Despre conținutul de securitate din macOS Monterey 12.3
Acest document descrie conținutul de securitate din macOS Monterey 12.3.
Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
macOS Monterey 12.3
Accelerate Framework
Disponibilitate pentru: macOS Monterey
Impact: deschiderea unui fișier PDF creat cu rea intenție poate duce la închiderea neașteptată a aplicației sau la executarea unui cod aleatoriu
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2022-22633: ryuzaki
AMD
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2022-22669: un cercetător anonim
AppKit
Disponibilitate pentru: macOS Monterey
Impact: o aplicație rău intenționată poate să obțină privilegii de rădăcină
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea validării.
CVE-2022-22665: Lockheed Martin Red Team
AppleEvents
Disponibilitate pentru: macOS Monterey
Impact: un atacator la distanță poate provoca închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2022-22630: Jeremy Brown în colaborare cu Trend Micro Zero Day Initiative
AppleGraphicsControl
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat
Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2022-22631: Wang Yu de la cyberserval
AppleScript
Disponibilitate pentru: macOS Monterey
Impact: procesarea unor date binare AppleScript create cu rea intenție poate cauza închiderea neașteptată a aplicației sau dezvăluirea memoriei de procesare
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2022-22625: Mickey Jin (@patch1t) (Trend Micro)
AppleScript
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate citi memorie restricționată
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2022-22648: Mickey Jin (@patch1t) de la Trend Micro
AppleScript
Disponibilitate pentru: macOS Monterey
Impact: procesarea unor date binare AppleScript create cu rea intenție poate cauza închiderea neașteptată a aplicației sau dezvăluirea memoriei de procesare
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2022-22626: Mickey Jin (@patch1t) (Trend Micro)
CVE-2022-22627: Qi Sun și Robert Ai (Trend Micro)
AppleScript
Disponibilitate pentru: macOS Monterey
Impact: procesarea unui fișier creat cu rea intenție poate duce la executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării.
CVE-2022-22597: Qi Sun și Robert Ai (Trend Micro)
BOM
Disponibilitate pentru: macOS Monterey
Impact: o arhivă ZIP creată cu rea intenție poate ocoli verificările Gatekeeper
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2022-22616: Ferdous Saljooki (@malwarezoo) și Jaron Bradley (@jbradley89) (Jamf Software), Mickey Jin (@patch1t)
CoreTypes
Disponibilitate pentru: macOS Monterey
Impact: o aplicație rău intenționată poate ocoli verificările Gatekeeper
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite pentru a preveni acțiunile neautorizate.
CVE-2022-22663: Arsenii Kostromin (0x3c3e)
CUPS
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2022-26691: Joshua Mason de la Mandiant
curl
Disponibilitate pentru: macOS Monterey
Impact: mai multe probleme în curl
Descriere: au fost rezolvate mai multe probleme prin actualizarea curl la versiunea 7.79.1.
CVE-2021-22946
CVE-2021-22947
CVE-2021-22945
FaceTime
Disponibilitate pentru: macOS Monterey
Impact: un utilizator poate trimite conținut audio și video în apeluri FaceTime fără a ști că a făcut acest lucru
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2022-22643: Sonali Luthar (University of Virginia), Michael Liao (University of Illinois, Urbana-Champaign), Rohan Pahwa (Rutgers University) și Bao Nguyen (University of Florida)
GarageBand MIDI
Disponibilitate pentru: macOS Monterey
Impact: deschiderea unui fișier creat cu rea intenție poate duce la închiderea neașteptată a aplicației sau la executarea unui cod aleatoriu
Descriere: a fost rezolvată o problemă de inițializare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2022-22657: Brandon Perry (Atredis Partners)
GarageBand MIDI
Disponibilitate pentru: macOS Monterey
Impact: deschiderea unui fișier creat cu rea intenție poate duce la închiderea neașteptată a aplicației sau la executarea unui cod aleatoriu
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2022-22664: Brandon Perry (Atredis Partners)
Graphics Drivers
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar având privilegii de kernel
Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.
CVE-2021-30977: Jack Dates (RET2 Systems, Inc.)
ImageIO
Disponibilitate pentru: macOS Monterey
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2022-22611: Xingyu Jin (Google)
ImageIO
Disponibilitate pentru: macOS Monterey
Impact: procesarea unei imagini create cu rea intenție poate cauza alterarea segmentului
Descriere: a fost rezolvată o problemă de consumare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2022-22612: Xingyu Jin (Google)
Intel Graphics Driver
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea tratării stării.
CVE-2022-46706: Wang Yu de la Cyberserval și Pan ZhenPeng (@Peterpan0927) de la Alibaba Security Pandora Lab
Intel Graphics Driver
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea tratării stării.
CVE-2022-22661: Wang Yu de la Cyberserval și Pan ZhenPeng (@Peterpan0927) de la Alibaba Security Pandora Lab
IOGPUFamily
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2022-22641: Mohamed Ghannam (@_simo36)
Kernel
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2022-22613: Alex, un cercetător anonim
Kernel
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2022-22614: un cercetător anonim
CVE-2022-22615: un cercetător anonim
Kernel
Disponibilitate pentru: macOS Monterey
Impact: o aplicație rău intenționată poate să acorde privilegii superioare
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2022-22632: Keegan Saunders
Kernel
Disponibilitate pentru: macOS Monterey
Impact: un atacator în poziție privilegiată ar putea iniția un atac de refuzare a serviciului
Descriere: a fost rezolvată o problemă de anulare a referinței pentru indicatorul nul prin îmbunătățirea validării.
CVE-2022-22638: derrek (@derrekr6)
Kernel
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de corupere a memoriei prin îmbunătățirea validării.
CVE-2022-22640: sqrtpwn
LaunchServices
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate să ocolească anumite preferințe de confidențialitate
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.
CVE-2021-30946: @gorelics și Ron Masas de la BreakPoint.sh
libarchive
Disponibilitate pentru: macOS Monterey
Impact: mai multe probleme în libarchive
Descriere: în libarchive erau mai multe probleme de corupere a memoriei. Aceste probleme au fost rezolvate printr-o îmbunătățire a validării intrărilor.
CVE-2021-36976
LLVM
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate șterge fișiere pentru care nu are permisiune
Descriere: a fost rezolvată o condiție de rulare prin validare suplimentară.
CVE-2022-21658: Florian Weimer (@fweimer)
Login Window
Disponibilitate pentru: macOS Monterey
Impact: o persoană cu acces la un computer Mac poate reuși să evite fereastra de login
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2022-22647: Yuto Ikeda de la Kyushu University
LoginWindow
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca un atacator local să vadă desktopul utilizatorului conectat anterior pe ecranul pentru comutarea rapidă a utilizatorului
Descriere: a fost rezolvată o problemă de autentificare prin îmbunătățirea gestionării stării.
CVE-2022-22656
MobileAccessoryUpdater
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar având privilegii de kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2022-22672: Siddharth Aeri (@b1n4r1b01)
NSSpellChecker
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca o aplicație rău intenționată să acceseze informații despre contactele unui utilizator
Descriere: a existat o problemă de confidențialitate la tratarea cărților de vizită ale contactelor. Această problemă a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2022-22644: Thomas Roth (@stacksmashing) de la leveldown security
PackageKit
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca o aplicație rea intenționată să poată modifica părțile protejate ale sistemului de fișiere
Descriere: a fost rezolvată o condiție de rulare prin validare suplimentară.
CVE-2022-26690: Mickey Jin (@patch1t) (Trend Micro)
PackageKit
Disponibilitate pentru: macOS Monterey
Impact: o aplicație rău intenționată cu privilegii de rădăcină poate să modifice conținutul fișierelor de sistem
Descriere: a fost rezolvată o problemă privind tratarea symlinkurilor prin îmbunătățirea validării.
CVE-2022-26688: Mickey Jin (@patch1t) de la Trend Micro
PackageKit
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2022-22617: Mickey Jin (@patch1t)
Preferences
Disponibilitate pentru: macOS Monterey
Impact: o aplicație rău intenționată poate citi configurările altor aplicații
Descriere: problema a fost remediată prin verificări suplimentare ale permisiunilor.
CVE-2022-22609: Mickey Jin (@patch1t) și Zhipeng Huo (@R3dF09) și Yuebin Sun (@yuebinsun2020) (Tencent Security Xuanwu Lab) (xlab.tencent.com)
QuickTime Player
Disponibilitate pentru: macOS Monterey
Impact: un plug-in poate fi capabil să moștenească permisiunile aplicației și să acceseze datele utilizatorului
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2022-22650: Wojciech Reguła (@_r3ggi) (SecuRing)
Safari Downloads
Disponibilitate pentru: macOS Monterey
Impact: o arhivă ZIP creată cu rea intenție poate ocoli verificările Gatekeeper
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2022-22616: Ferdous Saljooki (@malwarezoo) și Jaron Bradley (@jbradley89) (Jamf Software), Mickey Jin (@patch1t)
Sandbox
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate scurge informații sensibile ale utilizatorilor
Descriere: o problemă de acces a fost rezolvată prin aducerea de îmbunătățiri la sandbox.
CVE-2022-22655: Csaba Fitzl (@theevilbit) de la Offensive Security
Sandbox
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca o aplicație rău intenționată să poată ocoli anumite restricții de confidențialitate
Descriere: problema a fost remediată prin îmbunătățirea logicii pentru permisiuni.
CVE-2022-22600: Sudhakar Muthumani (@sudhakarmuthu04) (Primefort Private Limited), Khiem Tran
Siri
Disponibilitate pentru: macOS Monterey
Impact: o persoană care are acces fizic la un dispozitiv ar putea folosi Siri pentru a obține anumite informații despre locație din ecranul de blocare
Descriere: a fost rezolvată o problemă de permisiune prin îmbunătățirea validării.
CVE-2022-22599: Andrew Goldberg (University of Texas, Austin, McCombs School of Business) (linkedin.com/andrew-goldberg-/)
SMB
Disponibilitate pentru: macOS Monterey
Impact: un atacator la distanță ar putea cauza închiderea neașteptată a sistemului sau ar putea corupe memoria kernel
Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2022-22651: Felix Poulin-Belanger
SoftwareUpdate
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2022-22639: Mickey Jin (@patch1t)
System Preferences
Disponibilitate pentru: macOS Monterey
Impact: o aplicație poate falsifica notificări de sistem și interfața de utilizare
Descriere: această problemă a fost rezolvată prin noi drepturi.
CVE-2022-22660: Guilherme Rambo (Best Buddy Apps) (rambo.codes)
UIKit
Disponibilitate pentru: macOS Monterey
Impact: o persoană cu acces fizic la un dispozitiv iOS ar putea accesa informații sensibile prin intermediul sugestiilor de la tastatură
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2022-22621: Joey Hewitt
Vim
Disponibilitate pentru: macOS Monterey
Impact: probleme multiple în Vim
Descriere: mai multe probleme au fost rezolvate prin actualizarea Vim.
CVE-2021-4136
CVE-2021-4166
CVE-2021-4173
CVE-2021-4187
CVE-2021-4192
CVE-2021-4193
CVE-2021-46059
CVE-2022-0128
CVE-2022-0156
CVE-2022-0158
VoiceOver
Disponibilitate pentru: macOS Monterey
Impact: un utilizator poate vizualiza conținut restricționat din ecranul de blocare
Descriere: a fost rezolvată o problemă legată de ecranul de blocare prin gestionarea îmbunătățită a stării.
CVE-2021-30918: un cercetător anonim
WebKit
Disponibilitate pentru: macOS Monterey
Impact: procesarea conținutului unui site web rău intenționat poate dezvălui informații sensibile ale utilizatorului
Descriere: a fost rezolvată o problemă de gestionare a modulelor cookie prin gestionarea îmbunătățită a stării.
CVE-2022-22662: Prakash (@1lastBr3ath) (Threat Nix)
WebKit
Disponibilitate pentru: macOS Monterey
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2022-22610: Quan Yin (Bigo Technology Live Client Team)
WebKit
Disponibilitate pentru: macOS Monterey
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2022-22624: Kirin (@Pwnrin) (Tencent Security Xuanwu Lab)
CVE-2022-22628: Kirin (@Pwnrin) (Tencent Security Xuanwu Lab)
WebKit
Disponibilitate pentru: macOS Monterey
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de depășire a memoriei-tampon prin îmbunătățirea tratării memoriei.
CVE-2022-22629: Jeonghoon Shin (Theori) în colaborare cu Zero Day Initiative (Trend Micro)
WebKit
Disponibilitate pentru: macOS Monterey
Impact: un site web rău intenționat poate cauza un comportament neașteptat privind originile diferite
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2022-22637: Tom McKee (Google)
Wi-Fi
Disponibilitate pentru: macOS Monterey
Impact: o aplicație rău intenționată poate scurge informații sensibile ale utilizatorilor
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.
CVE-2022-22668: MrPhil17
xar
Disponibilitate pentru: macOS Monterey
Impact: este posibil ca un utilizator local să poată scrie fișiere arbitrare
Descriere: a existat o problemă de validare la tratarea symlinkurilor. Această problemă a fost rezolvată prin îmbunătățirea validării linkurilor simbolice.
CVE-2022-22582: Richard Warren de la NCC Group
Alte mențiuni
AirDrop
Dorim să le mulțumim lui Omar Espino (omespino.com) și lui Ron Masas (BreakPoint.sh) pentru asistența acordată.
Bluetooth
Dorim să le mulțumim unui cercetător anonim și lui chenyuwang (@mzzzz__) (Tencent Security Xuanwu Lab) pentru asistența acordată.
Disk Utility
Dorim să îi mulțumim lui Csaba Fitzl (@theevilbit) (Offensive Security) pentru asistență.
Face Gallery
Dorim să îi mulțumim lui Tian Zhang (@KhaosT) pentru asistența acordată.
Intel Graphics Driver
Dorim să-i mulțumim lui Jack Dates (RET2 Systems, Inc.) și lui Yinyi Wu (@3ndy1) pentru asistența acordată.
Local Authentication
Dorim să îi mulțumim unui cercetător anonim pentru asistență.
Notes
Dorim să îi mulțumim lui Nathaniel Ekoniak (Ennate Technologies) pentru asistența acordată.
Password Manager
Dorim să îi mulțumim lui Maximilian Golla (@m33x) (Max Planck Institute for Security and Privacy (MPI-SP)) pentru asistența acordată.
Siri
Dorim să îi mulțumim unui cercetător anonim pentru asistență.
syslog
Dorim să îi mulțumim lui Yonghwi Jin (@jinmo123) (Theori) pentru asistența acordată.
TCC
Dorim să îi mulțumim lui Csaba Fitzl (@theevilbit) (Offensive Security) pentru asistență.
UIKit
Dorim să-i mulțumim lui Tim Shadel (Day Logger) pentru asistența acordată.
WebKit
Dorim să îi mulțumim lui Abdullah Md Shaleh pentru asistența acordată.
WebKit Storage
Dorim să îi mulțumim lui Martin Bajanik (FingerprintJS) pentru asistența acordată.
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.