Tietoja macOS Monterey 12.6:n turvallisuussisällöstä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.

Julkaistu 12.9.2022

AppleMobileFileIntegrity

Saatavuus: macOS Monterey

Vaikutus: appi saattoi pystyä käyttämään tietoja, joita ei ole tarkoitettu käyttäjille.

Kuvaus: Koodien allekirjoitusten validointiongelma on ratkaistu parantamalla tarkistuksia.

CVE-2022-42789: Koh M. Nakagawa (FFRI Security, Inc.)

Kohta lisätty 27.10.2022

ATS

Saatavuus: macOS Monterey

Vaikutus: Appi saattoi pystyä ohittamaan tietosuoja-asetukset.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2022-32902: Mickey Jin (@patch1t)

Kohta lisätty 27.10.2022

ATS

Saatavuus: macOS Monterey

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.

CVE-2022-32904: Mickey Jin (@patch1t)

Kohta lisätty 27.10.2022

ATS

Saatavuus: macOS Monterey

Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2022-32902: Mickey Jin (@patch1t)

Calendar

Saatavuus: macOS Monterey

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja

Kuvaus: Käyttöoikeusongelma on ratkaistu lisäämällä käyttöoikeusrajoituksia.

CVE-2022-42819: nimetön tutkija

Kohta lisätty 27.10.2022

GarageBand

Saatavuus: macOS Monterey

Vaikutus: appi saattoi pystyä käyttämään tietoja, joita ei ole tarkoitettu käyttäjille.

Kuvaus: Määritysongelma on ratkaistu lisäämällä rajoituksia.

CVE-2022-32877: Wojciech Reguła (@_r3ggi), SecuRing

Kohta lisätty 27.10.2022

ImageIO

Saatavuus: macOS Monterey

Vaikutus: kuvan käsittely saattoi aiheuttaa palveluneston.

Kuvaus: Palvelunesto-ongelma on ratkaistu parantamalla validointia.

CVE-2022-1622

Kohta lisätty 27.10.2022

Image Processing

Saatavuus: macOS Monterey

Vaikutus: Eristetty appi pystyi mahdollisesti päättelemään, mikä appi käyttää kameraa.

Kuvaus: Ongelma on ratkaistu lisäämällä appien tilojen havaitsemisen rajoituksia.

CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)

Kohta lisätty 27.10.2022

iMovie

Saatavuus: macOS Monterey

Vaikutus: käyttäjä saattoi pystyä tarkastelemaan arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma ratkaistiin ottamalla käyttöön vahvistettu suorituksenaikainen suojaus.

CVE-2022-32896: Wojciech Reguła (@_r3ggi)

Kernel

Saatavuus: macOS Monterey

Vaikutus: yhdistäminen haitalliseen NFS-palvelimeen saattoi johtaa mielivaltaisen koodin suorittamiseen kernel-käyttöoikeuksilla

Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.

CVE-2022-46701: Felix Poulin-Belanger

Kohta lisätty 11.5.2023

Kernel

Saatavuus: macOS Monterey

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2022-32914: Zweig (Kunlun Lab)

Kohta lisätty 27.10.2022

Kernel

Saatavuus: macOS Monterey

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2022-32911: Zweig (Kunlun Lab)

CVE-2022-32866: Linus Henze (Pinauten GmbH, pinauten.de)

CVE-2022-32924: Ian Beer (Google Project Zero)

Kohta päivitetty 27.10.2022

Kernel

Saatavuus: macOS Monterey

Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2022-32864: Linus Henze (Pinauten GmbH, pinauten.de)

Kernel

Saatavuus: macOS Monterey

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu aktiivisesti hyödyntää.

Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.

CVE-2022-32917: nimetön tutkija

Maps

Saatavuus: macOS Monterey

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja

Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2022-32883: Ron Masas (breakpointhq.com)

Kohta päivitetty 27.10.2022

MediaLibrary

Saatavuus: macOS Monterey

Vaikutus: käyttäjä saattoi pystyä hankkimaan laajemmat käyttöoikeudet.

Kuvaus: muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2022-32908: nimetön tutkija

ncurses

Saatavuus: macOS Monterey

Vaikutus: käyttäjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: puskurin ylivuoto on korjattu parantamalla rajojen tarkistusta.

CVE-2021-39537

Kohta lisätty 27.10.2022

Notes

Saatavuus: macOS Monterey

Vaikutus: Etuoikeutetussa verkkoasemassa oleva hyökkääjä saattoi pystyä seuraamaan käyttäjätietoja.

Kuvaus: Ongelma on ratkaistu parantamalla tietojen suojausta.

CVE-2022-42818: Gustav Hansen (WithSecure)

Kohta lisätty 22.12.2022

PackageKit

Saatavuus: macOS Monterey

Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2022-32900: Mickey Jin (@patch1t)

Sandbox

Saatavuus: macOS Monterey

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2022-32881: Csaba Fitzl (@theevilbit, Offensive Security)

Kohta lisätty 27.10.2022

Security

Saatavuus: macOS Monterey

Vaikutus: Ohjelma saattoi pystyä ohittamaan koodin allekirjoitustarkistukset.

Kuvaus: Koodien allekirjoitusten validointiongelma on ratkaistu parantamalla tarkistuksia.

CVE-2022-42793: Linus Henze (Pinauten GmbH, pinauten.de)

Kohta lisätty 27.10.2022

Sidecar

Saatavuus: macOS Monterey

Vaikutus: käyttäjä saattoi pystyä katselemaan kiellettyä sisältöä lukitulta näytöltä.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2022-42790: Om Kothawade (Zaprico Digital)

Kohta lisätty 27.10.2022

SMB

Saatavuus: macOS Monterey

Vaikutus: etäkäyttäjä saattoi pystyä aiheuttamaan kernel-koodin suorittamisen

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2022-32934: Felix Poulin-Belanger

Kohta lisätty 27.10.2022

Vim

Saatavuus: macOS Monterey

Vaikutus: Haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2022-0261

CVE-2022-0318

CVE-2022-0319

CVE-2022-0351

CVE-2022-0359

CVE-2022-0361

CVE-2022-0368

CVE-2022-0392

Kohta lisätty 27.10.2022

Vim

Saatavuus: macOS Monterey

Vaikutus: Haitallisen tiedoston käsitteleminen saattoi aiheuttaa palveluneston tai mahdollisesti paljastaa muistin sisällön.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2022-1720

CVE-2022-2000

CVE-2022-2042

CVE-2022-2124

CVE-2022-2125

CVE-2022-2126

Kohta lisätty 27.10.2022

Weather

Saatavuus: macOS Monterey

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2022-32875: nimetön tutkija

Kohta lisätty 27.10.2022

WebKit

Saatavuus: macOS Monterey

Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.

WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)

Kohta lisätty 27.10.2022

apache

Haluamme kiittää Enterprise Service Centerin Tricia Leetä hänen avustaan.

Kohta lisätty 11.5.2023

Identity Services

Haluamme kiittää Joshua Jonesia hänen antamastaan avusta.