Obsah zabezpečenia v systéme macOS Monterey 12.3
V tomto dokumente sa opisuje obsah zabezpečenia v systéme macOS Monterey 12.3.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
macOS Monterey 12.3
Accelerate Framework
Dostupné pre: macOS Monterey
Dopad: Otvorenie PDF súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-22633: ryuzaki
AMD
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2022-22669: Anonymný výskumník
AppKit
Dostupné pre: macOS Monterey
Dopad: Apka so škodlivým kódom môže byť schopná získať prístup k oprávneniam správcu
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.
CVE-2022-22665: Lockheed Martin Red Team
AppleEvents
Dostupné pre: macOS Monterey
Dopad: Vzdialený útočník môže spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2022-22630: Jeremy Brown v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
AppleGraphicsControl
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému so zápisom dát do zakázaných oblastí, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2022-22631: Wang Yu z tímu Cyberserval
AppleScript
Dostupné pre: macOS Monterey
Dopad: Spracovanie binárneho súboru AppleScript so škodlivým kódom môže spôsobiť neočakávané ukončenie apky alebo odhalenie operačnej pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2022-22625: Mickey Jin (@patch1t) zo spoločnosti Trend Micro
AppleScript
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná čítať vyhradenú pamäť
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2022-22648: Mickey Jin (@patch1t) zo spoločnosti Trend Micro
AppleScript
Dostupné pre: macOS Monterey
Dopad: Spracovanie binárneho súboru AppleScript so škodlivým kódom môže spôsobiť neočakávané ukončenie apky alebo odhalenie operačnej pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2022-22626: Mickey Jin (@patch1t) zo spoločnosti Trend Micro
CVE-2022-22627: Qi Sun a Robert Ai zo spoločnosti Trend Micro
AppleScript
Dostupné pre: macOS Monterey
Dopad: Spracovanie súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2022-22597: Qi Sun a Robert Ai zo spoločnosti Trend Micro
BOM
Dostupné pre: macOS Monterey
Dopad: Súbor ZIP so škodlivým kódom môže obísť kontroly funkcie Gatekeeper
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2022-22616: Ferdous Saljooki (@malwarezoo) a Jaron Bradley (@jbradley89) zo spoločnosti Jamf Software, Mickey Jin (@patch1t)
CoreTypes
Dostupné pre: macOS Monterey
Dopad: Apka so škodlivým kódom môže obísť kontroly modulu Gatekeeper
Popis: Tento problém bol vyriešený vylepšením kontrol, aby sa zabránilo neoprávneným akciám.
CVE-2022-22663: Arsenii Kostromin (0x3c3e)
CUPS
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-26691: Joshua Mason zo spoločnosti Mandiant
curl
Dostupné pre: macOS Monterey
Dopad: Viacero problémov v súčasti curl
Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizáciou curl na verziu 7.79.1.
CVE-2021-22946
CVE-2021-22947
CVE-2021-22945
FaceTime
Dostupné pre: macOS Monterey
Dopad: Používateľ môže vo FaceTime hovore odoslať audio a video bez toho, aby o tom vedel
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2022-22643: Sonali Luthar (University of Virginia), Michael Liao (University of Illinois v Urbana-Champaign), Rohan Pahwa (Rutgers University) a Bao Nguyen (University of Florida)
GarageBand MIDI
Dostupné pre: macOS Monterey
Dopad: Otvorenie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2022-22657: Brandon Perry zo spoločnosti Atredis Partners
GarageBand MIDI
Dostupné pre: macOS Monterey
Dopad: Otvorenie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2022-22664: Brandon Perry zo spoločnosti Atredis Partners
Graphics Drivers
Dostupné pre: macOS Monterey
Dopad: Apka so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2021-30977: Jack Dates zo spoločnosti RET2 Systems, Inc.
ImageIO
Dostupné pre: macOS Monterey
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2022-22611: Xingyu Jin (Google)
ImageIO
Dostupné pre: macOS Monterey
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k poškodeniu haldy
Popis: Dochádzalo k problému súvisiacemu so spotrebou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2022-22612: Xingyu Jin (Google)
Intel Graphics Driver
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania stavu.
CVE-2022-46706: Wang Yu z tímu Cyberserval a Pan ZhenPeng (@Peterpan0927) z tímu Alibaba Security Pandora Lab
Intel Graphics Driver
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania stavu.
CVE-2022-22661: Wang Yu z tímu Cyberserval a Pan ZhenPeng (@Peterpan0927) z tímu Alibaba Security Pandora Lab
IOGPUFamily
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2022-22641: Mohamed Ghannam (@_simo36)
Kernel
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému so zápisom dát do zakázaných oblastí, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2022-22613: Alex, anonymný výskumník
Kernel
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2022-22614: Anonymný výskumník
CVE-2022-22615: Anonymný výskumník
Kernel
Dostupné pre: macOS Monterey
Dopad: Apka so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-22632: Keegan Saunders
Kernel
Dostupné pre: macOS Monterey
Dopad: Útočník s oprávneniami môže byť schopný vykonať útok zameraný na odmietnutie služby
Popis: Dochádzalo k problému s dereferenciou smerníka s hodnotou NULL, ktorý bol vyriešený vylepšením overovania.
CVE-2022-22638: derrek (@derrekr6)
Kernel
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2022-22640: sqrtpwn
LaunchServices
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná obísť určité nastavenia súkromia
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2021-30946: @gorelics a Ron Masas z tímu BreakPoint.sh
libarchive
Dostupné pre: macOS Monterey
Dopad: Viacero problémov v knižnici libarchive
Popis: V súčasti libarchive dochádzalo k viacerým problémom súvisiacim s poškodením pamäte. Tieto problémy boli vyriešené vylepšením overovania vstupu.
CVE-2021-36976
LLVM
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná vymazať súbory, pri ktorých na to nemá povolenie
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.
CVE-2022-21658: Florian Weimer (@fweimer)
Login Window
Dostupné pre: macOS Monterey
Dopad: Osoba s prístupom k Macu môže byť schopná obísť prihlasovacie okno
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2022-22647: Yuto Ikeda z Kyushu University
LoginWindow
Dostupné pre: macOS Monterey
Dopad: Lokálny útočník môže byť schopný zobraziť plochu predtým prihláseného používateľa prostredníctvom obrazovky rýchleho prepínania používateľov
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-22656
MobileAccessoryUpdater
Dostupné pre: macOS Monterey
Dopad: Apka so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2022-22672: Siddharth Aeri (@b1n4r1b01)
NSSpellChecker
Dostupné pre: macOS Monterey
Dopad: Apka so škodlivým kódom môže byť schopná získať prístup k informáciám o kontaktoch používateľa
Popis: Pri spracovávaní vizitiek apky Kontakty dochádzalo k problému s ochranou osobných údajov. Tento problém bol vyriešený vylepšením správy stavu.
CVE-2022-22644: Thomas Roth (@stacksmashing) z tímu leveldown security
PackageKit
Dostupné pre: macOS Monterey
Dopad: Apka so škodlivým kódom môže byť schopná upravovať chránené časti súborového systému
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.
CVE-2022-26690: Mickey Jin (@patch1t) zo spoločnosti Trend Micro
PackageKit
Dostupné pre: macOS Monterey
Dopad: Škodlivá apka s oprávneniami správcu môže byť schopná upravovať obsah systémových súborov
Popis: Pri spracúvaní symbolických odkazov dochádzalo k problému, ktorý bol vyriešený vylepšením overovania.
CVE-2022-26688: Mickey Jin (@patch1t) zo spoločnosti Trend Micro
PackageKit
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-22617: Mickey Jin (@patch1t)
Preferences
Dostupné pre: macOS Monterey
Dopad: Apka so škodlivým kódom môže byť schopná čítať nastavenia iných apiek
Popis: Tento problém bol vyriešený pridaním ďalších kontrol povolení.
CVE-2022-22609: Mickey Jin (@patch1t), Zhipeng Huo (@R3dF09) a Yuebin Sun (@yuebinsun2020) (Tencent Security Xuanwu Lab, xlab.tencent.com)
QuickTime Player
Dostupné pre: macOS Monterey
Dopad: Plugin môže byť schopný prevziať povolenia apky a získať prístup k dátam používateľa
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2022-22650: Wojciech Reguła (@_r3ggi) z tímu SecuRing
Safari Downloads
Dostupné pre: macOS Monterey
Dopad: Súbor ZIP so škodlivým kódom môže obísť kontroly funkcie Gatekeeper
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2022-22616: Ferdous Saljooki (@malwarezoo) a Jaron Bradley (@jbradley89) zo spoločnosti Jamf Software, Mickey Jin (@patch1t)
Sandbox
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná spôsobiť únik citlivých používateľských informácií
Popis: Problém s prístupom bol vyriešený vylepšením sandboxu.
CVE-2022-22655: Csaba Fitzl (@theevilbit) z tímu Offensive Security
Sandbox
Dostupné pre: macOS Monterey
Dopad: Apka so škodlivým kódom môže byť schopná obísť určité nastavenia ochrany osobných údajov
Popis: Tento problém bol vyriešený vylepšením logiky povolení.
CVE-2022-22600: Sudhakar Muthumani (@sudhakarmuthu04) (Primefort Private Limited), Khiem Tran
Siri
Dostupné pre: macOS Monterey
Dopad: Osoba s fyzickým prístupom k zariadeniu môže byť schopná použiť Siri na získanie niektorých informácií o polohe zo zamknutej obrazovky
Popis : Dochádzalo k problému s povoleniami, ktorý bol vyriešený vylepšením overovania.
CVE-2022-22599: Andrew Goldberg z University of Texas v Austine, McCombs School of Business (linkedin.com/andrew-goldberg-/)
SMB
Dostupné pre: macOS Monterey
Dopad: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2022-22651: Felix Poulin-Belanger
SoftwareUpdate
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-22639: Mickey Jin (@patch1t)
System Preferences
Dostupné pre: macOS Monterey
Dopad: Apka môže byť schopná falšovať systémové hlásenia a používateľské rozhranie
Popis: Tento problém bol vyriešený novými oprávneniami.
CVE-2022-22660: Guilherme Rambo zo spoločnosti Best Buddy Apps (rambo.codes)
UIKit
Dostupné pre: macOS Monterey
Dopad: Osoba s fyzickým prístupom k zariadeniu so systémom iOS môže byť schopná zobraziť citlivé informácie prostredníctvom návrhov klávesnice
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2022-22621: Joey Hewitt
Vim
Dostupné pre: macOS Monterey
Dopad: Viacero problémov týkajúcich sa softvéru Vim
Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizáciou softvéru Vim.
CVE-2021-4136
CVE-2021-4166
CVE-2021-4173
CVE-2021-4187
CVE-2021-4192
CVE-2021-4193
CVE-2021-46059
CVE-2022-0128
CVE-2022-0156
CVE-2022-0158
VoiceOver
Dostupné pre: macOS Monterey
Dopad: Používateľ môže byť schopný zobraziť obmedzený obsah na zamknutej obrazovke
Popis: Dochádzalo k problému so zamknutou obrazovkou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30918: Anonymný výskumník
WebKit
Dostupné pre: macOS Monterey
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k odhaleniu citlivých používateľských informácií
Popis: Dochádzalo k problému so správou súborov cookie, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-22662: Prakash (@1lastBr3ath) (Threat Nix)
WebKit
Dostupné pre: macOS Monterey
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu kódu
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-22610: Quan Yin (Bigo Technology Live Client Team)
WebKit
Dostupné pre: macOS Monterey
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2022-22624: Kirin (@Pwnrin) (Tencent Security Xuanwu Lab)
CVE-2022-22628: Kirin (@Pwnrin) (Tencent Security Xuanwu Lab)
WebKit
Dostupné pre: macOS Monterey
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2022-22629: Jeonghoon Shin zo spoločnosti Theori v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
WebKit
Dostupné pre: macOS Monterey
Dopad: Webová stránka so škodlivým kódom môže spôsobiť neočakávané správanie využívajúce zámenu pôvodu
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-22637: Tom McKee zo spoločnosti Google
Wi-Fi
Dostupné pre: macOS Monterey
Dopad: Apka so škodlivým kódom byť schopná spôsobiť únik citlivých používateľských informácií
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2022-22668: MrPhil17
xar
Dostupné pre: macOS Monterey
Dopad: Lokálny používateľ môže byť schopný zapisovať ľubovoľné súbory
Popis: Pri spracovávaní symbolických odkazov dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania symbolických odkazov.
CVE-2022-22582: Richard Warren zo spoločnosti NCC Group
Ďalšie poďakovanie
AirDrop
Poďakovanie za pomoc si zaslúžia Omar Espino (omespino.com), Ron Masas (BreakPoint.sh).
Bluetooth
Poďakovanie za pomoc si zaslúžia anonymný výskumník a chenyuwang (@mzzzz__) zo spoločnosti Tencent Security Xuanwu Lab.
Disk Utility
Poďakovanie za pomoc si zaslúži Csaba Fitzl (@theevilbit) z tímu Offensive Security.
Face Gallery
Poďakovanie za pomoc si zaslúži Tian Zhang (@KhaosT).
Intel Graphics Driver
Poďakovanie za pomoc si zaslúžia Jack Dates zo spoločnosti RET2 Systems, Inc. a Yinyi Wu (@3ndy1).
Local Authentication
Poďakovanie za pomoc si zaslúži anonymný výskumník.
Notes
Poďakovanie za pomoc si zaslúži Nathaniel Ekoniak zo spoločnosti Ennate Technologies.
Password Manager
Poďakovanie za pomoc si zaslúži Maximilian Golla (@m33x) z organizácie Max Planck Institute for Security and Privacy (MPI-SP).
Siri
Poďakovanie za pomoc si zaslúži anonymný výskumník.
syslog
Poďakovanie za pomoc si zaslúži Yonghwi Jin (@jinmo123) (Theori).
TCC
Poďakovanie za pomoc si zaslúži Csaba Fitzl (@theevilbit) z tímu Offensive Security.
UIKit
Poďakovanie za pomoc si zaslúži Tim Shadel (Day Logger, Inc).
WebKit
Poďakovanie za pomoc si zaslúži Abdullah Md Shaleh.
WebKit Storage
Poďakovanie za pomoc si zaslúži Martin Bajanik zo spoločnosti FingerprintJS.
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.