Informazioni sui contenuti di sicurezza di macOS Monterey 12.5

In questo documento vengono descritti i contenuti di sicurezza di macOS Monterey 12.5.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

macOS Monterey 12.5

Data di rilascio: 20 luglio 2022

AMD

Disponibile per: macOS Monterey

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2022-42858: ABC Research s.r.o.

Voce aggiunta l'11 maggio 2023

APFS

Disponibile per: macOS Monterey

Impatto: un'app con privilegi root potrebbe eseguire codice arbitrario con privilegi kernel

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2022-32832: Tommy Muir (@Muirey03)

AppleAVD

Disponibile per: macOS Monterey

Impatto: un utente collegato in remoto potrebbe provocare l'esecuzione del codice kernel.

Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.

CVE-2022-32788: Natalie Silvanovich di Google Project Zero

Voce aggiunta il 16 settembre 2022

AppleMobileFileIntegrity

Disponibile per: macOS Monterey

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili degli utenti

Descrizione: il problema è stato risolto abilitando runtime rafforzato.

CVE-2022-32880: Wojciech Reguła (@_r3ggi) di SecuRing, Mickey Jin (@patch1t) di Trend Micro, Csaba Fitzl (@theevilbit) di Offensive Security

Voce aggiunta il 16 settembre 2022

AppleMobileFileIntegrity

Disponibile per: macOS Monterey

Impatto: un'app potrebbe ottenere privilegi root

Descrizione: un problema di autorizzazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2022-32826: Mickey Jin (@patch1t) di Trend Micro

Apple Neural Engine

Disponibile per: macOS Monterey

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di overflow dei numeri interi è stato risolto attraverso una migliore convalida dell'input.

CVE-2022-42805: Mohamed Ghannam (@_simo36)

Voce aggiunta il 9 novembre 2022

Apple Neural Engine

Disponibile per: macOS Monterey

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2022-32948: Mohamed Ghannam (@_simo36)

Voce aggiunta il 9 novembre 2022

Apple Neural Engine

Disponibile per: macOS Monterey

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: il problema è stato risolto migliorando la gestione della memoria.

CVE-2022-32810: Mohamed Ghannam (@_simo36)

Apple Neural Engine

Disponibile per: macOS Monterey

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2022-32840: Mohamed Ghannam (@_simo36)

Apple Neural Engine

Disponibile per: macOS Monterey

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2022-32845: Mohamed Ghannam (@_simo36)

Voce aggiornata il 9 novembre 2022

AppleScript

Disponibile per: macOS Monterey

Impatto: l'elaborazione di un AppleScript potrebbe causare la chiusura improvvisa o la divulgazione della memoria dei processi

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2022-48578: Mickey Jin (@patch1t)

Voce aggiunta il 31 ottobre 2023

AppleScript

Disponibile per: macOS Monterey

Impatto: l'elaborazione di un codice binario AppleScript dannoso potrebbe causare la chiusura improvvisa o la divulgazione della memoria dei processi

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2022-32797: Mickey Jin (@patch1t), Ye Zhang (@co0py_Cat) di Baidu Security, Mickey Jin (@patch1t) di Trend Micro

AppleScript

Disponibile per: macOS Monterey

Impatto: l'elaborazione di un codice binario AppleScript dannoso potrebbe causare la chiusura improvvisa o la divulgazione della memoria dei processi

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2022-32851: Ye Zhang (@co0py_Cat) di Baidu Security

CVE-2022-32852: Ye Zhang (@co0py_Cat) di Baidu Security

CVE-2022-32853: Ye Zhang (@co0py_Cat) di Baidu Security

AppleScript

Disponibile per: macOS Monterey

Impatto: l'elaborazione di un codice binario AppleScript dannoso potrebbe causare la chiusura improvvisa o la divulgazione della memoria dei processi

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2022-32831: Ye Zhang (@co0py_Cat) di Baidu Security

Archive Utility

Disponibile per: macOS Monterey

Impatto: un archivio potrebbe bypassare Gatekeeper.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2022-32910: Ferdous Saljooki (@malwarezoo) di Jamf Software

Voce aggiunta il 4 ottobre 2022

Audio

Disponibile per: macOS Monterey

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2022-32820: un ricercatore anonimo

Audio

Disponibile per: macOS Monterey

Impatto: un'app potrebbe rivelare la memoria kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2022-32825: John Aakerblom (@jaakerblom)

Automation

Disponibile per: macOS Monterey

Impatto: un'app potrebbe bypassare le preferenze sulla privacy.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2022-32789: Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab

Calendar

Disponibile per: macOS Monterey

Impatto: un'app potrebbe accedere alle informazioni sensibili degli utenti

Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.

CVE-2022-32805: Csaba Fitzl (@theevilbit) di Offensive Security

CoreMedia

Disponibile per: macOS Monterey

Impatto: un'app potrebbe rivelare la memoria kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2022-32828: Antonio Zekic (@antoniozekic) e John Aakerblom (@jaakerblom)

CoreText

Disponibile per: macOS Monterey

Impatto: un utente remoto potrebbe causare la chiusura improvvisa di un'app o l'esecuzione di codice arbitrario

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

CVE-2022-32839: Daniel Lim Wee Soong di STAR Labs

Voce aggiornata il 31 ottobre 2023

File System Events

Disponibile per: macOS Monterey

Impatto: un'app potrebbe ottenere privilegi root

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2022-32819: Joshua Mason di Mandiant

GPU Drivers

Disponibile per: macOS Monterey

Impatto: un'app potrebbe rivelare la memoria kernel

Descrizione: più problemi di scrittura non nei limiti sono stati risolti con un migliore controllo dei limiti.

CVE-2022-32793: un ricercatore anonimo

GPU Drivers

Disponibile per: macOS Monterey

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.

CVE-2022-32821: John Aakerblom (@jaakerblom)

iCloud Photo Library

Disponibile per: macOS Monterey

Impatto: un'app potrebbe accedere alle informazioni sensibili degli utenti

Descrizione: un problema di divulgazione delle informazioni è stato risolto rimuovendo il codice vulnerabile.

CVE-2022-32849: Joshua Jones

ICU

Disponibile per: macOS Monterey

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2022-32787: Dohyun Lee (@l33d0hyun) di SSD Secure Disclosure Labs & DNSLab, Korea Univ.

ImageIO

Disponibile per: macOS Monterey

Impatto: l'elaborazione di un file tiff pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.

CVE-2022-32897: Mickey Jin (@patch1t) di Trend Micro

Voce aggiunta il 31 ottobre 2023

ImageIO

Disponibile per: macOS Monterey

Impatto: l'elaborazione di un file pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2022-32802: Ivan Fratric di Google Project Zero, Mickey Jin (@patch1t)

Voce aggiunta il 16 settembre 2022

ImageIO

Disponibile per: macOS Monterey

Impatto: l'elaborazione di un'immagine dannosa potrebbe causare la divulgazione dei contenuti della memoria dei processi

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2022-32841: hjy79425575

ImageIO

Disponibile per: macOS Monterey

Impatto: l'elaborazione di un'immagine potrebbe causare l'interruzione del servizio

Descrizione: un problema di dereferenziazione del puntatore null è stato risolto attraverso una migliore convalida.

CVE-2022-32785: Yiğit Can YILMAZ (@yilmazcanyigit)

Intel Graphics Driver

Disponibile per: macOS Monterey

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: una vulnerabilità al danneggiamento della memoria è stata risolta attraverso un blocco migliore.

CVE-2022-32811: ABC Research s.r.o

Intel Graphics Driver

Disponibile per: macOS Monterey

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: il problema è stato risolto migliorando la gestione della memoria.

CVE-2022-32812: Yinyi Wu (@3ndy1), ABC Research s.r.o.

JavaScriptCore

Disponibile per: macOS Monterey

Impatto: l'elaborazione di contenuti web potrebbe causare l'esecuzione di codice arbitrario

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

WebKit Bugzilla: 241931

CVE-2022-48503: Dongzhuo Zhao in collaborazione con ADLab di Venustech e ZhaoHai di Cyberpeace Tech Co., Ltd.

Voce aggiunta il 21 giugno 2023

Kernel

Disponibile per: macOS Monterey

Impatto: un'app con privilegi root potrebbe eseguire codice arbitrario con privilegi kernel

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2022-32813: Xinru Chi di Pangu Lab

CVE-2022-32815: Xinru Chi di Pangu Lab

Kernel

Disponibile per: macOS Monterey

Impatto: un'app potrebbe rivelare la memoria kernel

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2022-32817: Xinru Chi di Pangu Lab

Kernel

Disponibile per: macOS Monterey

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2022-32829: Tingting Yin della Tsinghua University e Min Zheng di Ant Group

Voce aggiornata il 16 settembre 2022

Liblouis

Disponibile per: macOS Monterey

Impatto: un'app potrebbe causare la chiusura improvvisa di un'app o l'esecuzione di codice arbitrario

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2022-26981: Hexhive (hexhive.epfl.ch), NCNIPC, Cina (nipc.org.cn)

libxml2

Disponibile per: macOS Monterey

Impatto: un'app potrebbe divulgare informazioni sensibili degli utenti

Descrizione: un problema di inizializzazione della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2022-32823

Multi-Touch

Disponibile per: macOS Monterey

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione dello stato.

CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)

PackageKit

Disponibile per: macOS Monterey

Impatto: un'app potrebbe modificare parti protette del file system.

Descrizione: un problema nella gestione delle variabili ambientali è stato risolto attraverso una migliore convalida.

CVE-2022-32786: Mickey Jin (@patch1t)

PackageKit

Disponibile per: macOS Monterey

Impatto: un'app potrebbe modificare parti protette del file system.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2022-32800: Mickey Jin (@patch1t)

PluginKit

Disponibile per: macOS Monterey

Impatto: un'app potrebbe leggere file arbitrari

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2022-32838: Mickey Jin (@patch1t) di Trend Micro

PS Normalizer

Disponibile per: macOS Monterey

Impatto: l'elaborazione di un file PostScript dannoso potrebbe causare la chiusura improvvisa dell'app o la divulgazione della memoria dei processi

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2022-32843: Kai Lu di Zscaler's ThreatLabz

Safari

Disponibile per: macOS Monterey

Impatto: l'elaborazione di contenuti web potrebbe divulgare informazioni sensibili.

Descrizione: un problema di forza bruta è stato risolto attraverso una migliore gestione dello stato.

CVE-2022-46708: un ricercatore anonimo

Voce aggiunta il 31 ottobre 2023

SMB

Disponibile per: macOS Monterey

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2022-32796: Sreejith Krishnan R (@skr0x1c0)

SMB

Disponibile per: macOS Monterey

Impatto: un'app potrebbe riuscire ad acquisire privilegi elevati

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2022-32842: Sreejith Krishnan R (@skr0x1c0)

SMB

Disponibile per: macOS Monterey

Impatto: un'app potrebbe riuscire ad acquisire privilegi elevati

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2022-32798: Sreejith Krishnan R (@skr0x1c0)

SMB

Disponibile per: macOS Monterey

Impatto: un utente in una posizione privilegiata nella rete potrebbe divulgare informazioni sensibili

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2022-32799: Sreejith Krishnan R (@skr0x1c0)

SMB

Disponibile per: macOS Monterey

Impatto: un'app potrebbe divulgare lo stato sensibile del kernel

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2022-32818: Sreejith Krishnan R (@skr0x1c0)

Software Update

Disponibile per: macOS Monterey

Impatto: un utente in una posizione privilegiata nella rete potrebbe monitorare l'attività di un utente

Descrizione: questo problema è stato risolto utilizzando HTTPS durante l'invio di informazioni sulla rete.

CVE-2022-32857: Jeffrey Paul (sneak.berlin)

Spindump

Disponibile per: macOS Monterey

Impatto: un'app potrebbe sovrascrivere i file arbitrari.

Descrizione: questo problema è stato risolto con una migliore gestione dei file.

CVE-2022-32807: Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab

Spotlight

Disponibile per: macOS Monterey

Impatto: un'app potrebbe ottenere privilegi root

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2022-32801: Joshua Mason (@josh@jhu.edu)

subversion

Disponibile per: macOS Monterey

Impatto: più problemi presenti nel server Subversion

Descrizione: diversi problemi sono stati risolti con l'aggiornamento del server Subversion.

CVE-2021-28544: Evgeny Kotkov, visualsvn.com

CVE-2022-24070: Evgeny Kotkov, visualsvn.com

CVE-2022-29046: Evgeny Kotkov, visualsvn.com

CVE-2022-29048: Evgeny Kotkov, visualsvn.com

TCC

Disponibile per: macOS Monterey

Impatto: un'app potrebbe accedere alle informazioni sensibili degli utenti

Descrizione: un problema di accesso è stato risolto con miglioramenti alla sandbox.

CVE-2022-32834: Xuxiang Yang (@another1024) di Tencent Security Xuanwu Lab (xlab.tencent.com), Gordon Long, Thijs Alkemade (@xnyhps) di Computest Sector 7, Adam Chester di TrustedSec, Yuebin Sun (@yuebinsun2020) di Tencent Security Xuanwu Lab (xlab.tencent.com), Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab (xlab.tencent.com)

Voce aggiornata il 16 settembre 2022 e l'11 maggio 2023

WebKit

Disponibile per: macOS Monterey

Impatto: un sito web può monitorare i siti web visitati da un utente in modalità di navigazione privata di Safari.

Descrizione: un problema di divulgazione delle informazioni è stato risolto rimuovendo il codice vulnerabile.

WebKit Bugzilla: 239547

CVE-2022-32933: Mir Masood Ali, studente di dottorato, University of Illinois di Chicago; Binoy Chitale, studente di Master of Science, Stony Brook University; Mohammad Ghasemisharif, dottorando, University of Illinois di Chicago; Chris Kanich, professore associato, University of Illinois di Chicago; Nick Nikiforakis, professore associato, Stony Brook University; Jason Polakis, professore associato, University of Illinois di Chicago

Voce aggiunta il 31 ottobre 2023

WebKit

Disponibile per: macOS Monterey

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.

WebKit Bugzilla: 241526

CVE-2022-32885: P1umer(@p1umer) e Q1IQ(@q1iqF)

Voce aggiunta l'11 maggio 2023

WebKit

Disponibile per: macOS Monterey

Impatto: è possibile tracciare una persona tramite il suo indirizzo IP

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

WebKit Bugzilla: 237296

CVE-2022-32861: Matthias Keller (m-keller.com)

Voce aggiunta il 16 settembre 2022 e aggiornata il 31 ottobre 2023

WebKit

Disponibile per: macOS Monterey

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2022-32863: P1umer(@p1umer), afang(@afang5472), xmzyshypnc(@xmzyshypnc1)

Voce aggiunta il 16 settembre 2022 e aggiornata il 31 ottobre 2023

WebKit

Disponibile per: macOS Monterey

Impatto: l'accesso a un sito web che presenta contenuti dannosi potrebbe causare lo spoofing dell'interfaccia utente.

Descrizione: il problema è stato risolto attraverso una migliore gestione dell'interfaccia utente.

WebKit Bugzilla: 239316

CVE-2022-32816: Dohyun Lee (@l33d0hyun) di SSD Secure Disclosure Labs & DNSLab, Korea Univ.

WebKit

Disponibile per: macOS Monterey

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

WebKit Bugzilla: 240720

CVE-2022-32792: Manfred Paul (@_manfp) in collaborazione con Zero Day Initiative di Trend Micro

WebRTC

Disponibile per: macOS Monterey

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

WebKit Bugzilla: 242339

CVE-2022-2294: Jan Vojtesek del team Avast Threat Intelligence

Wi-Fi

Disponibile per: macOS Monterey

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2022-32860: Wang Yu di Cyberserval

Voce aggiunta il 9 novembre 2022

Wi-Fi

Disponibile per: macOS Monterey

Impatto: un'app potrebbe causare l'arresto improvviso del sistema o scrivere sulla memoria del kernel

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2022-32837: Wang Yu di Cyberserval

Wi-Fi

Disponibile per: macOS Monterey

Impatto: un utente remoto potrebbe causare l'arresto imprevisto del sistema o danneggiare la memoria del kernel

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2022-32847: Wang Yu di Cyberserval

Windows Server

Disponibile per: macOS Monterey

Impatto: un'app potrebbe acquisire la schermata dell'utente

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2022-32848: Jeremy Legendre di MacEnhance

Altri riconoscimenti

802.1X

Ringraziamo Shin Sun della National Taiwan University per l'assistenza.

AppleMobileFileIntegrity

Ringraziamo Csaba Fitzl (@theevilbit) di Offensive Security, Mickey Jin (@patch1t) di Trend Micro e Wojciech Reguła (@_r3ggi) di SecuRing per l'assistenza.

Calendar

Ringraziamo Joshua Jones per l'assistenza.

configd

Ringraziamo Csaba Fitzl (@theevilbit) di Offensive Security, Mickey Jin (@patch1t) di Trend Micro e Wojciech Reguła (@_r3ggi) di SecuRing per l'assistenza.

DiskArbitration

Ringraziamo Raymond Rehayem di Library Industries e Mike Cush per l'assistenza.

Voce aggiornata il 29 maggio 2024

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: