Informazioni sui contenuti di sicurezza di macOS Monterey 12.5
In questo documento vengono descritti i contenuti di sicurezza di macOS Monterey 12.5.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
macOS Monterey 12.5
Data di rilascio: 20 luglio 2022
AMD
Disponibile per: macOS Monterey
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2022-42858: ABC Research s.r.o.
Voce aggiunta l'11 maggio 2023
APFS
Disponibile per: macOS Monterey
Impatto: un'app con privilegi root potrebbe eseguire codice arbitrario con privilegi kernel
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2022-32832: Tommy Muir (@Muirey03)
AppleAVD
Disponibile per: macOS Monterey
Impatto: un utente collegato in remoto potrebbe provocare l'esecuzione del codice kernel.
Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.
CVE-2022-32788: Natalie Silvanovich di Google Project Zero
Voce aggiunta il 16 settembre 2022
AppleMobileFileIntegrity
Disponibile per: macOS Monterey
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili degli utenti
Descrizione: il problema è stato risolto abilitando runtime rafforzato.
CVE-2022-32880: Wojciech Reguła (@_r3ggi) di SecuRing, Mickey Jin (@patch1t) di Trend Micro, Csaba Fitzl (@theevilbit) di Offensive Security
Voce aggiunta il 16 settembre 2022
AppleMobileFileIntegrity
Disponibile per: macOS Monterey
Impatto: un'app potrebbe ottenere privilegi root
Descrizione: un problema di autorizzazione è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-32826: Mickey Jin (@patch1t) di Trend Micro
Apple Neural Engine
Disponibile per: macOS Monterey
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di overflow dei numeri interi è stato risolto attraverso una migliore convalida dell'input.
CVE-2022-42805: Mohamed Ghannam (@_simo36)
Voce aggiunta il 9 novembre 2022
Apple Neural Engine
Disponibile per: macOS Monterey
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2022-32948: Mohamed Ghannam (@_simo36)
Voce aggiunta il 9 novembre 2022
Apple Neural Engine
Disponibile per: macOS Monterey
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto migliorando la gestione della memoria.
CVE-2022-32810: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Disponibile per: macOS Monterey
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2022-32840: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Disponibile per: macOS Monterey
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2022-32845: Mohamed Ghannam (@_simo36)
Voce aggiornata il 9 novembre 2022
AppleScript
Disponibile per: macOS Monterey
Impatto: l'elaborazione di un AppleScript potrebbe causare la chiusura improvvisa o la divulgazione della memoria dei processi
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2022-48578: Mickey Jin (@patch1t)
Voce aggiunta il 31 ottobre 2023
AppleScript
Disponibile per: macOS Monterey
Impatto: l'elaborazione di un codice binario AppleScript dannoso potrebbe causare la chiusura improvvisa o la divulgazione della memoria dei processi
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2022-32797: Mickey Jin (@patch1t), Ye Zhang (@co0py_Cat) di Baidu Security, Mickey Jin (@patch1t) di Trend Micro
AppleScript
Disponibile per: macOS Monterey
Impatto: l'elaborazione di un codice binario AppleScript dannoso potrebbe causare la chiusura improvvisa o la divulgazione della memoria dei processi
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2022-32851: Ye Zhang (@co0py_Cat) di Baidu Security
CVE-2022-32852: Ye Zhang (@co0py_Cat) di Baidu Security
CVE-2022-32853: Ye Zhang (@co0py_Cat) di Baidu Security
AppleScript
Disponibile per: macOS Monterey
Impatto: l'elaborazione di un codice binario AppleScript dannoso potrebbe causare la chiusura improvvisa o la divulgazione della memoria dei processi
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2022-32831: Ye Zhang (@co0py_Cat) di Baidu Security
Archive Utility
Disponibile per: macOS Monterey
Impatto: un archivio potrebbe bypassare Gatekeeper.
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2022-32910: Ferdous Saljooki (@malwarezoo) di Jamf Software
Voce aggiunta il 4 ottobre 2022
Audio
Disponibile per: macOS Monterey
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2022-32820: un ricercatore anonimo
Audio
Disponibile per: macOS Monterey
Impatto: un'app potrebbe rivelare la memoria kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2022-32825: John Aakerblom (@jaakerblom)
Automation
Disponibile per: macOS Monterey
Impatto: un'app potrebbe bypassare le preferenze sulla privacy.
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2022-32789: Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab
Calendar
Disponibile per: macOS Monterey
Impatto: un'app potrebbe accedere alle informazioni sensibili degli utenti
Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.
CVE-2022-32805: Csaba Fitzl (@theevilbit) di Offensive Security
CoreMedia
Disponibile per: macOS Monterey
Impatto: un'app potrebbe rivelare la memoria kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2022-32828: Antonio Zekic (@antoniozekic) e John Aakerblom (@jaakerblom)
CoreText
Disponibile per: macOS Monterey
Impatto: un utente remoto potrebbe causare la chiusura improvvisa di un'app o l'esecuzione di codice arbitrario
Descrizione: il problema è stato risolto con migliori controlli dei limiti.
CVE-2022-32839: Daniel Lim Wee Soong di STAR Labs
Voce aggiornata il 31 ottobre 2023
File System Events
Disponibile per: macOS Monterey
Impatto: un'app potrebbe ottenere privilegi root
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-32819: Joshua Mason di Mandiant
GPU Drivers
Disponibile per: macOS Monterey
Impatto: un'app potrebbe rivelare la memoria kernel
Descrizione: più problemi di scrittura non nei limiti sono stati risolti con un migliore controllo dei limiti.
CVE-2022-32793: un ricercatore anonimo
GPU Drivers
Disponibile per: macOS Monterey
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
CVE-2022-32821: John Aakerblom (@jaakerblom)
iCloud Photo Library
Disponibile per: macOS Monterey
Impatto: un'app potrebbe accedere alle informazioni sensibili degli utenti
Descrizione: un problema di divulgazione delle informazioni è stato risolto rimuovendo il codice vulnerabile.
CVE-2022-32849: Joshua Jones
ICU
Disponibile per: macOS Monterey
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2022-32787: Dohyun Lee (@l33d0hyun) di SSD Secure Disclosure Labs & DNSLab, Korea Univ.
ImageIO
Disponibile per: macOS Monterey
Impatto: l'elaborazione di un file tiff pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
CVE-2022-32897: Mickey Jin (@patch1t) di Trend Micro
Voce aggiunta il 31 ottobre 2023
ImageIO
Disponibile per: macOS Monterey
Impatto: l'elaborazione di un file pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2022-32802: Ivan Fratric di Google Project Zero, Mickey Jin (@patch1t)
Voce aggiunta il 16 settembre 2022
ImageIO
Disponibile per: macOS Monterey
Impatto: l'elaborazione di un'immagine dannosa potrebbe causare la divulgazione dei contenuti della memoria dei processi
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2022-32841: hjy79425575
ImageIO
Disponibile per: macOS Monterey
Impatto: l'elaborazione di un'immagine potrebbe causare l'interruzione del servizio
Descrizione: un problema di dereferenziazione del puntatore null è stato risolto attraverso una migliore convalida.
CVE-2022-32785: Yiğit Can YILMAZ (@yilmazcanyigit)
Intel Graphics Driver
Disponibile per: macOS Monterey
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: una vulnerabilità al danneggiamento della memoria è stata risolta attraverso un blocco migliore.
CVE-2022-32811: ABC Research s.r.o
Intel Graphics Driver
Disponibile per: macOS Monterey
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto migliorando la gestione della memoria.
CVE-2022-32812: Yinyi Wu (@3ndy1), ABC Research s.r.o.
JavaScriptCore
Disponibile per: macOS Monterey
Impatto: l'elaborazione di contenuti web potrebbe causare l'esecuzione di codice arbitrario
Descrizione: il problema è stato risolto con migliori controlli dei limiti.
WebKit Bugzilla: 241931
CVE-2022-48503: Dongzhuo Zhao in collaborazione con ADLab di Venustech e ZhaoHai di Cyberpeace Tech Co., Ltd.
Voce aggiunta il 21 giugno 2023
Kernel
Disponibile per: macOS Monterey
Impatto: un'app con privilegi root potrebbe eseguire codice arbitrario con privilegi kernel
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2022-32813: Xinru Chi di Pangu Lab
CVE-2022-32815: Xinru Chi di Pangu Lab
Kernel
Disponibile per: macOS Monterey
Impatto: un'app potrebbe rivelare la memoria kernel
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2022-32817: Xinru Chi di Pangu Lab
Kernel
Disponibile per: macOS Monterey
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2022-32829: Tingting Yin della Tsinghua University e Min Zheng di Ant Group
Voce aggiornata il 16 settembre 2022
Liblouis
Disponibile per: macOS Monterey
Impatto: un'app potrebbe causare la chiusura improvvisa di un'app o l'esecuzione di codice arbitrario
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2022-26981: Hexhive (hexhive.epfl.ch), NCNIPC, Cina (nipc.org.cn)
libxml2
Disponibile per: macOS Monterey
Impatto: un'app potrebbe divulgare informazioni sensibili degli utenti
Descrizione: un problema di inizializzazione della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2022-32823
Multi-Touch
Disponibile per: macOS Monterey
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)
PackageKit
Disponibile per: macOS Monterey
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: un problema nella gestione delle variabili ambientali è stato risolto attraverso una migliore convalida.
CVE-2022-32786: Mickey Jin (@patch1t)
PackageKit
Disponibile per: macOS Monterey
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2022-32800: Mickey Jin (@patch1t)
PluginKit
Disponibile per: macOS Monterey
Impatto: un'app potrebbe leggere file arbitrari
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-32838: Mickey Jin (@patch1t) di Trend Micro
PS Normalizer
Disponibile per: macOS Monterey
Impatto: l'elaborazione di un file PostScript dannoso potrebbe causare la chiusura improvvisa dell'app o la divulgazione della memoria dei processi
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2022-32843: Kai Lu di Zscaler's ThreatLabz
Safari
Disponibile per: macOS Monterey
Impatto: l'elaborazione di contenuti web potrebbe divulgare informazioni sensibili.
Descrizione: un problema di forza bruta è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-46708: un ricercatore anonimo
Voce aggiunta il 31 ottobre 2023
SMB
Disponibile per: macOS Monterey
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-32796: Sreejith Krishnan R (@skr0x1c0)
SMB
Disponibile per: macOS Monterey
Impatto: un'app potrebbe riuscire ad acquisire privilegi elevati
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2022-32842: Sreejith Krishnan R (@skr0x1c0)
SMB
Disponibile per: macOS Monterey
Impatto: un'app potrebbe riuscire ad acquisire privilegi elevati
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2022-32798: Sreejith Krishnan R (@skr0x1c0)
SMB
Disponibile per: macOS Monterey
Impatto: un utente in una posizione privilegiata nella rete potrebbe divulgare informazioni sensibili
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2022-32799: Sreejith Krishnan R (@skr0x1c0)
SMB
Disponibile per: macOS Monterey
Impatto: un'app potrebbe divulgare lo stato sensibile del kernel
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2022-32818: Sreejith Krishnan R (@skr0x1c0)
Software Update
Disponibile per: macOS Monterey
Impatto: un utente in una posizione privilegiata nella rete potrebbe monitorare l'attività di un utente
Descrizione: questo problema è stato risolto utilizzando HTTPS durante l'invio di informazioni sulla rete.
CVE-2022-32857: Jeffrey Paul (sneak.berlin)
Spindump
Disponibile per: macOS Monterey
Impatto: un'app potrebbe sovrascrivere i file arbitrari.
Descrizione: questo problema è stato risolto con una migliore gestione dei file.
CVE-2022-32807: Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab
Spotlight
Disponibile per: macOS Monterey
Impatto: un'app potrebbe ottenere privilegi root
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2022-32801: Joshua Mason (@josh@jhu.edu)
subversion
Disponibile per: macOS Monterey
Impatto: più problemi presenti nel server Subversion
Descrizione: diversi problemi sono stati risolti con l'aggiornamento del server Subversion.
CVE-2021-28544: Evgeny Kotkov, visualsvn.com
CVE-2022-24070: Evgeny Kotkov, visualsvn.com
CVE-2022-29046: Evgeny Kotkov, visualsvn.com
CVE-2022-29048: Evgeny Kotkov, visualsvn.com
TCC
Disponibile per: macOS Monterey
Impatto: un'app potrebbe accedere alle informazioni sensibili degli utenti
Descrizione: un problema di accesso è stato risolto con miglioramenti alla sandbox.
CVE-2022-32834: Xuxiang Yang (@another1024) di Tencent Security Xuanwu Lab (xlab.tencent.com), Gordon Long, Thijs Alkemade (@xnyhps) di Computest Sector 7, Adam Chester di TrustedSec, Yuebin Sun (@yuebinsun2020) di Tencent Security Xuanwu Lab (xlab.tencent.com), Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab (xlab.tencent.com)
Voce aggiornata il 16 settembre 2022 e l'11 maggio 2023
WebKit
Disponibile per: macOS Monterey
Impatto: un sito web può monitorare i siti web visitati da un utente in modalità di navigazione privata di Safari.
Descrizione: un problema di divulgazione delle informazioni è stato risolto rimuovendo il codice vulnerabile.
WebKit Bugzilla: 239547
CVE-2022-32933: Mir Masood Ali, studente di dottorato, University of Illinois di Chicago; Binoy Chitale, studente di Master of Science, Stony Brook University; Mohammad Ghasemisharif, dottorando, University of Illinois di Chicago; Chris Kanich, professore associato, University of Illinois di Chicago; Nick Nikiforakis, professore associato, Stony Brook University; Jason Polakis, professore associato, University of Illinois di Chicago
Voce aggiunta il 31 ottobre 2023
WebKit
Disponibile per: macOS Monterey
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
WebKit Bugzilla: 241526
CVE-2022-32885: P1umer(@p1umer) e Q1IQ(@q1iqF)
Voce aggiunta l'11 maggio 2023
WebKit
Disponibile per: macOS Monterey
Impatto: è possibile tracciare una persona tramite il suo indirizzo IP
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
WebKit Bugzilla: 237296
CVE-2022-32861: Matthias Keller (m-keller.com)
Voce aggiunta il 16 settembre 2022 e aggiornata il 31 ottobre 2023
WebKit
Disponibile per: macOS Monterey
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-32863: P1umer(@p1umer), afang(@afang5472), xmzyshypnc(@xmzyshypnc1)
Voce aggiunta il 16 settembre 2022 e aggiornata il 31 ottobre 2023
WebKit
Disponibile per: macOS Monterey
Impatto: l'accesso a un sito web che presenta contenuti dannosi potrebbe causare lo spoofing dell'interfaccia utente.
Descrizione: il problema è stato risolto attraverso una migliore gestione dell'interfaccia utente.
WebKit Bugzilla: 239316
CVE-2022-32816: Dohyun Lee (@l33d0hyun) di SSD Secure Disclosure Labs & DNSLab, Korea Univ.
WebKit
Disponibile per: macOS Monterey
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
WebKit Bugzilla: 240720
CVE-2022-32792: Manfred Paul (@_manfp) in collaborazione con Zero Day Initiative di Trend Micro
WebRTC
Disponibile per: macOS Monterey
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
WebKit Bugzilla: 242339
CVE-2022-2294: Jan Vojtesek del team Avast Threat Intelligence
Wi-Fi
Disponibile per: macOS Monterey
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2022-32860: Wang Yu di Cyberserval
Voce aggiunta il 9 novembre 2022
Wi-Fi
Disponibile per: macOS Monterey
Impatto: un'app potrebbe causare l'arresto improvviso del sistema o scrivere sulla memoria del kernel
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2022-32837: Wang Yu di Cyberserval
Wi-Fi
Disponibile per: macOS Monterey
Impatto: un utente remoto potrebbe causare l'arresto imprevisto del sistema o danneggiare la memoria del kernel
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2022-32847: Wang Yu di Cyberserval
Windows Server
Disponibile per: macOS Monterey
Impatto: un'app potrebbe acquisire la schermata dell'utente
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2022-32848: Jeremy Legendre di MacEnhance
Altri riconoscimenti
802.1X
Ringraziamo Shin Sun della National Taiwan University per l'assistenza.
AppleMobileFileIntegrity
Ringraziamo Csaba Fitzl (@theevilbit) di Offensive Security, Mickey Jin (@patch1t) di Trend Micro e Wojciech Reguła (@_r3ggi) di SecuRing per l'assistenza.
Calendar
Ringraziamo Joshua Jones per l'assistenza.
configd
Ringraziamo Csaba Fitzl (@theevilbit) di Offensive Security, Mickey Jin (@patch1t) di Trend Micro e Wojciech Reguła (@_r3ggi) di SecuRing per l'assistenza.
DiskArbitration
Ringraziamo Raymond Rehayem di Library Industries e Mike Cush per l'assistenza.
Voce aggiornata il 29 maggio 2024
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.