macOS Monterey 12.3'ün güvenlik içeriği hakkında
Bu belgede macOS Monterey 12.3'ün güvenlik içeriği açıklanmaktadır.
Apple güvenlik güncellemeleri hakkında
Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.
Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğu durumlarda CVE Kimliği ile belirtilir.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.
macOS Monterey 12.3
Accelerate Framework
İlgili sürüm: macOS Monterey
Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını açmak, uygulamanın beklenmedik şekilde sona ermesine veya rastgele kod yürütülmesine neden olabilir
Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2022-22633: ryuzaki
AMD
İlgili sürüm: macOS Monterey
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2022-22669: anonim bir araştırmacı
AppKit
İlgili sürüm: macOS Monterey
Etki: Kötü amaçlı bir uygulama kök ayrıcalıkları kazanabilir
Açıklama: Doğrulama işlemi iyileştirilerek bir mantık sorunu giderildi.
CVE-2022-22665: Lockheed Martin Red Team
AppleEvents
İlgili sürüm: macOS Monterey
Etki: Uzaktaki bir saldırgan, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2022-22630: Jeremy Brown (Trend Micro'nun Zero Day Initiative programıyla)
AppleGraphicsControl
İlgili sürüm: macOS Monterey
Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.
CVE-2022-22631: cyberserval'dan Wang Yu
AppleScript
İlgili sürüm: macOS Monterey
Etki: Kötü amaçlarla oluşturulmuş bir AppleScript ikili dosyasının işlenmesi uygulamanın beklenmedik şekilde sonlandırılmasına veya işlem belleğinin açığa çıkmasına neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2022-22625: Trend Micro'dan Mickey Jin (@patch1t)
AppleScript
İlgili sürüm: macOS Monterey
Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir
Açıklama: Denetimler iyileştirilerek bu sorun giderildi.
CVE-2022-22648: Trend Micro'dan Mickey Jin (@patch1t)
AppleScript
İlgili sürüm: macOS Monterey
Etki: Kötü amaçlarla oluşturulmuş bir AppleScript ikili dosyasının işlenmesi uygulamanın beklenmedik şekilde sonlandırılmasına veya işlem belleğinin açığa çıkmasına neden olabilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2022-22626: Trend Micro'dan Mickey Jin (@patch1t)
CVE-2022-22627: Trend Micro'dan Qi Sun ve Robert Ai
AppleScript
İlgili sürüm: macOS Monterey
Etki: Kötü amaçlarla oluşturulmuş bir dosyanın işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2022-22597: Trend Micro'dan Qi Sun ve Robert Ai
BOM
İlgili sürüm: macOS Monterey
Etki: Kötü amaçlarla oluşturulmuş bir ZIP arşivi Gatekeeper denetimlerini atlayabilir
Açıklama: Denetimler iyileştirilerek bu sorun giderildi.
CVE-2022-22616: Jamf Software'den Ferdous Saljooki (@malwarezoo) ve Jaron Bradley (@jbradley89), Mickey Jin (@patch1t)
CoreTypes
İlgili sürüm: macOS Monterey
Etki: Kötü amaçlı bir uygulama Gatekeeper denetimlerini atlayabilir
Açıklama: Yetkisiz işlemlerin önlenmesine yönelik denetimler iyileştirilerek bu sorun giderildi.
CVE-2022-22663: Arsenii Kostromin (0x3c3e)
CUPS
İlgili sürüm: macOS Monterey
Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2022-26691: Mandiant'tan Joshua Mason
curl
İlgili sürüm: macOS Monterey
Etki: curl'de birden fazla sorun
Açıklama: curl sürümü 7.79.1'e güncellenerek birden fazla sorun giderildi.
CVE-2021-22946
CVE-2021-22947
CVE-2021-22945
FaceTime
İlgili sürüm: macOS Monterey
Etki: Bir kullanıcı, FaceTime aramasında farkında olmadan ses ve görüntü gönderebilir
Açıklama: Denetimler iyileştirilerek bu sorun giderildi.
CVE-2022-22643: University of Virginia'dan Sonali, Urbana-Champaign'deki University of Illinois'den Michael Liao, Rutgers University'den Rohan Pahwa ve University of Florida'dan Bao Nguyen
GarageBand MIDI
İlgili sürüm: macOS Monterey
Etki: Kötü amaçlarla oluşturulmuş bir dosyanın açılması uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek ilklendirme sorunu giderildi.
CVE-2022-22657: Atredis Partners'dan Brandon Perry
GarageBand MIDI
İlgili sürüm: macOS Monterey
Etki: Kötü amaçlarla oluşturulmuş bir dosyanın açılması uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2022-22664: Atredis Partners'dan Brandon Perry
Graphics Drivers
İlgili sürüm: macOS Monterey
Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Sınır denetimi iyileştirilerek bir arabellek taşması sorunu giderildi.
CVE-2021-30977: RET2 Systems, Inc. şirketinden Jack Dates
ImageIO
İlgili sürüm: macOS Monterey
Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2022-22611: Google'dan Xingyu Jin
ImageIO
İlgili sürüm: macOS Monterey
Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi yığın bozulmasına (heap corruption) neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek tüketimi sorunu giderildi.
CVE-2022-22612: Google'dan Xingyu Jin
Intel Graphics Driver
İlgili sürüm: macOS Monterey
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Durumun işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.
CVE-2022-46706: Cyberserval'dan Wang Yu ve Alibaba Security Pandora Lab'den Pan ZhenPeng (@Peterpan0927)
Intel Graphics Driver
İlgili sürüm: macOS Monterey
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Durumun işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.
CVE-2022-22661: Cyberserval'dan Wang Yu ve Alibaba Security Pandora Lab'den Pan ZhenPeng (@Peterpan0927)
IOGPUFamily
İlgili sürüm: macOS Monterey
Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2022-22641: Mohamed Ghannam (@_simo36)
Kernel
İlgili sürüm: macOS Monterey
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.
CVE-2022-22613: Alex, anonim bir araştırmacı
Kernel
İlgili sürüm: macOS Monterey
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2022-22614: anonim bir araştırmacı
CVE-2022-22615: anonim bir araştırmacı
Kernel
İlgili sürüm: macOS Monterey
Etki: Kötü amaçlı bir uygulama, ayrıcalıkları yükseltebilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2022-22632: Keegan Saunders
Kernel
İlgili sürüm: macOS Monterey
Etki: Ayrıcalıklı konumdaki bir saldırgan, servis reddi saldırısı gerçekleştirebilir
Açıklama: Doğrulama işlemi iyileştirilerek null işaretçi dereferansı sorunu giderildi.
CVE-2022-22638: derrek (@derrekr6)
Kernel
İlgili sürüm: macOS Monterey
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2022-22640: sqrtpwn
LaunchServices
İlgili sürüm: macOS Monterey
Etki: Bir uygulama, belirli Gizlilik tercihlerini atlayabilir
Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.
CVE-2021-30946: @gorelics ve BreakPoint.sh'den Ron Masas
libarchive
İlgili sürüm: macOS Monterey
Etki: libarchive'da birden çok sorun
Açıklama: libarchive'da birden fazla bellek bozulması sorunu vardı. Giriş doğrulaması iyileştirilerek bu sorunlar giderildi.
CVE-2021-36976
LLVM
İlgili sürüm: macOS Monterey
Etki: Bir uygulama, izni olmayan dosyaları silebilir
Açıklama: Ek doğrulama ile bir yarış durumu sorunu giderildi.
CVE-2022-21658: Florian Weimer (@fweimer)
Login Window
İlgili sürüm: macOS Monterey
Etki: Mac'e erişimi olan bir kullanıcı Giriş Penceresini atlayabilir
Açıklama: Denetimler iyileştirilerek bu sorun giderildi.
CVE-2022-22647: Kyushu Üniversitesinden Yuto Ikeda
LoginWindow
İlgili sürüm: macOS Monterey
Etki: Yerel bir saldırgan, hızlı kullanıcı değiştirme ekranından, daha önce oturum açmış olan kullanıcının masaüstünü görebilir
Açıklama: Durum yönetimi iyileştirilerek kimlik doğrulama sorunu giderildi.
CVE-2022-22656
MobileAccessoryUpdater
İlgili sürüm: macOS Monterey
Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2022-22672: Siddharth Aeri (@b1n4r1b01)
NSSpellChecker
İlgili sürüm: macOS Monterey
Etki: Kötü amaçlı bir uygulama, kullanıcıların kişileriyle ilgili bilgilere erişebilir
Açıklama: Kişi kartlarını değerlendirme işleminde bir gizlilik sorunu vardı. Durum yönetimi iyileştirilerek bu sorun giderildi.
CVE-2022-22644: leveldown security'den Thomas Roth (@stacksmashing)
PackageKit
İlgili sürüm: macOS Monterey
Etki: Kötü amaçlı bir uygulama, dosya sisteminin korumalı bölümlerini değiştirebilir
Açıklama: Ek doğrulama ile bir yarış durumu giderildi.
CVE-2022-26690: Trend Micro'dan Mickey Jin (@patch1t)
PackageKit
İlgili sürüm: macOS Monterey
Etki: Kök ayrıcalıklarına sahip kötü amaçlı bir uygulama, sistem dosyalarının içeriğini değiştirebilir
Açıklama: Doğrulama iyileştirilerek sembolik bağlantıların işlenmesindeki bir sorun giderildi.
CVE-2022-26688: Trend Micro'dan Mickey Jin (@patch1t)
PackageKit
İlgili sürüm: macOS Monterey
Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2022-22617: Mickey Jin (@patch1t)
Preferences
İlgili sürüm: macOS Monterey
Etki: Kötü amaçlı bir uygulama, diğer uygulamaların ayarlarını okuyabilir
Açıklama: Ek izin denetimleriyle bu sorun giderildi.
CVE-2022-22609: Mickey Jin (@patch1t) ve Tencent Security Xuanwu Lab'den (xlab.tencent.com) Zhipeng Huo (@R3dF09) ve Yuebin Sun (@yuebinsun2020)
QuickTime Player
İlgili sürüm: macOS Monterey
Etki: Bir yazılım eki, uygulamanın izinlerini üzerine alabilir veya kullanıcı verilerine erişebilir
Açıklama: Denetimler iyileştirilerek bu sorun giderildi.
CVE-2022-22650: SecuRing'den Wojciech Reguła (@_r3ggi)
Safari Downloads
İlgili sürüm: macOS Monterey
Etki: Kötü amaçlarla oluşturulmuş bir ZIP arşivi Gatekeeper denetimlerini atlayabilir
Açıklama: Denetimler iyileştirilerek bu sorun giderildi.
CVE-2022-22616: Jamf Software'den Ferdous Saljooki (@malwarezoo) ve Jaron Bradley (@jbradley89), Mickey Jin (@patch1t)
Sandbox
İlgili sürüm: macOS Monterey
Etki: Bir uygulama, hassas kullanıcı bilgilerini sızdırabilir
Açıklama: Korumalı alanda iyileştirmeler yapılarak erişim sorunu giderildi.
CVE-2022-22655: Offensive Security'den Csaba Fitzl (@theevilbit)
Sandbox
İlgili sürüm: macOS Monterey
Etki: Kötü amaçlı bir uygulama belirli Gizlilik tercihlerini atlayabilir
Açıklama: İzin mantığı iyileştirilerek bu sorun giderildi.
CVE-2022-22600: Primefort Private Limited'dan Sudhakar Muthumani (@sudhakarmuthu04), Khiem Tran
Siri
İlgili sürüm: macOS Monterey
Etki: Bir aygıta fiziksel erişimi olan bir kişi, Siri'yi kullanarak kilitli ekrandan bazı konum bilgilerini edinebilir
Açıklama: Doğrulama işlemi iyileştirilerek izin sorunu giderildi.
CVE-2022-22599: Austin'deki Teksas Üniversitesi, McCombs İşletme Fakültesinden Andrew Goldberg (linkedin.com/andrew-goldberg-/)
SMB
İlgili sürüm: macOS Monterey
Etki: Uzaktaki bir saldırgan, sistemin beklenmedik bir şekilde sonlandırılmasına neden olabilir veya çekirdek belleği bozabilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.
CVE-2022-22651: Felix Poulin-Belanger
SoftwareUpdate
İlgili sürüm: macOS Monterey
Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2022-22639: Mickey Jin (@patch1t)
System Preferences
İlgili sürüm: macOS Monterey
Etki: Bir uygulama, sahte sistem bildirimleri ve kullanıcı arabirimi öğeleri görüntüleyebilir
Açıklama: Yeni bir yetki ile bu sorun giderildi.
CVE-2022-22660: Best Buddy Apps'ten Guilherme Rambo (rambo.codes)
UIKit
İlgili sürüm: macOS Monterey
Etki: Bir iOS aygıtına fiziksel erişimi olan bir kişi, klavye önerileri yoluyla hassas bilgileri görebilir
Açıklama: Denetimler iyileştirilerek bu sorun giderildi.
CVE-2022-22621: Joey Hewitt
Vim
İlgili sürüm: macOS Monterey
Etki: Vim'de birden fazla sorun
Açıklama: Vim güncellenerek birden fazla sorun giderildi.
CVE-2021-4136
CVE-2021-4166
CVE-2021-4173
CVE-2021-4187
CVE-2021-4192
CVE-2021-4193
CVE-2021-46059
CVE-2022-0128
CVE-2022-0156
CVE-2022-0158
VoiceOver
İlgili sürüm: macOS Monterey
Etki: Kullanıcı kilitli ekrandan sınırlanmış içerikleri görüntüleyebilir
Açıklama: Durum yönetimi iyileştirilerek bir kilitli ekran sorunu giderildi.
CVE-2021-30918: anonim bir araştırmacı
WebKit
İlgili sürüm: macOS Monterey
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, gizli kullanıcı bilgilerini açığa çıkarabilir
Açıklama: Durum yönetimi iyileştirilerek bir çerez yönetimi sorunu giderildi.
CVE-2022-22662: Threat Nix'ten Prakash (@1lastBr3ath)
WebKit
İlgili sürüm: macOS Monterey
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi kod yürütülmesine neden olabilir
Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2022-22610: Bigo Technology Live Client Team'den Quan Yin
WebKit
İlgili sürüm: macOS Monterey
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2022-22624: Tencent Security Xuanwu Lab'den Kirin (@Pwnrin)
CVE-2022-22628: Tencent Security Xuanwu Lab'den Kirin (@Pwnrin)
WebKit
İlgili sürüm: macOS Monterey
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir arabellek taşması sorunu giderildi.
CVE-2022-22629: Theori'den Jeonghoon Shin (Trend Micro'nun Zero Day Initiative programıyla)
WebKit
İlgili sürüm: macOS Monterey
Etki: Kötü amaçlı bir web sitesi, kaynaklar arası beklenmedik bir davranışa neden olabilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2022-22637: Google'dan Tom McKee
Wi-Fi
İlgili sürüm: macOS Monterey
Etki: Kötü amaçlı bir uygulama, gizli kullanıcı bilgilerini sızdırabilir
Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.
CVE-2022-22668: MrPhil17
xar
İlgili sürüm: macOS Monterey
Etki: Yerel bir kullanıcı rastgele dosyalara yazabilir
Açıklama: Sembolik bağlantıların işlenmesinde doğrulama sorunu vardı. Sembolik bağlantı doğrulaması iyileştirilerek bu sorun giderildi.
CVE-2022-22582: NCC Group'tan Richard Warren
Ek teşekkür listesi
AirDrop
Omar Espino'ya (omespino.com) ve BreakPoint.sh'den Ron Masas'a yardımları için teşekkür ederiz.
Bluetooth
Yardımları için anonim bir araştırmacıya ve Tencent Security Xuanwu Lab'den chenyuwang'a (@mzzzz__) teşekkür ederiz.
Disk Utility
Offensive Security'den Csaba Fitzl'e (@theevilbit) yardımı için teşekkür ederiz.
Face Gallery
Yardımı için Tian Zhang'a (@KhaosT) teşekkür ederiz.
Intel Graphics Driver
Yardımları için RET2 Systems, Inc. şirketinden Jack Dates'e ve Yinyi Wu'ya (@3ndy1) teşekkür ederiz.
Local Authentication
Anonim bir araştırmacıya yardımı için teşekkür ederiz.
Notes
Yardımı için Ennate Technologies'den Nathaniel Ekoniak'a teşekkür ederiz.
Password Manager
Yardımı için Max Planck Institute for Security and Privacy'den (MPI-SP) Maximilian Golla'ya (@m33x) teşekkür ederiz.
Siri
Anonim bir araştırmacıya yardımı için teşekkür ederiz.
syslog
Theori'den Yonghwi Jin'e (@jinmo123) yardımı için teşekkür ederiz.
TCC
Offensive Security'den Csaba Fitzl'e (@theevilbit) yardımı için teşekkür ederiz.
UIKit
Day Logger, Inc.'ten Tim Shadel'a yardımı için teşekkür ederiz.
WebKit
Abdullah Md Shaleh'e yardımı için teşekkür ederiz.
WebKit Storage
FingerprintJS'ten Martin Bajanik'e yardımı için teşekkür ederiz.
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.