เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
macOS Monterey 12.6.1
เปิดตัวเมื่อวันที่ 24 ตุลาคม 2022
AppleMobileFileIntegrity
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการนำสิทธิ์เพิ่มเติมออก
CVE-2022-42825: Mickey Jin (@patch1t)
Audio
มีให้สำหรับ: macOS Monterey
ผลกระทบ: การแยกวิเคราะห์ไฟล์เสียงที่ออกแบบมาโดยมีวัตถุประสงค์ร้ายอาจทำให้เกิดการเปิดเผยข้อมูลของผู้ใช้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2022-42798: บุคคลนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
เพิ่มรายการเมื่อวันที่ 27 ตุลาคม 2022
Boot Camp
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขโดยการปรับปรุงการตรวจสอบเพื่อป้องกันการกระทำที่ไม่ได้รับอนุญาต
CVE-2022-42860: Mickey Jin (@patch1t) จาก Trend Micro
เพิ่มรายการเมื่อวันที่ 11 พฤษภาคม 2023
Calendar
มีให้สำหรับ: macOS Monterey
ผลกระทบ: ผู้ใช้ระยะไกลอาจสามารถเขียนไฟล์ได้โดยพลการ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2022-46723: Mikko Kenttälä (@Turmio_) จาก SensorFu
เพิ่มรายการเมื่อวันที่ 20 กุมภาพันธ์ 2023
Kernel
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2022-32944: Tim Michaud (@TimGMichaud) จาก Moveworks.ai
เพิ่มรายการเมื่อวันที่ 27 ตุลาคม 2022
Kernel
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการปรับปรุงการล็อคให้ดียิ่งขึ้น
CVE-2022-42803: Xinru Chi จาก Pangu Lab, John Aakerblom (@jaakerblom)
เพิ่มรายการเมื่อวันที่ 27 ตุลาคม 2022
Kernel
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2022-42801: Ian Beer จาก Google Project Zero
เพิ่มรายการเมื่อวันที่ 27 ตุลาคม 2022
PackageKit
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้
คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม
CVE-2022-46713: Mickey Jin (@patch1t) จาก Trend Micro
เพิ่มรายการเมื่อวันที่ 20 กุมภาพันธ์ 2023
ppp
มีให้สำหรับ: macOS Monterey
ผลกระทบ: ปัญหาบัฟเฟอร์ล้นอาจส่งผลให้เกิดการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ดียิ่งขึ้น
CVE-2022-32941: นักวิจัยนิรนาม
เพิ่มรายการเมื่อวันที่ 27 ตุลาคม 2022
Ruby
มีให้สำหรับ: macOS Monterey
ผลกระทบ: ผู้ใช้ระยะไกลอาจเป็นเหตุให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการอัปเดต Ruby เป็นเวอร์ชั่น 2.6.10
CVE-2022-28739
Sandbox
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปที่มีสิทธิ์ระดับรูทอาจสามารถเข้าถึงข้อมูลส่วนบุคคลได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกป้องข้อมูลให้ดียิ่งขึ้น
CVE-2022-32862: Rohit Chatterjee จาก University of Illinois Urbana-Champaign
อัปเดตรายการเมื่อวันที่ 11 พฤษภาคม 2023
WebKit
มีให้สำหรับ: macOS Monterey
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยพลการ
คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 244622
CVE-2022-42823: Dohyun Lee (@l33d0hyun) จาก SSD Labs
เพิ่มรายการเมื่อวันที่ 22 ธันวาคม 2022
zlib
มีให้สำหรับ: macOS Monterey
ผลกระทบ: ผู้ใช้อาจสามารถทำให้แอปหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2022-37434: Evgeny Legerov
CVE-2022-42800: Evgeny Legerov
เพิ่มรายการเมื่อวันที่ 27 ตุลาคม 2022
คำขอบคุณพิเศษ
Calendar
เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม