła (@_r3ggi) fra SecuRing

Udskrivning

Fås til: macOS Monterey

Effekt: Et skadeligt program kan muligvis omgå indstillingerne for fortrolighed

Beskrivelse: Problemet blev løst ved at fjerne den sårbare kode.

CVE-2022-26746: @gorelics

Safari Private Browsing

Fås til: macOS Monterey

Effekt: Et skadeligt websted kan muligvis spore brugerne i funktionen Privat browser i Safari

Beskrivelse: Der var et logikproblem, som er løst via forbedret statusadministration.

CVE-2022-26731: En anonym programmør

Security

Fås til: macOS Monterey

Effekt: Et skadeligt program kan muligvis omgå signaturgodkendelse

Beskrivelse: Et problem med parsing af certifikat er løst ved hjælp af forbedrede kontroller.

CVE-2022-26766: Linus Henze fra Pinauten GmbH (pinauten.de)

SMB

Fås til: macOS Monterey

Effekt: Et program kan få adgang til hævede rettigheder

Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.

CVE-2022-26715: Peter Nguyễn Vũ Hoàng fra STAR Labs

SMB

Fås til: macOS Monterey

Effekt: Et program kan få adgang til hævede rettigheder

Beskrivelse: Et out-of-bounds-læseproblem blev løst ved forbedret inputvalidering.

CVE-2022-26718: Peter Nguyễn Vũ Hoàng fra STAR Labs

SMB

Fås til: macOS Monterey

Effekt: Åbning af en skadelig Samba-netværksmappe kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2022-26723: Felix Poulin-Belanger

SoftwareUpdate

Fås til: macOS Monterey

Effekt: Et skadeligt program kan muligvis få adgang til begrænsede arkiver

Beskrivelse: Problemet er løst ved forbedret godkendelse.

CVE-2022-26728: Mickey Jin (@patch1t)

Spotlight

Fås til: macOS Monterey

Effekt: En app kan muligvis få adgang til ekstra rettigheder

Beskrivelse: Der var et godkendelsesproblem i håndteringen af symbolske links, som blev løst med forbedret godkendelse af symbolske links.

CVE-2022-26704: Gergely Kalman (@gergely_kalman) og Joshua Mason fra Mandiant

Post opdateret 31. oktober 2023

System Preferences

Fås til: macOS Monterey

Effekt: En app kan muligvis oprette symbolske links til beskyttede områder på disken

Beskrivelse: Problemet er løst via forbedret godkendelse af symbolske links.

CVE-2022-42857: Mickey Jin (@patch1t)

Post tilføjet 31. oktober 2023

TCC

Fås til: macOS Monterey

Effekt: En app kan registrere en brugers skærm

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2022-26726: Antonio Cheong Yu Xuan fra YCISCQ

Post opdateret 11. maj 2023

Tcl

Fås til: macOS Monterey

Effekt: Et skadeligt program kan muligvis frigøre sig fra sin sandbox

Beskrivelse: Problemet blev løst ved forbedret rensning af miljøet.

CVE-2022-26755: Arsenii Kostromin (0x3c3e)

Terminal

Fås til: macOS Monterey

Effekt: En sandbox-proces kan muligvis gå uden om sandbox-begrænsningerne

Beskrivelse: Problemet blev løst ved forbedret rensning af miljøet.

CVE-2022-26696: Ron Waisberg, en anonym programmør, Wojciech Reguła (@_r3ggi) fra SecuRing og Ron Hass (@ronhass7) fra Perception Point

Post tilføjet 16. september 2022, opdateret 31. oktober 2023

WebKit

Fås til: macOS Monterey

Effekt: Behandling af webindhold med skadelig kode kan føre til kodekørsel

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

WebKit Bugzilla: 238178
CVE-2022-26700: ryuzaki

WebKit

Fås til: macOS Monterey

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Et use-after-free-problem blev løst ved forbedret hukommelseshåndtering.

WebKit Bugzilla: 236950
CVE-2022-26709: Chijin Zhou fra ShuiMuYuLin Ltd og Tsinghua wingtecher lab

WebKit Bugzilla: 237475
CVE-2022-26710: Chijin Zhou fra ShuiMuYuLin Ltd og Tsinghua wingtecher lab

WebKit Bugzilla: 238171
CVE-2022-26717: Jeonghoon Shin fra Theori

WebKit

Fås til: macOS Monterey

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

WebKit Bugzilla: 238183
CVE-2022-26716: SorryMybad (@S0rryMybad) fra Kunlun Lab

WebKit Bugzilla: 238699
CVE-2022-26719: Dongzhuo Zhao, der arbejder med ADLab fra Venustech

WebRTC

Fås til: macOS Monterey

Effekt: Video af egen forhåndsvisning i et webRTC-kald kan blive afbrudt, hvis brugeren besvarer et telefonopkald

Beskrivelse: Et logikproblem med håndteringen af samtidige medier blev løst med forbedret statusbehandling.

WebKit Bugzilla: 237524
CVE-2022-22677: En anonym programmør

Wi-Fi

Fås til: macOS Monterey

Effekt: Et skadeligt program kan muligvis afsløre beskyttet hukommelse

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.

CVE-2022-26745: Scarlet Raine

Post opdateret 6. juli 2022

Wi-Fi

Fås til: macOS Monterey

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2022-26761: Wang Yu fra Cyberserval

Wi-Fi

Fås til: macOS Monterey

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2022-26762: Wang Yu fra Cyberserval

Zip

Fås til: macOS Monterey

Effekt: Behandling af et skadeligt arkiv kan medføre DoS (Denial of Service)

Beskrivelse: Et Denial of Service-problem blev rettet via forbedret statushåndtering.

CVE-2022-0530

zlib

Fås til: macOS Monterey

Effekt: En hacker kan forårsage uventet programafslutning eller kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2018-25032: Tavis Ormandy

zsh

Fås til: macOS Monterey

Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode

Beskrivelse: Dette problem blev løst ved at opdatere til zsh-version 5.8.1.

CVE-2021-45444

Yderligere anerkendelser

AppleMobileFileIntegrity

Vi vil gerne takke Wojciech Reguła (@_r3ggi) fra SecuRing for hjælpen.

Bluetooth

Vi vil gerne takke Jann Horn fra Project Zero for hjælpen.

Kalender

Vi vil gerne takke Eugene Lim fra Government Technology Agency of Singapore for hjælpen.

FaceTime

Vi vil gerne takke Wojciech Reguła (@_r3ggi) fra SecuRing for hjælpen.

FileVault

Vi vil gerne takke Benjamin Adolphi fra Promon Germany GmbH for hjælpen.

Loginvindue

Vi vil gerne takke Csaba Fitzl (@theevilbit) fra Offensive Security for hjælpen.

Photo Booth

Vi vil gerne takke Wojciech Reguła (@_r3ggi) fra SecuRing for hjælpen.

System Preferences

Vi vil gerne takke Mohammad Tausif Siddiqui (@toshsiddiqui), Victor Grinchik (grinchik.com) og en anonym programmør for hjælpen.

Post opdateret 31. oktober 2023

WebKit

Vi vil gerne takke James Lee og en anonym programmør for hjælpen.

Post opdateret 25. maj 2022

Wi-Fi

Vi vil gerne takke Dana Morrison for hjælpen.

 

Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.

Udgivelsesdato: