Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
Дополнительную информацию о безопасности см. на странице, посвященной безопасности продуктов Apple.
macOS Monterey 12.4
Дата выпуска: 16 мая 2022 г.
AMD
Целевые продукты: macOS Monterey
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с повреждением данных в памяти устранена путем улучшения управления состояниями.
CVE-2022-26772: анонимный исследователь
AMD
Целевые продукты: macOS Monterey
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.
CVE-2022-26741: ABC Research s.r.o
CVE-2022-26742: ABC Research s.r.o
CVE-2022-26749: ABC Research s.r.o
CVE-2022-26750: ABC Research s.r.o
CVE-2022-26752: ABC Research s.r.o
CVE-2022-26753: ABC Research s.r.o
CVE-2022-26754: ABC Research s.r.o
Apache
Целевые продукты: macOS Monterey
Воздействие. Обнаружен ряд проблем в Apache.
Описание. Ряд проблем устранен путем обновления Apache до версии 2.4.53.
CVE-2021-44224
CVE-2021-44790
CVE-2022-22719
CVE-2022-22720
CVE-2022-22721
AppleGraphicsControl
Целевые продукты: macOS Monterey
Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.
CVE-2022-26751: Майкл Деплант (Michael DePlante, @izobashi) в сотрудничестве с Trend Micro по программе Zero Day Initiative
AppleMobileFileIntegrity
Целевые продукты: macOS Monterey
Воздействие. Пользователь может просматривать конфиденциальные пользовательские данные.
Описание. Проблема с обработкой переменных среды устранена путем улучшенной проверки.
CVE-2022-26707: Wojciech Reguła (@_r3ggi) из SecuRing
Запись добавлена 6 июля 2022 г.
AppleScript
Целевые продукты: macOS Monterey
Воздействие. Обработка вредоносного двоичного файла AppleScript может приводить к неожиданному завершению работы приложения или к раскрытию памяти процессов.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2022-26697: Ци Сунь (Qi Sun) и Роберт Аи (Robert Ai) из Trend Micro
AppleScript
Целевые продукты: macOS Monterey
Воздействие. Обработка вредоносного двоичного файла AppleScript может приводить к неожиданному завершению работы приложения или к раскрытию памяти процессов.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2022-26698: Qi Sun из Trend Micro, Ye Zhang (@co0py_Cat) из Baidu Security
Запись обновлена 6 июля 2022 г.
AVEVideoEncoder
Целевые продукты: macOS Monterey
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2022-26736: анонимный исследователь
CVE-2022-26737: анонимный исследователь
CVE-2022-26738: анонимный исследователь
CVE-2022-26739: анонимный исследователь
CVE-2022-26740: анонимный исследователь
Bluetooth
Целевые продукты: macOS Monterey
Воздействие. Приложение может получить несанкционированный доступ к Bluetooth
Описание. Проблема с логикой устранена путем улучшения проверок.
CVE-2022-32783: Jon Thompson из Evolve (Де-Мойн, Айова)
Запись добавлена 6 июля 2022 г.
Contacts
Целевые продукты: macOS Monterey
Воздействие. Плагин может наследовать права приложения и получать доступ к данным пользователя.
Описание. Проблема устранена путем улучшения проверок.
CVE-2022-26694: Войцех Регула (Wojciech Reguła, @_r3ggi) из SecuRing
CVMS
Целевые продукты: macOS Monterey
Воздействие. Вредоносное приложение может повышать уровень привилегий до корневого пользователя.
Описание. Устранена проблема с инициализацией памяти.
CVE-2022-26721: Юнхви Чжин (Yonghwi Jin, @jinmo123) из Theori
CVE-2022-26722: Юнхви Чжин (Yonghwi Jin, @jinmo123) из Theori
DriverKit
Целевые продукты: macOS Monterey
Воздействие. Вредоносное приложение может выполнять произвольный код с системными правами.
Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2022-26763: Линус Хенце (Linus Henze) из Pinauten GmbH (pinauten.de)
FaceTime
Целевые продукты: macOS Monterey
Воздействие. Приложение с привилегиями root может получить доступ к личной информации.
Описание. Проблема устранена путем включения защищенной среды выполнения.
CVE-2022-32781: Wojciech Reguła (@_r3ggi) из SecuRing
Запись добавлена 6 июля 2022 г.
ImageIO
Целевые продукты: macOS Monterey
Воздействие. Злоумышленник может удаленно вызвать неожиданное завершение работы приложения или выполнение произвольного кода.
Описание. Проблема целочисленного переполнения устранена путем улучшенной проверки ввода.
CVE-2022-26711: actae0n из Blacksun Hackers Club в сотрудничестве с Trend Micro по программе Zero Day Initiative
ImageIO
Целевые продукты: macOS Monterey
Воздействие. Информация о расположении фотографии может сохраняться после ее удаления из инспектора предварительного просмотра.
Описание. Логическая проблема устранена путем улучшенного управления состояниями.
CVE-2022-26725: Andrew Williams (Эндрю Уильямс) и Avi Drissman (Ави Дриссман) из Google
Intel Graphics Driver
Целевые продукты: macOS Monterey
Воздействие. Вредоносное приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2022-26720: Лю Лун (Liu Long) из отдела Light-Year Security Lab компании Ant Group
Intel Graphics Driver
Целевые продукты: macOS Monterey
Воздействие. Вредоносное приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.
CVE-2022-26769: Антонио Зекич (Antonio Zekic, @antoniozekic)
Intel Graphics Driver
Целевые продукты: macOS Monterey
Воздействие. Вредоносное приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2022-26770: Лю Лун (Liu Long) из отдела Light-Year Security Lab компании Ant Group
Intel Graphics Driver
Целевые продукты: macOS Monterey
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2022-26748: Чонхун Шин (Jeonghoon Shin) из Theori в сотрудничестве с Trend Micro по программе Zero Day Initiative
Intel Graphics Driver
Целевые продукты: macOS Monterey
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2022-26756: Джек Дейтс (Jack Dates) из RET2 Systems, Inc
IOKit
Целевые продукты: macOS Monterey
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Условие состязания устранено путем улучшения блокировки.
CVE-2022-26701: chenyuwang (@mzzzz__) из Tencent Security Xuanwu Lab
IOMobileFrameBuffer
Целевые продукты: macOS Monterey
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с повреждением данных в памяти устранена путем улучшения управления состояниями.
CVE-2022-26768: анонимный исследователь
Kernel
Целевые продукты: macOS Monterey
Воздействие. Вредоносная программа может вызывать непредвиденные изменения в общей памяти, задействованной в нескольких процессах.
Описание. Проблема с повреждением данных в памяти устранена путем улучшения управления состояниями.
CVE-2022-26758: анонимный исследователь
Запись добавлена 31 октября 2023 г.
Kernel
Целевые продукты: macOS Monterey
Воздействие. Злоумышленник, уже получивший возможность исполнения кода в режиме восстановления macOS, может получить привилегии ядра.
Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2022-26743: Йорди Зомер (Jordy Zomer, @pwningsystems)
Kernel
Целевые продукты: macOS Monterey
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с повреждением данных в памяти устранена путем улучшения проверки.
CVE-2022-26714: Питер Нгуен Ву Хоанг (Peter Nguyễn Vũ Hoàng, @peternguyen14) из STAR Labs (@starlabs_sg)
Kernel
Целевые продукты: macOS Monterey
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
CVE-2022-26757: Нед Уильямсон (Ned Williamson) из Google Project Zero
Kernel
Целевые продукты: macOS Monterey
Воздействие. Злоумышленник, который уже добился выполнения кода в ядре, может обойти меры защиты памяти ядра.
Описание. Проблема с повреждением данных в памяти устранена путем улучшения проверки.
CVE-2022-26764: Линус Хенце (Linus Henze) из Pinauten GmbH (pinauten.de)
Kernel
Целевые продукты: macOS Monterey
Воздействие. Злоумышленник с возможностями произвольного чтения и записи может обойти аутентификацию указателей.
Описание. Условие состязания устранено путем улучшения обработки состояний.
CVE-2022-26765: Линус Хенце (Linus Henze) из Pinauten GmbH (pinauten.de)
LaunchServices
Целевые продукты: macOS Monterey
Воздействие. Некий процесс в изолированной среде может обойти ограничения изолированной среды.
Описание. Проблема с доступом устранена путем ввода дополнительных ограничений песочницы для приложений сторонних разработчиков.
CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or из компании Microsoft
Запись обновлена 6 июля 2022 г.
LaunchServices
Целевые продукты: macOS Monterey
Воздействие. Вредоносное приложение может обходить настройки конфиденциальности.
Описание. Проблема устранена путем ввода дополнительных проверок разрешений.
CVE-2022-26767: Войцех Регула (Wojciech Reguła, @_r3ggi) из SecuRing
Libinfo
Целевые продукты: macOS Monterey
Воздействие. Приложение может обойти настройки конфиденциальности.
Описание. Проблема устранена путем улучшения проверок.
CVE-2022-32882: Zhipeng Huo (@R3dF09) и Yuebin Sun (@yuebinsun2020) из Tencent Security Xuanwu Lab
Запись добавлена 16 сентября 2022 г.
libresolv
Целевые продукты: macOS Monterey
Воздействие. Удаленный пользователь может вызывать отказ в обслуживании.
Описание. Проблема устранена путем улучшения проверок.
CVE-2022-32790: Max Shavrick (@_mxms) из подразделения Google Security Team
Запись добавлена 21 июня 2022 г.
libresolv
Целевые продукты: macOS Monterey
Воздействие. Злоумышленник может вызвать неожиданное завершение работы приложения или выполнить произвольный код.
Описание. Проблема устранена путем улучшения проверок.
CVE-2022-26776: Зубайр Ашраф (Zubair Ashraf) из CrowdStrike, Макс Шаврик (Max Shavrick, @_mxms) из подразделения Google Security Team
CVE-2022-26708: Макс Шаврик (Max Shavrick, @_mxms) из подразделения Google Security Team
libresolv
Целевые продукты: macOS Monterey
Воздействие. Злоумышленник может вызвать неожиданное завершение работы приложения или выполнить произвольный код.
Описание. Проблема целочисленного переполнения устранена путем улучшенной проверки ввода.
CVE-2022-26775: Макс Шаврик (Max Shavrick, @_mxms) из подразделения Google Security Team
LibreSSL
Целевые продукты: macOS Monterey
Воздействие. Обработка вредоносного сертификата может приводить к отказу в обслуживании.
Описание. Проблема отказа в обслуживании устранена путем улучшенной проверки ввода.
CVE-2022-0778
libxml2
Целевые продукты: macOS Monterey
Воздействие. Злоумышленник может удаленно вызвать неожиданное завершение работы приложения или выполнение произвольного кода.
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
CVE-2022-23308
Login Window
Целевые продукты: macOS Monterey
Воздействие. Пользователь с доступом к компьютеру Mac может обойти проверку окна входа в систему.
Описание. Проблема согласованности устранена посредством улучшенного управления состояниями.
CVE-2022-48575: Paul Walker из Bury и Nathaniel Ekoniak из Ennate Technologies
Запись добавлена 31 октября 2023 г.
OpenSSL
Целевые продукты: macOS Monterey
Воздействие. Обработка вредоносного сертификата может приводить к отказу в обслуживании.
Описание. Проблема устранена путем улучшения проверок.
CVE-2022-0778
PackageKit
Целевые продукты: macOS Monterey
Воздействие. Приложение может получить повышенные привилегии.
Описание. Логическая проблема устранена путем улучшенного управления состояниями.
CVE-2022-32794: Mickey Jin (@patch1t)
Запись добавлена 4 октября 2022 г.
PackageKit
Целевые продукты: macOS Monterey
Воздействие. Приложение может получить повышенные привилегии.
Описание. Логическая проблема устранена путем улучшенного управления состояниями.
CVE-2022-22617: Mickey Jin (@patch1t)
Запись добавлена 6 июля 2022 г.
PackageKit
Целевые продукты: macOS Monterey
Воздействие. Вредоносное приложение может изменять защищенные области файловой системы.
Описание. Проблема решена путем удаления уязвимого кода.
CVE-2022-26712: Микки Цзинь (Mickey Jin, @patch1t)
PackageKit
Целевые продукты: macOS Monterey
Воздействие. Вредоносное приложение может изменять защищенные области файловой системы.
Описание. Проблема устранена с помощью улучшенных разрешений.
CVE-2022-26727: Микки Цзинь (Mickey Jin, @patch1t)
Photo Booth
Целевые продукты: macOS Monterey
Воздействие. Приложение с привилегиями root может получить доступ к личной информации.
Описание. Проблема устранена путем включения защищенной среды выполнения.
CVE-2022-32782: Wojciech Reguła (@_r3ggi) из SecuRing
Запись добавлена 6 июля 2022 г.
Preview
Целевые продукты: macOS Monterey
Воздействие. Плагин может наследовать права приложения и получать доступ к данным пользователя.
Описание. Проблема устранена путем улучшения проверок.
CVE-2022-26693: Войцех Регула (Wojciech Reguła, @_r3ggi) из SecuRing
Printing
Целевые продукты: macOS Monterey
Воздействие. Вредоносное приложение может обходить настройки конфиденциальности.
Описание. Проблема решена путем удаления уязвимого кода.
CVE-2022-26746: @gorelics
Safari Private Browsing
Целевые продукты: macOS Monterey
Воздействие. Вредоносный веб-сайт может отслеживать пользователей даже в режиме частного доступа Safari.
Описание. Логическая проблема устранена путем улучшенного управления состояниями.
CVE-2022-26731: анонимный исследователь
Security
Целевые продукты: macOS Monterey
Воздействие. Вредоносное приложение может обходить проверку подписи.
Описание. Проблема с анализом сертификатов устранена путем улучшения проверок.
CVE-2022-26766: Линус Хенце (Linus Henze) из Pinauten GmbH (pinauten.de)
SMB
Целевые продукты: macOS Monterey
Воздействие. Приложение может получить повышенные привилегии.
Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2022-26715: Питер Нгуен Ву Хоанг (Peter Nguyễn Vũ Hoàng, @peternguyen14) из STAR Labs
SMB
Целевые продукты: macOS Monterey
Воздействие. Приложение может получить повышенные привилегии.
Описание. Проблема чтения за границами выделенной области памяти устранена за счет оптимизации проверки ввода.
CVE-2022-26718: Питер Нгуен Ву Хоанг (Peter Nguyễn Vũ Hoàng, @peternguyen14) из STAR Labs
SMB
Целевые продукты: macOS Monterey
Воздействие. При подключении вредоносного сетевого ресурса Samba возможно выполнение произвольного кода.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.
CVE-2022-26723: Феликс Полин-Беланже (Felix Poulin-Belanger)
SoftwareUpdate
Целевые продукты: macOS Monterey
Воздействие. Вредоносное приложение может получить доступ к файлам, предназначенным для ограниченного использования.
Описание. Проблема устранена с помощью улучшенных разрешений.
CVE-2022-26728: Микки Цзинь (Mickey Jin, @patch1t)
Spotlight
Целевые продукты: macOS Monterey
Воздействие. Приложение может получить повышенные привилегии.
Описание. Существовавшая проблема с проверкой при обработке символьных ссылок была устранена путем их улучшенной проверки.
CVE-2022-26704: Gergely Kalman (@gergely_kalman) и Joshua Mason из Mandiant
Запись обновлена 31 октября 2023 г.
System Preferences
Целевые продукты: macOS Monterey
Воздействие. Приложение может создавать символьные ссылки на защищенные области диска.
Описание. Проблема устранена путем улучшенной проверки символьных ссылок.
CVE-2022-42857: Mickey Jin (@patch1t)
Запись добавлена 31 октября 2023 г.
TCC
Целевые продукты: macOS Monterey
Воздействие. Приложение может записывать изображение с экрана пользователя.
Описание. Проблема устранена путем улучшения проверок.
CVE-2022-26726: Antonio Cheong Yu Xuan из YCISCQ
Запись обновлена 11 мая 2023 г.
Tcl
Целевые продукты: macOS Monterey
Воздействие. Вредоносное приложение может выходить за границы изолированной среды.
Описание. Проблема устранена путем улучшения очистки среды.
CVE-2022-26755: Арсений Костромин (Arsenii Kostromin, 0x3c3e)
Terminal
Целевые продукты: macOS Monterey
Воздействие. Некий процесс в изолированной среде может обойти ограничения изолированной среды.
Описание. Проблема устранена путем улучшения очистки среды.
CVE-2022-26696: Ron Waisberg, анонимный исследователь, Wojciech Reguła (@_r3ggi) из SecuRing и Ron Hass (@ronhass7) из Perception Point
Запись добавлена 16 сентября 2022 г., обновлена 31 октября 2023 г.
WebKit
Целевые продукты: macOS Monterey
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению кода.
Описание. Проблема с повреждением данных в памяти устранена путем улучшения управления состояниями.
WebKit Bugzilla: 238178
CVE-2022-26700: пользователь ryuzaki
WebKit
Целевые продукты: macOS Monterey
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
WebKit Bugzilla: 236950
CVE-2022-26709: Чицзинь Чжоу (Chijin Zhou) из компании ShuiMuYuLin Ltd и WingTecher Lab при Университете Цинхуа
WebKit Bugzilla: 237475
CVE-2022-26710: Чицзинь Чжоу (Chijin Zhou) из компании ShuiMuYuLin Ltd и WingTecher Lab при Университете Цинхуа
WebKit Bugzilla: 238171
CVE-2022-26717: Чонхун Шин (Jeonghoon Shin) из Theori
WebKit
Целевые продукты: macOS Monterey
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Проблема с повреждением данных в памяти устранена путем улучшения управления состояниями.
WebKit Bugzilla: 238183
CVE-2022-26716: SorryMybad (@S0rryMybad) из Kunlun Lab
WebKit Bugzilla: 238699
CVE-2022-26719: Донгчжуо Чжао (Dongzhuo Zhao), сотрудничающий с отделом ADLab в Venustech
WebRTC
Целевые продукты: macOS Monterey
Воздействие. Предварительный просмотр собственного видео во время вызова WebRTC может прерываться, если пользователь отвечает на телефонный звонок.
Описание. Проблема с логикой одновременной обработки нескольких потоков медиаданных устранена путем улучшения обработки состояний.
WebKit Bugzilla: 237524
CVE-2022-22677: анонимный исследователь
Wi-Fi
Целевые продукты: macOS Monterey
Воздействие. Вредоносное приложение может раскрывать область памяти с ограниченным доступом.
Описание. Проблема с повреждением данных в памяти устранена путем улучшения проверки.
CVE-2022-26745: Scarlet Raine
Запись обновлена 6 июля 2022 г.
Wi-Fi
Целевые продукты: macOS Monterey
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.
CVE-2022-26761: Ван Юй (Wang Yu) из Cyberserval
Wi-Fi
Целевые продукты: macOS Monterey
Воздействие. Вредоносное приложение может выполнять произвольный код с системными правами.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.
CVE-2022-26762: Ван Юй (Wang Yu) из Cyberserval
ZIP
Целевые продукты: macOS Monterey
Воздействие. Обработка вредоносного файла может приводить к отказу в обслуживании.
Описание. Проблема отказа в обслуживании устранена путем улучшенного управления состояниями.
CVE-2022-0530
zlib
Целевые продукты: macOS Monterey
Воздействие. Злоумышленник может вызвать неожиданное завершение работы приложения или выполнить произвольный код.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.
CVE-2018-25032: Тэвис Орманди (Tavis Ormandy)
zsh
Целевые продукты: macOS Monterey
Воздействие. Злоумышленник может удаленно вызвать выполнение произвольного кода.
Описание. Проблема устранена путем обновления zsh до версии 5.8.1.
CVE-2021-45444
Дополнительные благодарности
AppleMobileFileIntegrity
Выражаем благодарность за помощь Войцеху Регуле (Wojciech Reguła, @_r3ggi) из SecuRing.
Bluetooth
Выражаем благодарность за помощь Янну Хорну (Jann Horn) из подразделения Project Zero.
Calendar
Выражаем благодарность за помощь Юджину Лиму (Eugene Lim) из Государственного технологического агентства Сингапура.
FaceTime
Выражаем благодарность за помощь Войцеху Регуле (Wojciech Reguła, @_r3ggi) из SecuRing.
FileVault
Выражаем благодарность за помощь Бенджамину Адольфи (Benjamin Adolphi) из Promon Germany GmbH.
Login Window
Выражаем благодарность за помощь Чабе Фицлю (Csaba Fitzl) (@theevilbit) из Offensive Security.
Photo Booth
Выражаем благодарность за помощь Войцеху Регуле (Wojciech Reguła, @_r3ggi) из SecuRing.
System Preferences
Выражаем благодарность за помощь Mohammad Tausif Siddiqui (@toshsiddiqui), Victor Grinchik (grinchik.com) и анонимному исследователю.
Запись обновлена 31 октября 2023 г.
WebKit
Выражаем благодарность за помощь James Lee и анонимному исследователю.
Запись обновлена 25 мая 2022 г.
Wi-Fi
Выражаем благодарность за помощь Дане Моррисон (Dana Morrison).