Zawartość związana z zabezpieczeniami w systemie macOS Monterey 12.4

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie macOS Monterey 12.4.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

macOS Monterey 12.4

AMD

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.

CVE-2022-26772: anonimowy badacz

AMD

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

CVE-2022-26741: ABC Research s.r.o

CVE-2022-26742: ABC Research s.r.o

CVE-2022-26749: ABC Research s.r.o

CVE-2022-26750: ABC Research s.r.o

CVE-2022-26752: ABC Research s.r.o

CVE-2022-26753: ABC Research s.r.o

CVE-2022-26754: ABC Research s.r.o

apache

Dostępne dla: systemu macOS Monterey

Zagrożenie: liczne błędy na serwerze Apache

Opis: naprawiono liczne błędy przez uaktualnienie serwera Apache do wersji 2.4.53.

CVE-2021-44224

CVE-2021-44790

CVE-2022-22719

CVE-2022-22720

CVE-2022-22721

AppleGraphicsControl

Dostępne dla: systemu macOS Monterey

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2022-26751: Michael DePlante (@izobashi) z programu Zero Day Initiative firmy Trend Micro

AppleMobileFileIntegrity

Dostępne dla: systemu macOS Monterey

Zagrożenie: użytkownik może wyświetlić poufne informacje użytkownika.

Opis: naprawiono błąd w obsłudze zmiennych środowiskowych poprzez poprawienie weryfikacji.

CVE-2022-26707: Wojciech Reguła (@_r3ggi) z SecuRing

AppleScript

Dostępne dla: systemu macOS Monterey

Zagrożenie: przetworzenie złośliwie spreparowanego pliku binarnego AppleScript może spowodować nieoczekiwane zakończenie aplikacji lub ujawnienie pamięci procesowej.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2022-26697: Qi Sun i Robert Ai z Trend Micro

AppleScript

Dostępne dla: systemu macOS Monterey

Zagrożenie: przetworzenie złośliwie spreparowanego pliku binarnego AppleScript może spowodować nieoczekiwane zakończenie aplikacji lub ujawnienie pamięci procesowej.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2022-26698: Qi Sun z Trend Micro, Ye Zhang (@co0py_Cat) z Baidu Security

AVEVideoEncoder

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: usunięto błąd zapisu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2022-26736: anonimowy badacz

CVE-2022-26737: anonimowy badacz

CVE-2022-26738: anonimowy badacz

CVE-2022-26739: anonimowy badacz

CVE-2022-26740: anonimowy badacz

Bluetooth

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może uzyskać nieautoryzowany dostęp do Bluetooth.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2022-32783: Jon Thompson z Evolve (Des Moines, IA)

Contacts

Dostępne dla: systemu macOS Monterey

Wpływ: wtyczka może być w stanie dziedziczyć uprawnienia aplikacji i uzyskiwać dostęp do danych użytkownika.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2022-26694: Wojciech Reguła (@_r3ggi) z SecuRing

CVMS

Dostępne dla: systemu macOS Monterey

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie uzyskać uprawnienia użytkownika root.

Opis: rozwiązano problem z inicjalizacją pamięci.

CVE-2022-26721: Yonghwi Jin (@jinmo123) z Theori

CVE-2022-26722: Yonghwi Jin (@jinmo123) z Theori

DriverKit

Dostępne dla: systemu macOS Monterey

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: usunięto błąd dostępu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2022-26763: Linus Henze z Pinauten GmbH (pinauten.de)

FaceTime

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja z uprawnieniami administratora może uzyskać dostęp do prywatnych informacji.

Opis: ten problem naprawiono przez włączenie wzmocnionego środowiska wykonawczego.

CVE-2022-32781: Wojciech Reguła (@_r3ggi) z SecuRing

ImageIO

Dostępne dla: systemu macOS Monterey

Zagrożenie: osoba atakująca zdalnie może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: naprawiono błąd przekroczenia zakresu liczb całkowitych przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2022-26711: actae0n z Blacksun Hackers Club w ramach programu Zero Day Initiative firmy Trend Micro

ImageIO

Dostępne dla: systemu macOS Monterey

Zagrożenie: informacja dotycząca lokalizacji zdjęcia może zostać zachowana po jej usunięciu za pomocą inspektora aplikacji Podgląd.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2022-26725: Andrew Williams i Avi Drissman z Google

Intel Graphics Driver

Dostępne dla: systemu macOS Monterey

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2022-26720: Liu Long z Ant Security Light-Year Lab

Intel Graphics Driver

Dostępne dla: systemu macOS Monterey

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2022-26769: Antonio Zekic (@antoniozekic)

Intel Graphics Driver

Dostępne dla: systemu macOS Monterey

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2022-26770: Liu Long z Ant Security Light-Year Lab

Intel Graphics Driver

Dostępne dla: systemu macOS Monterey

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2022-26748: Jeonghoon Shin z Theori w ramach programu Zero Day Initiative firmy Trend Micro

Intel Graphics Driver

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2022-26756: Jack Dates z RET2 Systems, Inc

IOKit

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: usunięto sytuację wyścigu przez poprawienie mechanizmu blokowania.

CVE-2022-26701: chenyuwang (@mzzzz__) z Tencent Security Xuanwu Lab

IOMobileFrameBuffer

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.

CVE-2022-26768: anonimowy badacz

Kernel

Dostępne dla: systemu macOS Monterey

Zagrożenie: złośliwie spreparowana aplikacja może spowodować nieoczekiwane zmiany w pamięci współdzielonej między kolejnymi procesami.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.

CVE-2022-26758: anonimowy badacz

Kernel

Dostępne dla: systemu macOS Monterey

Zagrożenie: osoba atakująca, która ma już możliwość wykonywania kodu w trybie odzyskiwania systemu macOS, może być w stanie uzyskać uprawnienia jądra.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2022-26743: Jordy Zomer (@pwningsystems)

Kernel

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie sprawdzania poprawności.

CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) z STAR Labs (@starlabs_sg)

Kernel

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2022-26757: Ned Williamson z Google Project Zero

Kernel

Dostępne dla: systemu macOS Monterey

Zagrożenie: osoba atakująca, która zaimplementowała już wykonywanie kodu jądra, może być w stanie ominąć środki ograniczające pamięć jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie sprawdzania poprawności.

CVE-2022-26764: Linus Henze z Pinauten GmbH (pinauten.de)

Kernel

Dostępne dla: systemu macOS Monterey

Zagrożenie: złośliwy atakujący mający możliwość dowolnego odczytu i zapisu może być w stanie ominąć identyfikację wskaźnika (Pointer Authentication).

Opis: usunięto sytuację wyścigu przez poprawienie obsługi stanu.

CVE-2022-26765: Linus Henze z Pinauten GmbH (pinauten.de)

LaunchServices

Dostępne dla: systemu macOS Monterey

Zagrożenie: proces działający w piaskownicy może być w stanie obejść ograniczenia piaskownicy.

Opis: naprawiono błąd dostępu przez wprowadzenie dodatkowych ograniczeń piaskownicy w aplikacjach innych firm.

CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or z Microsoft

LaunchServices

Dostępne dla: systemu macOS Monterey

Zagrożenie: złośliwa aplikacja może obejść preferencje prywatności.

Opis: błąd naprawiono przez wprowadzenie dodatkowych procedur sprawdzania uprawnień.

CVE-2022-26767: Wojciech Reguła (@_r3ggi) z SecuRing

Libinfo

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie pominąć ustawienia prywatności.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2022-32882: Zhipeng Huo (@R3dF09) i Yuebin Sun (@yuebinsun2020) z Tencent Security Xuanwu Lab

libresolv

Dostępne dla: systemu macOS Monterey

Zagrożenie: zdalny użytkownik może doprowadzić do ataku typu „odmowa usługi”

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2022-32790: Max Shavrick (@_mxms) z Google Security Team

libresolv

Dostępne dla: systemu macOS Monterey

Zagrożenie: atakujący może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2022-26776: Zubair Ashraf of Crowdstrike, Max Shavrick (@_mxms) z Google Security Team

CVE-2022-26708: Max Shavrick (@_mxms) z Google Security Team

libresolv

Dostępne dla: systemu macOS Monterey

Zagrożenie: atakujący może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: naprawiono błąd przekroczenia zakresu liczb całkowitych przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2022-26775: Max Shavrick (@_mxms) z Google Security Team

LibreSSL

Dostępne dla: systemu macOS Monterey

Zagrożenie: przetworzenie złośliwie spreparowanego certyfikatu mogło doprowadzić do ataku typu „odmowa usługi”.

Opis: rozwiązano problem z podatnością na atak typu „odmowa usługi” przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2022-0778

libxml2

Dostępne dla: systemu macOS Monterey

Zagrożenie: osoba atakująca zdalnie może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2022-23308

Login Window

Dostępne dla: systemu macOS Monterey

Zagrożenie: osoba z dostępem do komputera Mac może być w stanie ominąć okno logowania.

Opis: naprawiono błąd spójności przez poprawienie zarządzania stanem.

CVE-2022-48575: Paul Walker z Bury i Nathaniel Ekoniak z Ennate Technologies

OpenSSL

Dostępne dla: systemu macOS Monterey

Zagrożenie: przetworzenie złośliwie spreparowanego certyfikatu mogło doprowadzić do ataku typu „odmowa usługi”.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2022-0778

PackageKit

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2022-32794: Mickey Jin (@patch1t)

Oprogramowanie PackageKit

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2022-22617: Mickey Jin (@patch1t)

Oprogramowanie PackageKit

Dostępne dla: systemu macOS Monterey

Zagrożenie: złośliwa aplikacja może być w stanie zmodyfikować chronione części systemu plików.

Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2022-26712: Mickey Jin (@patch1t)

Oprogramowanie PackageKit

Dostępne dla: systemu macOS Monterey

Zagrożenie: złośliwa aplikacja może być w stanie zmodyfikować chronione części systemu plików.

Opis: ten błąd naprawiono przez poprawienie mechanizmu obsługi uprawnień.

CVE-2022-26727: Mickey Jin (@patch1t)

Photo Booth

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja z uprawnieniami administratora może uzyskać dostęp do prywatnych informacji.

Opis: ten problem naprawiono przez włączenie wzmocnionego środowiska wykonawczego.

CVE-2022-32782: Wojciech Reguła (@_r3ggi) z SecuRing

Podgląd

Dostępne dla: systemu macOS Monterey

Wpływ: wtyczka może być w stanie dziedziczyć uprawnienia aplikacji i uzyskiwać dostęp do danych użytkownika.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2022-26693: Wojciech Reguła (@_r3ggi) z SecuRing

Drukowanie

Dostępne dla: systemu macOS Monterey

Zagrożenie: złośliwa aplikacja może obejść preferencje prywatności.

Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2022-26746: @gorelics

Safari Private Browsing

Dostępne dla: systemu macOS Monterey

Zagrożenie: złośliwie spreparowana witryna może śledzić użytkowników, gdy w przeglądarce Safari jest włączony tryb przeglądania prywatnego.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2022-26731: anonimowy badacz

Security

Dostępne dla: systemu macOS Monterey

Zagrożenie: złośliwa aplikacja może obejść sprawdzanie poprawności podpisu.

Opis: naprawiono błąd analizy certyfikatu przez poprawienie procedur sprawdzania.

CVE-2022-26766: Linus Henze z Pinauten GmbH (pinauten.de)

SMB

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.

Opis: usunięto błąd zapisu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2022-26715: Peter Nguyen Vu Hoang ze STAR Labs

SMB

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2022-26718: Peter Nguyen Vu Hoang ze STAR Labs

SMB

Dostępne dla: systemu macOS Monterey

Zagrożenie: zamontowanie złośliwie spreparowanego udziału sieciowego Samba może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2022-26723: Felix Poulin-Belanger

SoftwareUpdate

Dostępne dla: systemu macOS Monterey

Zagrożenie: złośliwa aplikacja może uzyskać dostęp do plików objętych ograniczeniami.

Opis: ten błąd naprawiono przez poprawienie mechanizmu obsługi uprawnień.

CVE-2022-26728: Mickey Jin (@patch1t)

Funkcja Spotlight

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.

Opis: poprawiono mechanizm sprawdzania poprawności łączy symbolicznych w celu naprawienia błędu sprawdzania poprawności w obsłudze łączy symbolicznych.

CVE-2022-26704: Gergely Kalman (@gergely_kalman) i Joshua Mason z Mandiant

System Preferences

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie tworzyć łącza symboliczne do chronionych obszarów dysku.

Opis: ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności łączy symbolicznych.

CVE-2022-42857: Mickey Jin (@patch1t)

TCC

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie przechwycić ekran użytkownika.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2022-26726: Antonio Cheong Yu Xuan z YCISCQ

Tcl

Dostępne dla: systemu macOS Monterey

Zagrożenie: złośliwa aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: ten błąd naprawiono przez poprawienie procedury oczyszczania środowiska.

CVE-2022-26755: Arsenii Kostromin (0x3c3e)

Terminal

Dostępne dla: systemu macOS Monterey

Zagrożenie: proces działający w piaskownicy może być w stanie obejść ograniczenia piaskownicy.

Opis: ten błąd naprawiono przez poprawienie procedury oczyszczania środowiska.

CVE-2022-26696: Ron Waisberg, anonimowy badacz, Wojciech Reguła (@_r3ggi) z SecuRing i Ron Hass (@ronhass7) z Perception Point

WebKit

Dostępne dla: systemu macOS Monterey

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.

CVE-2022-26700: ryuzaki

WebKit

Dostępne dla: systemu macOS Monterey

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2022-26709: Chijin Zhou z ShuiMuYuLin Ltd i Tsinghua wingtecher lab

CVE-2022-26710: Chijin Zhou z ShuiMuYuLin Ltd i Tsinghua wingtecher lab

CVE-2022-26717: Jeonghoon Shin z Theori

WebKit

Dostępne dla: systemu macOS Monterey

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.

CVE-2022-26716: SorryMybad (@S0rryMybad) z Kunlun Lab

CVE-2022-26719: Dongzhuo Zhao we współpracy z ADLab of Venustech

WebRTC

Dostępne dla: systemu macOS Monterey

Zagrożenie: autopodgląd wideo w połączeniu webRTC może zostać przerwany, jeśli użytkownik odbierze połączenie telefoniczne.

Opis: poprawiono mechanizm obsługi stanu w celu naprawienia błędu logicznego w obsłudze nośników współbieżnych.

CVE-2022-22677: anonimowy badacz

Wi-Fi

Dostępne dla: systemu macOS Monterey

Zagrożenie: złośliwa aplikacja może ujawnić zastrzeżoną pamięć.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie sprawdzania poprawności.

CVE-2022-26745: Scarlet Raine

Wi-Fi

Dostępne dla: systemu macOS Monterey

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2022-26761: Wang Yu z Cyberserval

Wi-Fi

Dostępne dla: systemu macOS Monterey

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2022-26762: Wang Yu z Cyberserval

zip

Dostępne dla: systemu macOS Monterey

Zagrożenie: przetworzenie złośliwie spreparowanego pliku mogło doprowadzić do ataku typu „odmowa usługi”.

Opis: naprawiono błąd podatności na atak typu „odmowa usługi” przez poprawienie procedury obsługi pamięci.

CVE-2022-0530

zlib

Dostępne dla: systemu macOS Monterey

Zagrożenie: atakujący może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2018-25032: Tavis Ormandy

zsh

Dostępne dla: systemu macOS Monterey

Zagrożenie: osoba atakująca zdalnie może spowodować wykonanie dowolnego kodu.

Opis: ten problem rozwiązano przez uaktualnienie do wersji zsh 5.8.1.

CVE-2021-45444

Dodatkowe podziękowania

AppleMobileFileIntegrity

Dziękujemy za udzieloną pomoc: Wojciech Reguła (@_r3ggi) z SecuRing.

Bluetooth

Dziękujemy Jannowi Hornowi z Project Zero za udzieloną pomoc.

Kalendarz

Dziękujemy za udzieloną pomoc: Eugene Lim z Government Technology Agency of Singapore.

FaceTime

Dziękujemy za udzieloną pomoc: Wojciech Reguła (@_r3ggi) z SecuRing.

FileVault

Dziękujemy za udzieloną pomoc: Benjamin Adolphi z Promon Germany GmbH.

Login Window

Dziękujemy za udzieloną pomoc: Csaba Fitzl (@theevilbit) z Offensive Security.

Photo Booth

Dziękujemy za udzieloną pomoc: Wojciech Reguła (@_r3ggi) z SecuRing.

System Preferences

Dziękujemy za udzieloną pomoc: Mohammad Tausif Siddiqui (@toshsiddiqui), Victor Grinchik (grinchik.com), anonimowy badacz.

WebKit

Dziękujemy za udzieloną pomoc: James Lee, anonimowy badacz.

Wi-Fi

Dziękujemy za udzieloną pomoc: Dana Morrison.