À propos des correctifs de sécurité de macOS Monterey 12.6
Ce document décrit les correctifs de sécurité de macOS Monterey 12.6.
À propos des mises à jour de sécurité Apple
Dans un souci de protection de ses clients, Apple s’abstient de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou des mises à jour ne sont pas offerts. Les mises à jour récentes sont répertoriées à la page Mises à jour de sécurité Apple.
Les documents de sécurité Apple répertorient les vulnérabilités par référence CVE dans la mesure du possible.
Pour obtenir plus d’informations en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.
macOS Monterey 12.6
AppleMobileFileIntegrity
Disponible pour : macOS Monterey
Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.
Description : un problème de validation des signatures de codes a été réglé au moyen de vérifications améliorées.
CVE-2022-42789 : Koh M. Nakagawa de FFRI Security, Inc.
ATS
Disponible pour : macOS Monterey
Conséquence : une app peut être en mesure de contourner les préférences en matière de confidentialité.
Description : un problème de logique a été résolu par une meilleure gestion des états.
CVE-2022-32902 : Mickey Jin (@patch1t)
ATS
Disponible pour : macOS Monterey
Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.
Description : un problème d’accès a été résolu par des restrictions supplémentaires de bac à sable.
CVE-2022-32904 : Mickey Jin (@patch1t)
ATS
Disponible pour : macOS Monterey
Conséquence : une app peut être en mesure de contourner les préférences en matière de confidentialité.
Description : un problème de logique a été résolu par une meilleure gestion des états.
CVE-2022-32902 : Mickey Jin (@patch1t)
Calendar
Disponible pour : macOS Monterey
Conséquence : une app peut être en mesure de lire des informations d’emplacement confidentielles.
Description : un problème d’accès a été résolu par une amélioration des restrictions d’accès.
CVE-2022-42819 : un chercheur anonyme
GarageBand
Disponible pour : macOS Monterey
Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.
Description : un problème de configuration a été résolu par des restrictions supplémentaires.
CVE-2022-32877 : Wojciech Reguła (@_r3ggi) de SecuRing
ImageIO
Disponible pour : macOS Monterey
Conséquence : le traitement d’une image peut entraîner un déni de service.
Description : un problème de déni de service a été résolu par une meilleure validation.
CVE-2022-1622
Image Processing
Disponible pour : macOS Monterey
Conséquence : une app en mode bac à sable peut être en mesure de déterminer quelle app utilise actuellement la caméra.
Description : ce problème a été résolu par des restrictions supplémentaires concernant l’observabilité des états de l’app.
CVE-2022-32913 : Yiğit Can YILMAZ (@yilmazcanyigit)
iMovie
Disponible pour : macOS Monterey
Conséquence : un utilisateur peut être en mesure de divulguer des données utilisateur confidentielles.
Description : ce problème a été résolu en activant l’exécution renforcée (Hardened Runtime).
CVE-2022-32896 : Wojciech Reguła (@_r3ggi)
Kernel
Disponible pour : macOS Monterey
Conséquence : la connexion à un serveur NFS malveillant peut entraîner l’exécution arbitraire de code « kernel privileges »
Description : ce problème a été résolu par une meilleure vérification des limites.
CVE-2022-46701 : Félix Poulin-Bélanger
Kernel
Disponible pour : macOS Monterey
Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.
CVE-2022-32914 : Zweig de Kunlun Lab
Kernel
Disponible pour : macOS Monterey
Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : ce problème a été résolu par une meilleure gestion de la mémoire.
CVE-2022-32911 : Zweig de Kunlun Lab
CVE-2022-32866 : Linus Henze de Pinauten GmbH (pinauten.de)
CVE-2022-32924 : Ian Beer de Google Project Zero
Kernel
Disponible pour : macOS Monterey
Conséquence : une app peut être en mesure de divulguer la mémoire du noyau.
Description : ce problème a été résolu par une meilleure gestion de la mémoire.
CVE-2022-32864 : Linus Henze de Pinauten GmbH (pinauten.de)
Kernel
Disponible pour : macOS Monterey
Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau. Apple a connaissance de l’exploitation active potentielle de cette faille de sécurité.
Description : ce problème a été résolu par une meilleure vérification des limites.
CVE-2022-32917 : un chercheur anonyme
Maps
Disponible pour : macOS Monterey
Conséquence : une app peut être en mesure de lire des informations d’emplacement confidentielles.
Description : un problème de logique a été résolu par de meilleures restrictions.
CVE-2022-32883 : Ron Masas de breakpointhq.com
MediaLibrary
Disponible pour : macOS Monterey
Conséquence : un utilisateur peut être en mesure d’augmenter ses privilèges.
Description : un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées.
CVE-2022-32908 : un chercheur anonyme
ncurses
Disponible pour : macOS Monterey
Conséquence : un utilisateur peut être en mesure de provoquer la fermeture inopinée d’une app ou l’exécution arbitraire de code.
Description : un problème de dépassement de mémoire tampon a été résolu par une meilleure vérification des limites.
CVE-2021-39537
Notes
Disponible pour : macOS Monterey
Conséquence : un utilisateur bénéficiant d’une position privilégiée sur le réseau peut suivre l’activité des utilisateurs.
Description : ce problème a été résolu par une meilleure protection des données.
CVE-2022-42818 : Gustav Hansen de WithSecure
PackageKit
Disponible pour : macOS Monterey
Conséquence : une app peut être en mesure d’accéder à des privilèges élevés.
Description : un problème de logique a été résolu par une meilleure gestion des états.
CVE-2022-32900 : Mickey Jin (@patch1t)
Sandbox
Disponible pour : macOS Monterey
Conséquence : une app peut être en mesure de modifier des sections protégées du système de fichiers.
Description : un problème de logique a été résolu par de meilleures restrictions.
CVE-2022-32881 : Csaba Fitzl (@theevilbit) de Offensive Security
Security
Disponible pour : macOS Monterey
Conséquence : une app peut être en mesure de contourner les vérifications de signature de code.
Description : un problème de validation des signatures de codes a été réglé au moyen de vérifications améliorées.
CVE-2022-42793 : Linus Henze de Pinauten GmbH (pinauten.de)
Sidecar
Disponible pour : macOS Monterey
Conséquence : un utilisateur peut être en mesure d’afficher du contenu restreint à partir de l’écran de verrouillage.
Description : un problème de logique a été résolu par une meilleure gestion des états.
CVE-2022-42790 : Om kothawade de Zaprico Digital
SMB
Disponible pour : macOS Monterey
Conséquence : un utilisateur distant peut être en mesure de provoquer l’exécution du code du noyau.
Description : ce problème a été résolu par une meilleure gestion de la mémoire.
CVE-2022-32934 : Felix Poulin-Belanger
Vim
Disponible pour : macOS Monterey
Conséquence : le traitement d’un fichier malveillant peut entraîner la fermeture inopinée d’une app ou l’exécution arbitraire de code.
Description : un problème d’écriture hors limites a été résolu par une meilleure validation des entrées.
CVE-2022-0261
CVE-2022-0318
CVE-2022-0319
CVE-2022-0351
CVE-2022-0359
CVE-2022-0361
CVE-2022-0368
CVE-2022-0392
Vim
Disponible pour : macOS Monterey
Conséquence : le traitement d’un fichier malveillant peut conduire à un déni de service ou potentiellement divulguer le contenu de la mémoire.
Description : ce problème a été résolu par l’application de meilleures vérifications.
CVE-2022-1720
CVE-2022-2000
CVE-2022-2042
CVE-2022-2124
CVE-2022-2125
CVE-2022-2126
Weather
Disponible pour : macOS Monterey
Conséquence : une app peut être en mesure de lire des informations d’emplacement confidentielles.
Description : un problème de logique a été résolu par une meilleure gestion des états.
CVE-2022-32875 : un chercheur anonyme
WebKit
Disponible pour : macOS Monterey
Conséquence : le traitement d’un contenu web malveillant peut entraîner l’exécution arbitraire de code.
Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.
CVE-2022-32888 : P1umer (@p1umer)
Remerciements supplémentaires
apache
Nous tenons à remercier Tricia Lee d’Enterprise Service Center pour son aide.
Identity Services
Nous aimerions remercier Joshua Jones pour son aide.
Les renseignements sur les produits qui ne sont pas fabriqués par Apple ou sur les sites Web indépendants qui ne sont pas gérés ou vérifiés par Apple sont fournis sans recommandation ni approbation de la part d’Apple. Apple se dégage de toute responsabilité quant à la sélection, au bon fonctionnement ou à l’utilisation de sites Web ou de produits de tiers. Apple ne fait aucune déclaration et n’offre aucune garantie quant à l’exactitude ou à la fiabilité de ces sites Web de tiers. Communiquez avec le vendeur pour de plus amples renseignements.