אודות תוכן האבטחה של macOS Monterey 12.3
מסמך זה מתאר את תוכן האבטחה של macOS Monterey 12.3.
מידע על עדכוני אבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. הגרסאות העדכניות רשומות בדף עדכוני אבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.
למידע נוסף בנושא אבטחה, עיינו בדף אבטחת מוצרי Apple.
macOS Monterey 12.3
Accelerate Framework
זמין עבור: macOS Monterey
השפעה: פתיחת קובץ PDF שנוצר באופן זדוני עלולה להוביל לסיום בלתי צפוי של אפליקציה או להפעלת קוד שרירותי
תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.
CVE-2022-22633: ryuzaki
AMD
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2022-22669: חוקר אנונימי
AppKit
זמין עבור: macOS Monterey
השפעה: ייתכן שאפליקציה זדונית תצליח לקבל הרשאות בסיס
תיאור: בעיית לוגיקה טופלה באמצעות אימות משופר.
CVE-2022-22665: Lockheed Martin Red Team
AppleEvents
זמין עבור: macOS Monterey
השפעה: תוקף מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2022-22630: Jeremy Brown יחד עם Zero Day Initiative של Trend Micro
AppleGraphicsControl
זמין עבור: macOS Monterey
השפעה: יישום עלול לקבל הרשאות ברמה גבוהה יותר
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2022-22631: וואנג יו מ-cyberserval
AppleScript
זמין עבור: macOS Monterey
השפעה: עיבוד של AppleScript בינארי בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של יישום או לחשיפת זיכרון התהליך
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2022-22625: מיקי ג'ין (patch1t@) מ-Trend Micro
AppleScript
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח לקרוא זיכרון מוגבל
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2022-22648: מיקי ג'ין (@patch1t) מ-Trend Micro
AppleScript
זמין עבור: macOS Monterey
השפעה: עיבוד של AppleScript בינארי בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של יישום או לחשיפת זיכרון התהליך
תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2022-22626: מיקי ג'ין (patch1t@) מ-Trend Micro
CVE-2022-22627: קי סאן ורוברט איי מ-Trend Micro
AppleScript
זמין עבור: macOS Monterey
השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית השחתת זיכרון טופלה באמצעות שיפור האימות.
CVE-2022-22597: קי סאן ורוברט איי מ-Trend Micro
BOM
זמין עבור: macOS Monterey
השפעה: ארכיון ZIP שעוצב בצורה זדונית עלול לעקוף בדיקות Gatekeeper
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2022-22616: פרדוס סאלג'וקי (@malwarezoo) וג'ארון בריידלי (@jbradley89) מ-Jamf Software, מיקי ג'ין (@patch1t)
CoreTypes
זמין עבור: macOS Monterey
השפעה: אפליקציה זדונית עלולה להצליח לעקוף את הבדיקות של Gatekeeper
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות למניעת פעולות לא מורשות.
CVE-2022-22663: ארסני קוסטרומין (0x3c3e)
CUPS
זמין עבור: macOS Monterey
השפעה: יישום עלול לקבל הרשאות ברמה גבוהה יותר
תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.
CVE-2022-26691: ג'ושוע מייסון מ-Mandiant
curl
זמין עבור: macOS Monterey
השפעה: מספר בעיות ב-curl
תיאור: מספר בעיות טופלו באמצעות עדכון לגרסה 7.79.1 של curl.
CVE-2021-22946
CVE-2021-22947
CVE-2021-22945
FaceTime
זמין עבור: macOS Monterey
השפעה: משתמש עלול לשלוח שמע וסרטון במהלך שיחת FaceTime קבוצתית ללא ידיעתו
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2022-22643: סונאלי לות'אר מאוניברסיטת וירג'יניה, מייקל ליאהו מאוניברסיטת אילינוי ב-Urbana-Champaign, רוהאן פאהווה מאוניברסיטת רטגרס, ובאו נגויין מאוניברסיטת פלורידה
GarageBand MIDI
זמין עבור: macOS Monterey
השפעה: פתיחת קובץ בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: בעיית אתחול זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2022-22657: ברנדון פרי מ-Atredis Partners
GarageBand MIDI
זמין עבור: macOS Monterey
השפעה: פתיחת קובץ בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2022-22664: ברנדון פרי מ-Atredis Partners
Graphics Drivers
זמין עבור: macOS Monterey
השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.
CVE-2021-30977: ג'ק דייטס מ-.RET2 Systems, Inc.
ImageIO
זמין עבור: macOS Monterey
השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2022-22611: סינגיו ג'ין מ-Google
ImageIO
זמין עבור: macOS Monterey
השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לפגם בזיכרון
תיאור: בעיה בצריכת זיכרון נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2022-22612: סינגיו ג'ין מ-Google
Intel Graphics Driver
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית בלבול בסוגים טופלה באמצעות טיפול משופר במצב.
CVE-2022-46706: וואנג יו מ-Cyberserval ופאן שנפנג (@Peterpan0927) מ-Alibaba Security Pandora Lab
Intel Graphics Driver
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית בלבול בסוגים טופלה באמצעות טיפול משופר במצב.
CVE-2022-22661: Wang Yu מ-Cyberserval ו-Pan ZhenPeng (@Peterpan0927) מ-Alibaba Security Pandora Lab
IOGPUFamily
זמין עבור: macOS Monterey
השפעה: יישום עלול לקבל הרשאות ברמה גבוהה יותר
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2022-22641: מוחמד גנם (@_simo36)
Kernel
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2022-22613: אלכס, חוקר אנונימי
Kernel
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2022-22614: חוקר אנונימי
CVE-2022-22615: חוקר אנונימי
Kernel
זמין עבור: macOS Monterey
השפעה: יישום זדוני עלול להצליח להשיג הרשאות ברמה גבוהה יותר
תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.
CVE-2022-22632: קיגאן סאונדרס
Kernel
זמין עבור: macOS Monterey
השפעה: תוקף במיקום מורשה עלול להצליח לבצע מתקפה של מניעת שירות
תיאור: ביטול הפניה לערך מצביע Null טופל באמצעות שיפור האימות.
CVE-2022-22638: derrek (@derrekr6)
Kernel
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות שיפור האימות.
CVE-2022-22640: sqrtpwn
LaunchServices
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח לעקוף העדפות פרטיות מסוימות
תיאור: בעיה לוגית טופלה באמצעות הגבלות משופרות.
CVE-2021-30946: @gorelics ורון מאסאס מ-BreakPoint.sh
libarchive
זמין עבור: macOS Monterey
השפעה: מספר בעיות ב-libarchive
תיאור: מספר בעיות של זיכרון פגום היו קיימות ב-libarchive. בעיות אלה טופלו באמצעות אימות קלט משופר.
CVE-2021-36976
LLVM
זמין עבור: macOS Monterey
השפעה: אפליקציה עלולה להצליח למחוק קבצים שאין לה הרשאה לגשת אליהם
תיאור: מצב מירוץ טופל באמצעות אימות נוסף.
CVE-2022-21658: פלוריאן ויימר (@fweimer)
Login Window
זמין עבור: macOS Monterey
השפעה: אדם בעל גישה ל-Mac עלול לעקוף את חלון ההתחברות
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2022-22647: יוטו איקדה מאוניברסיטת Kyushu
LoginWindow
זמין עבור: macOS Monterey
השפעה: תוקף מקומי עלול להצליח לצפות במכתבה של המשתמש הקודם שהיה מחובר מהמסך 'מעבר מהיר בין משתמשים'
תיאור: בעיית אימות טופלה באמצעות ניהול מצבים משופר.
CVE-2022-22656
MobileAccessoryUpdater
זמין עבור: macOS Monterey
השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2022-22672: סידהארת ארי (@b1n4r1b01)
NSSpellChecker
זמין עבור: macOS Monterey
השפעה: אפליקציה זדונית עלולה להצליח לגשת למידע על אנשי הקשר של המשתמש
תיאור: הייתה בעיית פרטיות בטיפול בכרטיסים של אנשי קשר. בעיה זו טופלה באמצעות ניהול מצבים משופר.
CVE-2022-22644: תומאס רוט (@stacksmashing) מ-leveldown security
PackageKit
זמין עבור: macOS Monterey
השפעה: אפליקציה זדונית עלולה להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: מצב מירוץ טופל באמצעות אימות נוסף.
CVE-2022-26690: מיקי ג'ין (@patch1t) מ-Trend Micro
PackageKit
זמין עבור: macOS Monterey
השפעה: אפליקציה זדונית עם הרשאות בסיס עשויה לשנות את התוכן של קובצי המערכת
תיאור: בעיה בטיפול בקישורי symlink טופלה באמצעות אימות משופר.
CVE-2022-26688: מיקי ג'ין (@patch1t) מ-Trend Micro
PackageKit
זמין עבור: macOS Monterey
השפעה: יישום עלול לקבל הרשאות ברמה גבוהה יותר
תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.
CVE-2022-22617: מיקי ג'ין (patch1t@)
Preferences
זמין עבור: macOS Monterey
השפעה: יישום זדוני עלול להצליח לקרוא הגדרות של יישומים אחרים
תיאור: הבעיה טופלה באמצעות בדיקות הרשאות נוספות.
CVE-2022-22609: Mickey Jin (@patch1t), ו-Zhipeng Huo (@R3dF09) ו-Yuebin Sun (@yuebinsun2020) מ-Tencent Security Xuanwu Lab (xlab.tencent.com)
QuickTime Player
זמין עבור: macOS Monterey
השפעה: תוסף עלול להיות מסוגל לרשת את הרשאות היישום ולגשת לנתוני משתמשים
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2022-22650: וויצ'ך רגולה (@_r3ggi) מ-SecuRing
Safari Downloads
זמין עבור: macOS Monterey
השפעה: ארכיון ZIP שעוצב בצורה זדונית עלול לעקוף בדיקות Gatekeeper
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2022-22616: פרדוס סאלג'וקי (@malwarezoo) וג'ארון בריידלי (@jbradley89) מ-Jamf Software, מיקי ג'ין (@patch1t)
Sandbox
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח להדליף מידע רגיש אודות המשתמש
תיאור: בעיית גישה טופלה באמצעות שיפורים בארגז החול.
CVE-2022-22655: סאבה פיצל (@theevilbit) מ-Offensive Security
Sandbox
זמין עבור: macOS Monterey
השפעה: יישום זדוני עלול להצליח לעקוף העדפות פרטיות מסוימות
תיאור: הבעיה טופלה באמצעות שיפור הלוגיקה של ההרשאות.
CVE-2022-22600: סודהאקר מות'ומאני (@sudhakarmuthu04) מ-Primefort Private Limited, קיאם טראן
Siri
זמין עבור: macOS Monterey
השפעה: אדם בעל גישה פיזית למכשיר עלול להיות מסוגל להשתמש ב-Siri כדי להשיג מידע על מיקום ממסך הנעילה.
תיאור: בעיית הרשאות טופלה באמצעות אימות משופר.
CVE-2022-22599: אנדרו גולדברג מאוניברסיטת טקסס באוסטין, McCombs School of Business (linkedin.com/andrew-goldberg-/)
SMB
זמין עבור: macOS Monterey
השפעה: תוקף מרחוק עלול לגרום לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2022-22651: פליקס פולין-בלאנג'ר
SoftwareUpdate
זמין עבור: macOS Monterey
השפעה: יישום עלול לקבל הרשאות ברמה גבוהה יותר
תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.
CVE-2022-22639: מיקי ג'ין (patch1t@)
System Preferences
זמין עבור: macOS Monterey
השפעה: אפליקציה עלולה להיות מסוגלת להפריע להתראות המערכת ולממשק המשתמש.
תיאור: בעיה זו טופלה באמצעות זכאות חדשה.
CVE-2022-22660: גילהרם רמבו מ-Best Buddy Apps (rambo.codes)
UIKit
זמין עבור: macOS Monterey
השפעה: אדם בעל גישה פיזית למכשיר iOS עלול להיות מסוגל לראות מידע רגיש דרך הצעות המקלדת
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2022-22621: ג'ואי יואיט
Vim
זמין עבור: macOS Monterey
השפעה: מספר בעיות ב-Vim
תיאור: מספר בעיות טופלו באמצעות עדכון Vim.
CVE-2021-4136
CVE-2021-4166
CVE-2021-4173
CVE-2021-4187
CVE-2021-4192
CVE-2021-4193
CVE-2021-46059
CVE-2022-0128
CVE-2022-0156
CVE-2022-0158
VoiceOver
זמין עבור: macOS Monterey
השפעה: ייתכן שמשתמש יוכל להציג תוכן מוגבל ממסך הנעילה
תיאור: בעיה במסך הנעילה טופלה באמצעות ניהול מצבים משופר.
CVE-2021-30918: חוקר אנונימי
WebKit
זמין עבור: macOS Monterey
השפעה: עיבוד של תוכן אינטרנט זדוני עשוי להביא לגילוי מידע רגיש של משתמשים
תיאור: בעיה של ניהול קובצי Cookie טופלה באמצעות ניהול מצבים משופר.
CVE-2022-22662: פראקאש (@1lastBr3ath) מ-Threat Nix
WebKit
זמין עבור: macOS Monterey
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד
תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.
CVE-2022-22610: קואן יין מ-Bigo Technology Live Client Team
WebKit
זמין עבור: macOS Monterey
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2022-22624: קירין (@Pwnrin) מ-Tencent Security Xuanwu Lab
CVE-2022-22628: קירין (@Pwnrin) מ-Tencent Security Xuanwu Lab
WebKit
זמין עבור: macOS Monterey
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית גלישת חוצץ טופלה באמצעות טיפול משופר בזיכרון.
CVE-2022-22629: ג'ונגהון שין ב-Theori בעבודה עם Zero Day Initiative של Trend Micro
WebKit
זמין עבור: macOS Monterey
השפעה: אתר אינטרנט זדוני עלול לגרום להתנהגות לא צפויה ממקורות מרובים
תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.
CVE-2022-22637: טום מק'קי מ-Google
Wi-Fi
זמין עבור: macOS Monterey
השפעה: אפליקציה זדונית עלולה להצליח להדליף מידע רגיש אודות המשתמש
תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.
CVE-2022-22668: MrPhil17
xar
זמין עבור: macOS Monterey
השפעה: משתמש מקומי עלול להצליח לכתוב קבצים שרירותיים
תיאור: התגלתה בעיית אימות בטיפול בקישורים סימבוליים. בעיה זו טופלה באמצעות אימות משופר של קישורים סימבוליים.
CVE-2022-22582: ריצ'רד וורן מ-NCC Group
תודות נוספות
AirDrop
אנחנו מבקשים להודות לעומאר אספינו (omespino.com), רון מאסאס מ-BreakPoint.sh על הסיוע.
Bluetooth
אנחנו מבקשים להודות לחוקר אנונימי, chenyuwang (@mzzzz__) מ-Tencent Security Xuanwu Lab על הסיוע.
Disk Utility
אנחנו מבקשים להודות לסאבה פיצל (@theevilbit) מ-Offensive Security על הסיוע.
Face Gallery
אנחנו מבקשים להודות לטיאן ז'אנג (@KhaosT) על הסיוע.
Intel Graphics Driver
אנחנו מבקשים להודות לג'ק דייטס מ-RET2 Systems, Inc., ייניי וו (@3ndy1) על הסיוע.
Local Authentication
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
Notes
אנחנו מבקשים להודות לנתניאל אקוניאק מ-Ennate Technologies על הסיוע.
Password Manager
אנחנו מבקשים להודות למקסימיליאן גולה (@m33x) מ-Max Planck Institute for Security and Privacy (MPI-SP) על הסיוע.
Siri
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
syslog
אנחנו מבקשים להודות ליונגווי ג'ין (@jinmo123) מ-Theori על הסיוע.
TCC
אנחנו מבקשים להודות לסאבה פיצל (@theevilbit) מ-Offensive Security על הסיוע.
UIKit
אנחנו מבקשים להודות לטים שאדל מ-Day Logger, Inc. על הסיוע.
WebKit
אנחנו מבקשים להודות לעבדאללה מד שאלח על הסיוע.
WebKit Storage
אנחנו מבקשים להודות למרטין בייאניק מ-FingerprintJS על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.