Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
macOS Monterey 12.5
Utgitt 20. juli 2022
AMD
Tilgjengelig for: macOS Monterey
Virkning: Et program kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret validering av inndata.
CVE-2022-42858: ABC Research s.r.o.
Oppføring lagt til 11. mai 2023
APFS
Tilgjengelig for: macOS Monterey
Virkning: En app med rotrettigheter kan være i stand til å kjøre utilsiktet kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2022-32832: Tommy Muir (@Muirey03)
AppleAVD
Tilgjengelig for: macOS Monterey
Virkning: En ekstern bruker kan være i stand til å kjøre kjernekode
Beskrivelse: En bufferoverflyt ble løst gjennom forbedret grenseverdikontroll.
CVE-2022-32788: Natalie Silvanovich fra Google Project Zero
Oppføring lagt til 16. september 2022
AppleMobileFileIntegrity
Tilgjengelig for: macOS Monterey
Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon
Beskrivelse: Problemet ble løst ved å aktivere «hardened runtime».
CVE-2022-32880: Wojciech Reguła (@_r3ggi) fra SecuRing, Mickey Jin (@patch1t) fra Trend Micro, Csaba Fitzl (@theevilbit) fra Offensive Security
Oppføring lagt til 16. september 2022
AppleMobileFileIntegrity
Tilgjengelig for: macOS Monterey
Virkning: En app kan være i stand til å få rotrettigheter
Beskrivelse: Et problem med autorisering ble løst gjennom forbedret tilstandshåndtering.
CVE-2022-32826: Mickey Jin (@patch1t) fra Trend Micro
Apple Neural Engine
Tilgjengelig for: macOS Monterey
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: En heltallsoverskridelse ble løst med forbedret validering av inndata.
CVE-2022-42805: Mohamed Ghannam (@_simo36)
Oppføring lagt til 9. november 2022
Apple Neural Engine
Tilgjengelig for: macOS Monterey
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2022-32948: Mohamed Ghannam (@_simo36)
Oppføring lagt til 9. november 2022
Apple Neural Engine
Tilgjengelig for: macOS Monterey
Virkning: Et program kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2022-32810: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Tilgjengelig for: macOS Monterey
Virkning: Et program kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2022-32840: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Tilgjengelig for: macOS Monterey
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2022-32845: Mohamed Ghannam (@_simo36)
Oppføring oppdatert 9. november 2022
AppleScript
Tilgjengelig for: macOS Monterey
Virkning: Behandling av AppleScript kan føre til uventet programavslutning eller deling av behandlingsminne
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2022-48578: Mickey Jin (@patch1t)
Oppføring lagt til 31. oktober 2023
AppleScript
Tilgjengelig for: macOS Monterey
Virkning: Behandling av en skadelig AppleScript-binærfil kan føre til uventet programavslutning eller deling av behandlingsminne
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2022-32797: Mickey Jin (@patch1t), Ye Zhang (@co0py_Cat) fra Baidu Security, Mickey Jin (@patch1t) fra Trend Micro
AppleScript
Tilgjengelig for: macOS Monterey
Virkning: Behandling av en skadelig AppleScript-binærfil kan føre til uventet programavslutning eller deling av behandlingsminne
Beskrivelse: Et problem med lesing utenfor bufferen ble løst gjennom forbedret validering av inndata.
CVE-2022-32851: Ye Zhang (@co0py_Cat) fra Baidu Security
CVE-2022-32852: Ye Zhang (@co0py_Cat) fra Baidu Security
CVE-2022-32853: Ye Zhang (@co0py_Cat) fra Baidu Security
AppleScript
Tilgjengelig for: macOS Monterey
Virkning: Behandling av en skadelig AppleScript-binærfil kan føre til uventet programavslutning eller deling av behandlingsminne
Beskrivelse: Et problem med lesing utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.
CVE-2022-32831: Ye Zhang (@co0py_Cat) fra Baidu Security
Archive Utility
Tilgjengelig for: macOS Monterey
Virkning: Et arkiv kan være i stand til å omgå Gatekeeper
Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.
CVE-2022-32910: Ferdous Saljooki (@malwarezoo) fra Jamf Software
Oppføring lagt til 4. oktober 2022
Audio
Tilgjengelig for: macOS Monterey
Virkning: Et program kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.
CVE-2022-32820: en anonym forsker
Audio
Tilgjengelig for: macOS Monterey
Virkning: En app kan avsløre kjerneminne
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2022-32825: John Aakerblom (@jaakerblom)
Automation
Tilgjengelig for: macOS Monterey
Virkning: En app kan være i stand til å omgå personvernpreferanser
Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.
CVE-2022-32789: Zhipeng Huo (@R3dF09) fra Tencent Security Xuanwu Lab
Calendar
Tilgjengelig for: macOS Monterey
Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av buffere.
CVE-2022-32805: Csaba Fitzl (@theevilbit) fra Offensive Security
CoreMedia
Tilgjengelig for: macOS Monterey
Virkning: En app kan avsløre kjerneminne
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2022-32828: Antonio Zekic (@antoniozekic) og John Aakerblom (@jaakerblom)
CoreText
Tilgjengelig for: macOS Monterey
Virkning: En ekstern bruker kan forårsake uventet avslutning av en app eller utføring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.
CVE-2022-32839: Daniel Lim Wee Soong fra STAR Labs
Oppføring oppdatert 31. oktober 2023
File System Events
Tilgjengelig for: macOS Monterey
Virkning: En app kan være i stand til å få rotrettigheter
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2022-32819: Joshua Mason fra Mandiant
GPU Drivers
Tilgjengelig for: macOS Monterey
Virkning: En app kan avsløre kjerneminne
Beskrivelse: Flere problemer med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2022-32793: en anonym forsker
GPU Drivers
Tilgjengelig for: macOS Monterey
Virkning: Et program kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.
CVE-2022-32821: John Aakerblom (@jaakerblom)
iCloud Photo Library
Tilgjengelig for: macOS Monterey
Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon
Beskrivelse: Et problem med avdekking av informasjon ble løst gjennom fjerning av den sårbare koden.
CVE-2022-32849: Joshua Jones
ICU
Tilgjengelig for: macOS Monterey
Virkning: Behandling av skadelig nettinnhold kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2022-32787: Dohyun Lee (@l33d0hyun) fra SSD Secure Disclosure Labs & DNSLab, Korea Univ.
ImageIO
Tilgjengelig for: macOS Monterey
Virkning: Behandling av en skadelig tiff-fil kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.
CVE-2022-32897: Mickey Jin (@patch1t) fra Trend Micro
Oppføring lagt til 31. oktober 2023
ImageIO
Tilgjengelig for: macOS Monterey
Virkning: Behandling av en skadelig fil kan føre til utføring av vilkårlig kode
Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.
CVE-2022-32802: Ivan Fratric fra Google Project Zero, Mickey Jin (@patch1t)
Oppføring lagt til 16. september 2022
ImageIO
Tilgjengelig for: macOS Monterey
Virkning: Behandling av et skadelig bilde kan føre til at prosessminne avsløres
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2022-32841: hjy79425575
ImageIO
Tilgjengelig for: macOS Monterey
Virkning: Behandling av et bilde kan føre til tjenestenekt
Beskrivelse: En dereferanse for en nullpeker ble løst med forbedret validering.
CVE-2022-32785: Yiğit Can YILMAZ (@yilmazcanyigit)
Intel Graphics Driver
Tilgjengelig for: macOS Monterey
Virkning: Et program kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Et sårbarhetsproblem med skadet minne ble løst gjennom forbedret låsing.
CVE-2022-32811: ABC Research s.r.o
Intel Graphics Driver
Tilgjengelig for: macOS Monterey
Virkning: Et program kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2022-32812: Yinyi Wu (@3ndy1), ABC Research s.r.o.
JavaScriptCore
Tilgjengelig for: macOS Monterey
Virkning: Behandling av nettinnhold kan føre til kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.
WebKit Bugzilla: 241931
CVE-2022-48503: Dongzhuo Zhao i samarbeid med ADLab of Venustech og ZhaoHai fra Cyberpeace Tech Co., Ltd.
Oppføring lagt til 21. juni 2023
Kernel
Tilgjengelig for: macOS Monterey
Virkning: En app med rotrettigheter kan være i stand til å kjøre utilsiktet kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2022-32813: Xinru Chi fra Pangu Lab
CVE-2022-32815: Xinru Chi fra Pangu Lab
Kernel
Tilgjengelig for: macOS Monterey
Virkning: En app kan avsløre kjerneminne
Beskrivelse: Et problem med lesing utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.
CVE-2022-32817: Xinru Chi fra Pangu Lab
Kernel
Tilgjengelig for: macOS Monterey
Virkning: Et program kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2022-32829: Tingting Yin fra Tsinghua University og Min Zheng fra Ant Group
Oppføring oppdatert 16. september 2022
Liblouis
Tilgjengelig for: macOS Monterey
Virkning: En app kan forårsake uventet avslutning av en app eller kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2022-26981: Hexhive (hexhive.epfl.ch), NCNIPC fra Kina (nipc.org.cn)
libxml2
Tilgjengelig for: macOS Monterey
Virkning: En app kan kanskje lekke sensitiv brukerinformasjon
Beskrivelse: Et problem med initialisering av minne ble løst gjennom forbedret minnehåndtering.
CVE-2022-32823
Multi-Touch
Tilgjengelig for: macOS Monterey
Virkning: Et program kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret tilstandshåndtering.
CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)
PackageKit
Tilgjengelig for: macOS Monterey
Virkning: En app kan endre beskyttede deler av filsystemet
Beskrivelse: Et problem i håndteringen av miljøvariabler ble løst med forbedret validering.
CVE-2022-32786: Mickey Jin (@patch1t)
PackageKit
Tilgjengelig for: macOS Monterey
Virkning: En app kan endre beskyttede deler av filsystemet
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2022-32800: Mickey Jin (@patch1t)
PluginKit
Tilgjengelig for: macOS Monterey
Virkning: En app kan være i stand til å lese vilkårlige filer
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2022-32838: Mickey Jin (@patch1t) fra Trend Micro
PS Normalizer
Tilgjengelig for: macOS Monterey
Virkning: Behandling av en skadelig Postscript-fil kan føre til uventet appavslutning eller deling av behandlingsminne
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2022-32843: Kai Lu fra Zscaler's ThreatLabz
Safari
Tilgjengelig for: macOS Monterey
Virkning: Behandling av nettinnhold kan føre til avsløring av sensitive opplysninger
Beskrivelse: Et problem med fremtvinging ble løst gjennom forbedret tilstandshåndtering.
CVE-2022-46708: en anonym forsker
Oppføring lagt til 31. oktober 2023
SMB
Tilgjengelig for: macOS Monterey
Virkning: Et program kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret tilstandshåndtering.
CVE-2022-32796: Sreejith Krishnan R (@skr0x1C0)
SMB
Tilgjengelig for: macOS Monterey
Virkning: Et program kan være i stand til å få opphøyde rettigheter
Beskrivelse: Et problem med lesing utenfor bufferen ble løst gjennom forbedret validering av inndata.
CVE-2022-32842: Sreejith Krishnan R (@skr0x1C0)
SMB
Tilgjengelig for: macOS Monterey
Virkning: Et program kan være i stand til å få opphøyde rettigheter
Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.
CVE-2022-32798: Sreejith Krishnan R (@skr0x1C0)
SMB
Tilgjengelig for: macOS Monterey
Virkning: En bruker i en privilegert nettverksposisjon kan være i stand til å lekke sensitiv informasjon
Beskrivelse: Et problem med lesing utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.
CVE-2022-32799: Sreejith Krishnan R (@skr0x1c0)
SMB
Tilgjengelig for: macOS Monterey
Virkning: En app kan lekke sensitiv kjernetilstand
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2022-32818: Sreejith Krishnan R (@skr0x1C0)
Software Update
Tilgjengelig for: macOS Monterey
Virkning: En bruker i en privilegert nettverksposisjon kan spore en brukers aktivitet
Beskrivelse: Dette problemet ble løst ved å bruke HTTPS ved sending av informasjon over nettverket.
CVE-2022-32857: Jeffrey Paul (sneak.berlin)
Spindump
Tilgjengelig for: macOS Monterey
Virkning: En app kan være i stand til å overskrive vilkårlige filer
Beskrivelse: Problemet ble løst gjennom forbedret filhåndtering.
CVE-2022-32807: Zhipeng Huo (@R3dF09) fra Tencent Security Xuanwu Lab
Spotlight
Tilgjengelig for: macOS Monterey
Virkning: En app kan være i stand til å få rotrettigheter
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2022-32801: Joshua Mason (@josh@jhu.edu)
subversion
Tilgjengelig for: macOS Monterey
Virkning: Flere problemer i underversjon
Beskrivelse: Flere problemer ble løst ved å oppdatere underversjon.
CVE-2021-28544: Evgeny Kotkov, visualsvn.com
CVE-2022-24070: Evgeny Kotkov, visualsvn.com
CVE-2022-29046: Evgeny Kotkov, visualsvn.com
CVE-2022-29048: Evgeny Kotkov, visualsvn.com
TCC
Tilgjengelig for: macOS Monterey
Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon
Beskrivelse: Et tilgangsproblem ble løst med forbedringer av sandkassen.
CVE-2022-32834: Xuxiang Yang (@another1024) fra Tencent Security Xuanwu Lab (xlab.tencent.com), Gordon Long, Thijs Alkemade (@xnyhps) fra Computest Sector 7, Adam Chester fra TrustedSec, Yuebin Sun (@yuebinsun2020) fra Tencent Security Xuanwu Lab (xlab.tencent.com), Zhipeng Huo (@R3dF09) fra Tencent Security Xuanwu Lab (xlab.tencent.com)
Oppføring lagt til 16. september 2022, oppdatert 11. mai 2023
WebKit
Tilgjengelig for: macOS Monterey
Virkning: Et nettsted kan være i stand til å spore hvilke nettsteder en bruker har besøkt i modusen Privat nettlesing i Safari
Beskrivelse: Et problem med avdekking av informasjon ble løst gjennom fjerning av den sårbare koden.
WebKit Bugzilla: 239547
CVE-2022-32933: Binoy Chitale, masterstudent ved Stony Brook University, Nick Nikiforakis, førsteamanuensis ved Stony Brook University, Jason Polakis, førsteamanuensis ved University of Illinois i Chicago, Mir Masood Ali, doktorgradsstudent ved University of Illinois i Chicago, Chris Kanich, førsteamanuensis ved University of Illinois i Chicago, og Mohammad Ghasemisharif, doktorgradskandidat ved University of Illinois i Chicago.
Oppføring lagt til 31. oktober 2023
WebKit
Tilgjengelig for: macOS Monterey
Virkning: Behandling av skadelig nettinnhold kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.
WebKit Bugzilla: 241526
CVE-2022-32885: P1umer(@p1umer) og Q1IQ(@q1iqF)
Oppføring lagt til 11. mai 2023
WebKit
Tilgjengelig for: macOS Monterey
Virkning: En bruker kan spores gjennom IP-adressen sin
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
WebKit Bugzilla: 237296
CVE-2022-32861: Matthias Keller (m-keller.com)
Oppføring lagt til 16. september 2022 og oppdatert 31. oktober 2023
WebKit
Tilgjengelig for: macOS Monterey
Virkning: Behandling av skadelig nettinnhold kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret tilstandshåndtering.
CVE-2022-32863: P1umer(@p1umer), afang(@afang5472) og xmzyshypnc(@xmzyshypnc1)
Oppføring lagt til 16. september 2022 og oppdatert 31. oktober 2023
WebKit
Tilgjengelig for: macOS Monterey
Virkning: Besøk på et nettsted som skjuler skadelig innhold, kan føre til UI-forfalskning
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av grensesnittet.
WebKit Bugzilla: 239316
CVE-2022-32816: Dohyun Lee (@l33d0hyun) fra SSD Secure Disclosure Labs & DNSLab, Korea Univ.
WebKit
Tilgjengelig for: macOS Monterey
Virkning: Behandling av skadelig nettinnhold kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.
WebKit Bugzilla: 240720
CVE-2022-32792: Manfred Paul (@_manfp) i samarbeid med Trend Micro Zero Day Initiative
WebRTC
Tilgjengelig for: macOS Monterey
Virkning: Behandling av skadelig nettinnhold kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret tilstandshåndtering.
WebKit Bugzilla: 242339
CVE-2022-2294: Jan Vojtesek fra Avast Threat Intelligence team
Wi-Fi
Tilgjengelig for: macOS Monterey
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2022-32860: Wang Yu fra Cyberserval
Oppføring lagt til 9. november 2022
Wi-Fi
Tilgjengelig for: macOS Monterey
Virkning: Et program kan forårsake uventet systemavslutning eller skrive til kjerneminnet
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2022-32837: Wang Yu fra Cyberserval
Wi-Fi
Tilgjengelig for: macOS Monterey
Virkning: En ekstern bruker kan forårsake uventet systemavslutning eller skadet kjerneminne
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2022-32847: Wang Yu fra Cyberserval
Windows Server
Tilgjengelig for: macOS Monterey
Virkning: En app kan være i stand til å ta bilde av en brukers skjerm
Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.
CVE-2022-32848: Jeremy Legendre fra MacEnhance
Ytterligere anerkjennelser
802.1X
Vi vil gjerne takke Shin Sun fra National Taiwan University for hjelpen.
AppleMobileFileIntegrity
Vi vil gjerne takke Csaba Fitzl (@theevilbit) fra Offensive Security, Mickey Jin (@patch1t) fra Trend Micro og Wojciech Reguła (@_r3ggi) fra SecuRing for hjelpen.
Calendar
Vi vil gjerne takke Joshua Jones for hjelpen.
configd
Vi vil gjerne takke Csaba Fitzl (@theevilbit) fra Offensive Security, Mickey Jin (@patch1t) fra Trend Micro og Wojciech Reguła (@_r3ggi) fra SecuRing for hjelpen.
DiskArbitration
Vi vil gjerne takke Raymond Rehayem fra Library Industries og Mike Cush for hjelpen.
Oppføring oppdatert 29. mai 2024