Mengenai konten keamanan macOS Monterey 12.3
Dokumen ini menjelaskan konten keamanan macOS Monterey 12.3.
Mengenai pembaruan keamanan Apple
Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.
Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.
Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.
macOS Monterey 12.3
Accelerate Framework
Tersedia untuk: macOS Monterey
Dampak: Membuka file PDF berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2022-22633: ryuzaki
AMD
Tersedia untuk: macOS Monterey
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan manajemen memori yang ditingkatkan.
CVE-2022-22669: peneliti anonim
AppKit
Tersedia untuk: macOS Monterey
Dampak: Aplikasi perusak yang berbahaya dapat memperoleh hak istimewa dasar
Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.
CVE-2022-22665: Lockheed Martin Red Team
AppleEvents
Tersedia untuk: macOS Monterey
Dampak: Pengguna dari jarak jauh dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan manajemen memori yang ditingkatkan.
CVE-2022-22630: Jeremy Brown yang bekerja sama dengan Zero Day Initiative dari Trend Micro
AppleGraphicsControl
Tersedia untuk: macOS Monterey
Dampak: Aplikasi dapat memperoleh hak istimewa yang lebih tinggi
Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2022-22631: Wang Yu dari cyberserval
AppleScript
Tersedia untuk: macOS Monterey
Dampak: Memproses biner perusak AppleScript berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau pengungkapan memori proses
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2022-22625: Mickey Jin (@patch1t) dari Trend Micro
AppleScript
Tersedia untuk: macOS Monterey
Dampak: Aplikasi mungkin dapat membaca memori yang dibatasi
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2022-22648: Mickey Jin (@patch1t) dari Trend Micro
AppleScript
Tersedia untuk: macOS Monterey
Dampak: Memproses biner perusak AppleScript berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau pengungkapan memori proses
Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2022-22626: Mickey Jin (@patch1t) dari Trend Micro
CVE-2022-22627: Qi Sun dan Robert Ai dari Trend Micro
AppleScript
Tersedia untuk: macOS Monterey
Dampak: Memproses file perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi yang ditingkatkan.
CVE-2022-22597: Qi Sun dan Robert Ai dari Trend Micro
BOM
Tersedia untuk: macOS Monterey
Dampak: Arsip ZIP perusak yang berbahaya dapat melewati pemeriksaan Gatekeeper
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2022-22616: Ferdous Saljooki (@malwarezoo) dan Jaron Bradley (@jbradley89) dari Jamf Software, Mickey Jin (@patch1t)
CoreTypes
Tersedia untuk: macOS Monterey
Dampak: Aplikasi berbahaya dapat melewati pemeriksaan Gatekeeper
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan untuk mencegah tindakan tidak sah.
CVE-2022-22663: Arsenii Kostromin (0x3c3e)
CUPS
Tersedia untuk: macOS Monterey
Dampak: Aplikasi dapat memperoleh hak istimewa yang lebih tinggi
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2022-26691: Joshua Mason dari Mandiant
curl
Tersedia untuk: macOS Monterey
Dampak: Beberapa masalah di curl
Deskripsi: Beberapa masalah telah diatasi dengan memperbarui ke curl versi 7.79.1.
CVE-2021-22946
CVE-2021-22947
CVE-2021-22945
FaceTime
Tersedia untuk: macOS Monterey
Dampak: Pengguna dapat mengirim audio dan video dalam panggilan FaceTime tanpa mengetahui bahwa mereka telah melakukannya
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2022-22643: Sonali Luthar dari University of Virginia, Michael Liao dari University of Illinois di Urbana-Champaign, Rohan Pahwa dari Rutgers University, dan Bao Nguyen dari University of Florida
GarageBand MIDI
Tersedia untuk: macOS Monterey
Dampak: Membuka file perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah inisialisasi memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2022-22657: Brandon Perry dari Atredis Partners
GarageBand MIDI
Tersedia untuk: macOS Monterey
Dampak: Membuka file perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2022-22664: Brandon Perry dari Atredis Partners
Graphics Drivers
Tersedia untuk: macOS Monterey
Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2021-30977: Jack Dates dari RET2 Systems, Inc.
ImageIO
Tersedia untuk: macOS Monterey
Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2022-22611: Xingyu Jin dari Google
ImageIO
Tersedia untuk: macOS Monterey
Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan semakin banyaknya kerusakan
Deskripsi: Masalah penggunaan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2022-22612: Xingyu Jin dari Google
Intel Graphics Driver
Tersedia untuk: macOS Monterey
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah ketidakjelasan tipe telah diatasi dengan penanganan status yang ditingkatkan.
CVE-2022-46706: Wang Yu dari Cyberserval dan Pan ZhenPeng (@Peterpan0927) dari Alibaba Security Pandora Lab
Intel Graphics Driver
Tersedia untuk: macOS Monterey
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah ketidakjelasan tipe telah diatasi dengan penanganan status yang ditingkatkan.
CVE-2022-22661: Wang Yu dari Cyberserval dan Pan ZhenPeng (@Peterpan0927) dari Alibaba Security Pandora Lab
IOGPUFamily
Tersedia untuk: macOS Monterey
Dampak: Aplikasi dapat memperoleh hak istimewa yang lebih tinggi
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan manajemen memori yang ditingkatkan.
CVE-2022-22641: Mohamed Ghannam (@_simo36)
Kernel
Tersedia untuk: macOS Monterey
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2022-22613: Alex, peneliti anonim
Kernel
Tersedia untuk: macOS Monterey
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan manajemen memori yang ditingkatkan.
CVE-2022-22614: peneliti anonim
CVE-2022-22615: peneliti anonim
Kernel
Tersedia untuk: macOS Monterey
Dampak: Aplikasi berbahaya mungkin dapat meningkatkan hak istimewa
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2022-22632: Keegan Saunders
Kernel
Tersedia untuk: macOS Monterey
Dampak: Penyerang dalam posisi dengan hak istimewa mungkin dapat melakukan penolakan serangan layanan
Deskripsi: Masalah dereferensi penunjuk null telah diatasi dengan validasi yang ditingkatkan.
CVE-2022-22638: derrek (@derrekr6)
Kernel
Tersedia untuk: macOS Monterey
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi yang ditingkatkan.
CVE-2022-22640: sqrtpwn
LaunchServices
Tersedia untuk: macOS Monterey
Dampak: App mungkin dapat melewatkan preferensi Privasi tertentu
Deskripsi: Masalah logika telah diatasi dengan pembatasan yang ditingkatkan.
CVE-2021-30946: @gorelics, dan Ron Masas dari BreakPoint.sh
libarchive
Tersedia untuk: macOS Monterey
Dampak: Beberapa masalah di libarchive
Deskripsi: Beberapa masalah kerusakan memori muncul di libarchive. Masalah tersebut telah diatasi dengan validasi input yang ditingkatkan.
CVE-2021-36976
LLVM
Tersedia untuk: macOS Monterey
Dampak: Aplikasi mungkin dapat menghapus file meskipun tidak memiliki izin untuk menghapusnya
Deskripsi: Kondisi pacu telah diatasi dengan validasi tambahan.
CVE-2022-21658: Florian Weimer (@fweimer)
Login Window
Tersedia untuk: macOS Monterey
Dampak: Orang yang memiliki akses ke Mac mungkin dapat melewati Jendela Masuk
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2022-22647: Yuto Ikeda dari Kyushu University
LoginWindow
Tersedia untuk: macOS Monterey
Dampak: Penyerang lokal mungkin dapat melihat desktop pengguna yang masuk sebelumnya dari layar pengalihan pengguna cepat
Deskripsi: Masalah autentikasi telah diatasi dengan pengelolaan kondisi yang ditingkatkan.
CVE-2022-22656
MobileAccessoryUpdater
Tersedia untuk: macOS Monterey
Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2022-22672: Siddharth Aeri (@b1n4r1b01)
NSSpellChecker
Tersedia untuk: macOS Monterey
Dampak: Aplikasi berbahaya mungkin dapat mengakses informasi mengenai kontak pengguna
Deskripsi: Masalah privasi muncul di dalam penanganan kartu Kontak. Masalah ini telah diatasi dengan pengelolaan kondisi yang ditingkatkan.
CVE-2022-22644: Thomas Roth (@stacksmashing) dari leveldown security
PackageKit
Tersedia untuk: macOS Monterey
Dampak: Aplikasi berbahaya mungkin dapat memodifikasi bagian sistem file yang dilindungi
Deskripsi: Kondisi pacu telah diatasi dengan validasi tambahan.
CVE-2022-26690: Mickey Jin (@patch1t) dari Trend Micro
PackageKit
Tersedia untuk: macOS Monterey
Dampak: App berbahaya yang memiliki hak akses root mungkin dapat mengubah konten file sistem
Deskripsi: Masalah penanganan symlink telah diatasi dengan validasi yang ditingkatkan.
CVE-2022-26688: Mickey Jin (@patch1t) dari Trend Micro
PackageKit
Tersedia untuk: macOS Monterey
Dampak: Aplikasi dapat memperoleh hak istimewa yang lebih tinggi
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2022-22617: Mickey Jin (@patch1t)
Preferences
Tersedia untuk: macOS Monterey
Dampak: Aplikasi berbahaya mungkin dapat membaca pengaturan aplikasi lainnya
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan izin tambahan.
CVE-2022-22609: Mickey Jin (@patch1t), serta Zhipeng Huo (@R3dF09) dan Yuebin Sun (@yuebinsun2020) dari Tencent Security Xuanwu Lab (xlab.tencent.com)
QuickTime Player
Tersedia untuk: macOS Monterey
Dampak: Plug-in mungkin dapat mewarisi izin aplikasi dan mengakses data pengguna
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2022-22650: Wojciech Reguła (@_r3ggi) dari SecuRing
Safari Downloads
Tersedia untuk: macOS Monterey
Dampak: Arsip ZIP perusak yang berbahaya dapat melewati pemeriksaan Gatekeeper
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2022-22616: Ferdous Saljooki (@malwarezoo) dan Jaron Bradley (@jbradley89) dari Jamf Software, Mickey Jin (@patch1t)
Sandbox
Tersedia untuk: macOS Monterey
Dampak: App dapat membocorkan informasi rahasia pengguna
Deskripsi: Masalah akses telah diatasi dengan peningkatan sandbox.
CVE-2022-22655: Csaba Fitzl (@theevilbit) dari Offensive Security
Sandbox
Tersedia untuk: macOS Monterey
Dampak: Aplikasi berbahaya mungkin dapat melewati preferensi Privasi tertentu
Deskripsi: Masalah ini telah diatasi dengan logika izin yang ditingkatkan.
CVE-2022-22600: Sudhakar Muthumani (@sudhakarmuthu04) dari Primefort Private Limited, Khiem Tran
Siri
Tersedia untuk: macOS Monterey
Dampak: Orang yang memiliki akses fisik ke perangkat mungkin dapat menggunakan Siri untuk mendapatkan informasi lokasi dari layar terkunci
Deskripsi: Masalah izin telah diatasi dengan validasi yang ditingkatkan.
CVE-2022-22599: Andrew Goldberg dari University of Texas di Austin, McCombs School of Business (linkedin.com/andrew-goldberg-/)
SMB
Tersedia untuk: macOS Monterey
Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan sistem terhenti tiba-tiba atau memori kernel rusak
Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2022-22651: Felix Poulin-Belanger
SoftwareUpdate
Tersedia untuk: macOS Monterey
Dampak: Aplikasi dapat memperoleh hak istimewa yang lebih tinggi
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2022-22639: Mickey Jin (@patch1t)
System Preferences
Tersedia untuk: macOS Monterey
Dampak: App mungkin dapat mengakali pemberitahuan sistem dan UI
Deskripsi: Masalah ini telah diatasi dengan penetapan hak baru.
CVE-2022-22660: Guilherme Rambo dari Best Buddy Apps (rambo.codes)
UIKit
Tersedia untuk: macOS Monterey
Dampak: Orang yang memiliki akses fisik ke perangkat iOS mungkin dapat melihat informasi sensitif melalui saran papan ketik
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2022-22621: Joey Hewitt
Vim
Tersedia untuk: macOS Monterey
Dampak: Beberapa masalah di Vim
Deskripsi: Beberapa masalah telah diatasi dengan memperbarui Vim.
CVE-2021-4136
CVE-2021-4166
CVE-2021-4173
CVE-2021-4187
CVE-2021-4192
CVE-2021-4193
CVE-2021-46059
CVE-2022-0128
CVE-2022-0156
CVE-2022-0158
VoiceOver
Tersedia untuk: macOS Monterey
Dampak: Pengguna mungkin dapat melihat konten yang dibatasi dari layar terkunci
Deskripsi: Masalah layar kunci diatasi dengan manajemen status yang ditingkatkan.
CVE-2021-30918: Peneliti anonim
WebKit
Tersedia untuk: macOS Monterey
Dampak: Memproses konten web perusak yang berbahaya dapat mengungkap informasi rahasia pengguna
Deskripsi: Masalah pengelolaan cookie telah diatasi melalui pengelolaan kondisi yang ditingkatkan.
CVE-2022-22662: Prakash (@1lastBr3ath) dari Threat Nix
WebKit
Tersedia untuk: macOS Monterey
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode
Deskripsi: Masalah kerusakan memori telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2022-22610: Quan Yin dari Bigo Technology Live Client Team
WebKit
Tersedia untuk: macOS Monterey
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan manajemen memori yang ditingkatkan.
CVE-2022-22624: Kirin (@Pwnrin) dari Tencent Security Xuanwu Lab
CVE-2022-22628: Kirin (@Pwnrin) dari Tencent Security Xuanwu Lab
WebKit
Tersedia untuk: macOS Monterey
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2022-22629: Jeonghoon Shin dari Theori yang bekerja sama dengan Zero Day Initiative dari Trend Micro
WebKit
Tersedia untuk: macOS Monterey
Dampak: Situs web berbahaya dapat mengakibatkan perilaku lintas sumber yang tidak terduga
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2022-22637: Tom McKee dari Google
Wi-Fi
Tersedia untuk: macOS Monterey
Dampak: Aplikasi berbahaya mungkin dapat membocorkan informasi rahasia pengguna
Deskripsi: Masalah logika telah diatasi dengan pembatasan yang ditingkatkan.
CVE-2022-22668: MrPhil17
xar
Tersedia untuk: macOS Monterey
Dampak: Pengguna lokal mungkin dapat menulis file arbitrer
Deskripsi: Masalah validasi muncul saat menangani symlink. Masalah ini telah diatasi dengan validasi symlink yang ditingkatkan.
CVE-2022-22582: Richard Warren dari NCC Group
Ucapan terima kasih tambahan
AirDrop
Kami ingin mengucapkan terima kasih kepada Omar Espino (omespino.com), Ron Masas dari BreakPoint.sh atas bantuannya.
Bluetooth
Kami ingin mengucapkan terima kasih kepada peneliti anonim, chenyuwang (@mzzzz__) dari Tencent Security Xuanwu Lab atas bantuannya.
Disk Utility
Kami ingin mengucapkan terima kasih kepada Csaba Fitzl (@theevilbit) dari Offensive Security atas bantuannya.
Face Gallery
Kami ingin mengucapkan terima kasih kepada Tian Zhang (@KhaosT) atas bantuannya.
Intel Graphics Driver
Kami ingin mengucapkan terima kasih kepada Jack Dates dari RET2 Systems, Inc., Yinyi Wu (@3ndy1) atas bantuannya.
Local Authentication
Kami ingin mengucapkan terima kasih kepada peneliti anonim atas bantuannya.
Notes
Kami ingin mengucapkan terima kasih kepada Nathaniel Ekoniak dari Ennate Technologies atas bantuannya.
Password Manager
Kami ingin mengucapkan terima kasih kepada Maximilian Golla (@m33x) dari Max Planck Institute for Security and Privacy (MPI-SP) atas bantuannya.
Siri
Kami ingin mengucapkan terima kasih kepada peneliti anonim atas bantuannya.
syslog
Kami ingin mengucapkan terima kasih kepada Yonghwi Jin (@jinmo123) dari Theori atas bantuannya.
TCC
Kami ingin mengucapkan terima kasih kepada Csaba Fitzl (@theevilbit) dari Offensive Security atas bantuannya.
UIKit
Kami ingin mengucapkan terima kasih kepada Tim Shadel dari Day Logger, Inc. atas bantuannya.
WebKit
Kami ingin mengucapkan terima kasih kepada Abdullah Md Shaleh atas bantuannya.
WebKit Storage
Kami ingin mengucapkan terima kasih kepada Martin Bajanik dari FingerprintJS atas bantuannya.
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.