Informacije o sigurnosnom sadržaju sustava macOS Monterey 12.2
U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS Monterey 12.2.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
macOS Monterey 12.2
AMD Kernel
Dostupno za: macOS Monterey
Učinak: uz kernelske ovlasti zlonamjerne aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-22586: anonimni istraživač
ColorSync
Dostupno za: macOS Monterey
Učinak: obradom zlonamjerne datoteke može doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2022-22584: Mickey Jin (@patch1t) (Trend Micro)
Crash Reporter
Dostupno za: macOS Monterey
Učinak: neka zlonamjerna aplikacija mogla bi steći korijenske ovlasti
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2022-22578: Zhipeng Huo (@R3dF09) i Yuebin Sun (@yuebinsun2020) (Tencentov sigurnosni odjel Xuanwu Lab (xlab.tencent.com))
iCloud
Dostupno za: macOS Monterey
Učinak: aplikacija je mogla pristupiti korisnikovim datotekama
Opis: u logici za provjeru valjanosti puta za simboličke veze postojao je problem. Taj je problem riješen poboljšanim čišćenjem puta.
CVE-2022-22585: Zhipeng Huo (@R3dF09) (Tencentov sigurnosni odjel Xuanwu Lab (https://xlab.tencent.com))
Intel Graphics Driver
Dostupno za: macOS Monterey
Učinak: uz kernelske ovlasti zlonamjerne aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2022-22591: Antonio Zekic (@antoniozekic) (Diverto)
IOMobileFrameBuffer
Dostupno za: macOS Monterey
Učinak: uz kernelske ovlasti zlonamjerne aplikacije mogle su izvršiti proizvoljni kod. Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-22587: anonimni istraživač, Meysam Firouzi (@R00tkitSMM) (MBition - Mercedes-Benz Innovation Lab), Siddharth Aeri (@b1n4r1b01)
Kernel
Dostupno za: macOS Monterey
Učinak: uz kernelske ovlasti zlonamjerne aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.
CVE-2022-22593: Peter Nguyễn Vũ Hoàng (STAR Labs)
Model I/O
Dostupno za: macOS Monterey
Učinak: obrada zlonamjerne STL datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem s otkrivanjem podataka riješen je poboljšanim upravljanjem stanjem.
CVE-2022-22579: Mickey Jin (@patch1t) (Trend Micro)
PackageKit
Dostupno za: macOS Monterey
Učinak: zlonamjerna aplikacija mogla bi izmijeniti zaštićene dijelove datotečnog sustava
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2022-22646: Mickey Jin (@patch1t), Mickey Jin (@patch1t) iz tvrtke Trend Micro
PackageKit
Dostupno za: macOS Monterey
Učinak: aplikacija može brisati datoteke za koje nema dozvolu
Opis: problem s provjerom valjanosti rukovatelja događajem u API-ju XPC Services riješen je uklanjanjem usluge.
CVE-2022-22676: Mickey Jin (@patch1t) (Trend Micro)
PackageKit
Dostupno za: macOS Monterey
Učinak: neke aplikacije mogle su pristupiti datotekama s ograničenjima
Opis: problem s dozvolama riješen je poboljšanom provjerom valjanosti.
CVE-2022-22583: Ron Hass (@ronhass7) (Perception Point), Mickey Jin (@patch1t)
WebKit
Dostupno za: macOS Monterey
Učinak: obrada zlonamjerno izrađene e-mail poruke može dovesti do pokretanja proizvoljnog javascript koda
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2022-22589: Heige (KnownSec, tim 404 (knownsec.com)) i Bo Qu (Palo Alto Networks (paloaltonetworks.com))
WebKit
Dostupno za: macOS Monterey
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2022-22590: Toan Pham (Tim Orca, Sea Security (security.sea.com))
WebKit
Dostupno za: macOS Monterey
Učinak: obrada zlonamjerno izrađenog web sadržaja može spriječiti provođenje pravila za zaštitu sigurnosti sadržaja
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-22592: Prakash (@1lastBr3ath)
WebKit Storage
Dostupno za: macOS Monterey
Učinak: web-mjesto moglo bi pratiti osjetljive korisničke podatke
Opis: problem više izvora u API-ju IndexDB riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-22594: Martin Bajanik (FingerprintJS)
Dodatna zahvala
Kernel
Željeli bismo zahvaliti Taou Huangu, neovisnom istraživaču, na pomoći.
Metal
Željeli bismo zahvaliti·Taou Huangu na pomoći.
PackageKit
Željeli bismo zahvaliti Mickeyu Jinu (@patch1t), Mickeyu Jinu (@patch1t) (Trend Micro) na pomoći.
WebKit
Željeli bismo zahvaliti Prakashu (@1lastBr3ath) i bo13oyu (Cyber Kunlun Lab) na pomoći.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.