Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
Дополнительную информацию о безопасности продуктов Apple см. на этой странице.
macOS Monterey 12.6
Дата выпуска: 12 сентября 2022 г.
AppleMobileFileIntegrity
Целевые продукты: macOS Monterey
Воздействие. Приложение может получать доступ к конфиденциальным пользовательским данным.
Описание. Проблема с проверкой подписания кода устранена путем улучшения проверок.
CVE-2022-42789: Koh M. Nakagawa из FFRI Security, Inc.
Запись добавлена 27 октября 2022 г.
ATS
Целевые продукты: macOS Monterey
Воздействие. Приложение может обойти настройки конфиденциальности.
Описание. Логическая проблема устранена путем улучшенного управления состояниями.
CVE-2022-32902: Mickey Jin (@patch1t)
Запись добавлена 27 октября 2022 г.
ATS
Целевые продукты: macOS Monterey
Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.
Описание. Проблема доступа устранена путем ввода дополнительных ограничений изолированной среды.
CVE-2022-32904: Mickey Jin (@patch1t)
Запись добавлена 27 октября 2022 г.
ATS
Целевые продукты: macOS Monterey
Воздействие. Приложение может обойти настройки конфиденциальности.
Описание. Логическая проблема устранена путем улучшенного управления состояниями.
CVE-2022-32902: Mickey Jin (@patch1t)
Calendar
Целевые продукты: macOS Monterey
Воздействие. Приложение может получать доступ к конфиденциальным данным о геопозиции.
Описание. Проблема доступа устранена путем улучшения ограничений доступа.
CVE-2022-42819: анонимный исследователь
Запись добавлена 27 октября 2022 г.
GarageBand
Целевые продукты: macOS Monterey
Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.
Описание. Проблема конфигурации решена посредством добавления дополнительных ограничений.
CVE-2022-32877: Wojciech Reguła (@_r3ggi) из SecuRing
Запись добавлена 27 октября 2022 г.
ImageIO
Целевые продукты: macOS Monterey
Воздействие. Обработка изображения может приводить к отказу в обслуживании.
Описание. Проблема с отказом в обслуживании устранена путем улучшения процедуры проверки.
CVE-2022-1622
Запись добавлена 27 октября 2022 г.
Image Processing
Целевые продукты: macOS Monterey
Воздействие. Приложение в изолированной среде может определять, какое приложение в данный момент времени использует камеру.
Описание. Проблема устранена путем ввода дополнительных ограничений на возможность отслеживать состояния приложений.
CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)
Запись добавлена 27 октября 2022 г.
iMovie
Целевые продукты: macOS Monterey
Воздействие. Пользователь может просматривать конфиденциальные пользовательские данные.
Описание. Проблема устранена путем включения защищенной среды выполнения.
CVE-2022-32896: Wojciech Reguła (@_r3ggi)
Kernel
Целевые продукты: macOS Monterey
Воздействие. Подключение к вредоносному серверу NFS может привести к выполнению произвольного кода с привилегиями ядра.
Описание. Проблема устранена путем улучшенной проверки границ.
CVE-2022-46701: Felix Poulin-Belanger
Запись добавлена 11 мая 2023 г.
Kernel
Целевые продукты: macOS Monterey
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
CVE-2022-32914: пользователь Zweig из Kunlun Lab
Запись добавлена 27 октября 2022 г.
Kernel
Целевые продукты: macOS Monterey
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2022-32911: пользователь Zweig из Kunlun Lab
CVE-2022-32866: Linus Henze из Pinauten GmbH (pinauten.de)
CVE-2022-32924: Ian Beer из подразделения Google Project Zero
Запись обновлена 27 октября 2022 г.
Kernel
Целевые продукты: macOS Monterey
Воздействие. Приложение может раскрывать данные из памяти ядра.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2022-32864: Linus Henze из Pinauten GmbH (pinauten.de)
Kernel
Целевые продукты: macOS Monterey
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра. Компании Apple известно о том, что этой проблемой могли активно пользоваться.
Описание. Проблема устранена путем улучшенной проверки границ.
CVE-2022-32917: анонимный исследователь
Maps
Целевые продукты: macOS Monterey
Воздействие. Приложение может получать доступ к конфиденциальным данным о геопозиции.
Описание. Проблема с логикой устранена путем улучшения ограничений.
CVE-2022-32883: Ron Masas из breakpointhq.com
Запись обновлена 27 октября 2022 г.
MediaLibrary
Целевые продукты: macOS Monterey
Воздействие. Пользователь может повышать уровень прав.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.
CVE-2022-32908: анонимный исследователь
ncurses
Целевые продукты: macOS Monterey
Воздействие. Пользователь может выполнить произвольный код или вызвать неожиданное завершение работы приложения.
Описание. Проблема переполнения буфера решена посредством улучшенной проверки границ.
CVE-2021-39537
Запись добавлена 27 октября 2022 г.
Notes
Целевые продукты: macOS Monterey
Воздействие. Пользователь с преимущественным положением в сети может отслеживать активность других пользователей.
Описание. Проблема устранена путем улучшения защиты данных.
CVE-2022-42818: Gustav Hansen из WithSecure
Запись добавлена 22 декабря 2022 г.
PackageKit
Целевые продукты: macOS Monterey
Воздействие. Приложение может получить повышенные привилегии.
Описание. Логическая проблема устранена путем улучшенного управления состояниями.
CVE-2022-32900: Mickey Jin (@patch1t)
Sandbox
Целевые продукты: macOS Monterey
Воздействие. Приложение может изменять защищенные области файловой системы.
Описание. Проблема с логикой устранена путем улучшения ограничений.
CVE-2022-32881: Csaba Fitzl (@theevilbit) из Offensive Security
Запись добавлена 27 октября 2022 г.
Security
Целевые продукты: macOS Monterey
Воздействие. Приложение может обходить проверки подписания кода.
Описание. Проблема с проверкой подписания кода устранена путем улучшения проверок.
CVE-2022-42793: Linus Henze из Pinauten GmbH (pinauten.de)
Запись добавлена 27 октября 2022 г.
Sidecar
Целевые продукты: macOS Monterey
Воздействие. Пользователь может просматривать содержимое с ограниченным доступом на экране блокировки.
Описание. Логическая проблема устранена путем улучшенного управления состояниями.
CVE-2022-42790: Om kothawade из Zaprico Digital
Запись добавлена 27 октября 2022 г.
SMB
Целевые продукты: macOS Monterey
Воздействие. Удаленный пользователь может вызвать выполнение кода ядра.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2022-32934: Felix Poulin-Belanger
Запись добавлена 27 октября 2022 г.
Vim
Целевые продукты: macOS Monterey
Воздействие. Обработка вредоносного файла в формате может приводить к неожиданному завершению работы приложения или выполнению произвольного кода.
Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2022-0261
CVE-2022-0318
CVE-2022-0319
CVE-2022-0351
CVE-2022-0359
CVE-2022-0361
CVE-2022-0368
CVE-2022-0392
Запись добавлена 27 октября 2022 г.
Vim
Целевые продукты: macOS Monterey
Воздействие. Обработка вредоносного файла может вызывать отказ в обслуживании или раскрывать содержимое памяти.
Описание. Проблема устранена путем улучшения проверок.
CVE-2022-1720
CVE-2022-2000
CVE-2022-2042
CVE-2022-2124
CVE-2022-2125
CVE-2022-2126
Запись добавлена 27 октября 2022 г.
Weather
Целевые продукты: macOS Monterey
Воздействие. Приложение может получать доступ к конфиденциальным данным о геопозиции.
Описание. Логическая проблема устранена путем улучшенного управления состояниями.
CVE-2022-32875: анонимный исследователь
Запись добавлена 27 октября 2022 г.
WebKit
Целевые продукты: macOS Monterey
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.
WebKit Bugzilla: 242047
CVE-2022-32888: пользователь P1umer (@p1umer)
Запись добавлена 27 октября 2022 г.
Дополнительные благодарности
Apache
Выражаем благодарность за помощь Трише Ли (Tricia Lee) из Enterprise Service Center.
Запись добавлена 11 мая 2023 г.
Identity Services
Выражаем благодарность за помощь Joshua Jones.