A macOS Monterey 12.6 biztonsági változásjegyzéke

Ez a dokumentum a macOS Monterey 12.6 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

macOS Monterey 12.6

Kiadás dátuma: 2022. szeptember 12.

AppleMobileFileIntegrity

A következőhöz érhető el: macOS Monterey

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy kódaláírások hitelesítésével kapcsolatos problémát.

CVE-2022-42789: Koh M. Nakagawa (FFRI Security, Inc.)

Bejegyzés hozzáadva: 2022. október 27.

ATS

A következőhöz érhető el: macOS Monterey

Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2022-32902: Mickey Jin (@patch1t)

Bejegyzés hozzáadva: 2022. október 27.

ATS

A következőhöz érhető el: macOS Monterey

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: További sandbox-korlátozásokkal elhárítottunk egy hozzáféréssel összefüggő problémát.

CVE-2022-32904: Mickey Jin (@patch1t)

Bejegyzés hozzáadva: 2022. október 27.

ATS

A következőhöz érhető el: macOS Monterey

Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2022-32902: Mickey Jin (@patch1t)

Calendar

A következőhöz érhető el: macOS Monterey

Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat.

Leírás: Hatékonyabb hozzáférés-korlátozással hárítottunk el egy hozzáférési problémát.

CVE-2022-42819: anonim kutató

Bejegyzés hozzáadva: 2022. október 27.

GarageBand

A következőhöz érhető el: macOS Monterey

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: További korlátozásokkal elhárítottunk egy konfigurációs hibát.

CVE-2022-32877: Wojciech Reguła (@_r3ggi, SecuRing)

Bejegyzés hozzáadva: 2022. október 27.

ImageIO

A következőhöz érhető el: macOS Monterey

Érintett terület: A képek feldolgozása szolgáltatásmegtagadáshoz vezethetett

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy szolgáltatásmegtagadási hibát.

CVE-2022-1622

Bejegyzés hozzáadva: 2022. október 27.

Image Processing

A következőhöz érhető el: macOS Monterey

Érintett terület: A sandboxban lévő appok meg tudták határozni, hogy éppen melyik app használja a kamerát.

Leírás: Az appállapotok megfigyelhetőségének további korlátozásával hárítottuk el a problémát.

CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)

Bejegyzés hozzáadva: 2022. október 27.

iMovie

A következőhöz érhető el: macOS Monterey

Érintett terület: A felhasználók bizonyos esetben hozzá tudtak férni a bizalmas jellegű felhasználói információkhoz.

Leírás: Megerősített futtatási idővel hárítottuk el a problémát.

CVE-2022-32896: Wojciech Reguła (@_r3ggi)

Kernel

A következőhöz érhető el: macOS Monterey

Érintett terület: A rosszindulatú NFS-szerverekhez való csatlakozás tetszőleges programkód végrehajtását eredményezhette kerneljogosultságokkal.

Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.

CVE-2022-46701: Felix Poulin-Belanger

Bejegyzés hozzáadva 2023. május 11-én.

Kernel

A következőhöz érhető el: macOS Monterey

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2022-32914: Zweig (Kunlun Lab)

Bejegyzés hozzáadva: 2022. október 27.

Kernel

A következőhöz érhető el: macOS Monterey

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2022-32911: Zweig (Kunlun Lab)

CVE-2022-32866: Linus Henze (Pinauten GmbH; pinauten.de)

CVE-2022-32924: Ian Beer (Google Project Zero)

Bejegyzés frissítve: 2022. október 27.

Kernel

A következőhöz érhető el: macOS Monterey

Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2022-32864: Linus Henze (Pinauten GmbH, pinauten.de)

Kernel

A következőhöz érhető el: macOS Monterey

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani. Az Apple tud egy jelentésről, mely szerint lehet, hogy ezt a problémát aktívan kihasználták.

Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.

CVE-2022-32917: anonim kutató

Maps

A következőhöz érhető el: macOS Monterey

Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2022-32883: Ron Masas (breakpointhq.com)

Bejegyzés frissítve: 2022. október 27.

MediaLibrary

A következőhöz érhető el: macOS Monterey

Érintett terület: A felhasználók magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2022-32908: anonim kutató

ncurses

A következőhöz érhető el: macOS Monterey

Érintett terület: A felhasználók váratlan appleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2021-39537

Bejegyzés hozzáadva: 2022. október 27.

Notes

A következőhöz érhető el: macOS Monterey

Érintett terület: A magas hálózati jogosultságú felhasználók nyomon tudták követni a felhasználói tevékenységeket.

Leírás: Hatékonyabb adatvédelemmel hárítottuk el a problémát.

CVE-2022-42818: Gustav Hansen (WithSecure)

Bejegyzés hozzáadva: 2022. december 22.

PackageKit

A következőhöz érhető el: macOS Monterey

Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2022-32900: Mickey Jin (@patch1t)

Sandbox

A következőhöz érhető el: macOS Monterey

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2022-32881: Fitzl Csaba (@theevilbit; Offensive Security)

Bejegyzés hozzáadva: 2022. október 27.

Security

A következőhöz érhető el: macOS Monterey

Érintett terület: Az appok meg tudták kerülni a kódaláírási ellenőrzéseket.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy kódaláírások hitelesítésével kapcsolatos problémát.

CVE-2022-42793: Linus Henze (Pinauten GmbH; pinauten.de)

Bejegyzés hozzáadva: 2022. október 27.

Sidecar

A következőhöz érhető el: macOS Monterey

Érintett terület: A felhasználók bizonyos esetekben a zárolt képernyőn is meg tudták tekinteni a korlátozott tartalmakat.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2022-42790: Om kothawade (Zaprico Digital)

Bejegyzés hozzáadva: 2022. október 27.

SMB

A következőhöz érhető el: macOS Monterey

Érintett terület: A távoli felhasználók elő tudták idézni egy kernelkód végrehajtását

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2022-32934: Felix Poulin-Belanger

Bejegyzés hozzáadva: 2022. október 27.

Vim

A következőhöz érhető el: macOS Monterey

Érintett terület: Az ártó szándékkal létrehozott fájlok feldolgozása váratlan appleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.

Leírás: Hatékonyabb bemenet-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.

CVE-2022-0261

CVE-2022-0318

CVE-2022-0319

CVE-2022-0351

CVE-2022-0359

CVE-2022-0361

CVE-2022-0368

CVE-2022-0392

Bejegyzés hozzáadva: 2022. október 27.

Vim

A következőhöz érhető el: macOS Monterey

Érintett terület: Az ártó szándékkal létrehozott fájlok szolgáltatásmegtagadást tudtak előidézni, illetve fel tudták fedni a memória tartalmát.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2022-1720

CVE-2022-2000

CVE-2022-2042

CVE-2022-2124

CVE-2022-2125

CVE-2022-2126

Bejegyzés hozzáadva: 2022. október 27.

Weather

A következőhöz érhető el: macOS Monterey

Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2022-32875: anonim kutató

Bejegyzés hozzáadva: 2022. október 27.

WebKit

A következőhöz érhető el: macOS Monterey

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

WebKit Bugzilla: 242047

CVE-2022-32888: P1umer (@p1umer)

Bejegyzés hozzáadva: 2022. október 27.

További köszönetnyilvánítás

apache

Szeretnénk megköszönni Tricia Lee (Enterprise Service Center) segítségét.

Bejegyzés hozzáadva 2023. május 11-én.

Identity Services

Szeretnénk megköszönni Joshua Jones segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: