אודות תוכן האבטחה של macOS Monterey 12.6

מסמך זה מתאר את תוכן האבטחה של macOS Monterey 12.6.

אודות עדכוני אבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. הגרסאות העדכניות רשומות בדף עדכוני אבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.

למידע נוסף בנושא אבטחה, עיינו בדף אבטחת מוצרי Apple.

macOS Monterey 12.6

AppleMobileFileIntegrity

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיה באימות חתימה של קוד טופלה באמצעות בדיקות משופרות.

CVE-2022-42789: קו מ' נאקאגווה מ-FFRI .Security, Inc.‎

ATS

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לעקוף את העדפות הפרטיות

תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.

CVE-2022-32902: מיקי ג'ין (‎@patch1t)

ATS

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיית גישה טופלה באמצעות הגבלות 'ארגז חול' נוספות.

CVE-2022-32904: מיקי ג'ין (‎@patch1t)

ATS

זמין עבור: macOS Monterey

השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות

תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.

CVE-2022-32902: מיקי ג'ין (‎@patch1t)

Calendar

זמין עבור: macOS Monterey

השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום

תיאור: בעיית גישה טופלה באמצעות הגבלות גישה משופרות.

CVE-2022-42819: חוקר אנונימי

GarageBand

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיית תצורה טופלה באמצעות הגבלות נוספות.

CVE-2022-32877: וויצ'ך רגולה (‎@_r3ggi) מ-SecuRing

ImageIO

זמין עבור: macOS Monterey

השפעה: עיבוד תמונה עלול לגרום למניעת שירות

תיאור: בעיית מניעת שירות טופלה באמצעות אימות משופר.

CVE-2022-1622

Image Processing

זמין עבור: macOS Monterey

השפעה: יישום בארגז חול עלול להצליח לקבוע איזה יישום משתמש כעת במצלמה

תיאור: הבעיה טופלה באמצעות הגבלות נוספות בנוגע לנראות של מצבי יישומים.

CVE-2022-32913: ‏ייגיט ג'ן ילמז ‏(‎@yilmazcanyigit)

iMovie

זמין עבור: macOS Monterey

השפעה: משתמש עלול להצליח לצפות במידע רגיש אודות המשתמש

תיאור: בעיה זו טופלה על ידי הפעלת מצב Hardened Runtime (סביבת זמן ריצה מוגנת).

CVE-2022-32896: וויצ'ך רגולה (‎@_r3ggi)

Kernel

זמין עבור: macOS Monterey

השפעה: חיבור לשרת NFS זדוני עלול להוביל להפעלת קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.

CVE-2022-46701: פליקס פולין-בלאנג'ר

Kernel

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2022-32914: צווייג מ-Kunlun Lab

Kernel

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2022-32911: צווייג מ-Kunlun Lab

CVE-2022-32866: לינוס הנצה מ-Pinauten GmbH‏ (pinauten.de)

CVE-2022-32924:‏ איאן ביר מ-Google Project Zero

Kernel

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לחשוף את זיכרון הליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2022-32864: לינוס הנצה מ-Pinauten GmbH‏ (pinauten.de)

Kernel

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה. Apple מודעת לדיווח על כך שייתכן שבעיה זו נוצלה באופן פעיל.

תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.

CVE-2022-32917: חוקר אנונימי

Maps

זמין עבור: macOS Monterey

השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום

תיאור: בעיה לוגית טופלה באמצעות הגבלות משופרות.

CVE-2022-32883: רון מסאס מ-breakpointhq.com

MediaLibrary

זמין עבור: macOS Monterey

השפעה: משתמש עלול להצליח להשיג הרשאות ברמה גבוהה יותר

תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.

CVE-2022-32908: חוקר אנונימי

ncurses

זמין עבור: macOS Monterey

השפעה: משתמש עלול לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.

CVE-2021-39537

Notes

זמין עבור: macOS Monterey

השפעה: משתמש במיקום רשת מורשה עלול להצליח לעקוב אחר פעילות משתמשים

תיאור: בעיה זו טופלה באמצעות הגנת נתונים משופרת.

CVE-2022-42818: גוסטב האנסן מ-WithSecure

PackageKit

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לקבל הרשאות ברמה גבוהה יותר

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

CVE-2022-32900: מיקי ג'ין (‎@patch1t)

Sandbox

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: בעיה לוגית טופלה באמצעות הגבלות משופרות.

CVE-2022-32881: סאבה פיצל (‎@theevilbit) מ-Offensive Security

Security

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לעקוף בדיקות של חתימת קוד

תיאור: בעיה באימות חתימה של קוד טופלה באמצעות בדיקות משופרות.

CVE-2022-42793: לינוס הנצה מ-Pinauten GmbH‏ (pinauten.de)

Sidecar

זמין עבור: macOS Monterey

השפעה: ייתכן שמשתמש יוכל להציג תוכן מוגבל ממסך הנעילה

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

CVE-2022-42790: אום קות'וואדה מ-Zaprico Digital

SMB

זמין עבור: macOS Monterey

השפעה: משתמש מרוחק עלול להצליח לגרום להפעלת קוד ליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2022-32934: פליקס פולין-בלאנג'ר

Vim

זמין עבור: macOS Monterey

השפעה: עיבוד של קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2022-0261

CVE-2022-0318

CVE-2022-0319

CVE-2022-0351

CVE-2022-0359

CVE-2022-0361

CVE-2022-0368

CVE-2022-0392

Vim

זמין עבור: macOS Monterey

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל למניעת שירות או לחשיפה פוטנציאלית של תוכן זיכרון

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2022-1720

CVE-2022-2000

CVE-2022-2042

CVE-2022-2124

CVE-2022-2125

CVE-2022-2126

Weather

זמין עבור: macOS Monterey

השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

CVE-2022-32875: חוקר אנונימי

WebKit

זמין עבור: macOS Monterey

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2022-32888:‏ P1umer‏ (‎@p1umer)

תודות נוספות

apache

אנחנו מבקשים להודות לטרישה לי מ-Enterprise Service Center על הסיוע.

Identity Services

אנחנו מבקשים להודות לג'ושוע ג'ונס על הסיוע.