เกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Monterey 12.2
เอกสารฉบับนี้อธิบายเนื้อหาความปลอดภัยของ macOS Monterey 12.2
เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
macOS Monterey 12.2
AMD Kernel
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยพลการ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2022-22586: นักวิจัยนิรนาม
ColorSync
มีให้สำหรับ: macOS Monterey
ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2022-22584: Mickey Jin (@patch1t) จาก Trend Micro
Crash Reporter
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจสามารถได้รับสิทธิ์ในระดับรูท
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2022-22578: Zhipeng Huo (@R3dF09) และ Yuebin Sun (@yuebinsun2020) จาก Tencent Security Xuanwu Lab (xlab.tencent.com)
iCloud
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปพลิเคชันอาจเข้าถึงไฟล์ของผู้ใช้ได้
คำอธิบาย: มีปัญหาภายในตรรกะการตรวจสอบเส้นทางสำหรับ symlinks ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลสภาพเส้นทางให้ดียิ่งขึ้น
CVE-2022-22585: Zhipeng Huo (@R3dF09) จาก Tencent Security Xuanwu Lab (https://xlab.tencent.com)
Intel Graphics Driver
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยพลการ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2022-22591: Antonio Zekic (@antoniozekic) จาก Diverto
IOMobileFrameBuffer
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ Apple รับทราบถึงรายงานที่แจ้งว่ามีการตั้งใจใช้ประโยชน์จากปัญหานี้
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2022-22587: นักวิจัยนิรนาม, Meysam Firouzi (@R00tkitSMM) จาก MBition - Mercedes-Benz Innovation Lab และ Siddharth Aeri (@b1n4r1b01)
Kernel
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยพลการ
คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2022-22593: Peter Nguyễn Vũ Hoàng จาก STAR Labs
Model I/O
มีให้สำหรับ: macOS Monterey
ผลกระทบ: การประมวลผลไฟล์ STL ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการใช้โค้ดโดยพลการ
คำอธิบาย: ปัญหาการเปิดเผยข้อมูลได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2022-22579: Mickey Jin (@patch1t) จาก Trend Micro
PackageKit
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการนำรหัสที่มีความเสี่ยงออก
CVE-2022-22646: Mickey Jin (@patch1t), Mickey Jin (@patch1t) จาก Trend Micro
PackageKit
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปพลิเคชันอาจสามารถลบไฟล์ที่ไม่ได้รับอนุญาตได้
คำอธิบาย: ปัญหาการตรวจสอบตัวจัดการอีเวนต์ใน XPC Services API ได้รับการแก้ไขแล้วโดยการลบบริการออก
CVE-2022-22676: Mickey Jin (@patch1t) จาก Trend Micro
PackageKit
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปพลิเคชันอาจเข้าถึงไฟล์ที่มีการจำกัดสิทธิ์ได้
คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2022-22583: Ron Hass (@ronhass7) จาก Perception Point, Mickey Jin (@patch1t)
WebKit
มีให้สำหรับ: macOS Monterey
ผลกระทบ: การประมวลผลข้อความเมลที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการเรียกใช้ JavaScript โดยพลการ
คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น
CVE-2022-22589: Heige จาก KnownSec 404 Team (knownsec.com) และ Bo Qu จาก Palo Alto Networks (paloaltonetworks.com)
WebKit
มีให้สำหรับ: macOS Monterey
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2022-22590: Toan Pham จาก Team Orca of Sea Security (security.sea.com)
WebKit
มีให้สำหรับ: macOS Monterey
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจป้องกันไม่ให้บังคับใช้นโยบายความปลอดภัยคอนเทนต์
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2022-22592: Prakash (@1lastBr3ath)
WebKit Storage
มีให้สำหรับ: macOS Monterey
ผลกระทบ: เว็บไซต์อาจสามารถติดตามข้อมูลที่มีความละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหา Cross-Origin ใน API ของ IndexDB ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2022-22594: Martin Bajanik จาก FingerprintJS
คำขอบคุณพิเศษ
Kernel
เราขอขอบคุณสำหรับความช่วยเหลือของ Tao Huang นักวิจัยอิสระ
Metal
เราขอขอบคุณสำหรับความช่วยเหลือจาก Tao Huang
PackageKit
เราขอขอบคุณสำหรับความช่วยเหลือของ Mickey Jin (@patch1t), Mickey Jin (@patch1t) จาก Trend Micro
WebKit
เราขอขอบคุณสำหรับความช่วยเหลือของ Prakash (@1lastBr3ath) และ bo13oy จาก Cyber Kunlun Lab
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม