เกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Monterey 12.6

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Monterey 12.6

เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

macOS Monterey 12.6

เปิดตัวเมื่อวันที่ 12 กันยายน 2022

AppleMobileFileIntegrity

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาในการตรวจสอบความถูกต้องลายเซ็นโค้ดได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดีขึ้น

CVE-2022-42789: Koh M. Nakagawa จาก FFRI Security, Inc.

เพิ่มรายการเมื่อวันที่ 27 ตุลาคม 2022

ATS

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปอาจบายพาสการตั้งค่าความเป็นส่วนตัวได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2022-32902: Mickey Jin (@patch1t)

เพิ่มรายการเมื่อวันที่ 27 ตุลาคม 2022

ATS

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาการเข้าถึงได้รับการแก้ไขแล้วด้วยข้อจำกัด Sandbox เพิ่มเติม

CVE-2022-32904: Mickey Jin (@patch1t)

เพิ่มรายการเมื่อวันที่ 27 ตุลาคม 2022

ATS

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปอาจบายพาสการตั้งค่าความเป็นส่วนตัวได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2022-32902: Mickey Jin (@patch1t)

Calendar

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงข้อจำกัดการเข้าถึงให้ดียิ่งขึ้น

CVE-2022-42819: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 27 ตุลาคม 2022

GarageBand

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาในการกำหนดค่าได้รับการแก้ไขแล้วด้วยข้อจำกัดเพิ่มเติม

CVE-2022-32877: Wojciech Reguła (@_r3ggi) จาก SecuRing

เพิ่มรายการเมื่อวันที่ 27 ตุลาคม 2022

ImageIO

มีให้สำหรับ: macOS Monterey

ผลกระทบ: การประมวลผลภาพอาจส่งผลให้เกิดปัญหาการปฏิเสธการให้บริการ

คำอธิบาย: ปัญหาการปฏิเสธการให้บริการได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2022-1622

เพิ่มรายการเมื่อวันที่ 27 ตุลาคม 2022

Image Processing

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอป Sandbox อาจสามารถระบุได้ว่าแอปใดกำลังใช้กล้องอยู่

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยข้อจํากัดเพิ่มเติมเกี่ยวกับความสามารถในการสังเกตสถานะแอป

CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)

เพิ่มรายการเมื่อวันที่ 27 ตุลาคม 2022

iMovie

มีให้สำหรับ: macOS Monterey

ผลกระทบ: ผู้ใช้อาจดูข้อมูลผู้ใช้ที่ละเอียดอ่อนได้

อธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการเปิดใช้งานรันไทม์ที่ยากขึ้น

CVE-2022-32896: Wojciech Reguła (@_r3ggi)

Kernel

มีให้สำหรับ: macOS Monterey

ผลกระทบ: การเชื่อมต่อกับเซิร์ฟเวอร์ NFS ที่ประสงค์ร้ายอาจทำให้มีการสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ดียิ่งขึ้น

CVE-2022-46701: Felix Poulin-Belanger

เพิ่มรายการเมื่อวันที่ 11 พฤษภาคม 2023

Kernel

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2022-32914: Zweig จาก Kunlun Lab

เพิ่มรายการเมื่อวันที่ 27 ตุลาคม 2022

Kernel

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

CVE-2022-32911: Zweig จาก Kunlun Lab

CVE-2022-32866: Linus Henze จาก Pinauten GmbH (pinauten.de)

CVE-2022-32924: Ian Beer จาก Google Project Zero

อัปเดตรายการเมื่อวันที่ 27 ตุลาคม 2022

Kernel

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปอาจเปิดเผยหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

CVE-2022-32864: Linus Henze จาก Pinauten GmbH (pinauten.de)

Kernel

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยพลการ Apple รับทราบถึงรายงานที่แจ้งว่ามีการตั้งใจใช้ประโยชน์จากปัญหานี้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ดียิ่งขึ้น

CVE-2022-32917: นักวิจัยนิรนาม

Maps

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น

CVE-2022-32883: Ron Masas จาก breakpointhq.com

อัปเดตรายการเมื่อวันที่ 27 ตุลาคม 2022

MediaLibrary

มีให้สำหรับ: macOS Monterey

ผลกระทบ: ผู้ใช้อาจยกระดับสิทธิ์ได้

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2022-32908: นักวิจัยนิรนาม

ncurses

มีให้สำหรับ: macOS Monterey

ผลกระทบ: ผู้ใช้อาจสามารถทำให้แอปหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2021-39537

เพิ่มรายการเมื่อวันที่ 27 ตุลาคม 2022

Notes

มีให้สำหรับ: macOS Monterey

ผลกระทบ: ผู้ใช้ในตําแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถติดตามกิจกรรมของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกป้องข้อมูลให้ดียิ่งขึ้น

CVE-2022-42818: Gustav Hansen จาก WithSecure

เพิ่มรายการเมื่อวันที่ 22 ธันวาคม 2022

PackageKit

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปอาจสามารถเข้าถึงสิทธิ์ในระดับที่สูงขึ้นได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2022-32900: Mickey Jin (@patch1t)

Sandbox

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น

CVE-2022-32881: Csaba Fitzl (@theevilbit) จาก Offensive Security

เพิ่มรายการเมื่อวันที่ 27 ตุลาคม 2022

Security

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปอาจสามารถบายพาสการตรวจสอบการลงชื่อรหัสได้

คำอธิบาย: ปัญหาในการตรวจสอบความถูกต้องลายเซ็นโค้ดได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดีขึ้น

CVE-2022-42793: Linus Henze จาก Pinauten GmbH (pinauten.de)

เพิ่มรายการเมื่อวันที่ 27 ตุลาคม 2022

Sidecar

มีให้สำหรับ: macOS Monterey

ผลกระทบ: ผู้ใช้อาจสามารถดูเนื้อหาที่จำกัดจากหน้าจอล็อคได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2022-42790: Om kothawade จาก Zaprico Digital

เพิ่มรายการเมื่อวันที่ 27 ตุลาคม 2022

SMB

มีให้สำหรับ: macOS Monterey

ผลกระทบ: ผู้ใช้ระยะไกลอาจทำให้เกิดการใช้โค้ดที่มีสิทธิ์เคอร์เนลได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

CVE-2022-32934: Felix Poulin-Belanger

เพิ่มรายการเมื่อวันที่ 27 ตุลาคม 2022

Vim

มีให้สำหรับ: macOS Monterey

ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการใช้โค้ดโดยพลการ

คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2022-0261

CVE-2022-0318

CVE-2022-0319

CVE-2022-0351

CVE-2022-0359

CVE-2022-0361

CVE-2022-0368

CVE-2022-0392

เพิ่มรายการเมื่อวันที่ 27 ตุลาคม 2022

Vim

มีให้สำหรับ: macOS Monterey

ผลกระทบ: การประมวลผลไฟล์ ที่จัดทำขึ้นด้วยประสงค์ร้ายอาจนำไปสู่ปัญหาการปฏิเสธการให้บริการหรืออาจเปิดเผยเนื้อหาหน่วยความจำ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2022-1720

CVE-2022-2000

CVE-2022-2042

CVE-2022-2124

CVE-2022-2125

CVE-2022-2126

เพิ่มรายการเมื่อวันที่ 27 ตุลาคม 2022

Weather

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2022-32875: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 27 ตุลาคม 2022

WebKit

มีให้สำหรับ: macOS Monterey

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

WebKit Bugzilla: 242047

CVE-2022-32888: P1umer (@p1umer)

เพิ่มรายการเมื่อวันที่ 27 ตุลาคม 2022

คำขอบคุณพิเศษ

Apache

เราขอขอบคุณสำหรับความช่วยเหลือจาก Tricia Lee จาก Enterprise Service Center

เพิ่มรายการเมื่อวันที่ 11 พฤษภาคม 2023

Identity Services

เราขอขอบคุณสำหรับความช่วยเหลือจาก Joshua Jones

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: