Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
Para obter mais informações sobre segurança, consulte a página sobre segurança de produtos Apple.
macOS Monterey 12.4
Lançado em 16 de maio de 2022
AMD
Disponível para: macOS Monterey
Impacto: um aplicativo pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2022-26772: pesquisador anônimo
AMD
Disponível para: macOS Monterey
Impacto: um aplicativo pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: um problema de estouro de buffer foi resolvido por meio de melhorias no processamento da memória.
CVE-2022-26741: ABC Research s.r.o
CVE-2022-26742: ABC Research s.r.o
CVE-2022-26749: ABC Research s.r.o
CVE-2022-26750: ABC Research s.r.o
CVE-2022-26752: ABC Research s.r.o
CVE-2022-26753: ABC Research s.r.o
CVE-2022-26754: ABC Research s.r.o
apache
Disponível para: macOS Monterey
Impacto: vários problemas no apache
Descrição: vários problemas foram resolvidos com a atualização do Apache para a versão 2.4.53.
CVE-2021-44224
CVE-2021-44790
CVE-2022-22719
CVE-2022-22720
CVE-2022-22721
AppleGraphicsControl
Disponível para: macOS Monterey
Impacto: processar uma imagem criada com códigos maliciosos pode levar à execução arbitrária de códigos
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
CVE-2022-26751: Michael DePlante (@izobashi) da Zero Day Initiative da Trend Micro
AppleMobileFileIntegrity
Disponível para: macOS Monterey
Impacto: um usuário pode conseguir visualizar informações confidenciais de outro usuário
Descrição: um problema na análise de variáveis do ambiente foi resolvido por meio de melhorias na validação.
CVE-2022-26707: Wojciech Reguła (@_r3ggi) da SecuRing
Entrada adicionada em 6 de julho de 2022
AppleScript
Disponível para: macOS Monterey
Impacto: o processamento de um binário AppleScript criado com códigos maliciosos pode resultar no encerramento inesperado de aplicativos ou na divulgação da memória do processo
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2022-26697: Qi Sun e Robert Ai da Trend Micro
AppleScript
Disponível para: macOS Monterey
Impacto: o processamento de um binário AppleScript criado com códigos maliciosos pode resultar no encerramento inesperado de aplicativos ou na divulgação da memória do processo
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na verificação de limites.
CVE-2022-26698: Qi Sun da Trend Micro, Ye Zhang (@co0py_Cat) da Baidu Security
Entrada atualizada em 6 de julho de 2022
AVEVideoEncoder
Disponível para: macOS Monterey
Impacto: um aplicativo pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: um problema de gravação fora dos limites foi resolvido por meio de melhorias na verificação de limites.
CVE-2022-26736: pesquisador anônimo
CVE-2022-26737: pesquisador anônimo
CVE-2022-26738: pesquisador anônimo
CVE-2022-26739: pesquisador anônimo
CVE-2022-26740: pesquisador anônimo
Bluetooth
Disponível para: macOS Monterey
Impacto: um app pode obter acesso não autorizado ao Bluetooth
Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.
CVE-2022-32783: Jon Thompson da Evolve (Des Moines, IA)
Entrada adicionada em 6 de julho de 2022
Contacts
Disponível para: macOS Monterey
Impacto: um plug-in pode herdar as permissões e os dados de acesso do usuário do app
Descrição: esse problema foi resolvido por meio de melhorias nas verificações.
CVE-2022-26694: Wojciech Reguła (@_r3ggi) da SecuRing
CVMS
Disponível para: macOS Monterey
Impacto: um aplicativo malicioso pode obter privilégios raiz
Descrição: um problema na inicialização da memória foi resolvido.
CVE-2022-26721: Yonghwi Jin (@jinmo123) da Theori
CVE-2022-26722: Yonghwi Jin (@jinmo123) da Theori
DriverKit
Disponível para: macOS Monterey
Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de sistema
Descrição: um problema de acesso fora dos limites foi resolvido por meio de melhorias na verificação de limites.
CVE-2022-26763: Linus Henze da Pinauten GmbH (pinauten.de)
FaceTime
Disponível para: macOS Monterey
Impacto: um app com privilégios raiz pode conseguir acessar informações privadas
Descrição: este problema foi resolvido com a ativação do recurso Hardened Runtime.
CVE-2022-32781: Wojciech Reguła (@_r3ggi) da SecuRing
Entrada adicionada em 6 de julho de 2022
ImageIO
Disponível para: macOS Monterey
Impacto: um invasor remoto pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: um problema de estouro de inteiro foi resolvido por meio de melhorias na validação de entradas.
CVE-2022-26711: actae0n do Blacksun Hackers Club em parceria com a Zero Day Initiative da Trend Micro
ImageIO
Disponível para: macOS Monterey
Impacto: as informações de localização de fotos podem persistir após serem removidas com o Inspetor da Pré-Visualização
Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2022-26725: Andrew Williams e Avi Drissman do Google
Intel Graphics Driver
Disponível para: macOS Monterey
Impacto: um aplicativo malicioso pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: um problema de gravação fora dos limites foi resolvido por meio de melhorias na verificação de limites.
CVE-2022-26720: Liu Long do Ant Security Light-Year Lab
Intel Graphics Driver
Disponível para: macOS Monterey
Impacto: um aplicativo malicioso pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
CVE-2022-26769: Antonio Zekic (@antoniozekic)
Intel Graphics Driver
Disponível para: macOS Monterey
Impacto: um aplicativo malicioso pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2022-26770: Liu Long do Ant Security Light-Year Lab
Intel Graphics Driver
Disponível para: macOS Monterey
Impacto: processar conteúdo da web criado com códigos maliciosos pode levar à execução arbitrária de códigos
Descrição: um problema de gravação fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2022-26748: Jeonghoon Shin da Theori em parceria com a Zero Day Initiative da Trend Micro
Intel Graphics Driver
Disponível para: macOS Monterey
Impacto: um aplicativo pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: um problema de gravação fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2022-26756: Jack Dates da RET2 Systems, Inc
IOKit
Disponível para: macOS Monterey
Impacto: um aplicativo pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: uma condição de corrida foi resolvida por meio de melhorias no bloqueio.
CVE-2022-26701: chenyuwang (@mzzzz__) do Tencent Security Xuanwu Lab
IOMobileFrameBuffer
Disponível para: macOS Monterey
Impacto: um aplicativo pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2022-26768: pesquisador anônimo
Kernel
Disponível para: macOS Monterey
Impacto: um aplicativo malicioso poderia provocar mudanças inesperadas na memória compartilhada entre processos
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2022-26758: um pesquisador anônimo
Entrada adicionada em 31 de outubro de 2023
Kernel
Disponível para: macOS Monterey
Impacto: um invasor que já conseguiu a execução do código na Recuperação do macOS pode obter acesso a privilégios do kernel
Descrição: um problema de gravação fora dos limites foi resolvido por meio de melhorias na verificação de limites.
CVE-2022-26743: Jordy Zomer (@pwningsystems)
Kernel
Disponível para: macOS Monterey
Impacto: um aplicativo pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação.
CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) da STAR Labs (@starlabs_sg)
Kernel
Disponível para: macOS Monterey
Impacto: um aplicativo pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-2022-26757: Ned Williamson do Google Project Zero
Kernel
Disponível para: macOS Monterey
Impacto: um invasor que já conseguiu a execução do código do kernel pode ignorar as reduções da memória do kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação.
CVE-2022-26764: Linus Henze da Pinauten GmbH (pinauten.de)
Kernel
Disponível para: macOS Monterey
Impacto: um invasor mal-intencionado com capacidade de leitura e gravação arbitrária pode ignorar a autenticação de ponteiro
Descrição: uma condição de corrida foi resolvida por meio de melhorias no gerenciamento de estados.
CVE-2022-26765: Linus Henze da Pinauten GmbH (pinauten.de)
LaunchServices
Disponível para: macOS Monterey
Impacto: um processo em área restrita pode contornar restrições dessa área
Descrição: um problema de acesso foi resolvido por meio de outras restrições da área restrita em aplicativos de terceiros.
CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or da Microsoft
Entrada atualizada em 6 de julho de 2022
LaunchServices
Disponível para: macOS Monterey
Impacto: um aplicativo malicioso pode conseguir ignorar as preferências de privacidade
Descrição: o problema foi resolvido com mais verificações de permissão.
CVE-2022-26767: Wojciech Reguła (@_r3ggi) da SecuRing
Libinfo
Disponível para: macOS Monterey
Impacto: um app pode conseguir ignorar as preferências de Privacidade
Descrição: este problema foi resolvido por meio de melhorias nas verificações.
CVE-2022-32882: Zhipeng Huo (@R3dF09) e Yuebin Sun (@yuebinsun2020) do Tencent Security Xuanwu Lab
Entrada adicionada em 16 de setembro de 2022
libresolv
Disponível para: macOS Monterey
Impacto: um usuário remoto podia causar uma negação de serviço
Descrição: esse problema foi resolvido por meio de melhorias nas verificações.
CVE-2022-32790: Max Shavrick (@_mxms) da Google Security Team
Entrada adicionada em 21 de junho de 2022
libresolv
Disponível para: macOS Monterey
Impacto: um invasor pode causar o encerramento inesperado de aplicativos ou a execução de códigos arbitrários
Descrição: esse problema foi resolvido por meio de melhorias nas verificações.
CVE-2022-26776: Zubair Ashraf da Crowdstrike, Max Shavrick (@_mxms) da Google Security Team
CVE-2022-26708: Max Shavrick (@_mxms) da Google Security Team
libresolv
Disponível para: macOS Monterey
Impacto: um invasor pode causar o encerramento inesperado de aplicativos ou a execução de códigos arbitrários
Descrição: um problema de estouro de inteiro foi resolvido por meio de melhorias na validação de entradas.
CVE-2022-26775: Max Shavrick (@_mxms) da Google Security Team
LibreSSL
Disponível para: macOS Monterey
Impacto: processar um certificado criado com códigos maliciosos pode resultar em negação de serviço
Descrição: um problema de negação de serviço foi resolvido por meio de melhorias na validação de entradas.
CVE-2022-0778
libxml2
Disponível para: macOS Monterey
Impacto: um invasor remoto pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-2022-23308
Login Window
Disponível para: macOS Monterey
Impacto: uma pessoa com acesso físico a um Mac pode ignorar a janela de início de sessão
Descrição: um problema de consistência foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2022-48575: Paul Walker da Bury e Nathaniel Ekoniak da Ennate Technologies
Entrada adicionada em 31 de outubro de 2023
OpenSSL
Disponível para: macOS Monterey
Impacto: processar um certificado criado com códigos maliciosos pode resultar em negação de serviço
Descrição: esse problema foi resolvido por meio de melhorias nas verificações.
CVE-2022-0778
PackageKit
Disponível para: macOS Monterey
Impacto: um app pode obter privilégios elevados
Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2022-32794: MickeHAIKU_HT_RUSH_213257_707712y Jin (@patch1t)
Entrada adicionada em 4 de outubro de 2022
PackageKit
Disponível para: macOS Monterey
Impacto: um aplicativo pode obter privilégios elevados
Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2022-22617: Mickey Jin (@patch1t)
Entrada adicionada em 6 de julho de 2022
PackageKit
Disponível para: macOS Monterey
Impacto: um aplicativo malicioso pode modificar áreas protegidas do sistema de arquivos
Descrição: o problema foi resolvido por meio da remoção do código vulnerável.
CVE-2022-26712: Mickey Jin (@patch1t)
PackageKit
Disponível para: macOS Monterey
Impacto: um aplicativo malicioso pode modificar áreas protegidas do sistema de arquivos
Descrição: esse problema foi resolvido por meio de melhorias nos direitos.
CVE-2022-26727: Mickey Jin (@patch1t)
Photo Booth
Disponível para: macOS Monterey
Impacto: um app com privilégios raiz pode conseguir acessar informações privadas
Descrição: este problema foi resolvido com a ativação do recurso Hardened Runtime.
CVE-2022-32782: Wojciech Reguła (@_r3ggi) da SecuRing
Entrada adicionada em 6 de julho de 2022
Preview
Disponível para: macOS Monterey
Impacto: um plug-in pode herdar as permissões e os dados de acesso do usuário do app
Descrição: esse problema foi resolvido por meio de melhorias nas verificações.
CVE-2022-26693: Wojciech Reguła (@_r3ggi) da SecuRing
Printing
Disponível para: macOS Monterey
Impacto: um aplicativo malicioso pode conseguir ignorar as preferências de privacidade
Descrição: o problema foi resolvido por meio da remoção do código vulnerável.
CVE-2022-26746: @gorelics
Safari Private Browsing
Disponível para: macOS Monterey
Impacto: um site criado com códigos mal-intencionados pode rastrear usuários no Safari no modo de navegação privada
Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2022-26731: pesquisador anônimo
Security
Disponível para: macOS Monterey
Impacto: um app malicioso pode ignorar a validação da assinatura
Descrição: um problema na análise de certificados foi resolvido por meio de melhorias nas verificações.
CVE-2022-26766: Linus Henze da Pinauten GmbH (pinauten.de)
SMB
Disponível para: macOS Monterey
Impacto: um aplicativo pode obter privilégios elevados
Descrição: um problema de gravação fora dos limites foi resolvido por meio de melhorias na verificação de limites.
CVE-2022-26715: Peter Nguyễn Vũ Hoàng da STAR Labs
SMB
Disponível para: macOS Monterey
Impacto: um aplicativo pode obter privilégios elevados
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2022-26718: Peter Nguyễn Vũ Hoàng da STAR Labs
SMB
Disponível para: macOS Monterey
Impacto: a montagem de um compartilhamento de rede Samba malicioso pode causar a execução de códigos arbitrários
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
CVE-2022-26723: Felix Poulin-Belanger
SoftwareUpdate
Disponível para: macOS Monterey
Impacto: um aplicativo malicioso pode ter acesso a arquivos restritos
Descrição: esse problema foi resolvido por meio de melhorias nos direitos.
CVE-2022-26728: Mickey Jin (@patch1t)
Spotlight
Disponível para: macOS Monterey
Impacto: um app pode obter privilégios elevados
Descrição: um problema de validação no processamento de links simbólicos foi resolvido por meio de melhorias na validação de links simbólicos.
CVE-2022-26704: Gergely Kalman (@gergely_kalman) e Joshua Mason da Mandiant
Entrada atualizada em 31 de outubro de 2023
System Preferences
Disponível para: macOS Monterey
Impacto: um app pode criar links simbólicos para regiões protegidas do disco
Descrição: esse problema foi resolvido por meio de melhorias na validação de links simbólicos.
CVE-2022-42857: Mickey Jin (@patch1t)
Entrada adicionada em 31 de outubro de 2023
TCC
Disponível para: macOS Monterey
Impacto: um app pode capturar a tela de um usuário
Descrição: esse problema foi resolvido por meio de melhorias nas verificações.
CVE-2022-26726: Antonio Cheong Yu Xuan da YCISCQ
Entrada atualizada em 11 de maio de 2023
Tcl
Disponível para: macOS Monterey
Impacto: um aplicativo malicioso pode sair de sua área restrita
Descrição: esse problema foi resolvido por meio de melhorias na limpeza do ambiente.
CVE-2022-26755: Arsenii Kostromin (0x3c3e)
Terminal
Disponível para: macOS Monterey
Impacto: um processo em área restrita pode contornar restrições dessa área
Descrição: esse problema foi resolvido por meio de melhorias na limpeza do ambiente.
CVE-2022-26696: Ron Waisberg, um pesquisador anônimo, Wojciech Reguła (@_r3ggi) da SecuRing e Ron Hass (@ronhass7) da Perception Point
Entrada adicionada em 16 de setembro de 2022 e atualizada em 31 de outubro de 2023
WebKit
Disponível para: macOS Monterey
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução de códigos
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no gerenciamento de estado.
WebKit Bugzilla: 238178
CVE-2022-26700: ryuzaki
WebKit
Disponível para: macOS Monterey
Impacto: processar conteúdo da web criado com códigos maliciosos pode levar à execução arbitrária de códigos
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
WebKit Bugzilla: 236950
CVE-2022-26709: Chijin Zhou da ShuiMuYuLin Ltd e Tsinghua wingtecher lab
WebKit Bugzilla: 237475
CVE-2022-26710: Chijin Zhou da ShuiMuYuLin Ltd e Tsinghua wingtecher lab
WebKit Bugzilla: 238171
CVE-2022-26717: Jeonghoon Shin da Theori
WebKit
Disponível para: macOS Monterey
Impacto: processar conteúdo da web criado com códigos maliciosos pode levar à execução arbitrária de códigos
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no gerenciamento de estados.
WebKit Bugzilla: 238183
CVE-2022-26716: SorryMybad (@S0rryMybad) do Kunlun Lab
WebKit Bugzilla: 238699
CVE-2022-26719: Dongzhuo Zhao em parceria com o ADLab da Venustech
WebRTC
Disponível para: macOS Monterey
Impacto: a pré-visualização de vídeo em uma chamada webRTC poderá ser interrompida se o usuário atender uma ligação
Descrição: um problema de lógica no processamento de mídia simultânea foi resolvido por meio de melhorias no processamento de estados.
WebKit Bugzilla: 237524
CVE-2022-22677: pesquisador anônimo
Wi-Fi
Disponível para: macOS Monterey
Impacto: um aplicativo malicioso pode expor a memória restrita
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação.
CVE-2022-26745: Scarlet Raine
Entrada atualizada em 6 de julho de 2022
Wi-Fi
Disponível para: macOS Monterey
Impacto: um aplicativo pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2022-26761: Wang Yu da Cyberserval
Wi-Fi
Disponível para: macOS Monterey
Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de sistema
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2022-26762: Wang Yu da Cyberserval
zip
Disponível para: macOS Monterey
Impacto: processar um arquivo criado com códigos maliciosos pode resultar em negação de serviço
Descrição: um problema de negação de serviço foi resolvido por meio de melhorias no gerenciamento de estado.
CVE-2022-0530
zlib
Disponível para: macOS Monterey
Impacto: um invasor pode causar o encerramento inesperado de aplicativos ou a execução de códigos arbitrários
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
CVE-2018-25032: Tavis Ormandy
zsh
Disponível para: macOS Monterey
Impacto: um invasor externo pode causar a execução arbitrária de códigos
Descrição: o problema foi resolvido com a atualização do zsh para a versão 5.8.1.
CVE-2021-45444
Outros reconhecimentos
AppleMobileFileIntegrity
Gostaríamos de agradecer a ajuda de Wojciech Reguła (@_r3ggi) da SecuRing.
Bluetooth
Gostaríamos de agradecer a Jann Horn do Project Zero pela ajuda.
Calendar
Gostaríamos de agradecer a Eugene Lim da Government Technology Agency of Singapore pela ajuda.
FaceTime
Gostaríamos de agradecer a Wojciech Reguła (@_r3ggi) da SecuRing pela ajuda.
FileVault
Gostaríamos de agradecer a Benjamin Adolphi da Promon Germany GmbH pela ajuda.
Login Window
Gostaríamos de agradecer a Csaba Fitzl (@theevilbit) da Offensive Security pela ajuda.
Photo Booth
Gostaríamos de agradecer a Wojciech Reguła (@_r3ggi) da SecuRing pela ajuda.
System Preferences
Gostaríamos de agradecer a Mohammad Tausif Siddiqui (@toshsiddiqui), Victor Grinchik (grinchik.com) e um pesquisador anônimo pela ajuda.
Entrada atualizada em 31 de outubro de 2023
WebKit
Gostaríamos de agradecer a James Lee e a um pesquisador anônimo pela ajuda.
Entrada atualizada em 25 de maio de 2022
Wi-Fi
Gostaríamos de agradecer a Dana Morrison pela ajuda.