A macOS Monterey 12.2 biztonsági változásjegyzéke

Ez a dokumentum a macOS Monterey 12.2 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

macOS Monterey 12.2

AMD Kernel

A következőhöz érhető el: macOS Monterey

Érintett terület: A rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2022-22586: anonim kutató

ColorSync

A következőhöz érhető el: macOS Monterey

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2022-22584: Mickey Jin (@patch1t; Trend Micro)

Crash Reporter

A következőhöz érhető el: macOS Monterey

Érintett terület: A rosszindulatú alkalmazások gyökérszintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.

CVE-2022-22578: Zhipeng Huo (@R3dF09) és Yuebin Sun (@yuebinsun2020; mindketten: Tencent Security Xuanwu Lab, xlab.tencent.com)

iCloud

A következőhöz érhető el: macOS Monterey

Érintett terület: Előfordult, hogy alkalmazások hozzá tudtak férni felhasználói fájlokhoz.

Leírás: Egy hiba állt fenn a szimbolikus hivatkozások útvonal-érvényesítési logikájában. Hatékonyabb útvonaltisztítással hárítottuk el a problémát.

CVE-2022-22585: Zhipeng Huo (@R3dF09; Tencent Security Xuanwu Lab, https://xlab.tencent.com)

Intel Graphics Driver

A következőhöz érhető el: macOS Monterey

Érintett terület: A rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2022-22591: Antonio Zekic (@antoniozekic; Diverto)

IOMobileFrameBuffer

A következőhöz érhető el: macOS Monterey

Érintett terület: A rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal. Az Apple tud egy jelentésről, mely szerint lehet, hogy ezt a problémát aktívan kihasználták.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2022-22587: anonim kutató, Meysam Firouzi (@R00tkitSMM, MBition – Mercedes-Benz Innovation Lab), Siddharth Aeri (@b1n4r1b01)

Kernel

A következőhöz érhető el: macOS Monterey

Érintett terület: A rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.

Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.

CVE-2022-22593: Peter Nguyễn Vũ Hoàng (STAR Labs)

Model I/O

A következőhöz érhető el: macOS Monterey

Érintett terület: Az ártó szándékkal létrehozott STL-fájlok feldolgozása váratlan alkalmazásleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy adatfelfedési problémát.

CVE-2022-22579: Mickey Jin (@patch1t; Trend Micro)

PackageKit

A következőhöz érhető el: macOS Monterey

Érintett terület: A rosszindulatú alkalmazások módosítani tudták a fájlrendszer védett részeit.

Leírás: A sebezhető kód eltávolításával hárítottuk el a problémát.

CVE-2022-22646: Mickey Jin (@patch1t), Mickey Jin (@patch1t, Trend Micro)

PackageKit

A következőhöz érhető el: macOS Monterey

Érintett terület: Egyes alkalmazások esetenként képesek voltak olyan fájlokat is törölni, amelyekhez nem volt jogosultságuk

Leírás: Az XPC Services API egy eseménykezelő-érvényesítési problémáját a szolgáltatás eltávolításával orvosoltuk.

CVE-2022-22676: Mickey Jin (@patch1t; Trend Micro)

PackageKit

A következőhöz érhető el: macOS Monterey

Érintett terület: Előfordult, hogy alkalmazások hozzá tudtak férni korlátozott fájlokhoz.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2022-22583: Ron Hass (@ronhass7, Perception Point), Mickey Jin (@patch1t)

WebKit

A következőhöz érhető el: macOS Monterey

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott levelek feldolgozásakor tetszőleges javascript futtatására került sor.

Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.

CVE-2022-22589: Heige (KnownSec 404 Team, knownsec.com) és Bo Qu (Palo Alto Networks, paloaltonetworks.com)

WebKit

A következőhöz érhető el: macOS Monterey

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2022-22590: Toan Pham (Team Orca, Sea Security, security.sea.com)

WebKit

A következőhöz érhető el: macOS Monterey

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása megakadályozhatta a Tartalombiztonsági szabályzat érvényesítését.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2022-22592: Prakash (@1lastBr3ath)

WebKit Storage

A következőhöz érhető el: macOS Monterey

Érintett terület: A webhelyek nyomon tudtak követni bizalmas jellegű felhasználói információkat.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy kereszteredet-problémát az IndexDB API-ban.

CVE-2022-22594: Martin Bajanik (FingerprintJS)

További köszönetnyilvánítás

Kernel

Köszönjük Tao Huang, független kutató segítségét.

Metal

Köszönjük Tao Huang segítségét.

PackageKit

Köszönjük Mickey Jin (@patch1t, Trend Micro) segítségét.

WebKit

Köszönjük Prakash (@1lastBr3ath) és bo13oy (Cyber Kunlun Lab) segítségét.