Acerca das atualizações de segurança da Apple
Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação e não estiverem disponíveis as correções ou os lançamentos necessários. Os lançamentos recentes são apresentados na página Atualizações de segurança da Apple.
Sempre que possível, os documentos de segurança da Apple designam as vulnerabilidades através de ID CVE.
Para obter mais informações acerca da segurança, consulte a página Segurança dos produtos Apple.
macOS Monterey 12.5
Data de lançamento: 20 de julho de 2022
AMD
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foi resolvido um problema de corrupção de memória através da validação melhorada da entrada.
CVE-2022-42858: ABC Research s.r.o.
Entrada adicionada a 11 de maio de 2023
APFS
Disponível para: macOS Monterey
Impacto: uma app com privilégios de raiz poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2022-32832: Tommy Muir (@Muirey03)
AppleAVD
Disponível para: macOS Monterey
Impacto: um utilizador remoto poderá conseguir provocar a execução de um código de kernel
Descrição: foi resolvido um problema de ultrapassagem do limite máximo do buffer através da verificação melhorada dos limites.
CVE-2022-32788: Natalie Silvanovich do Google Project Zero
Entrada adicionada a 16 de setembro de 2022
AppleMobileFileIntegrity
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador
Descrição: este problema foi resolvido ao permitir o reforço do tempo de execução.
CVE-2022-32880: Wojciech Reguła (@_r3ggi) da SecuRing, Mickey Jin (@patch1t) da Trend Micro, Csaba Fitzl (@theevilbit) da Offensive Security
Entrada adicionada a 16 de setembro de 2022
AppleMobileFileIntegrity
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir obter privilégios de raiz
Descrição: foi resolvido um problema de autorização através da gestão melhorada do estado.
CVE-2022-32826: Mickey Jin (@patch1t) da Trend Micro
Apple Neural Engine
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foi resolvido um problema de ultrapassagem do limite máximo de números inteiros através da validação melhorada da entrada.
CVE-2022-42805: Mohamed Ghannam (@_simo36)
Entrada adicionada a 09 de novembro de 2022
Apple Neural Engine
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foi resolvido um problema de leitura fora dos limites através da verificação melhorada dos limites.
CVE-2022-32948: Mohamed Ghannam (@_simo36)
Entrada adicionada a 09 de novembro de 2022
Apple Neural Engine
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2022-32810: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: este problema foi resolvido através de verificações melhoradas.
CVE-2022-32840: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foi resolvido um problema de leitura fora dos limites através da verificação melhorada dos limites.
CVE-2022-32845: Mohamed Ghannam (@_simo36)
Entrada atualizada a 9 de novembro de 2022
AppleScript
Disponível para: macOS Monterey
Impacto: o processamento de um ficheiro AppleScript poderá resultar no encerramento inesperado ou na divulgação da memória do processo
Descrição: foi resolvido um problema de leitura fora dos limites através da verificação melhorada dos limites.
CVE-2022-48578: Mickey Jin (@patch1t)
Entrada adicionada a 31 de outubro de 2023
AppleScript
Disponível para: macOS Monterey
Impacto: o processamento de um binário AppleScript com intuito malicioso poderá resultar no encerramento inesperado ou na divulgação da memória do processo
Descrição: este problema foi resolvido através de verificações melhoradas.
CVE-2022-32797: Mickey Jin (@patch1t), Ye Zhang (@co0py_Cat) do Baidu Security, Mickey Jin (@patch1t) da Trend Micro
AppleScript
Disponível para: macOS Monterey
Impacto: o processamento de um binário AppleScript com intuito malicioso poderá resultar no encerramento inesperado ou na divulgação da memória do processo
Descrição: foi resolvido um problema de leitura fora dos limites através da validação melhorada da entrada.
CVE-2022-32851: Ye Zhang (@co0py_Cat) do Baidu Security
CVE-2022-32852: Ye Zhang (@co0py_Cat) do Baidu Security
CVE-2022-32853: Ye Zhang (@co0py_Cat) do Baidu Security
AppleScript
Disponível para: macOS Monterey
Impacto: o processamento de um binário AppleScript com intuito malicioso poderá resultar no encerramento inesperado ou na divulgação da memória do processo
Descrição: foi resolvido um problema de leitura fora dos limites através da verificação melhorada dos limites.
CVE-2022-32831: Ye Zhang (@co0py_Cat) do Baidu Security
Archive Utility
Disponível para: macOS Monterey
Impacto: um arquivo poderá conseguir contornar o Gatekeeper
Descrição: foi resolvido um problema de lógica através de verificações melhoradas.
CVE-2022-32910: Ferdous Saljooki (@malwarezoo) da Jamf Software
Entrada adicionada a 4 de outubro de 2022
Audio
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foi resolvido um problema de escrita fora dos limites através da validação melhorada da entrada.
CVE-2022-32820: um investigador anónimo
Audio
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir divulgar a memória do kernel
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2022-32825: John Aakerblom (@jaakerblom)
Automation
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir contornar as preferências de privacidade
Descrição: foi resolvido um problema de lógica através de verificações melhoradas.
CVE-2022-32789: Zhipeng Huo (@R3dF09) do Tencent Security Xuanwu Lab
Calendar
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir aceder a informações confidenciais do utilizador
Descrição: o problema foi resolvido através do processamento melhorado de caches.
CVE-2022-32805: Csaba Fitzl (@theevilbit) da Offensive Security
CoreMedia
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir divulgar a memória do kernel
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2022-32828: Antonio Zekic (@antoniozekic) e John Aakerblom (@jaakerblom)
CoreText
Disponível para: macOS Monterey
Impacto: um utilizador remoto poderá provocar o encerramento inesperado da app ou a execução de um código arbitrário
Descrição: o problema foi resolvido através de verificações melhoradas dos limites.
CVE-2022-32839: Daniel Lim Wee Soong da STAR Labs
Entrada atualizada a 31 de outubro de 2023
File System Events
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir obter privilégios de raiz
Descrição: foi resolvido um problema de lógica através da gestão melhorada do estado.
CVE-2022-32819: Joshua Mason da Mandiant
GPU Drivers
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir divulgar a memória do kernel
Descrição: foram resolvidos vários problemas de escrita fora dos limites através da verificação melhorada dos limites.
CVE-2022-32793: um investigador anónimo
GPU Drivers
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foi resolvido um problema de corrupção de memória através da validação melhorada.
CVE-2022-32821: John Aakerblom (@jaakerblom)
iCloud Photo Library
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir aceder a informações confidenciais do utilizador
Descrição: foi resolvido um problema de divulgação de informações através da remoção do código vulnerável.
CVE-2022-32849: Joshua Jones
ICU
Disponível para: macOS Monterey
Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: foi resolvido um problema de escrita fora dos limites através da verificação melhorada dos limites.
CVE-2022-32787: Dohyun Lee (@l33d0hyun) do SSD Secure Disclosure Labs & DNSLab, Universidade da Coreia.
ImageIO
Disponível para: macOS Monterey
Impacto: o processamento de um ficheiro tiff criado com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: foi resolvido um problema de corrupção de memória através da validação melhorada.
CVE-2022-32897: Mickey Jin (@patch1t) da Trend Micro
Entrada adicionada a 31 de outubro de 2023
ImageIO
Disponível para: macOS Monterey
Impacto: o processamento de um ficheiro criado com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: foi resolvido um problema de lógica através de verificações melhoradas.
CVE-2022-32802: Ivan Fratric do Google Project Zero, Mickey Jin (@patch1t)
Entrada adicionada a 16 de setembro de 2022
ImageIO
Disponível para: macOS Monterey
Impacto: o processamento de uma imagem criada com intuito malicioso poderá provocar a divulgação da memória de processamento
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2022-32841: hjy79425575
ImageIO
Disponível para: macOS Monterey
Impacto: o processamento de uma imagem pode resultar numa recusa de serviço
Descrição: foi resolvido um problema de perda de referência do indicador nulo através da validação melhorada.
CVE-2022-32785: Yiğit Can YILMAZ (@yilmazcanyigit)
Intel Graphics Driver
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foi resolvido um problema de vulnerabilidade de corrupção da memória através do bloqueio melhorado.
CVE-2022-32811: ABC Research s.r.o
Intel Graphics Driver
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2022-32812: Yinyi Wu (@3ndy1), ABC Research s.r.o.
JavaScriptCore
Disponível para: macOS Monterey
Impacto: o processamento de conteúdos web poderá provocar a execução de um código arbitrário
Descrição: o problema foi resolvido através de verificações melhoradas dos limites.
WebKit Bugzilla: 241931
CVE-2022-48503: Dongzhuo Zhao em colaboração com ADLab da Venustech e ZhaoHai da Cyberpeace Tech Co., Ltd.
Entrada adicionada a 21 de junho de 2023
Kernel
Disponível para: macOS Monterey
Impacto: uma app com privilégios de raiz poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2022-32813: Xinru Chi do Pangu Lab
CVE-2022-32815: Xinru Chi do Pangu Lab
Kernel
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir divulgar a memória do kernel
Descrição: foi resolvido um problema de leitura fora dos limites através da verificação melhorada dos limites.
CVE-2022-32817: Xinru Chi do Pangu Lab
Kernel
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: este problema foi resolvido através de verificações melhoradas.
CVE-2022-32829: Tingting Yin da Universidade de Tsinghua e Min Zheng do Ant Group
Entrada atualizada a 16 de setembro de 2022
Liblouis
Disponível para: macOS Monterey
Impacto: uma app poderá provocar o encerramento inesperado da app ou a execução de um código arbitrário
Descrição: este problema foi resolvido através de verificações melhoradas.
CVE-2022-26981: Hexhive (hexhive.epfl.ch), NCNIPC da China (nipc.org.cn)
libxml2
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir divulgar informações confidenciais do utilizador
Descrição: foi resolvido um problema de inicialização de memória através do processamento melhorado da memória.
CVE-2022-32823
Multi-Touch
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foi resolvido um problema de confusão de tipos através do processamento melhorado do estado.
CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)
PackageKit
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir modificar partes protegidas do sistema de ficheiros
Descrição: foi resolvido um problema de gestão das variáveis de ambiente através da validação melhorada.
CVE-2022-32786: Mickey Jin (@patch1t)
PackageKit
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir modificar partes protegidas do sistema de ficheiros
Descrição: este problema foi resolvido através de verificações melhoradas.
CVE-2022-32800: Mickey Jin (@patch1t)
PluginKit
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir ler ficheiros arbitrários
Descrição: foi resolvido um problema de lógica através da gestão melhorada do estado.
CVE-2022-32838: Mickey Jin (@patch1t) da Trend Micro
PS Normalizer
Disponível para: macOS Monterey
Impacto: o processamento de um ficheiro Postscript poderá resultar no encerramento inesperado da app ou na divulgação da memória do processo
Descrição: foi resolvido um problema de escrita fora dos limites através da verificação melhorada dos limites.
CVE-2022-32843: Kai Lu do Zscaler's ThreatLabz
Safari
Disponível para: macOS Monterey
Impacto: o processamento de conteúdos web poderá divulgar informações confidenciais
Descrição: foi resolvido um problema de força bruta através da gestão melhorada do estado.
CVE-2022-46708: um investigador anónimo
Entrada adicionada a 31 de outubro de 2023
SMB
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foi resolvido um problema de corrupção de memória através da gestão melhorada do estado.
CVE-2022-32796: Sreejith Krishnan R (@skr0x1c0)
SMB
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir obter privilégios elevados
Descrição: foi resolvido um problema de leitura fora dos limites através da validação melhorada da entrada.
CVE-2022-32842: Sreejith Krishnan R (@skr0x1c0)
SMB
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir obter privilégios elevados
Descrição: foi resolvido um problema de escrita fora dos limites através da validação melhorada da entrada.
CVE-2022-32798: Sreejith Krishnan R (@skr0x1c0)
SMB
Disponível para: macOS Monterey
Impacto: um utilizador com uma posição privilegiada na rede poderá conseguir divulgar informações confidenciais
Descrição: foi resolvido um problema de leitura fora dos limites através da verificação melhorada dos limites.
CVE-2022-32799: Sreejith Krishnan R (@skr0x1c0)
SMB
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir divulgar o estado confidencial do kernel
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2022-32818: Sreejith Krishnan R (@skr0x1c0)
Software Update
Disponível para: macOS Monterey
Impacto: um utilizador com uma posição privilegiada na rede poderá monitorizar a atividade de um utilizador
Descrição: este problema foi resolvido através da utilização de HTTPS durante o envio de informações pela rede.
CVE-2022-32857: Jeffrey Paul (sneak.berlin)
Spindump
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir substituir ficheiros arbitrários
Descrição: este problema foi resolvido através da melhoria do processamento de ficheiros.
CVE-2022-32807: Zhipeng Huo (@R3dF09) do Tencent Security Xuanwu Lab
Spotlight
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir obter privilégios de raiz
Descrição: este problema foi resolvido através de verificações melhoradas.
CVE-2022-32801: Joshua Mason (@josh@jhu.edu)
subversion
Disponível para: macOS Monterey
Impacto: vários problemas no Subversion
Descrição: foram resolvidos vários problemas através da atualização do Subversion.
CVE-2021-28544: Evgeny Kotkov, visualsvn.com
CVE-2022-24070: Evgeny Kotkov, visualsvn.com
CVE-2022-29046: Evgeny Kotkov, visualsvn.com
CVE-2022-29048: Evgeny Kotkov, visualsvn.com
TCC
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir aceder a informações confidenciais do utilizador
Descrição: um problema de acesso foi resolvido com melhoramentos na sandbox.
CVE-2022-32834: Xuxiang Yang (@another1024) do Tencent Security Xuanwu Lab (xlab.tencent.com), Gordon Long, Thijs Alkemade (@xnyhps) da Computest Sector 7, Adam Chester da TrustedSec, Yuebin Sun (@yuebinsun2020) do Tencent Security Xuanwu Lab (xlab.tencent.com), Zhipeng Huo (@R3dF09) do Tencent Security Xuanwu Lab (xlab.tencent.com)
Entrada adicionada a 16 de setembro de 2022 e atualizada a 11 de maio de 2023
WebKit
Disponível para: macOS Monterey
Impacto: um site poderá conseguir registar os sites que um utilizador visitou no modo de navegação privada do Safari
Descrição: foi resolvido um problema de divulgação de informações através da remoção do código vulnerável.
WebKit Bugzilla: 239547
CVE-2022-32933: Binoy Chitale, estudante de mestrado, Universidade de Stony Brook, Nick Nikiforakis, professor associado, Universidade de Stony Brook, Jason Polakis, professor associado, Universidade de Illinois em Chicago, Mir Masood Ali, estudante de doutoramento, Universidade de Illinois em Chicago, Chris Kanich, estudante de doutoramento, Universidade de Illinois em Chicago e Mohammad Ghasemisharif, candidato a doutoramento, Universidade de Illinois em Chicago
Entrada adicionada a 31 de outubro de 2023
WebKit
Disponível para: macOS Monterey
Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: foi resolvido um problema de corrupção de memória através da validação melhorada.
WebKit Bugzilla: 241526
CVE-2022-32885: P1umer(@p1umer) e Q1IQ(@q1iqF)
Entrada adicionada a 11 de maio de 2023
WebKit
Disponível para: macOS Monterey
Impacto: um utilizador poderá ser monitorizado através do respetivo endereço IP
Descrição: foi resolvido um problema de lógica através da gestão melhorada do estado.
WebKit Bugzilla: 237296
CVE-2022-32861: Matthias Keller (m-keller.com)
Entrada adicionada a 16 de setembro de 2022, atualizada a 31 de outubro de 2023
WebKit
Disponível para: macOS Monterey
Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: foi resolvido um problema de corrupção de memória através da gestão melhorada do estado.
CVE-2022-32863: P1umer(@p1umer), afang(@afang5472), xmzyshypnc(@xmzyshypnc1)
Entrada adicionada a 16 de setembro de 2022, atualizada a 31 de outubro de 2023
WebKit
Disponível para: macOS Monterey
Impacto: visitar um site que cria fotogramas de conteúdo malicioso poderá provocar a falsificação da IU
Descrição: o problema foi resolvido através do processamento da IU melhorado.
WebKit Bugzilla: 239316
CVE-2022-32816: Dohyun Lee (@l33d0hyun) do SSD Secure Disclosure Labs & DNSLab, Universidade da Coreia
WebKit
Disponível para: macOS Monterey
Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: foi resolvido um problema de escrita fora dos limites através da validação melhorada da entrada.
WebKit Bugzilla: 240720
CVE-2022-32792: Manfred Paul (@_manfp) em colaboração com o programa Zero Day Initiative da Trend Micro
WebRTC
Disponível para: macOS Monterey
Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: foi resolvido um problema de corrupção de memória através da gestão melhorada do estado.
WebKit Bugzilla: 242339
CVE-2022-2294: Jan Vojtesek da equipa Avast Threat Intelligence
Wi-Fi
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foi resolvido um problema de escrita fora dos limites através da validação melhorada da entrada.
CVE-2022-32860: Wang Yu da Cyberserval
Entrada adicionada a 09 de novembro de 2022
Wi-Fi
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir provocar um encerramento inesperado do sistema ou escrever na memória do kernel
Descrição: este problema foi resolvido através de verificações melhoradas.
CVE-2022-32837: Wang Yu da Cyberserval
Wi-Fi
Disponível para: macOS Monterey
Impacto: um utilizador remoto poderá conseguir causar o encerramento inesperado do sistema ou corromper a memória do kernel
Descrição: este problema foi resolvido através de verificações melhoradas.
CVE-2022-32847: Wang Yu da Cyberserval
Windows Server
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir capturar o ecrã de um utilizador
Descrição: foi resolvido um problema de lógica através de verificações melhoradas.
CVE-2022-32848: Jeremy Legendre da MacEnhance
Agradecimentos adicionais
802.1X
Gostaríamos de agradecer a Shin Sun da National Taiwan University pela sua colaboração.
AppleMobileFileIntegrity
Gostaríamos de agradecer a Csaba Fitzl (@theevilbit) da Offensive Security, a Mickey Jin (@patch1t) da Trend Micro e a Wojciech Reguła (@_r3ggi) da SecuRing pela sua colaboração.
Calendar
Gostaríamos de agradecer a Joshua Jones pela sua colaboração.
configd
Gostaríamos de agradecer a Csaba Fitzl (@theevilbit) da Offensive Security, a Mickey Jin (@patch1t) da Trend Micro e a Wojciech Reguła (@_r3ggi) da SecuRing pela sua colaboração.
DiskArbitration
Gostaríamos de agradecer a Mike Cush e a um investigador anónimo pela sua colaboração.
Entrada atualizada a 31 de outubro de 2023