Over de beveiligingsinhoud van macOS Monterey 12.3
In dit document wordt de beveiligingsinhoud van macOS Monterey 12.3 beschreven.
Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.
Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.
macOS Monterey 12.3
Accelerate Framework
Beschikbaar voor: macOS Monterey
Impact: het openen van een kwaadwillig vervaardigd pdf-bestand kan het onverwacht beëindigen van het programma of uitvoering van willekeurige code tot gevolg hebben
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.
CVE-2022-22633: ryuzaki
AMD
Beschikbaar voor: macOS Monterey
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2022-22669: een anonieme onderzoeker
AppKit
Beschikbaar voor: macOS Monterey
Impact: een kwaadaardig programma kan rootbevoegdheden verkrijgen
Beschrijving: een logicaprobleem is verholpen door verbeterde validatie.
CVE-2022-22665: Lockheed Martin Red Team
AppleEvents
Beschikbaar voor: macOS Monterey
Impact: een externe aanvaller kan het onverwacht beëindigen van een app of het uitvoeren van willekeurige code veroorzaken
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2022-22630: Jeremy Brown in samenwerking met het Zero Day Initiative van Trend Micro
AppleGraphicsControl
Beschikbaar voor: macOS Monterey
Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden
Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2022-22631: Wang Yu van cyberserval
AppleScript
Beschikbaar voor: macOS Monterey
Impact: het verwerken van een kwaadwillig vervaardigd binair AppleScript-bestand kan leiden tot het onverwacht beëindigen van het programma of het vrijgeven van procesgeheugen
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2022-22625: Mickey Jin (@patch1t) van Trend Micro
AppleScript
Beschikbaar voor: macOS Monterey
Impact: een programma kan beperkt geheugen lezen
Beschrijving: dit probleem is verholpen door verbeterde controles.
CVE-2022-22648: Mickey Jin (@patch1t) van Trend Micro
AppleScript
Beschikbaar voor: macOS Monterey
Impact: het verwerken van een kwaadwillig vervaardigd binair AppleScript-bestand kan leiden tot het onverwacht beëindigen van het programma of het vrijgeven van procesgeheugen
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2022-22626: Mickey Jin (@patch1t) van Trend Micro
CVE-2022-22627: Qi Sun en Robert Ai van Trend Micro
AppleScript
Beschikbaar voor: macOS Monterey
Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde validatie.
CVE-2022-22597: Qi Sun en Robert Ai van Trend Micro
BOM
Beschikbaar voor: macOS Monterey
Impact: een kwaadwillig vervaardigd ziparchief kan Gatekeeper-controles omzeilen
Beschrijving: dit probleem is verholpen door middel van verbeterde controles.
CVE-2022-22616: Ferdous Saljooki (@malwarezoo) en Jaron Bradley (@jbradley89) van Jamf Software, Mickey Jin (@patch1t)
CoreTypes
Beschikbaar voor: macOS Monterey
Impact: een kwaadaardig programma kan Gatekeeper-controles omzeilen
Beschrijving: dit probleem is verholpen door middel van verbeterde controles om ongeautoriseerde acties te voorkomen.
CVE-2022-22663: Arsenii Kostromin (0x3c3e)
CUPS
Beschikbaar voor: macOS Monterey
Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden
Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.
CVE-2022-26691: Joshua Mason van Mandiant
curl
Beschikbaar voor: macOS Monterey
Impact: meerdere problemen in curl
Beschrijving: meerdere problemen zijn verholpen door bij te werken naar curl-versie 7.79.1.
CVE-2021-22946
CVE-2021-22947
CVE-2021-22945
FaceTime
Beschikbaar voor: macOS Monterey
Impact: een gebruiker kan zonder zich daarvan bewust te zijn, audio en video versturen tijdens een FaceTime-gesprek
Beschrijving: dit probleem is verholpen door verbeterde controles.
CVE-2022-22643: Sonali Luthar van de University of Virginia, Michael Liao van de University of Illinois at Urbana-Champaign, Rohan Pahwa van Rutgers University en Bao Nguyen van de University of Florida
GarageBand MIDI
Beschikbaar voor: macOS Monterey
Impact: het openen van een kwaadwillig vervaardigd bestand kan leiden tot het onverwacht afsluiten van het programma of het uitvoeren van willekeurige code
Beschrijving: een probleem met geheugeninitialisatie is verholpen door een verbeterde verwerking van het geheugen.
CVE-2022-22657: Brandon Perry van Atredis Partners
GarageBand MIDI
Beschikbaar voor: macOS Monterey
Impact: het openen van een kwaadwillig vervaardigd bestand kan leiden tot het onverwacht afsluiten van het programma of het uitvoeren van willekeurige code
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2022-22664: Brandon Perry van Atredis Partners
Graphics Drivers
Beschikbaar voor: macOS Monterey
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.
CVE-2021-30977: Jack Dates van RET2 Systems, Inc.
ImageIO
Beschikbaar voor: macOS Monterey
Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2022-22611: Xingyu Jin van Google
ImageIO
Beschikbaar voor: macOS Monterey
Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot heapbeschadiging
Beschrijving: een probleem met geheugengebruik is verholpen door een verbeterde verwerking van het geheugen.
CVE-2022-22612: Xingyu Jin van Google
Intel Graphics Driver
Beschikbaar voor: macOS Monterey
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een type confusion-probleem is verholpen door een verbeterde statusverwerking.
CVE-2022-46706: Wang Yu van Cyberserval en Pan ZhenPeng (@Peterpan0927) van Alibaba Security Pandora Lab
Intel Graphics Driver
Beschikbaar voor: macOS Monterey
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een type confusion-probleem is verholpen door een verbeterde statusverwerking.
CVE-2022-22661: Wang Yu van Cyberserval en Pan ZhenPeng (@Peterpan0927) van Alibaba Security Pandora Lab
IOGPUFamily
Beschikbaar voor: macOS Monterey
Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2022-22641: Mohamed Ghannam (@_simo36)
Kernel
Beschikbaar voor: macOS Monterey
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2022-22613: Alex, een anonieme onderzoeker
Kernel
Beschikbaar voor: macOS Monterey
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2022-22614: een anonieme onderzoeker
CVE-2022-22615: een anonieme onderzoeker
Kernel
Beschikbaar voor: macOS Monterey
Impact: een kwaadaardig programma kan de bevoegdheden verhogen
Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.
CVE-2022-22632: Keegan Saunders
Kernel
Beschikbaar voor: macOS Monterey
Impact: een aanvaller in een geprivilegieerde positie kan een denial of service-aanval uitvoeren
Beschrijving: een null pointer dereference-probleem is verholpen door verbeterde validatie.
CVE-2022-22638: derrek (@derrekr6)
Kernel
Beschikbaar voor: macOS Monterey
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde validatie.
CVE-2022-22640: sqrtpwn
LaunchServices
Beschikbaar voor: macOS Monterey
Impact: een app kan mogelijk bepaalde privacyvoorkeuren omzeilen
Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.
CVE-2021-30946: @gorelics en Ron Masas van BreakPoint.sh
libarchive
Beschikbaar voor: macOS Monterey
Impact: er zijn meerdere problemen in libarchive
Beschrijving: er waren meerdere problemen met geheugenbeschadiging in libarchive. Deze problemen zijn verholpen door verbeterde invoervalidatie.
CVE-2021-36976
LLVM
Beschikbaar voor: macOS Monterey
Impact: een programma kan bestanden verwijderen waarvoor het geen bevoegdheid heeft
Beschrijving: een racevoorwaarde is verholpen met aanvullende validatie.
CVE-2022-21658: Florian Weimer (@fweimer)
Login Window
Beschikbaar voor: macOS Monterey
Impact: een persoon met toegang tot een Mac kan mogelijk het inlogvenster omzeilen
Beschrijving: dit probleem is verholpen door middel van verbeterde controles.
CVE-2022-22647: Yuto Ikeda van de Universiteit van Kyushu
LoginWindow
Beschikbaar voor: macOS Monterey
Impact: een lokale aanvaller kan het bureaublad van de vorige ingelogde gebruiker bekijken via het scherm voor snelle gebruikersoverschakeling
Beschrijving: een probleem met identiteitscontrole is verholpen door verbeterd statusbeheer.
CVE-2022-22656
MobileAccessoryUpdater
Beschikbaar voor: macOS Monterey
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2022-22672: Siddharth Aeri (@b1n4r1b01)
NSSpellChecker
Beschikbaar voor: macOS Monterey
Impact: een kwaadaardig programma kan toegang krijgen tot informatie over de contacten van een gebruiker
Beschrijving: er was een privacyprobleem bij de verwerking van contactkaarten. Dit is verholpen door verbeterd statusbeheer.
CVE-2022-22644: Thomas Roth (@stacksmashing) van leveldown security
PackageKit
Beschikbaar voor: macOS Monterey
Impact: een kwaadaardig programma kan mogelijk beveiligde onderdelen van het bestandssysteem wijzigen
Beschrijving: een racevoorwaarde is verholpen met aanvullende validatie.
CVE-2022-26690: Mickey Jin (@patch1t) van Trend Micro
PackageKit
Beschikbaar voor: macOS Monterey
Impact: een kwaadaardige app met rootbevoegdheden kan mogelijk de inhoud van systeembestanden wijzigen
Beschrijving: een probleem met de verwerking van symlinks is verholpen door verbeterde validatie.
CVE-2022-26688: Mickey Jin (@patch1t) van Trend Micro
PackageKit
Beschikbaar voor: macOS Monterey
Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden
Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.
CVE-2022-22617: Mickey Jin (@patch1t)
Preferences
Beschikbaar voor: macOS Monterey
Impact: een kwaadaardig programma kan mogelijk de instellingen van andere programma's lezen
Beschrijving: het probleem is verholpen door aanvullende machtigingscontroles.
CVE-2022-22609: Mickey Jin (@patch1t), en Zhipeng Huo (@R3dF09) en Yuebin Sun (@yuebinsun2020) van Tencent Security Xuanwu Lab (xlab.tencent.com)
QuickTime Player
Beschikbaar voor: macOS Monterey
Impact: een plugin kan de machtigingen van het programma overnemen en gebruikersgegevens inzien
Beschrijving: dit probleem is verholpen door verbeterde controles.
CVE-2022-22650: Wojciech Reguła (@_r3ggi) van SecuRing
Safari Downloads
Beschikbaar voor: macOS Monterey
Impact: een kwaadwillig vervaardigd ziparchief kan Gatekeeper-controles omzeilen
Beschrijving: dit probleem is verholpen door middel van verbeterde controles.
CVE-2022-22616: Ferdous Saljooki (@malwarezoo) en Jaron Bradley (@jbradley89) van Jamf Software, Mickey Jin (@patch1t)
Sandbox
Beschikbaar voor: macOS Monterey
Impact: een app kan vertrouwelijke gebruikersinformatie vrijgeven
Beschrijving: een toegangsprobleem is verholpen door verbeteringen aan de sandbox.
CVE-2022-22655: Csaba Fitzl (@theevilbit) van Offensive Security
Sandbox
Beschikbaar voor: macOS Monterey
Impact: een kwaadaardig programma kan mogelijk bepaalde privacyvoorkeuren omzeilen
Beschrijving: het probleem is verholpen door verbeterde logica voor bevoegdheden.
CVE-2022-22600: Sudhakar Muthumani (@sudhakarmuthu04) van Primefort Private Limited, Khiem Tran
Siri
Beschikbaar voor: macOS Monterey
Impact: iemand met fysieke toegang tot een apparaat zou Siri kunnen gebruiken om locatiegegevens van het toegangsscherm te achterhalen
Beschrijving: een bevoegdhedenprobleem is verholpen door verbeterde validatie.
CVE-2022-22599: Andrew Goldberg van de University of Texas in Austin, McCombs School of Business (linkedin.com/andrew-goldberg-/)
SMB
Beschikbaar voor: macOS Monterey
Impact: een externe aanvaller kan het onverwacht beëindigen van het systeem of het beschadigen van het kernelgeheugen veroorzaken
Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2022-22651: Felix Poulin-Belanger
SoftwareUpdate
Beschikbaar voor: macOS Monterey
Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden
Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.
CVE-2022-22639: Mickey Jin (@patch1t)
System Preferences
Beschikbaar voor: macOS Monterey
Impact: een app kan systeemmeldingen en de gebruikersinterface vervalsen
Beschrijving: dit probleem is verholpen door middel van een nieuwe bevoegdheid.
CVE-2022-22660: Guilherme Rambo van Best Buddy Apps (rambo.codes)
UIKit
Beschikbaar voor: macOS Monterey
Impact: iemand met fysieke toegang tot een iOS-apparaat zou via toetsenbordsuggesties gevoelige informatie kunnen zien
Beschrijving: dit probleem is verholpen door middel van verbeterde controles.
CVE-2022-22621: Joey Hewitt
Vim
Beschikbaar voor: macOS Monterey
Impact: meerdere problemen in Vim
Beschrijving: meerdere problemen zijn verholpen door Vim bij te werken.
CVE-2021-4136
CVE-2021-4166
CVE-2021-4173
CVE-2021-4187
CVE-2021-4192
CVE-2021-4193
CVE-2021-46059
CVE-2022-0128
CVE-2022-0156
CVE-2022-0158
VoiceOver
Beschikbaar voor: macOS Monterey
Impact: een gebruiker kan mogelijk beperkte inhoud bekijken via het toegangsscherm
Beschrijving: een probleem met het toegangsscherm is verholpen door een verbeterd statusbeheer.
CVE-2021-30918: een anonieme onderzoeker
WebKit
Beschikbaar voor: macOS Monterey
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan gevoelige gebruikersgegevens openbaar maken
Beschrijving: een probleem met het beheer van cookies is verholpen door verbeterd statusbeheer.
CVE-2022-22662: Prakash (@1lastBr3ath) van Threat Nix
WebKit
Beschikbaar voor: macOS Monterey
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van code
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.
CVE-2022-22610: Quan Yin van Bigo Technology Live Client Team
WebKit
Beschikbaar voor: macOS Monterey
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2022-22624: Kirin (@Pwnrin) van Tencent Security Xuanwu Lab
CVE-2022-22628: Kirin (@Pwnrin) van Tencent Security Xuanwu Lab
WebKit
Beschikbaar voor: macOS Monterey
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met bufferoverloop is verholpen door een verbeterde verwerking van het geheugen.
CVE-2022-22629: Jeonghoon Shin van Theori in samenwerking met het Zero Day Initiative van Trend Micro
WebKit
Beschikbaar voor: macOS Monterey
Impact: een kwaadaardige website kan onverwacht cross-origin-gedrag veroorzaken
Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.
CVE-2022-22637: Tom McKee van Google
Wi-Fi
Beschikbaar voor: macOS Monterey
Impact: een kwaadaardig programma kan vertrouwelijke gebruikersinformatie vrijgeven
Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.
CVE-2022-22668: MrPhil17
xar
Beschikbaar voor: macOS Monterey
Impact: een lokale gebruiker kan mogelijk willekeurige bestanden schrijven
Beschrijving: er was een validatieprobleem bij de verwerking van symlinks. Dit probleem is verholpen door een verbeterde validatie van symlinks.
CVE-2022-22582: Richard Warren van NCC Group
Aanvullende erkenning
AirDrop
Met dank aan Omar Espino (omespino.com) en Ron Masas van BreakPoint.sh voor de hulp.
Bluetooth
Met dank aan een anonieme onderzoeker, chenyuwang (@mzzzz__) van Tencent Security Xuanwu Lab, voor de hulp.
Schijfhulpprogramma
Met dank aan Csaba Fitzl (@theevilbit) van Offensive Security voor de hulp.
Face Gallery
Met dank aan Tian Zhang (@KhaosT) voor de hulp.
Intel Graphics Driver
Met dank aan Jack Dates van RET2 Systems, Inc., Yinyi Wu (@3ndy1) voor de hulp.
Lokale identiteitscontrole
Met dank aan een anonieme onderzoeker voor de hulp.
Notes
Met dank aan Nathaniel Ekoniak van Ennate Technologies voor de hulp.
Password Manager
Met dank aan Maximilian Golla (@m33x) van het Max Planck Institute for Security and Privacy (MPI-SP) voor de hulp.
Siri
Met dank aan een anonieme onderzoeker voor de hulp.
syslog
Met dank aan Yonghwi Jin (@jinmo123) van Theori voor de hulp.
TCC
Met dank aan Csaba Fitzl (@theevilbit) van Offensive Security voor de hulp.
UIKit
Met dank aan Tim Shadel van Day Logger, Inc. voor de hulp.
WebKit
Met dank aan Abdullah Md Shaleh voor de hulp.
WebKit Storage
Met dank aan Martin Bajanik van FingerprintJS voor de hulp.
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.