Apple セキュリティアップデートについて
Apple では、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最近のリリースについては、「Apple セキュリティアップデート」ページに一覧形式でまとめています。
Apple のセキュリティ関連の文書では、可能な場合、脆弱性の CVE-ID に言及しています。
セキュリティについて詳しくは、Apple 製品のセキュリティに関するページを参照してください。
macOS Monterey 12.5
2022 年 7 月 20 日リリース
AMD
対象 OS:macOS Monterey
影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。
説明:入力検証を強化し、メモリ破損の脆弱性に対処しました。
CVE-2022-42858:ABC Research s.r.o.
2023 年 5 月 11 日に追加
APFS
対象 OS:macOS Monterey
影響:ルート権限を持つアプリが、カーネル権限で任意のコードを実行できる可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2022-32832:Tommy Muir 氏 (@Muirey03)
AppleAVD
対象 OS:macOS Monterey
影響:リモートユーザによってカーネルコードが実行される可能性がある。
説明:配列境界チェック機能を改善することで、バッファオーバーフローに対処しました。
CVE-2022-32788:Google Project Zero の Natalie Silvanovich 氏
2022 年 9 月 16 日に追加
AppleMobileFileIntegrity
対象 OS:macOS Monterey
影響:アプリが重要なユーザデータにアクセスできる可能性がある。
説明:Hardened Runtime を有効にして、この問題に対処しました。
CVE-2022-32880:SecuRing の Wojciech Reguła 氏 (@_r3ggi)、Trend Micro の Mickey Jin 氏 (@patch1t)、Offensive Security の Csaba Fitzl 氏 (@theevilbit)
2022 年 9 月 16 日に追加
AppleMobileFileIntegrity
対象 OS:macOS Monterey
影響:アプリがルート権限を取得できる可能性がある。
説明:ステート管理を改善し、認証の脆弱性に対処しました。
CVE-2022-32826:Trend Micro の Mickey Jin 氏 (@patch1t)
Apple Neural Engine
対象 OS:macOS Monterey
影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。
説明:入力検証を強化することで、整数オーバーフローに対処しました。
CVE-2022-42805:Mohamed Ghannam 氏 (@_simo36)
2022 年 11 月 9 日に追加
Apple Neural Engine
対象 OS:macOS Monterey
影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。
説明:配列境界チェック機能を改善することで、領域外読み込みの脆弱性に対処しました。
CVE-2022-32948:Mohamed Ghannam 氏 (@_simo36)
2022 年 11 月 9 日に追加
Apple Neural Engine
対象 OS:macOS Monterey
影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2022-32810:Mohamed Ghannam 氏 (@_simo36)
Apple Neural Engine
対象 OS:macOS Monterey
影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。
説明:この問題は、チェックを強化することで解決されました。
CVE-2022-32840:Mohamed Ghannam 氏 (@_simo36)
Apple Neural Engine
対象 OS:macOS Monterey
影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。
説明:配列境界チェック機能を改善することで、領域外読み込みの脆弱性に対処しました。
CVE-2022-32845:Mohamed Ghannam 氏 (@_simo36)
2022 年 11 月 9 日に更新
AppleScript
対象 OS:macOS Monterey
影響:AppleScript を処理すると、アプリが予期せず終了したり、プロセスメモリが漏洩したりする可能性がある。
説明:配列境界チェック機能を改善することで、領域外読み込みの脆弱性に対処しました。
CVE-2022-48578:Mickey Jin 氏 (@patch1t)
2023 年 10 月 31 日に追加
AppleScript
対象 OS:macOS Monterey
影響:悪意を持って作成された AppleScript バイナリを処理すると、予期せず終了したり、プロセスメモリが漏洩したりする可能性がある。
説明:この問題は、チェックを強化することで解決されました。
CVE-2022-32797:Mickey Jin 氏 (@patch1t)、Baidu Security の Ye Zhang 氏 (@co0py_Cat)、Trend Micro の Mickey Jin 氏 (@patch1t)
AppleScript
対象 OS:macOS Monterey
影響:悪意を持って作成された AppleScript バイナリを処理すると、予期せず終了したり、プロセスメモリが漏洩したりする可能性がある。
説明:入力検証を強化して、領域外読み込みの脆弱性に対処しました。
CVE-2022-32851:Baidu Security の Ye Zhang 氏 (@co0py_Cat)
CVE-2022-32852:Baidu Security の Ye Zhang 氏 (@co0py_Cat)
CVE-2022-32853:Baidu Security の Ye Zhang 氏 (@co0py_Cat)
AppleScript
対象 OS:macOS Monterey
影響:悪意を持って作成された AppleScript バイナリを処理すると、予期せず終了したり、プロセスメモリが漏洩したりする可能性がある。
説明:配列境界チェック機能を改善することで、領域外読み込みの脆弱性に対処しました。
CVE-2022-32831:Baidu Security の Ye Zhang 氏 (@co0py_Cat)
Archive Utility
対象 OS:macOS Monterey
影響:アーカイブが Gatekeeper を回避できる可能性がある。
説明:チェックを強化し、ロジックの脆弱性に対処しました。
CVE-2022-32910:Jamf Software の Ferdous Saljooki 氏 (@malwarezoo)
2022 年 10 月 4 日に追加
Audio
対象 OS:macOS Monterey
影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。
説明:入力検証を強化することで、領域外書き込みの脆弱性に対処しました。
CVE-2022-32820:匿名の研究者
Audio
対象 OS:macOS Monterey
影響:アプリがカーネルメモリを漏洩させる可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2022-32825:John Aakerblom 氏 (@jaakerblom)
Automation
対象 OS:macOS Monterey
影響:アプリがプライバシーの環境設定を回避する可能性がある。
説明:チェックを強化し、ロジックの脆弱性に対処しました。
CVE-2022-32789:Tencent Security Xuanwu Lab の Zhipeng Huo 氏 (@R3dF09)
Calendar
対象 OS:macOS Monterey
影響:アプリが重要なユーザ情報にアクセスできる可能性がある。
説明:キャッシュの処理を改善することで、この問題に対処しました。
CVE-2022-32805:Offensive Security の Csaba Fitzl 氏 (@theevilbit)
CoreMedia
対象 OS:macOS Monterey
影響:アプリがカーネルメモリを漏洩させる可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2022-32828:Antonio Zekic 氏 (@antoniozekic) および John Aakerblom 氏 (@jaakerblom)
CoreText
対象 OS:macOS Monterey
影響:リモートユーザによって、アプリが突然終了されたり、任意のコードが実行されたりする可能性がある。
説明:配列境界チェック機能を改善することで、この問題に対処しました。
CVE-2022-32839:STAR Labs の Daniel Lim Wee Soong 氏
2023 年 10 月 31 日に更新
File System Events
対象 OS:macOS Monterey
影響:アプリがルート権限を取得できる可能性がある。
説明:ステート管理を改善し、ロジックの問題に対処しました。
CVE-2022-32819:Mandiant の Joshua Mason 氏
GPU Drivers
対象 OS:macOS Monterey
影響:アプリがカーネルメモリを漏洩させる可能性がある。
説明:配列境界チェック機能を改善することで、領域外書き込みの複数の脆弱性に対処しました。
CVE-2022-32793:匿名の研究者
GPU Drivers
対象 OS:macOS Monterey
影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。
説明:検証を強化し、メモリ破損の脆弱性に対処しました。
CVE-2022-32821:John Aakerblom 氏 (@jaakerblom)
iCloud Photo Library
対象 OS:macOS Monterey
影響:アプリが重要なユーザ情報にアクセスできる可能性がある。
説明:脆弱なコードを削除することで、情報漏洩の脆弱性に対処しました。
CVE-2022-32849:Joshua Jones 氏
ICU
対象 OS:macOS Monterey
影響:悪意を持って作成された Web コンテンツを処理すると、任意のコードを実行される可能性がある。
説明:配列境界チェック機能を改善することで、領域外書き込みの脆弱性に対処しました。
CVE-2022-32787:高麗大学校 (Korea Univ.) SSD Secure Disclosure Labs & DNSLab の Dohyun Lee 氏 (@l33d0hyun)
ImageIO
対象 OS:macOS Monterey
影響:悪意を持って作成された tiff ファイルを処理すると、任意のコードが実行される可能性がある。
説明:検証を強化し、メモリ破損の脆弱性に対処しました。
CVE-2022-32897:Trend Micro の Mickey Jin 氏 (@patch1t)
2023 年 10 月 31 日に追加
ImageIO
対象 OS:macOS Monterey
影響:悪意を持って作成されたファイルを処理すると、任意のコードが実行される可能性がある。
説明:チェックを強化し、ロジックの脆弱性に対処しました。
CVE-2022-32802:Google Project Zero の Ivan Fratric 氏、Mickey Jin 氏 (@patch1t)
2022 年 9 月 16 日に追加
ImageIO
対象 OS:macOS Monterey
影響:悪意を持って作成された画像を処理すると、プロセスメモリが漏洩する可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2022-32841:hjy79425575 氏
ImageIO
対象 OS:macOS Monterey
影響:画像を処理すると、サービス運用妨害を受ける可能性がある。
説明:検証を強化し、ヌルポインタ逆参照に対処しました。
CVE-2022-32785:Yiğit Can YILMAZ 氏 (@yilmazcanyigit)
Intel Graphics Driver
対象 OS:macOS Monterey
影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。
説明:ロック処理を強化し、メモリ破損の脆弱性に対処しました。
CVE-2022-32811:ABC Research s.r.o
Intel Graphics Driver
対象 OS:macOS Monterey
影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2022-32812:Yinyi Wu 氏 (@3ndy1)、ABC Research s.r.o.
JavaScriptCore
対象 OS:macOS Monterey
影響:Web コンテンツを処理すると、任意のコードを実行される可能性がある。
説明:配列境界チェック機能を改善することで、この問題に対処しました。
WebKit Bugzilla:241931
CVE-2022-48503:ADLab of Venustech に協力する Dongzhuo Zhao 氏、Cyberpeace Tech Co., Ltd. の ZhaoHai 氏
2023 年 6 月 21 日に追加
Kernel
対象 OS:macOS Monterey
影響:ルート権限を持つアプリが、カーネル権限で任意のコードを実行できる可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2022-32813:Pangu Lab の Xinru Chi 氏
CVE-2022-32815:Pangu Lab の Xinru Chi 氏
Kernel
対象 OS:macOS Monterey
影響:アプリがカーネルメモリを漏洩させる可能性がある。
説明:配列境界チェック機能を改善することで、領域外読み込みの脆弱性に対処しました。
CVE-2022-32817:Pangu Lab の Xinru Chi 氏
Kernel
対象 OS:macOS Monterey
影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。
説明:この問題は、チェックを強化することで解決されました。
CVE-2022-32829:清華大学 (Tsinghua University) の Tingting Yin 氏、Ant Group の Min Zheng 氏
2022 年 9 月 16 日に更新
Liblouis
対象 OS:macOS Monterey
影響:アプリによって、アプリを突然終了されたり、任意のコードを実行されたりする可能性がある。
説明:この問題は、チェックを強化することで解決されました。
CVE-2022-26981:Hexhive (hexhive.epfl.ch)、中国の NCNIPC (nipc.org.cn)
libxml2
対象 OS:macOS Monterey
影響:アプリが重要なユーザ情報を漏洩させる可能性がある。
説明:メモリ処理を強化し、メモリ初期化の脆弱性に対処しました。
CVE-2022-32823
Multi-Touch
対象 OS:macOS Monterey
影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。
説明:ステート処理を強化し、型の取り違え (type confusion) の脆弱性に対処しました。
CVE-2022-32814:Pan ZhenPeng 氏 (@Peterpan0927)
PackageKit
対象 OS:macOS Monterey
影響:ファイルシステムの保護された部分をアプリに変更されるおそれがある。
説明:環境変数の処理に脆弱性がありましたが、検証を強化して対処しました。
CVE-2022-32786:Mickey Jin 氏 (@patch1t)
PackageKit
対象 OS:macOS Monterey
影響:ファイルシステムの保護された部分をアプリに変更されるおそれがある。
説明:この問題は、チェックを強化することで解決されました。
CVE-2022-32800:Mickey Jin 氏 (@patch1t)
PluginKit
対象 OS:macOS Monterey
影響:アプリが任意のファイルを読み取れる可能性がある。
説明:ステート管理を改善し、ロジックの問題に対処しました。
CVE-2022-32838:Trend Micro の Mickey Jin 氏 (@patch1t)
PS Normalizer
対象 OS:macOS Monterey
影響:悪意を持って作成された Postscript ファイルを処理すると、アプリが予期せず終了したり、プロセスメモリが漏洩したりする可能性がある。
説明:配列境界チェック機能を改善することで、領域外書き込みの脆弱性に対処しました。
CVE-2022-32843:Zscaler の ThreatLabz の Kai Lu 氏
Safari
対象 OS:macOS Monterey
影響:Web コンテンツを処理すると、機密情報が漏洩する可能性がある。
説明:ステート管理を改善し、総当たり攻撃の問題に対処しました。
CVE-2022-46708:匿名の研究者
2023 年 10 月 31 日に追加
SMB
対象 OS:macOS Monterey
影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。
説明:ステート管理を改善し、メモリ破損の脆弱性に対処しました。
CVE-2022-32796:Sreejith Krishnan R 氏 (@skr0x1c0)
SMB
対象 OS:macOS Monterey
影響:アプリに、昇格した権限を取得される可能性がある。
説明:入力検証を強化して、領域外読み込みの脆弱性に対処しました。
CVE-2022-32842:Sreejith Krishnan R 氏 (@skr0x1c0)
SMB
対象 OS:macOS Monterey
影響:アプリに、昇格した権限を取得される可能性がある。
説明:入力検証を強化することで、領域外書き込みの脆弱性に対処しました。
CVE-2022-32798:Sreejith Krishnan R 氏 (@skr0x1c0)
SMB
対象 OS:macOS Monterey
影響:ネットワーク上の特権的な地位を利用したユーザが、重要な情報を漏洩させる可能性がある。
説明:配列境界チェック機能を改善することで、領域外読み込みの脆弱性に対処しました。
CVE-2022-32799:Sreejith Krishnan R 氏 (@skr0x1c0)
SMB
対象 OS:macOS Monterey
影響:アプリが重要なカーネル状態を漏洩させる可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2022-32818:Sreejith Krishnan R 氏 (@skr0x1c0)
Software Update
対象 OS:macOS Monterey
影響:ネットワーク上の特権的な地位を利用したユーザに、ユーザのアクティビティを追跡される可能性がある。
説明:ネットワークで情報を送信する際は HTTPS を利用することで、この問題に対処しました。
CVE-2022-32857:Jeffrey Paul 氏 (sneak.berlin)
Spindump
対象 OS:macOS Monterey
影響:アプリが任意のファイルに上書きできる可能性がある。
説明:この問題は、ファイルの処理を改善することで解決されました。
CVE-2022-32807:Tencent Security Xuanwu Lab の Zhipeng Huo 氏 (@R3dF09)
Spotlight
対象 OS:macOS Monterey
影響:アプリがルート権限を取得できる可能性がある。
説明:この問題は、チェックを強化することで解決されました。
CVE-2022-32801:Joshua Mason 氏 (@josh@jhu.edu)
Subversion
対象 OS:macOS Monterey
影響:subversion に複数の脆弱性がある。
説明:subversion をアップデートすることで、複数の脆弱性に対処しました。
CVE-2021-28544:Evgeny Kotkov 氏、visualsvn.com
CVE-2022-24070:Evgeny Kotkov 氏、visualsvn.com
CVE-2022-29046:Evgeny Kotkov 氏、visualsvn.com
CVE-2022-29048:Evgeny Kotkov 氏、visualsvn.com
TCC
対象 OS:macOS Monterey
影響:アプリが重要なユーザ情報にアクセスできる可能性がある。
説明:サンドボックスを改善して、アクセス関連の脆弱性に対処しました。
CVE-2022-32834:Tencent Security Xuanwu Lab (xlab.tencent.com) の Xuxiang Yang 氏 (@another1024)、Gordon Long 氏、Computest Sector 7 の Thijs Alkemade 氏 (@xnyhps)、TrustedSec の Adam Chester 氏、Tencent Security Xuanwu Lab (xlab.tencent.com) の Yuebin Sun 氏 (@yuebinsun2020)、Tencent Security Xuanwu Lab (xlab.tencent.com) の Zhipeng Huo 氏 (@R3dF09)
2022 年 9 月 16 日に更新、2023 年 5 月 11 日に更新
WebKit
対象 OS:macOS Monterey
影響:Web サイトが、Safari のプライベートブラウズモードでユーザが閲覧した Web サイトを追跡できる可能性がある。
説明:脆弱なコードを削除することで、情報漏洩の脆弱性に対処しました。
WebKit Bugzilla:239547
CVE-2022-32933:Binoy Chitale 氏 (ストーニーブルック大学の理学修士)、Nick Nikiforakis 氏 (ストーニーブルック大学の准教授)、Jason Polakis 氏 (イリノイ大学シカゴ校の准教授)、Mir Masood Ali 氏 (イリノイ大学シカゴ校の博士課程学生)、Chris Kanich 氏 (イリノイ大学シカゴ校の准教授)、Mohammad Ghasemisharif 氏 (イリノイ大学シカゴ校の博士候補生)
2023 年 10 月 31 日に追加
WebKit
対象 OS:macOS Monterey
影響:悪意を持って作成された Web コンテンツを処理すると、任意のコードを実行される可能性がある。
説明:検証を強化し、メモリ破損の脆弱性に対処しました。
WebKit Bugzilla:241526
CVE-2022-32885:P1umer 氏 (@p1umer) および Q1IQ 氏 (@q1iqF)
2023 年 5 月 11 日に追加
WebKit
対象 OS:macOS Monterey
影響:ユーザが自分の IP アドレスを通じてトラッキングされる可能性がある。
説明:ステート管理を改善し、ロジックの問題に対処しました。
WebKit Bugzilla:237296
CVE-2022-32861:Matthias Keller 氏 (m-keller.com)
2023 年 9 月 16 日に追加、2023 年 10 月 31 日に更新
WebKit
対象 OS:macOS Monterey
影響:悪意を持って作成された Web コンテンツを処理すると、任意のコードを実行される可能性がある。
説明:ステート管理を改善し、メモリ破損の脆弱性に対処しました。
CVE-2022-32863: P1umer 氏 (@p1umer)、afang 氏 (@afang5472)、xmzyshypnc 氏 (@xmzyshypnc1)
2023 年 9 月 16 日に追加、2023 年 10 月 31 日に更新
WebKit
対象 OS:macOS Monterey
影響:悪意のあるコンテンツが含まれる Web サイトを表示すると、UI が偽装される可能性があります。
説明:UI の処理を改善することで、この問題を解決しました。
WebKit Bugzilla:239316
CVE-2022-32816:高麗大学校 (Korea Univ.) SSD Secure Disclosure Labs & DNSLab の Dohyun Lee 氏 (@l33d0hyun)
WebKit
対象 OS:macOS Monterey
影響:悪意を持って作成された Web コンテンツを処理すると、任意のコードを実行される可能性がある。
説明:入力検証を強化することで、領域外書き込みの脆弱性に対処しました。
WebKit Bugzilla:240720
CVE-2022-32792:Trend Micro Zero Day Initiative に協力する Manfred Paul 氏 (@_manfp)
WebRTC
対象 OS:macOS Monterey
影響:悪意を持って作成された Web コンテンツを処理すると、任意のコードを実行される可能性がある。
説明:ステート管理を改善し、メモリ破損の脆弱性に対処しました。
WebKit Bugzilla:242339
CVE-2022-2294:Avast Threat Intelligence team の Jan Vojtesek 氏
Wi-Fi
対象 OS:macOS Monterey
影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。
説明:入力検証を強化することで、領域外書き込みに対処しました。
CVE-2022-32860:Cyberserval の Wang Yu 氏
2022 年 11 月 9 日に追加
Wi-Fi
対象 OS:macOS Monterey
影響:アプリにシステムを突然終了されたり、カーネルメモリに書き込まれる可能性がある。
説明:この問題は、チェックを強化することで解決されました。
CVE-2022-32837:Cyberserval の Wang Yu 氏
Wi-Fi
対象 OS:macOS Monterey
影響:リモートユーザにシステムを突然終了されたり、カーネルメモリを破損されたりする可能性がある。
説明:この問題は、チェックを強化することで解決されました。
CVE-2022-32847:Cyberserval の Wang Yu 氏
Windows Server
対象 OS:macOS Monterey
影響:アプリがユーザの画面をキャプチャできる可能性がある。
説明:チェックを強化し、ロジックの脆弱性に対処しました。
CVE-2022-32848:MacEnhance の Jeremy Legendre 氏
ご協力いただいたその他の方々
802.1X
国立台湾大学 (National Taiwan University) の Shin Sun 氏のご協力に感謝いたします。
AppleMobileFileIntegrity
Offensive Security の Csaba Fitzl 氏 (@theevilbit)、Trend Micro の Mickey Jin 氏 (@patch1t)、SecuRing の Wojciech Reguła 氏 (@_r3ggi) のご協力に感謝いたします。
Calendar
Joshua Jones 氏のご協力に感謝いたします。
configd
Offensive Security の Csaba Fitzl 氏 (@theevilbit)、Trend Micro の Mickey Jin 氏 (@patch1t)、SecuRing の Wojciech Reguła 氏 (@_r3ggi) のご協力に感謝いたします。
DiskArbitration
Mike Cush 氏および匿名の研究者のご協力に感謝いたします。
2023 年 10 月 31 日に更新