Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet.
macOS Monterey 12.4
Släpptes 16 maj 2022
AMD
Tillgängligt för: macOS Monterey
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.
CVE-2022-26772: En anonym forskare
AMD
Tillgängligt för: macOS Monterey
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett problem med buffertspill åtgärdades genom förbättrad minneshantering.
CVE-2022-26741: ABC Research s.r.o
CVE-2022-26742: ABC Research s.r.o
CVE-2022-26749: ABC Research s.r.o
CVE-2022-26750: ABC Research s.r.o
CVE-2022-26752: ABC Research s.r.o
CVE-2022-26753: ABC Research s.r.o
CVE-2022-26754: ABC Research s.r.o
apache
Tillgängligt för: macOS Monterey
Effekt: Flera problem i Apache
Beskrivning: Flera problem åtgärdades genom att uppdatera apache till version 2.4.53.
CVE-2021-44224
CVE-2021-44790
CVE-2022-22719
CVE-2022-22720
CVE-2022-22721
AppleGraphicsControl
Tillgängligt för: macOS Monterey
Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2022-26751: Michael DePlante (@izobashi) på Trend Micro Zero Day Initiative
AppleMobileFileIntegrity
Tillgängligt för: macOS Monterey
Effekt: En användare kan visa känslig användarinformation
Beskrivning: Ett problem med hantering av miljövariabler åtgärdades med förbättrad validering.
CVE-2022-26707: Wojciech Reguła (@_r3ggi) från SecuRing
Lades till 6 juli 2022
AppleScript
Tillgängligt för: macOS Monterey
Effekt: Bearbetning av en AppleScript-binärfil med skadligt innehåll kan leda till oväntat appavslut eller till att processminnet avslöjas
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2022-26697: Qi Sun och Robert Ai på Trend Micro
AppleScript
Tillgängligt för: macOS Monterey
Effekt: Bearbetning av en AppleScript-binärfil med skadligt innehåll kan leda till oväntat appavslut eller till att processminnet avslöjas
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2022-26698: Qi Sun från Trend Micro, Ye Zhang (@co0py_Cat) från Baidu Security
Uppdaterades 6 juli 2022
AVEVideoEncoder
Tillgängligt för: macOS Monterey
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2022-26736: En anonym forskare
CVE-2022-26737: En anonym forskare
CVE-2022-26738: En anonym forskare
CVE-2022-26739: En anonym forskare
CVE-2022-26740: En anonym forskare
Bluetooth
Tillgängligt för: macOS Monterey
Effekt: En app kan få obehörig åtkomst till Bluetooth
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.
CVE-2022-32783: Jon Thompson från Evolve (Des Moines, IA)
Lades till 6 juli 2022
Contacts
Tillgängligt för: macOS Monterey
Effekt: Ett insticksprogram kanske kan ärva programmets behörigheter och komma åt användardata
Beskrivning: Problemet åtgärdades med förbättrade kontroller.
CVE-2022-26694: Wojciech Reguła (@_r3ggi) på SecuRing
CVMS
Tillgängligt för: macOS Monterey
Effekt: En skadlig app kan tillskansa sig rotbehörighet
Beskrivning: Ett minnesinitieringsfel åtgärdades.
CVE-2022-26721: Yonghwi Jin (@jinmo123) på Theori
CVE-2022-26722: Yonghwi Jin (@jinmo123) på Theori
DriverKit
Tillgängligt för: macOS Monterey
Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett problem med dataåtkomst utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2022-26763: Linus Henze på Pinauten GmbH (pinauten.de)
FaceTime
Tillgängligt för: macOS Monterey
Effekt: En app med rotbehörighet kan ha tillgång till privat information
Beskrivning: Problemet åtgärdades genom att aktivera härdad exekvering.
CVE-2022-32781: Wojciech Reguła (@_r3ggi) från SecuRing
Lades till 6 juli 2022
ImageIO
Tillgängligt för: macOS Monterey
Effekt: En fjärrangripare kunde orsaka ett oväntat programavslut eller körning av opålitlig kod
Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.
CVE-2022-26711: Actae0n på Blacksun Hackers Club som arbetar med Trend Micro Zero Day Initiative
ImageIO
Tillgängligt för: macOS Monterey
Effekt: Bildplatsinformation kan finnas kvar efter att den har tagits bort med Preview Inspector
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2022-26725: Andrew Williams och Avi Drissman på Google
Intel Graphics Driver
Tillgängligt för: macOS Monterey
Effekt: En skadlig app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2022-26720: Liu Long på Ant Security Light-Year Lab
Intel Graphics Driver
Tillgängligt för: macOS Monterey
Effekt: En skadlig app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2022-26769: Antonio Zekic (@antoniozekic)
Intel Graphics Driver
Tillgängligt för: macOS Monterey
Effekt: En skadlig app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2022-26770: Liu Long på Ant Security Light-Year Lab
Intel Graphics Driver
Tillgängligt för: macOS Monterey
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2022-26748: Jeonghoon Shin på Theori i samarbete med Trend Micro Zero Day Initiative
Intel Graphics Driver
Tillgängligt för: macOS Monterey
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2022-26756: Jack Dates på RET2 Systems Inc
IOKit
Tillgängligt för: macOS Monterey
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad låsning.
CVE-2022-26701: chenyuwang (@mzzzz__) på Tencent Security Xuanwu Lab
IOMobileFrameBuffer
Tillgängligt för: macOS Monterey
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.
CVE-2022-26768: En anonym forskare
Kernel
Tillgängligt för: macOS Monterey
Effekt: Ett skadligt program kan leda till oväntade förändringar av minnet som delas mellan processer
Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.
CVE-2022-26758: En anonym forskare
Lades till 31 oktober 2023
Kernel
Tillgängligt för: macOS Monterey
Effekt: En angripare som redan har uppnått körning av kod i macOS Återställning kan eskalera till kernelbehörighet
Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2022-26743: Jordy Zomer (@pwningsystems)
Kernel
Tillgängligt för: macOS Monterey
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades med hjälp av förbättrad validering.
CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) på STAR Labs (@starlabs_sg)
Kernel
Tillgängligt för: macOS Monterey
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett uaf-fel åtgärdades genom förbättrad minneshantering.
CVE-2022-26757: Ned Williamson på Google Project Zero
Kernel
Tillgängligt för: macOS Monterey
Effekt: En angripare som redan har uppnått körning av kernel-kod kan kringgå kärnminnesbegränsningar
Beskrivning: Ett minnesfel åtgärdades med hjälp av förbättrad validering.
CVE-2022-26764: Linus Henze på Pinauten GmbH (pinauten.de)
Kernel
Tillgängligt för: macOS Monterey
Effekt: En angripare med godtycklig läs- och skrivkapacitet kan kringgå pekarautentisering
Beskrivning: ett konkurrenstillstånd åtgärdades genom förbättrad tillståndshantering.
CVE-2022-26765: Linus Henze på Pinauten GmbH (pinauten.de)
LaunchServices
Tillgängligt för: macOS Monterey
Effekt: En process i sandlådeläge kan kringgå sandlådebegränsningarna
Beskrivning: Ett åtkomstproblem åtgärdades med ytterligare sandlådebegränsningar för tredjepartsprogram.
CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or från Microsoft
Uppdaterades 6 juli 2022
LaunchServices
Tillgängligt för: macOS Monterey
Effekt: En skadlig app kan kringgå integritetsinställningar
Beskrivning: Problemet har åtgärdats med ytterligare behörighetskontroller.
CVE-2022-26767: Wojciech Reguła (@_r3ggi) på SecuRing
Libinfo
Tillgängligt för: macOS Monterey
Effekt: En app kan kringgå inställningar för Integritet
Beskrivning: Problemet åtgärdades med förbättrade kontroller.
CVE-2022-32882: Zhipeng Huo (@R3dF09) och Yuebin Sun (@yuebinsun2020) från Tencent Security Xuanwu Lab
Lades till 16 september 2022
libresolv
Tillgängligt för: macOS Monterey
Effekt: En fjärrangripare kan orsaka ett dos-angrepp
Beskrivning: Problemet åtgärdades med förbättrade kontroller.
CVE-2022-32790: Max Shavrick (@_mxms) på Googles säkerhetsteam
Lades till 21 juni 2022
libresolv
Tillgängligt för: macOS Monterey
Effekt: En angripare kan orsaka oväntade programavslut eller körning av opålitlig kod
Beskrivning: Problemet åtgärdades med förbättrade kontroller.
CVE-2022-26776: Zubair Ashraf på Crowdstrike, Max Shavrick (@_mxms) på Googles säkerhetsteam
CVE-2022-26708: Max Shavrick (@_mxms) på Googles säkerhetsteam
libresolv
Tillgängligt för: macOS Monterey
Effekt: En angripare kan orsaka oväntade programavslut eller körning av opålitlig kod
Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.
CVE-2022-26775: Max Shavrick (@_mxms) på Googles säkerhetsteam
LibreSSL
Tillgängligt för: macOS Monterey
Effekt: Bearbetning av ett skadligt certifikat kan leda till att åtkomst till tjänsten nekas
Beskrivning: Ett problem med överbelastningsangrepp (DoS) åtgärdades genom förbättrad indatavalidering.
CVE-2022-0778
libxml2
Tillgängligt för: macOS Monterey
Effekt: En fjärrangripare kunde orsaka ett oväntat programavslut eller körning av opålitlig kod
Beskrivning: Ett uaf-fel åtgärdades genom förbättrad minneshantering.
CVE-2022-23308
Login Window
Tillgängligt för: macOS Monterey
Effekt: En person med fysisk åtkomst till en Mac-dator kan kringgå inloggningsfönstret
Beskrivning: Ett överensstämmelseproblem åtgärdades genom förbättrad tillståndshantering.
CVE-2022-48575: Paul Walker på Bury och Nathaniel Ekoniak på Ennate Technologies
Lades till 31 oktober 2023
OpenSSL
Tillgängligt för: macOS Monterey
Effekt: Om du bearbetar ett certifikat med skadligt innehåll kan det leda till att tjänsten nekas
Beskrivning: Problemet åtgärdades med förbättrade kontroller.
CVE-2022-0778
PackageKit
Tillgängligt för: macOS Monterey
Effekt: En app kan få högre behörighet
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2022-32794: Mickey Jin (@patch1t)
Lades till 4 oktober 2022
PackageKit
Tillgängligt för: macOS Monterey
Effekt: En app kan få högre behörighet
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2022-22617: Mickey Jin (@patch1t)
Lades till 6 juli 2022
PackageKit
Tillgängligt för: macOS Monterey
Effekt: En skadlig app kan ändra skyddade delar av filsystemet
Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.
CVE-2022-26712: Mickey Jin (@patch1t)
PackageKit
Tillgängligt för: macOS Monterey
Effekt: En skadlig app kan ändra skyddade delar av filsystemet
Beskrivning: Problemet åtgärdades med förbättrade behörigheter.
CVE-2022-26727: Mickey Jin (@patch1t)
Photo Booth
Tillgängligt för: macOS Monterey
Effekt: En app med rotbehörighet kan ha tillgång till privat information
Beskrivning: Problemet åtgärdades genom att aktivera härdad exekvering.
CVE-2022-32782: Wojciech Reguła (@_r3ggi) från SecuRing
Lades till 6 juli 2022
Preview
Tillgängligt för: macOS Monterey
Effekt: Ett insticksprogram kanske kan ärva programmets behörigheter och komma åt användardata
Beskrivning: Problemet åtgärdades med förbättrade kontroller.
CVE-2022-26693: Wojciech Reguła (@_r3ggi) på SecuRing
Printing
Tillgängligt för: macOS Monterey
Effekt: En skadlig app kan kringgå integritetsinställningar
Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.
CVE-2022-26746: @gorelics
Safari Private Browsing
Tillgängligt för: macOS Monterey
Effekt: En skadlig webbplats kan spåra användare som använder privat surfning i Safari
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2022-26731: En anonym forskare
Security
Tillgängligt för: macOS Monterey
Effekt: En skadlig app kanske kan kringgå signaturvalidering
Beskrivning: Ett problem med att analysera certifikat åtgärdades med förbättrade kontroller.
CVE-2022-26766: Linus Henze på Pinauten GmbH (pinauten.de)
SMB
Tillgängligt för: macOS Monterey
Effekt: En app kan få högre behörighet
Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2022-26715: Peter Nguyễn Vũ Hoàng på STAR Labs
SMB
Tillgängligt för: macOS Monterey
Effekt: En app kan få högre behörighet
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2022-26718: Peter Nguyễn Vũ Hoàng på STAR Labs
SMB
Tillgängligt för: macOS Monterey
Effekt: Montering av en skadligt utformad Samba-nätverksresurs kan leda till körning av opålitlig kod
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2022-26723: Felix Poulin-Belanger
SoftwareUpdate
Tillgängligt för: macOS Monterey
Effekt: Ett program med skadligt innehåll kan få tillgång till begränsade filer
Beskrivning: Problemet åtgärdades med förbättrade behörigheter.
CVE-2022-26728: Mickey Jin (@patch1t)
Spotlight
Tillgängligt för: macOS Monterey
Effekt: En app kan få högre behörighet
Beskrivning: Ett valideringsproblem förekom i hanteringen av symlänkar och åtgärdades genom förbättrad validering av symlänkar.
CVE-2022-26704: Gergely Kalman (@gergely_kalman) och Joshua Mason på Mandiant
Uppdaterades 31 oktober 2023
System Preferences
Tillgängligt för: macOS Monterey
Effekt: En app kan skapa symlänkar till skyddade delar av disken
Beskrivning: Problemet åtgärdades genom förbättrad validering av symlänkar.
CVE-2022-42857: Mickey Jin (@patch1t)
Lades till 31 oktober 2023
TCC
Tillgängligt för: macOS Monterey
Effekt: En app kan registrera en användares skärm
Beskrivning: Problemet åtgärdades med förbättrade kontroller.
CVE-2022-26726: Antonio Cheong Yu Xuan på YCISCQ
Uppdaterades 11 maj 2023
Tcl
Tillgängligt för: macOS Monterey
Effekt: Ett program med skadligt innehåll kan bryta sig ut från sin sandlåda
Beskrivning: Problemet åtgärdades genom förbättrad sanering av miljön.
CVE-2022-26755: Arsenii Kostromin (0x3c3e)
Terminal
Tillgängligt för: macOS Monterey
Effekt: En process i sandlådeläge kan kringgå sandlådebegränsningarna
Beskrivning: Problemet åtgärdades genom förbättrad sanering av miljön.
CVE-2022-26696: Ron Waisberg, en anonym forskare, Wojciech Reguła (@_r3ggi) på SecuRing och Ron Hass (@ronhass7) på Perception Point
Lades till 16 september 2022, uppdaterades 31 oktober 2023
WebKit
Tillgängligt för: macOS Monterey
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av kod
Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.
WebKit Bugzilla: 238178
CVE-2022-26700: Ryuzaki
WebKit
Tillgängligt för: macOS Monterey
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Ett uaf-fel åtgärdades genom förbättrad minneshantering.
WebKit Bugzilla: 236950
CVE-2022-26709: Chijin Zhou på ShuiMuYuLin Ltd och Tsinghua wingtecher lab
WebKit Bugzilla: 237475
CVE-2022-26710: Chijin Zhou på ShuiMuYuLin Ltd och Tsinghua wingtecher lab
WebKit Bugzilla: 238171
CVE-2022-26717: Jeonghoon Shin på Theori
WebKit
Tillgängligt för: macOS Monterey
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.
WebKit Bugzilla: 238183
CVE-2022-26716: SorryMybad (@S0rryMybad) på Kunlun Lab
WebKit Bugzilla: 238699
CVE-2022-26719: Dongzhuo Zhao som arbetar med ADLab på Venustech
WebRTC
Tillgängligt för: macOS Monterey
Effekt: Förhandsvisning av hur du ser ut på video i ett webRTC-samtal kan avbrytas om användaren svarar på ett telefonsamtal
Beskrivning: Ett logiskt problem i hanteringen av samtidiga medier åtgärdades med förbättrad tillståndshantering.
WebKit Bugzilla: 237524
CVE-2022-22677: En anonym forskare
Wi-Fi
Tillgängligt för: macOS Monterey
Effekt: En skadlig app kan leda till att begränsat minne avslöjas
Beskrivning: Ett minnesfel åtgärdades med hjälp av förbättrad validering.
CVE-2022-26745: Scarlet Raine
Uppdaterades 6 juli 2022
Wi-Fi
Tillgängligt för: macOS Monterey
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2022-26761: Wang Yu på Cyberserval
Wi-Fi
Tillgängligt för: macOS Monterey
Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2022-26762: Wang Yu på Cyberserval
zip
Tillgängligt för: macOS Monterey
Effekt: Bearbetning av en skadlig fil kan leda till att åtkomsten till tjänsten nekas
Beskrivning: Ett problem med tjänster som nekades åtgärdades genom förbättrad tillståndshantering.
CVE-2022-0530
zlib
Tillgängligt för: macOS Monterey
Effekt: En angripare kan orsaka oväntade programavslut eller körning av opålitlig kod
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2018-25032: Tavis Ormandy
zsh
Tillgängligt för: macOS Monterey
Effekt: En fjärrangripare kan orsaka körning av opålitlig kod
Beskrivning: Problemet åtgärdades med hjälp av en uppdatering av zsh till version 5.8.1.
CVE-2021-45444
Ytterligare tack
AppleMobileFileIntegrity
Vi vill tacka Wojciech Reguła (@_r3ggi) på SecuRing för hjälpen.
Bluetooth
Vi vill tacka Jann Horn på Project Zero för hjälpen.
Kalender
Vi vill tacka Eugene Lim på Government Technology Agency i Singapore för hjälpen.
FaceTime
Vi vill tacka Wojciech Reguła (@_r3ggi) på SecuRing för hjälpen.
FileVault
Vi vill tacka Benjamin Adolphi på Promon Germany GmbH för hjälpen.
Login Window
Vi vill tacka Csaba Fitzl (@theevilbit) på Offensive Security för hjälpen.
Photo Booth
Vi vill tacka Wojciech Reguła (@_r3ggi) på SecuRing för hjälpen.
Systeminställningar
Vi vill tacka Mohammad Tausif Siddiqui (@toshsiddiqui), Victor Grinchik (grinchik.com), och en anonym forskare för hjälpen.
Uppdaterades 31 oktober 2023
WebKit
Vi vill tacka James Lee och en anonym forskare för hjälpen.
Uppdaterades 25 maj 2022
Wi-Fi
Vi vill tacka Dana Morrison för hjälpen.