Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
macOS Monterey 12.6
Utgitt 12. september 2022
AppleMobileFileIntegrity
Tilgjengelig for: macOS Monterey
Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon
Beskrivelse: Et problem med validering av kodesignaturer ble løst gjennom bedre kontroller.
CVE-2022-42789: Koh M. Nakagawa fra FFRI Security, Inc.
Oppføring lagt til 27. oktober 2022
ATS
Tilgjengelig for: macOS Monterey
Virkning: En app kan være i stand til å omgå personvernpreferanser
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2022-32902: Mickey Jin (@patch1t)
Oppføring lagt til 27. oktober 2022
ATS
Tilgjengelig for: macOS Monterey
Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon
Beskrivelse: Et problem med tilgang ble løst gjennom ekstra sandkasserestriksjoner.
CVE-2022-32904: Mickey Jin (@patch1t)
Oppføring lagt til 27. oktober 2022
ATS
Tilgjengelig for: macOS Monterey
Virkning: En app kan være i stand til å omgå personvernpreferanser
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2022-32902: Mickey Jin (@patch1t)
Calendar
Tilgjengelig for: macOS Monterey
Virkning: En app kan få tilgang til sensitiv stedsinformasjon
Beskrivelse: Et problem med tilgang ble løst med forbedrede tilgangsrestriksjoner.
CVE-2022-42819: en anonym forsker
Oppføring lagt til 27. oktober 2022
GarageBand
Tilgjengelig for: macOS Monterey
Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon
Beskrivelse: Et konfigurasjonsproblem ble løst gjennom ekstra restriksjoner.
CVE-2022-32877: Wojciech Reguła (@_r3ggi) fra SecuRing
Oppføring lagt til 27. oktober 2022
ImageIO
Tilgjengelig for: macOS Monterey
Virkning: Behandling av et bilde kan føre til tjenestenekt
Beskrivelse: Et problem med tjenestenekt ble løst gjennom forbedret validering.
CVE-2022-1622
Oppføring lagt til 27. oktober 2022
Image Processing
Tilgjengelig for: macOS Monterey
Virkning: En sandkasseapp kan være i stand til å finne ut hvilken app som bruker kameraet for øyeblikket
Beskrivelse: Problemet ble løst gjennom tilleggsbegrensninger for observerbarheten av apptilstander.
CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)
Oppføring lagt til 27. oktober 2022
iMovie
Tilgjengelig for: macOS Monterey
Virkning: En bruker kan få tilgang til sensitiv brukerinformasjon
Beskrivelse: Problemet ble løst ved å aktivere «hardened runtime».
CVE-2022-32896: Wojciech Reguła (@_r3ggi)
Kernel
Tilgjengelig for: macOS Monterey
Virkning: Tilkobling til en skadelig NFS-server kan føre til utilsiktet kjøring av kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.
CVE-2022-46701: Felix Poulin-Belanger
Oppføring lagt til 11. mai 2023
Kernel
Tilgjengelig for: macOS Monterey
Virkning: En app kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2022-32914: Zweig fra Kunlun Lab
Oppføring lagt til 27. oktober 2022
Kernel
Tilgjengelig for: macOS Monterey
Virkning: En app kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2022-32911: Zweig fra Kunlun Lab
CVE-2022-32866: Linus Henze fra Pinauten GmbH (pinauten.de)
CVE-2022-32924: Ian Beer fra Google Project Zero
Oppføring oppdatert 27. oktober 2022
Kernel
Tilgjengelig for: macOS Monterey
Virkning: En app kan avsløre kjerneminne
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2022-32864: Linus Henze fra Pinauten GmbH (pinauten.de)
Kernel
Tilgjengelig for: macOS Monterey
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter. Apple kjenner til en rapport om at dette problemet kan ha blitt utnyttet aktivt.
Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.
CVE-2022-32917: en anonym forsker
Maps
Tilgjengelig for: macOS Monterey
Virkning: En app kan få tilgang til sensitiv stedsinformasjon
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2022-32883: Ron Masas fra breakpointhq.com
Oppføring oppdatert 27. oktober 2022
MediaLibrary
Tilgjengelig for: macOS Monterey
Virkning: En bruker kan være i stand til å utvide rettigheter
Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret validering av inndata.
CVE-2022-32908: en anonym forsker
ncurses
Tilgjengelig for: macOS Monterey
Virkning: En bruker kan forårsake uventet appavslutning eller kjøring av vilkårlig kode
Beskrivelse: En bufferoverflyt ble løst gjennom forbedret grenseverdikontroll.
CVE-2021-39537
Oppføring lagt til 27. oktober 2022
Notes
Tilgjengelig for: macOS Monterey
Virkning: En bruker i en privilegert nettverksposisjon kan være i stand til å spore brukeraktivitet
Beskrivelse: Problemet ble løst med forbedret databeskyttelse.
CVE-2022-42818: Gustav Hansen fra WithSecure
Oppføring lagt til 22. desember 2022
PackageKit
Tilgjengelig for: macOS Monterey
Virkning: Et program kan være i stand til å få opphøyde rettigheter
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2022-32900: Mickey Jin (@patch1t)
Sandbox
Tilgjengelig for: macOS Monterey
Virkning: En app kan endre beskyttede deler av filsystemet
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2022-32881: Csaba Fitzl (@theevilbit) fra Offensive Security
Oppføring lagt til 27. oktober 2022
Security
Tilgjengelig for: macOS Monterey
Virkning: En app kan være i stand til å omgå kode-signeringskontroller
Beskrivelse: Et problem med validering av kodesignaturer ble løst gjennom bedre kontroller.
CVE-2022-42793: Linus Henze fra Pinauten GmbH (pinauten.de)
Oppføring lagt til 27. oktober 2022
Sidecar
Tilgjengelig for: macOS Monterey
Virkning: En bruker kan se begrenset innhold på låst skjerm
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2022-42790: Om kothawade fra Zaprico Digital
Oppføring lagt til 27. oktober 2022
SMB
Tilgjengelig for: macOS Monterey
Virkning: En ekstern bruker kan være i stand til å kjøre kjernekode
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2022-32934: Felix Poulin-Belanger
Oppføring lagt til 27. oktober 2022
Vim
Tilgjengelig for: macOS Monterey
Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning eller kjøring av vilkårlig kode
Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.
CVE-2022-0261
CVE-2022-0318
CVE-2022-0319
CVE-2022-0351
CVE-2022-0359
CVE-2022-0361
CVE-2022-0368
CVE-2022-0392
Oppføring lagt til 27. oktober 2022
Vim
Tilgjengelig for: macOS Monterey
Virkning: Behandling av en skadelig fil kan føre til tjenestenekt eller potensiell avsløring av minneinnhold
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2022-1720
CVE-2022-2000
CVE-2022-2042
CVE-2022-2124
CVE-2022-2125
CVE-2022-2126
Oppføring lagt til 27. oktober 2022
Weather
Tilgjengelig for: macOS Monterey
Virkning: En app kan få tilgang til sensitiv stedsinformasjon
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2022-32875: en anonym forsker
Oppføring lagt til 27. oktober 2022
WebKit
Tilgjengelig for: macOS Monterey
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.
WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)
Oppføring lagt til 27. oktober 2022
Ytterligere anerkjennelser
apache
Vi vil gjerne takke Tricia Lee fra Enterprise Service Center for hjelpen.
Oppføring lagt til 11. mai 2023
Identity Services
Vi vil gjerne takke Joshua Jones for hjelpen.