Informazioni sui contenuti di sicurezza di macOS Monterey 12.3
In questo documento vengono descritti i contenuti di sicurezza di macOS Monterey 12.3.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
macOS Monterey 12.3
Accelerate Framework
Disponibile per: macOS Monterey
Impatto: l'apertura di un file PDF dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-22633: ryuzaki
AMD
Disponibile per: macOS Monterey
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2022-22669: un ricercatore anonimo
AppKit
Disponibile per: macOS Monterey
Impatto: un'applicazione dannosa può essere in grado di ottenere privilegi root.
Descrizione: un problema logico è stato risolto attraverso una migliore convalida.
CVE-2022-22665: Red Team di Lockheed Martin
AppleEvents
Disponibile per: macOS Monterey
Impatto: un utente malintenzionato in remoto potrebbe causare la chiusura improvvisa di un'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2022-22630: Jeremy Brown in collaborazione con Trend Micro Zero Day Initiative
AppleGraphicsControl
Disponibile per: macOS Monterey
Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2022-22631: Wang Yu di cyberserval
AppleScript
Disponibile per: macOS Monterey
Impatto: l'elaborazione di un codice binario AppleScript dannoso può causare la chiusura improvvisa dell'applicazione o la divulgazione della memoria dei processi.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2022-22625: Mickey Jin (@patch1t) di Trend Micro
AppleScript
Disponibile per: macOS Monterey
Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2022-22648: Mickey Jin (@patch1t) di Trend Micro
AppleScript
Disponibile per: macOS Monterey
Impatto: l'elaborazione di un codice binario AppleScript dannoso può causare la chiusura improvvisa dell'applicazione o la divulgazione della memoria dei processi.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2022-22626: Mickey Jin (@patch1t) di Trend Micro
CVE-2022-22627: Qi Sun e Robert Ai di Trend Micro
AppleScript
Disponibile per: macOS Monterey
Impatto: l'elaborazione di un file pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
CVE-2022-22597: Qi Sun e Robert Ai di Trend Micro
BOM
Disponibile per: macOS Monterey
Impatto: un archivio ZIP dannoso può riuscire a bypassare i controlli di Gatekeeper.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2022-22616: Ferdous Saljooki (@malwarezoo) e Jaron Bradley (@jbradley89) di Jamf Software, Mickey Jin (@patch1t)
CoreTypes
Disponibile per: macOS Monterey
Impatto: un'applicazione dannosa può riuscire a bypassare i controlli di Gatekeeper.
Descrizione: questo problema è stato risolto attraverso migliori controlli in modo da evitare azioni non autorizzate.
CVE-2022-22663: Arsenii Kostromin (0x3c3e)
CUPS
Disponibile per: macOS Monterey
Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-26691: Joshua Mason di Mandiant
curl
Disponibile per: macOS Monterey
Impatto: diversi problemi in curl.
Descrizione: diversi problemi sono stati risolti con l'aggiornamento di curl alla versione 7.79.1.
CVE-2021-22946
CVE-2021-22947
CVE-2021-22945
FaceTime
Disponibile per: macOS Monterey
Impatto: un utente può inviare a sua insaputa audio e video in una chiamata FaceTime.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2022-22643: Sonali Luthar della University of Virginia, Michael Liao della University of Illinois di Urbana-Champaign, Rohan Pahwa della Rutgers University e Bao Nguyen della University of Florida
GarageBand MIDI
Disponibile per: macOS Monterey
Impatto: l'apertura di un file dannoso può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di inizializzazione della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2022-22657: Brandon Perry di Atredis Partners
GarageBand MIDI
Disponibile per: macOS Monterey
Impatto: l'apertura di un file dannoso può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2022-22664: Brandon Perry di Atredis Partners
Graphics Drivers
Disponibile per: macOS Monterey
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.
Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.
CVE-2021-30977: Jack Dates di RET2 Systems, Inc.
ImageIO
Disponibile per: macOS Monterey
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2022-22611: Xingyu Jin di Google
ImageIO
Disponibile per: macOS Monterey
Impatto: l'elaborazione di un'immagine dannosa può causare un danno alla memoria heap.
Descrizione: un problema di consumo della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2022-22612: Xingyu Jin di Google
Intel Graphics Driver
Disponibile per: macOS Monterey
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-46706: Wang Yu di Cyberserval e Pan ZhenPeng (@Peterpan0927) di Alibaba Security Pandora Lab
Intel Graphics Driver
Disponibile per: macOS Monterey
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-22661: Wang Yu di Cyberserval e Pan ZhenPeng (@Peterpan0927) di Alibaba Security Pandora Lab
IOGPUFamily
Disponibile per: macOS Monterey
Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2022-22641: Mohamed Ghannam (@_simo36)
Kernel
Disponibile per: macOS Monterey
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2022-22613: Alex, un ricercatore anonimo
Kernel
Disponibile per: macOS Monterey
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2022-22614: un ricercatore anonimo
CVE-2022-22615: un ricercatore anonimo
Kernel
Disponibile per: macOS Monterey
Impatto: un'applicazione dannosa può essere in grado di elevare i privilegi.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-22632: Keegan Saunders
Kernel
Disponibile per: macOS Monterey
Impatto: un utente malintenzionato in una posizione privilegiata potrebbe causare un'interruzione del servizio.
Descrizione: un problema di dereferenziazione del puntatore null è stato risolto attraverso una migliore convalida.
CVE-2022-22638: derrek (@derrekr6)
Kernel
Disponibile per: macOS Monterey
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
CVE-2022-22640: sqrtpwn
LaunchServices
Disponibile per: macOS Monterey
Impatto: un'app potrebbe bypassare alcune preferenze sulla privacy.
Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.
CVE-2021-30946: @gorelics e Ron Masas di BreakPoint.sh
libarchive
Disponibile per: macOS Monterey
Impatto: diversi problemi in libarchive
Descrizione: si verificavano diversi problemi di danneggiamento della memoria in libarchive Questi problemi sono stati risolti attraverso una migliore convalida dell'input.
CVE-2021-36976
LLVM
Disponibile per: macOS Monterey
Impatto: un'applicazione potrebbe essere in grado di eliminare file per i quali non dispone dell'autorizzazione.
Descrizione: una race condition è stata risolta con un'ulteriore convalida.
CVE-2022-21658: Florian Weimer (@fweimer)
Login Window
Disponibile per: macOS Monterey
Impatto: una persona con accesso a un Mac potrebbe essere in grado di bypassare la finestra di login.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2022-22647: Yuto Ikeda della Kyushu University
LoginWindow
Disponibile per: macOS Monterey
Impatto: un utente malintenzionato locale può essere in grado di visualizzare il desktop dell'utente collegato in precedenza dalla schermata Cambio utente rapido.
Descrizione: un problema di autenticazione è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-22656
MobileAccessoryUpdater
Disponibile per: macOS Monterey
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2022-22672: Siddharth Aeri (@b1n4r1b01)
NSSpellChecker
Disponibile per: macOS Monterey
Impatto: un'applicazione dannosa può essere in grado di accedere alle informazioni relative ai contatti di un utente.
Descrizione: si verificava un problema di privacy nella gestione delle schede dei contatti. Il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-22644: Thomas Roth (@stacksmashing) di leveldown security
PackageKit
Disponibile per: macOS Monterey
Impatto: un'applicazione dannosa può essere in grado di modificare parti protette del file system.
Descrizione: una race condition è stata risolta con un'ulteriore convalida.
CVE-2022-26690: Mickey Jin (@patch1t) di Trend Micro
PackageKit
Disponibile per: macOS Monterey
Impatto: un'app dannosa con privilegi root può essere in grado di modificare i contenuti dei file di sistema.
Descrizione: un problema nella gestione dei symlink è stato risolto attraverso una migliore convalida.
CVE-2022-26688: Mickey Jin (@patch1t) di Trend Micro
PackageKit
Disponibile per: macOS Monterey
Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-22617: Mickey Jin (@patch1t)
Preferences
Disponibile per: macOS Monterey
Impatto: un'applicazione dannosa può essere in grado di leggere le impostazioni di altre applicazioni.
Descrizione: il problema è stato risolto attraverso maggiori controlli dei permessi.
CVE-2022-22609: Mickey Jin (@patch1t), Zhipeng Huo (@R3dF09) e Yuebin Sun (@yuebinsun2020) di Tencent Security Xuanwu Lab (xlab.tencent.com)
QuickTime Player
Disponibile per: macOS Monterey
Impatto: un plugin potrebbe essere in grado di ereditare le autorizzazioni dell'applicazione e accedere ai dati dell'utente.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2022-22650: Wojciech Reguła (@_r3ggi) di SecuRing
Safari Downloads
Disponibile per: macOS Monterey
Impatto: un archivio ZIP dannoso può riuscire a bypassare i controlli di Gatekeeper.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2022-22616: Ferdous Saljooki (@malwarezoo) e Jaron Bradley (@jbradley89) di Jamf Software, Mickey Jin (@patch1t)
Sandbox
Disponibile per: macOS Monterey
Impatto: un'app potrebbe divulgare informazioni sensibili degli utenti
Descrizione: un problema di accesso è stato risolto con miglioramenti alla sandbox.
CVE-2022-22655: Csaba Fitzl (@theevilbit) di Offensive Security
Sandbox
Disponibile per: macOS Monterey
Impatto: un'applicazione dannosa può essere in grado di bypassare alcune preferenze sulla privacy.
Descrizione: il problema è stato risolto attraverso una migliore logica delle autorizzazioni.
CVE-2022-22600: Sudhakar Muthumani (@sudhakarmuthu04) di Primefort Private Limited, Khiem Tran
Siri
Disponibile per: macOS Monterey
Impatto: una persona con accesso fisico a un dispositivo può essere in grado di usare Siri per ottenere alcune informazioni sulla posizione dal blocco schermo.
Descrizione: un problema di autorizzazioni è stato risolto attraverso una migliore convalida.
CVE-2022-22599: Andrew Goldberg della University of Texas di Austin, McCombs School of Business (linkedin.com/andrew-goldberg-/)
SMB
Disponibile per: macOS Monterey
Impatto: un utente malintenzionato collegato in remoto può causare l'arresto imprevisto del sistema o danneggiare la memoria del kernel.
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2022-22651: Felix Poulin-Belanger
SoftwareUpdate
Disponibile per: macOS Monterey
Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-22639: Mickey Jin (@patch1t)
System Preferences
Disponibile per: macOS Monterey
Impatto: un'app può essere in grado di eseguire lo spoofing dell'interfaccia utente e le notifiche di sistema.
Descrizione: questo problema è stato risolto con una nuova autorizzazione.
CVE-2022-22660: Guilherme Rambo di Best Buddy Apps (rambo.codes)
UIKit
Disponibile per: macOS Monterey
Impatto: una persona con accesso fisico a un dispositivo iOS può essere in grado di vedere informazioni sensibili tramite i suggerimenti della tastiera.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2022-22621: Joey Hewitt
Vim
Disponibile per: macOS Monterey
Impatto: diversi problemi presenti in Vim.
Descrizione: diversi problemi sono stati risolti con l'aggiornamento di Vim.
CVE-2021-4136
CVE-2021-4166
CVE-2021-4173
CVE-2021-4187
CVE-2021-4192
CVE-2021-4193
CVE-2021-46059
CVE-2022-0128
CVE-2022-0156
CVE-2022-0158
VoiceOver
Disponibile per: macOS Monterey
Impatto: un utente potrebbe visualizzare i contenuti con restrizioni dalla schermata di blocco
Descrizione: un problema della schermata di blocco è stato risolto con una migliore gestione dello stato.
CVE-2021-30918: un ricercatore anonimo
WebKit
Disponibile per: macOS Monterey
Impatto: l'elaborazione di contenuti web dannosi può divulgare informazioni sensibili dell'utente.
Descrizione: un problema di gestione dei cookie è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-22662: Prakash (@1lastBr3ath) di Threat Nix
WebKit
Disponibile per: macOS Monterey
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-22610: Quan Yin del Team Live Client di Bigo Technology
WebKit
Disponibile per: macOS Monterey
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2022-22624: Kirin (@Pwnrin) di Tencent Security Xuanwu Lab
CVE-2022-22628: Kirin (@Pwnrin) di Tencent Security Xuanwu Lab
WebKit
Disponibile per: macOS Monterey
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.
CVE-2022-22629: Jeonghoon Shin di Theori in collaborazione con Zero Day Initiative di Trend Micro
WebKit
Disponibile per: macOS Monterey
Impatto: un sito web dannoso può causare un comportamento multiorigine inaspettato.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-22637: Tom McKee di Google
Wi-Fi
Disponibile per: macOS Monterey
Impatto: un'applicazione dannosa può essere in grado di divulgare informazioni sensibili degli utenti.
Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.
CVE-2022-22668: MrPhil17
xar
Disponibile per: macOS Monterey
Impatto: un utente locale può essere in grado di scrivere file arbitrari.
Descrizione: si verificava un problema di convalida nella gestione dei link simbolici. Questo problema è stato risolto attraverso una migliore convalida dei link simbolici.
CVE-2022-22582: Richard Warren di NCC Group
Altri riconoscimenti
AirDrop
Ringraziamo Omar Espino (omespino.com), Ron Masas di BreakPoint.sh per l'assistenza.
Bluetooth
Ringraziamo un ricercatore anonimo, chenyuwang (@mzzzz__) di Tencent Security Xuanwu Lab per l'assistenza.
Disk Utility
Ringraziamo Csaba Fitzl (@theevilbit) di Offensive Security per l'assistenza.
Face Gallery
Ringraziamo Tian Zhang (@KhaosT) per l'assistenza.
Intel Graphics Driver
Ringraziamo Jack Dates di RET2 Systems, Inc., Yinyi Wu (@3ndy1) per l'assistenza.
Local Authentication
Ringraziamo un ricercatore anonimo per l'assistenza.
Notes
Ringraziamo Nathaniel Ekoniak di Ennate Technologies per l'assistenza.
Password Manager
Ringraziamo Maximilian Golla (@m33x) del Max Planck Institute for Security and Privacy (MPI-SP) per l'assistenza.
Siri
Ringraziamo un ricercatore anonimo per l'assistenza.
syslog
Ringraziamo Yonghwi Jin (@jinmo123) di Theori per l'assistenza.
TCC
Ringraziamo Csaba Fitzl (@theevilbit) di Offensive Security per l'assistenza.
UIKit
Ringraziamo Tim Shadel di Day Logger, Inc. per l'assistenza.
WebKit
Ringraziamo Abdullah Md Shaleh per l'assistenza.
WebKit Storage
Ringraziamo Martin Bajanik di FingerprintJS per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.