À propos des mises à jour de sécurité Apple
Dans un souci de protection de ses clients, Apple s’abstient de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou des mises à jour ne sont pas offerts. Les mises à jour récentes sont répertoriées à la page Mises à jour de sécurité Apple.
Les documents de sécurité Apple répertorient les vulnérabilités par référence CVE dans la mesure du possible.
Pour obtenir plus d’informations en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.
macOS Monterey 12.6
Publié le 12 septembre 2022
AppleMobileFileIntegrity
Disponible pour : macOS Monterey
Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.
Description : un problème de validation des signatures de codes a été réglé au moyen de vérifications améliorées.
CVE-2022-42789 : Koh M. Nakagawa de FFRI Security, Inc.
Entrée ajoutée le 27 octobre 2022
ATS
Disponible pour : macOS Monterey
Conséquence : une app peut être en mesure de contourner les préférences en matière de confidentialité.
Description : un problème de logique a été résolu par une meilleure gestion des états.
CVE-2022-32902 : Mickey Jin (@patch1t)
Entrée ajoutée le 27 octobre 2022
ATS
Disponible pour : macOS Monterey
Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.
Description : un problème d’accès a été résolu par des restrictions supplémentaires de bac à sable.
CVE-2022-32904 : Mickey Jin (@patch1t)
Entrée ajoutée le 27 octobre 2022
ATS
Disponible pour : macOS Monterey
Conséquence : une app peut être en mesure de contourner les préférences en matière de confidentialité.
Description : un problème de logique a été résolu par une meilleure gestion des états.
CVE-2022-32902 : Mickey Jin (@patch1t)
Calendar
Disponible pour : macOS Monterey
Conséquence : une app peut être en mesure de lire des informations d’emplacement confidentielles.
Description : un problème d’accès a été résolu par une amélioration des restrictions d’accès.
CVE-2022-42819 : un chercheur anonyme
Entrée ajoutée le 27 octobre 2022
GarageBand
Disponible pour : macOS Monterey
Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.
Description : un problème de configuration a été résolu par des restrictions supplémentaires.
CVE-2022-32877 : Wojciech Reguła (@_r3ggi) de SecuRing
Entrée ajoutée le 27 octobre 2022
ImageIO
Disponible pour : macOS Monterey
Conséquence : le traitement d’une image peut entraîner un déni de service.
Description : un problème de déni de service a été résolu par une meilleure validation.
CVE-2022-1622
Entrée ajoutée le 27 octobre 2022
Image Processing
Disponible pour : macOS Monterey
Conséquence : une app en mode bac à sable peut être en mesure de déterminer quelle app utilise actuellement la caméra.
Description : ce problème a été résolu par des restrictions supplémentaires concernant l’observabilité des états de l’app.
CVE-2022-32913 : Yiğit Can YILMAZ (@yilmazcanyigit)
Entrée ajoutée le 27 octobre 2022
iMovie
Disponible pour : macOS Monterey
Conséquence : un utilisateur peut être en mesure de divulguer des données utilisateur confidentielles.
Description : ce problème a été résolu en activant l’exécution renforcée (Hardened Runtime).
CVE-2022-32896 : Wojciech Reguła (@_r3ggi)
Kernel
Disponible pour : macOS Monterey
Conséquence : la connexion à un serveur NFS malveillant peut entraîner l’exécution arbitraire de code « kernel privileges »
Description : ce problème a été résolu par une meilleure vérification des limites.
CVE-2022-46701 : Félix Poulin-Bélanger
Entrée ajoutée le 11 mai 2023
Kernel
Disponible pour : macOS Monterey
Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.
CVE-2022-32914 : Zweig de Kunlun Lab
Entrée ajoutée le 27 octobre 2022
Kernel
Disponible pour : macOS Monterey
Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : ce problème a été résolu par une meilleure gestion de la mémoire.
CVE-2022-32911 : Zweig de Kunlun Lab
CVE-2022-32866 : Linus Henze de Pinauten GmbH (pinauten.de)
CVE-2022-32924 : Ian Beer de Google Project Zero
Entrée mise à jour le 27 octobre 2022
Kernel
Disponible pour : macOS Monterey
Conséquence : une app peut être en mesure de divulguer la mémoire du noyau.
Description : ce problème a été résolu par une meilleure gestion de la mémoire.
CVE-2022-32864 : Linus Henze de Pinauten GmbH (pinauten.de)
Kernel
Disponible pour : macOS Monterey
Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau. Apple a connaissance de l’exploitation active potentielle de cette faille de sécurité.
Description : ce problème a été résolu par une meilleure vérification des limites.
CVE-2022-32917 : un chercheur anonyme
Maps
Disponible pour : macOS Monterey
Conséquence : une app peut être en mesure de lire des informations d’emplacement confidentielles.
Description : un problème de logique a été résolu par de meilleures restrictions.
CVE-2022-32883 : Ron Masas de breakpointhq.com
Entrée mise à jour le 27 octobre 2022
MediaLibrary
Disponible pour : macOS Monterey
Conséquence : un utilisateur peut être en mesure d’augmenter ses privilèges.
Description : un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées.
CVE-2022-32908 : un chercheur anonyme
ncurses
Disponible pour : macOS Monterey
Conséquence : un utilisateur peut être en mesure de provoquer la fermeture inopinée d’une app ou l’exécution arbitraire de code.
Description : un problème de dépassement de mémoire tampon a été résolu par une meilleure vérification des limites.
CVE-2021-39537
Entrée ajoutée le 27 octobre 2022
Notes
Disponible pour : macOS Monterey
Conséquence : un utilisateur bénéficiant d’une position privilégiée sur le réseau peut suivre l’activité des utilisateurs.
Description : ce problème a été résolu par une meilleure protection des données.
CVE-2022-42818 : Gustav Hansen de WithSecure
Entrée ajoutée le 22 décembre 2022
PackageKit
Disponible pour : macOS Monterey
Conséquence : une app peut être en mesure d’accéder à des privilèges élevés.
Description : un problème de logique a été résolu par une meilleure gestion des états.
CVE-2022-32900 : Mickey Jin (@patch1t)
Sandbox
Disponible pour : macOS Monterey
Conséquence : une app peut être en mesure de modifier des sections protégées du système de fichiers.
Description : un problème de logique a été résolu par de meilleures restrictions.
CVE-2022-32881 : Csaba Fitzl (@theevilbit) de Offensive Security
Entrée ajoutée le 27 octobre 2022
Security
Disponible pour : macOS Monterey
Conséquence : une app peut être en mesure de contourner les vérifications de signature de code.
Description : un problème de validation des signatures de codes a été réglé au moyen de vérifications améliorées.
CVE-2022-42793 : Linus Henze de Pinauten GmbH (pinauten.de)
Entrée ajoutée le 27 octobre 2022
Sidecar
Disponible pour : macOS Monterey
Conséquence : un utilisateur peut être en mesure d’afficher du contenu restreint à partir de l’écran de verrouillage.
Description : un problème de logique a été résolu par une meilleure gestion des états.
CVE-2022-42790 : Om kothawade de Zaprico Digital
Entrée ajoutée le 27 octobre 2022
SMB
Disponible pour : macOS Monterey
Conséquence : un utilisateur distant peut être en mesure de provoquer l’exécution du code du noyau.
Description : ce problème a été résolu par une meilleure gestion de la mémoire.
CVE-2022-32934 : Felix Poulin-Belanger
Entrée ajoutée le 27 octobre 2022
Vim
Disponible pour : macOS Monterey
Conséquence : le traitement d’un fichier malveillant peut entraîner la fermeture inopinée d’une app ou l’exécution arbitraire de code.
Description : un problème d’écriture hors limites a été résolu par une meilleure validation des entrées.
CVE-2022-0261
CVE-2022-0318
CVE-2022-0319
CVE-2022-0351
CVE-2022-0359
CVE-2022-0361
CVE-2022-0368
CVE-2022-0392
Entrée ajoutée le 27 octobre 2022
Vim
Disponible pour : macOS Monterey
Conséquence : le traitement d’un fichier malveillant peut conduire à un déni de service ou potentiellement divulguer le contenu de la mémoire.
Description : ce problème a été résolu par l’application de meilleures vérifications.
CVE-2022-1720
CVE-2022-2000
CVE-2022-2042
CVE-2022-2124
CVE-2022-2125
CVE-2022-2126
Entrée ajoutée le 27 octobre 2022
Weather
Disponible pour : macOS Monterey
Conséquence : une app peut être en mesure de lire des informations d’emplacement confidentielles.
Description : un problème de logique a été résolu par une meilleure gestion des états.
CVE-2022-32875 : un chercheur anonyme
Entrée ajoutée le 27 octobre 2022
WebKit
Disponible pour : macOS Monterey
Conséquence : le traitement d’un contenu web malveillant peut entraîner l’exécution arbitraire de code.
Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.
WebKit Bugzilla : 242047
CVE-2022-32888 : P1umer (@p1umer)
Entrée ajoutée le 27 octobre 2022
Remerciements supplémentaires
apache
Nous tenons à remercier Tricia Lee d’Enterprise Service Center pour son aide.
Entrée ajoutée le 11 mai 2023
Identity Services
Nous aimerions remercier Joshua Jones pour son aide.