Om sikkerhetsinnholdet i macOS Monterey 12.2
Dette dokumentet beskriver sikkerhetsinnholdet i macOS Monterey 12.2.
Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
macOS Monterey 12.2
AMD Kernel
Tilgjengelig for: macOS Monterey
Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2022-22586: en anonym forsker
ColorSync
Tilgjengelig for: macOS Monterey
Virkning: Behandling av en skadelig fil kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.
CVE-2022-22584: Mickey Jin (@patch1t) fra Trend Micro
Crash Reporter
Tilgjengelig for: macOS Monterey
Virkning: Et skadelig program kan bli i stand til å få rotrettigheter
Beskrivelse: Et logisk problem ble løst gjennom forbedret validering.
CVE-2022-22578: Zhipeng Huo (@R3dF09) og Yuebin Sun (@yuebinsun2020) fra Tencent Security Xuanwu Lab (xlab.tencent.com)
iCloud
Tilgjengelig for: macOS Monterey
Virkning: Et program kan få tilgang til en brukers filer
Beskrivelse: Det var et problem i banevalideringslogikken for symlinks. Problemet ble løst gjennom forbedret banerensing.
CVE-2022-22585: Zhipeng Huo (@R3dF09) fra Tencent Security Xuanwu Lab (https://xlab.tencent.com)
Intel Graphics Driver
Tilgjengelig for: macOS Monterey
Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret minnehåndtering.
CVE-2022-22591: Antonio Zekic (@antoniozekic) fra Diverto
IOMobileFrameBuffer
Tilgjengelig for: macOS Monterey
Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med kjernerettigheter. Apple kjenner til en rapport om at dette problemet kan ha blitt utnyttet aktivt.
Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret validering av inndata.
CVE-2022-22587: en anonym forsker, Meysam Firouzi (@R00tkitSMM) fra MBition - Mercedes-Benz Innovation Lab, Siddharth Aeri (@b1n4r1b01)
Kernel
Tilgjengelig for: macOS Monterey
Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.
CVE-2022-22593: Peter Nguyễn Vũ Hoàng fra STAR Labs
Model I/O
Tilgjengelig for: macOS Monterey
Virkning: Behandlingen av en skadelig STL-fil kan føre til uventet programavslutning eller kjøring av vilkårlig kode
Beskrivelse: Et problem med informasjonsavsløring ble løst med forbedret tilstandshåndtering.
CVE-2022-22579: Mickey Jin (@patch1t) fra Trend Micro
PackageKit
Tilgjengelig for: macOS Monterey
Virkning: Et skadelig program kan endre beskyttede deler av filsystemet
Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.
CVE-2022-22646: Mickey Jin (@patch1t), Mickey Jin (@patch1t) fra Trend Micro
PackageKit
Tilgjengelig for: macOS Monterey
Virkning: Et program kan være i stand til å slette filer som det ikke har tillatelse til
Beskrivelse: Et valideringsproblem for hendelsesbehandling i API-et for XPC Services ble løst ved å fjerne tjenesten.
CVE-2022-22676: Mickey Jin (@patch1t) fra Trend Micro
PackageKit
Tilgjengelig for: macOS Monterey
Virkning: Et program kan få tilgang til begrensede filer
Beskrivelse: Et problem med tillatelser ble løst gjennom forbedret validering.
CVE-2022-22583: Ron Hass (@ronhass7) fra Perception Point, Mickey Jin (@patch1t)
WebKit
Tilgjengelig for: macOS Monterey
Virkning: Behandling av en skadelig e-postmelding kan føre til kjøring av vilkårlige javascript
Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.
CVE-2022-22589: Heige fra KnownSec 404-teamet (knownsec.com) og Bo Qu fra Palo Alto Networks (paloaltonetworks.com)
WebKit
Tilgjengelig for: macOS Monterey
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2022-22590: Toan Pham fra Team Orca ved Sea Security (security.sea.com)
WebKit
Tilgjengelig for: macOS Monterey
Virkning: Behandling av nettinnhold med ondsinnet utforming kan forhindre håndheving av regler for innholdssikkerhet
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2022-22592: Prakash (@1lastBr3ath)
WebKit Storage
Tilgjengelig for: macOS Monterey
Virkning: Et nettsted kan være i stand til å spore sensitiv brukerinformasjon
Beskrivelse: Et problem på tvers av opphav i API-en for IndexDB ble løst gjennom forbedret validering av inndata.
CVE-2022-22594: Martin Bajanik fra FingerprintJS
Ytterligere anerkjennelser
Kernel
Vi vil gjerne takke Tao Huang som en uavhengig forsker for hjelpen.
Metal
Vi vil gjerne takke Tao Huang for hjelpen.
PackageKit
Vi vil gjerne takke Mickey Jin (@patch1t), Mickey Jin (@patch1t) fra Trend Micro for hjelpen.
WebKit
Vi vil gjerne takke Prakash (@1lastBr3ath) og bo13oy av Cyber Kunlun Lab for hjelpen.
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.