A macOS Monterey 12.4 biztonsági változásjegyzéke

Ez a dokumentum a macOS Monterey 12.4 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

macOS Monterey 12.4

Kiadás dátuma: 2022. május 16.

AMD

A következőhöz érhető el: macOS Monterey

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2022-26772: egy anonim kutató

AMD

A következőhöz érhető el: macOS Monterey

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.

Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.

CVE-2022-26741: ABC Research s.r.o

CVE-2022-26742: ABC Research s.r.o

CVE-2022-26749: ABC Research s.r.o

CVE-2022-26750: ABC Research s.r.o

CVE-2022-26752: ABC Research s.r.o

CVE-2022-26753: ABC Research s.r.o

CVE-2022-26754: ABC Research s.r.o

apache

A következőhöz érhető el: macOS Monterey

Érintett terület: Az apache több biztonsági rése.

Leírás: Több hibát elhárítottunk az apache 2.4.53-as verziójára való frissítéssel.

CVE-2021-44224

CVE-2021-44790

CVE-2022-22719

CVE-2022-22720

CVE-2022-22721

AppleGraphicsControl

A következőhöz érhető el: macOS Monterey

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2022-26751: Michael DePlante (@izobashi; Trend Micro Zero Day Initiative)

AppleMobileFileIntegrity

A következőhöz érhető el: macOS Monterey

Érintett terület: A felhasználók bizonyos esetben hozzá tudtak férni a bizalmas jellegű felhasználói információkhoz.

Leírás: A validálás továbbfejlesztésével megoldottunk egy, a környezeti változók kezelésével kapcsolatos hibát.

CVE-2022-26707: Wojciech Reguła (@_r3ggi, SecuRing)

Bejegyzés hozzáadva 2022. július 6.

AppleScript

A következőhöz érhető el: macOS Monterey

Érintett terület: Az ártó szándékkal létrehozott AppleScript bináris fájlok feldolgozása váratlan alkalmazásleálláshoz vagy a folyamatmemória tartalmának felfedéséhez vezethetett.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2022-26697: Qi Sun és Robert Ai (Trend Micro)

AppleScript

A következőhöz érhető el: macOS Monterey

Érintett terület: Az ártó szándékkal létrehozott AppleScript bináris fájlok feldolgozása váratlan alkalmazásleálláshoz vagy a folyamatmemória tartalmának felfedéséhez vezethetett.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2022-26698: Qi Sun (Trend Micro), Ye Zhang (@co0py_Cat, Baidu Security)

Bejegyzés frissítve 2022. július 6.

AVEVideoEncoder

A következőhöz érhető el: macOS Monterey

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2022-26736: egy anonim kutató

CVE-2022-26737: egy anonim kutató

CVE-2022-26738: egy anonim kutató

CVE-2022-26739: egy anonim kutató

CVE-2022-26740: egy anonim kutató

Bluetooth

A következőhöz érhető el: macOS Monterey

Érintett terület: Egyes alkalmazások bizonyos feltételek mellett jogosulatlan hozzáférést szerezhettek a Bluetoothhoz

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2022-32783: Jon Thompson (Evolve, Des Moines, IA)

Bejegyzés hozzáadva 2022. július 6.

Contacts

A következőhöz érhető el: macOS Monterey

Érintett terület: A bővítmények örökölni tudták az alkalmazás jogosultságait, és el tudták érni a felhasználói adatokat.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2022-26694: Wojciech Reguła (@_r3ggi, SecuRing)

CVMS

A következőhöz érhető el: macOS Monterey

Érintett terület: A rosszindulatú alkalmazások gyökérszintű jogosultságokat tudtak szerezni.

Leírás: Elhárítottunk egy memóriainicializálási problémát.

CVE-2022-26721: Yonghwi Jin (@jinmo123; Theori)

CVE-2022-26722: Yonghwi Jin (@jinmo123; Theori)

DriverKit

A következőhöz érhető el: macOS Monterey

Érintett terület: A rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani rendszerszintű jogosultsággal.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2022-26763: Linus Henze (Pinauten GmbH; pinauten.de)

FaceTime

A következőhöz érhető el: macOS Monterey

Érintett terület: A gyökérszintű jogosultsággal rendelkező alkalmazások hozzá tudtak férni személyes információkhoz.

Leírás: Megerősített futtatási idővel hárítottuk el a problémát.

CVE-2022-32781: Wojciech Reguła (@_r3ggi, SecuRing)

Bejegyzés hozzáadva 2022. július 6.

ImageIO

A következőhöz érhető el: macOS Monterey

Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy egészszám-túlcsordulási hibát.

CVE-2022-26711: actae0n (Blacksun Hackers Club), a Trend Micro Zero Day Initiative közreműködőjeként

ImageIO

A következőhöz érhető el: macOS Monterey

Érintett terület: A fotók készítési helyére vonatkozó információk megmaradhattak az Előnézet-vizsgálóval való eltávolításuk után.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2022-26725: Andrew Williams és Avi Drissman (Google)

Intel Graphics Driver

A következőhöz érhető el: macOS Monterey

Érintett terület: A rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2022-26720: Liu Long (Ant Security Light-Year Lab)

Intel Graphics Driver

A következőhöz érhető el: macOS Monterey

Érintett terület: A rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2022-26769: Antonio Zekic (@antoniozekic)

Intel Graphics Driver

A következőhöz érhető el: macOS Monterey

Érintett terület: A rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.

Leírás: Hatékonyabb bemenet-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2022-26770: Liu Long (Ant Security Light-Year Lab)

Intel Graphics Driver

A következőhöz érhető el: macOS Monterey

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb bemenet-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.

CVE-2022-26748: Jeonghoon Shin (Theori), a Trend Micro Zero Day Initiative közreműködőjeként

Intel Graphics Driver

A következőhöz érhető el: macOS Monterey

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.

Leírás: Hatékonyabb bemenet-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.

CVE-2022-26756: Jack Dates (RET2 Systems, Inc.)

IOKit

A következőhöz érhető el: macOS Monterey

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.

Leírás: Hatékonyabb zárolás révén hárítottunk el egy versenyhelyzeti problémát.

CVE-2022-26701: chenyuwang (@mzzzz__; Tencent Security Xuanwu Lab)

IOMobileFrameBuffer

A következőhöz érhető el: macOS Monterey

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2022-26768: egy anonim kutató

Kernel

A következőhöz érhető el: macOS Monterey

Érintett terület: A rosszindulatú alkalmazások váratlan változásokat tudtak előidézni a folyamatok között megosztott memóriában.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2022-26758: anonim kutató

Bejegyzés hozzáadva 2023. október 31.

Kernel

A következőhöz érhető el: macOS Monterey

Érintett terület: A macOS-helyreállításban már kódvégrehajtási jogosultságot szerzett támadók kerneljogosultsághoz juthattak.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2022-26743: Jordy Zomer (@pwningsystems)

Kernel

A következőhöz érhető el: macOS Monterey

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14, STAR Labs; @starlabs_sg)

Kernel

A következőhöz érhető el: macOS Monterey

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2022-26757: Ned Williamson (Google Project Zero)

Kernel

A következőhöz érhető el: macOS Monterey

Érintett terület: A már kernelszintű kódvégrehajtási jogosultságot szerzett támadók megkerülhették a kernelmemória használatára vonatkozó korlátozásokat.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2022-26764: Linus Henze (Pinauten GmbH; pinauten.de)

Kernel

A következőhöz érhető el: macOS Monterey

Érintett terület: A rosszindulatú támadók tetszőleges olvasási és írási képesség birtokában megkerülhették a Mutatóhitelesítést.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.

CVE-2022-26765: Linus Henze (Pinauten GmbH; pinauten.de)

LaunchServices

A következőhöz érhető el: macOS Monterey

Érintett terület: A sandboxban lévő folyamatok meg tudták kerülni a sandbox-korlátozásokat.

Leírás: Elhárítottunk egy hozzáféréssel összefüggő problémát azáltal, hogy további sandbox-korlátozásokat vezettünk be a külső fejlesztésű alkalmazások esetén.

CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or (Microsoft)

Bejegyzés frissítve 2022. július 6.

LaunchServices

A következőhöz érhető el: macOS Monterey

Érintett terület: A rosszindulatú alkalmazások meg tudták kerülni az adatvédelmi beállításokat.

Leírás: További engedély-ellenőrzési lépésekkel küszöböltük ki a problémát.

CVE-2022-26767: Wojciech Reguła (@_r3ggi, SecuRing)

Libinfo

A következőhöz érhető el: macOS Monterey

Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2022-32882: Zhipeng Huo (@R3dF09) és Yuebin Sun (@yuebinsun2020, Tencent Security Xuanwu Lab)

Bejegyzés hozzáadva: 2022. szeptember 16.

libresolv

A következőhöz érhető el: macOS Monterey

Érintett terület: A távoli támadó szolgáltatásmegtagadást tudott előidézni.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2022-32790: Max Shavrick (@_mxms, Google Security Team)

Bejegyzés hozzáadva: 2022. június 21.

libresolv

A következőhöz érhető el: macOS Monterey

Érintett terület: A támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2022-26776: Zubair Ashraf (Crowdstrike), Max Shavrick (@_mxms; Google Security Team)

CVE-2022-26708: Max Shavrick (@_mxms; Google Security Team)

libresolv

A következőhöz érhető el: macOS Monterey

Érintett terület: A támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy egészszám-túlcsordulást okozó problémát.

CVE-2022-26775: Max Shavrick (@_mxms; Google Security Team)

LibreSSL

A következőhöz érhető el: macOS Monterey

Érintett terület: Az ártó szándékkal létrehozott tanúsítványok feldolgozása szolgáltatásmegtagadást idézhetett elő.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy szolgáltatásmegtagadási hibát.

CVE-2022-0778

libxml2

A következőhöz érhető el: macOS Monterey

Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2022-23308

Login Window

A következőhöz érhető el: macOS Monterey

Érintett terület: A Machez hozzáférő személy meg tudta kerülni a bejelentkezési ablakot.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy konzisztenciával kapcsolatos problémát.

CVE-2022-48575: Paul Walker (Bury and Nathaniel Ekoniak of Ennate Technologies)

Bejegyzés hozzáadva 2023. október 31.

OpenSSL

A következőhöz érhető el: macOS Monterey

Érintett terület: Az ártó szándékkal létrehozott tanúsítványok feldolgozása szolgáltatásmegtagadást idézhetett elő.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2022-0778

PackageKit

A következőhöz érhető el: macOS Monterey

Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2022-32794: Mickey Jin (@patch1t)

Bejegyzés hozzáadva: 2022. október 4.

PackageKit

A következőhöz érhető el: macOS Monterey

Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2022-22617: Mickey Jin (@patch1t)

Bejegyzés hozzáadva 2022. július 6.

PackageKit

A következőhöz érhető el: macOS Monterey

Érintett terület: A rosszindulatú alkalmazások módosítani tudták a fájlrendszer védett részeit.

Leírás: A sebezhető kód eltávolításával hárítottuk el a problémát.

CVE-2022-26712: Mickey Jin (@patch1t)

PackageKit

A következőhöz érhető el: macOS Monterey

Érintett terület: A rosszindulatú alkalmazások módosítani tudták a fájlrendszer védett részeit.

Leírás: A jogosultságok megadásának javításával hárítottuk el a problémát.

CVE-2022-26727: Mickey Jin (@patch1t)

Photo Booth

A következőhöz érhető el: macOS Monterey

Érintett terület: A gyökérszintű jogosultsággal rendelkező alkalmazások hozzá tudtak férni személyes információkhoz.

Leírás: Megerősített futtatási idővel hárítottuk el a problémát.

CVE-2022-32782: Wojciech Reguła (@_r3ggi, SecuRing)

Bejegyzés hozzáadva 2022. július 6.

Preview

A következőhöz érhető el: macOS Monterey

Érintett terület: A bővítmények örökölni tudták az alkalmazás jogosultságait, és el tudták érni a felhasználói adatokat.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2022-26693: Wojciech Reguła (@_r3ggi, SecuRing)

Printing

A következőhöz érhető el: macOS Monterey

Érintett terület: A rosszindulatú alkalmazások meg tudták kerülni az adatvédelmi beállításokat.

Leírás: A sebezhető kód eltávolításával hárítottuk el a problémát.

CVE-2022-26746: @gorelics

Safari Private Browsing

A következőhöz érhető el: macOS Monterey

Érintett terület: A rosszindulatú webhelyek nyomon tudták követni a felhasználókat a Safari privát böngészési módjában.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2022-26731: egy anonim kutató

Security

A következőhöz érhető el: macOS Monterey

Érintett terület: A rosszindulatú alkalmazások meg tudták kerülni az aláírás-érvényesítést.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy tanúsítványelemzési problémát.

CVE-2022-26766: Linus Henze (Pinauten GmbH; pinauten.de)

SMB

A következőhöz érhető el: macOS Monterey

Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2022-26715: Peter Nguyễn Vũ Hoàng (STAR Labs)

SMB

A következőhöz érhető el: macOS Monterey

Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb bemenet-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2022-26718: Peter Nguyễn Vũ Hoàng (STAR Labs)

SMB

A következőhöz érhető el: macOS Monterey

Érintett terület: Az ártó szándékkal létrehozott Samba hálózati megosztások tetszőleges programkód végrehajtására adtak lehetőséget.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2022-26723: Felix Poulin-Belanger

SoftwareUpdate

A következőhöz érhető el: macOS Monterey

Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások hozzá tudtak férni korlátozott fájlokhoz.

Leírás: A jogosultságok megadásának javításával hárítottuk el a problémát.

CVE-2022-26728: Mickey Jin (@patch1t)

Spotlight

A következőhöz érhető el: macOS Monterey

Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.

Leírás: Érvényesítési hiba állt fenn a szimbolikus hivatkozások kezelési módjában, amelyet a szimbolikus hivatkozások érvényesítésének továbbfejlesztésével küszöböltünk ki.

CVE-2022-26704: Gergely Kalman (@gergely_kalman) és Joshua Mason (Mandiant)

Bejegyzés frissítve 2023. október 31.

System Preferences

A következőhöz érhető el: macOS Monterey

Érintett terület: Egyes alkalmazások bizonyos esetekben symlink hivatkozásokat tudtak létrehozni a lemez védett régióihoz.

Leírás: A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.

CVE-2022-42857: Mickey Jin (@patch1t)

Bejegyzés hozzáadva 2023. október 31.

TCC

A következőhöz érhető el: macOS Monterey

Érintett terület: Előfordult, hogy az alkalmazások rögzíteni tudták a felhasználó képernyőjét.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2022-26726: Antonio Cheong Yu Xuan (YCISCQ)

Bejegyzés frissítve: 2023. május 11.

Tcl

A következőhöz érhető el: macOS Monterey

Érintett terület: A rosszindulatú alkalmazások adott esetben ki tudtak törni a sandboxból.

Leírás: A környezeti tisztítás továbbfejlesztésével elhárítottuk a problémát.

CVE-2022-26755: Arsenii Kostromin (0x3c3e)

Terminal

A következőhöz érhető el: macOS Monterey

Érintett terület: A sandboxban lévő folyamatok meg tudták kerülni a sandbox-korlátozásokat.

Leírás: A környezeti tisztítás továbbfejlesztésével elhárítottuk a problémát.

CVE-2022-26696: Ron Waisberg, egy anonim kutató, Wojciech Reguła (@_r3ggi, SecuRing) és Ron Hass (@ronhass7, Perception Point)

Bejegyzés hozzáadva: 2022. szeptember 16., frissítve: 2023. október 31.

WebKit

A következőhöz érhető el: macOS Monterey

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

WebKit Bugzilla: 238178

CVE-2022-26700: ryuzaki

WebKit

A következőhöz érhető el: macOS Monterey

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

WebKit Bugzilla: 236950

CVE-2022-26709: Chijin Zhou (ShuiMuYuLin Ltd. és Tsinghua wingtecher lab)

WebKit Bugzilla: 237475

CVE-2022-26710: Chijin Zhou (ShuiMuYuLin Ltd. és Tsinghua wingtecher lab)

WebKit Bugzilla: 238171

CVE-2022-26717: Jeonghoon Shin (Theori)

WebKit

A következőhöz érhető el: macOS Monterey

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

WebKit Bugzilla: 238183

CVE-2022-26716: SorryMybad (@S0rryMybad; Kunlun Lab)

WebKit Bugzilla: 238699

CVE-2022-26719: Dongzhuo Zhao, a Venustech ADLab közreműködőjeként

WebRTC

A következőhöz érhető el: macOS Monterey

Érintett terület: A saját videós előnézet megszakadhatott a webRTC-hívások során, ha a felhasználó fogadott egy telefonhívást.

Leírás: Az állapotkezelés továbbfejlesztésével elhárítottunk egy, az egyidejű médiafolyamok kezelésével kapcsolatos logikai hibát.

WebKit Bugzilla: 237524

CVE-2022-22677: egy anonim kutató

Wi-Fi

A következőhöz érhető el: macOS Monterey

Érintett terület: A rosszindulatú alkalmazások fel tudtak fedni korlátozott memóriát.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2022-26745: Scarlet Raine

Bejegyzés frissítve 2022. július 6.

Wi-Fi

A következőhöz érhető el: macOS Monterey

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2022-26761: Wang Yu (Cyberserval)

Wi-Fi

A következőhöz érhető el: macOS Monterey

Érintett terület: A rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani rendszerszintű jogosultsággal.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2022-26762: Wang Yu (Cyberserval)

zip

A következőhöz érhető el: macOS Monterey

Érintett terület: Az ártó szándékkal létrehozott fájlok feldolgozása szolgáltatásmegtagadást idézhetett elő.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy szolgáltatásmegtagadási hibát.

CVE-2022-0530

zlib

A következőhöz érhető el: macOS Monterey

Érintett terület: A támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-25032: Tavis Ormandy

zsh

A következőhöz érhető el: macOS Monterey

Érintett terület: A távoli támadók elő tudták idézni egy tetszőleges kód végrehajtását.

Leírás: A zsh 5.8.1-es verziójára való frissítéssel hárítottuk el a problémát.

CVE-2021-45444

További köszönetnyilvánítás

AppleMobileFileIntegrity

Köszönjük Wojciech Reguła (@_r3ggi; SecuRing) segítségét.

Bluetooth

Köszönjük Jann Horn (Project Zero) segítségét.

Calendar

Köszönjük Eugene Lim (Government Technology Agency of Singapore) segítségét.

FaceTime

Köszönjük Wojciech Reguła (@_r3ggi; SecuRing) segítségét.

FileVault

Köszönjük Benjamin Adolphi (Promon Germany GmbH) segítségét.

Login Window

Köszönjük Fitzl Csaba (@theevilbit; Offensive Security) segítségét.

Photo Booth

Köszönjük Wojciech Reguła (@_r3ggi; SecuRing) segítségét.

System Preferences

Köszönjük Mohammad Tausif Siddiqui (@toshsiddiqui), Victor Grinchik (grinchik.com) és egy anonim kutató segítségét.

Bejegyzés frissítve 2023. október 31.

WebKit

Köszönjük James Lee és egy anonim kutató segítségét.

Bejegyzés frissítve: 2022. május 25.

Wi-Fi

Köszönjük Dana Morrison segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: