Сведения о проблемах системы безопасности, устраняемых обновлением macOS Monterey 12.6

В этом документе описаны проблемы системы безопасности, устраняемые обновлением macOS Monterey 12.6.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительную информацию о безопасности продуктов Apple см. на этой странице.

macOS Monterey 12.6

Дата выпуска: 12 сентября 2022 г.

AppleMobileFileIntegrity

Целевые продукты: macOS Monterey

Воздействие. Приложение может получать доступ к конфиденциальным пользовательским данным.

Описание. Проблема с проверкой подписания кода устранена путем улучшения проверок.

CVE-2022-42789: Koh M. Nakagawa из FFRI Security, Inc.

Запись добавлена 27 октября 2022 г.

ATS

Целевые продукты: macOS Monterey

Воздействие. Приложение может обойти настройки конфиденциальности.

Описание. Логическая проблема устранена путем улучшенного управления состояниями.

CVE-2022-32902: Mickey Jin (@patch1t)

Запись добавлена 27 октября 2022 г.

ATS

Целевые продукты: macOS Monterey

Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.

Описание. Проблема доступа устранена путем ввода дополнительных ограничений изолированной среды.

CVE-2022-32904: Mickey Jin (@patch1t)

Запись добавлена 27 октября 2022 г.

ATS

Целевые продукты: macOS Monterey

Воздействие. Приложение может обойти настройки конфиденциальности.

Описание. Логическая проблема устранена путем улучшенного управления состояниями.

CVE-2022-32902: Mickey Jin (@patch1t)

Calendar

Целевые продукты: macOS Monterey

Воздействие. Приложение может получать доступ к конфиденциальным данным о геопозиции.

Описание. Проблема доступа устранена путем улучшения ограничений доступа.

CVE-2022-42819: анонимный исследователь

Запись добавлена 27 октября 2022 г.

GarageBand

Целевые продукты: macOS Monterey

Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.

Описание. Проблема конфигурации решена посредством добавления дополнительных ограничений.

CVE-2022-32877: Wojciech Reguła (@_r3ggi) из SecuRing

Запись добавлена 27 октября 2022 г.

ImageIO

Целевые продукты: macOS Monterey

Воздействие. Обработка изображения может приводить к отказу в обслуживании.

Описание. Проблема с отказом в обслуживании устранена путем улучшения процедуры проверки.

CVE-2022-1622

Запись добавлена 27 октября 2022 г.

Image Processing

Целевые продукты: macOS Monterey

Воздействие. Приложение в изолированной среде может определять, какое приложение в данный момент времени использует камеру.

Описание. Проблема устранена путем ввода дополнительных ограничений на возможность отслеживать состояния приложений.

CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)

Запись добавлена 27 октября 2022 г.

iMovie

Целевые продукты: macOS Monterey

Воздействие. Пользователь может просматривать конфиденциальные пользовательские данные.

Описание. Проблема устранена путем включения защищенной среды выполнения.

CVE-2022-32896: Wojciech Reguła (@_r3ggi)

Kernel

Целевые продукты: macOS Monterey

Воздействие. Подключение к вредоносному серверу NFS может привести к выполнению произвольного кода с привилегиями ядра.

Описание. Проблема устранена путем улучшенной проверки границ.

CVE-2022-46701: Felix Poulin-Belanger

Запись добавлена 11 мая 2023 г.

Kernel

Целевые продукты: macOS Monterey

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2022-32914: пользователь Zweig из Kunlun Lab

Запись добавлена 27 октября 2022 г.

Kernel

Целевые продукты: macOS Monterey

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2022-32911: пользователь Zweig из Kunlun Lab

CVE-2022-32866: Linus Henze из Pinauten GmbH (pinauten.de)

CVE-2022-32924: Ian Beer из подразделения Google Project Zero

Запись обновлена 27 октября 2022 г.

Kernel

Целевые продукты: macOS Monterey

Воздействие. Приложение может раскрывать данные из памяти ядра.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2022-32864: Linus Henze из Pinauten GmbH (pinauten.de)

Kernel

Целевые продукты: macOS Monterey

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра. Компании Apple известно о том, что этой проблемой могли активно пользоваться.

Описание. Проблема устранена путем улучшенной проверки границ.

CVE-2022-32917: анонимный исследователь

Maps

Целевые продукты: macOS Monterey

Воздействие. Приложение может получать доступ к конфиденциальным данным о геопозиции.

Описание. Проблема с логикой устранена путем улучшения ограничений.

CVE-2022-32883: Ron Masas из breakpointhq.com

Запись обновлена 27 октября 2022 г.

MediaLibrary

Целевые продукты: macOS Monterey

Воздействие. Пользователь может повышать уровень прав.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.

CVE-2022-32908: анонимный исследователь

ncurses

Целевые продукты: macOS Monterey

Воздействие. Пользователь может выполнить произвольный код или вызвать неожиданное завершение работы приложения.

Описание. Проблема переполнения буфера решена посредством улучшенной проверки границ.

CVE-2021-39537

Запись добавлена 27 октября 2022 г.

Notes

Целевые продукты: macOS Monterey

Воздействие. Пользователь с преимущественным положением в сети может отслеживать активность других пользователей.

Описание. Проблема устранена путем улучшения защиты данных.

CVE-2022-42818: Gustav Hansen из WithSecure

Запись добавлена 22 декабря 2022 г.

PackageKit

Целевые продукты: macOS Monterey

Воздействие. Приложение может получить повышенные привилегии.

Описание. Логическая проблема устранена путем улучшенного управления состояниями.

CVE-2022-32900: Mickey Jin (@patch1t)

Sandbox

Целевые продукты: macOS Monterey

Воздействие. Приложение может изменять защищенные области файловой системы.

Описание. Проблема с логикой устранена путем улучшения ограничений.

CVE-2022-32881: Csaba Fitzl (@theevilbit) из Offensive Security

Запись добавлена 27 октября 2022 г.

Security

Целевые продукты: macOS Monterey

Воздействие. Приложение может обходить проверки подписания кода.

Описание. Проблема с проверкой подписания кода устранена путем улучшения проверок.

CVE-2022-42793: Linus Henze из Pinauten GmbH (pinauten.de)

Запись добавлена 27 октября 2022 г.

Sidecar

Целевые продукты: macOS Monterey

Воздействие. Пользователь может просматривать содержимое с ограниченным доступом на экране блокировки.

Описание. Логическая проблема устранена путем улучшенного управления состояниями.

CVE-2022-42790: Om kothawade из Zaprico Digital

Запись добавлена 27 октября 2022 г.

SMB

Целевые продукты: macOS Monterey

Воздействие. Удаленный пользователь может вызвать выполнение кода ядра.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2022-32934: Felix Poulin-Belanger

Запись добавлена 27 октября 2022 г.

Vim

Целевые продукты: macOS Monterey

Воздействие. Обработка вредоносного файла в формате может приводить к неожиданному завершению работы приложения или выполнению произвольного кода.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2022-0261

CVE-2022-0318

CVE-2022-0319

CVE-2022-0351

CVE-2022-0359

CVE-2022-0361

CVE-2022-0368

CVE-2022-0392

Запись добавлена 27 октября 2022 г.

Vim

Целевые продукты: macOS Monterey

Воздействие. Обработка вредоносного файла может вызывать отказ в обслуживании или раскрывать содержимое памяти.

Описание. Проблема устранена путем улучшения проверок.

CVE-2022-1720

CVE-2022-2000

CVE-2022-2042

CVE-2022-2124

CVE-2022-2125

CVE-2022-2126

Запись добавлена 27 октября 2022 г.

Weather

Целевые продукты: macOS Monterey

Воздействие. Приложение может получать доступ к конфиденциальным данным о геопозиции.

Описание. Логическая проблема устранена путем улучшенного управления состояниями.

CVE-2022-32875: анонимный исследователь

Запись добавлена 27 октября 2022 г.

WebKit

Целевые продукты: macOS Monterey

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.

WebKit Bugzilla: 242047
CVE-2022-32888: пользователь P1umer (@p1umer)

Запись добавлена 27 октября 2022 г.

Дополнительные благодарности

Apache

Выражаем благодарность за помощь Трише Ли (Tricia Lee) из Enterprise Service Center.

Запись добавлена 11 мая 2023 г.

Identity Services

Выражаем благодарность за помощь Joshua Jones.

 

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: