Проблеми системи безпеки, які усунено в Xcode 14.1

У цьому документі описано проблеми системи безпеки, які усунено в Xcode 14,1.

Відомості про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски див. в статті Оновлення системи безпеки Apple.

Документи про безпеку Apple класифікують вразливості за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

Xcode 14.1

Git

Цільові продукти: macOS Monterey 12.5 і новіших версій

Вплив: кілька проблем у git

Опис: кілька проблем вирішено шляхом оновлення до git версії 2.32.3.

CVE-2022-29187: Карло Марсело Аренас Белон (Carlo Marcelo Arenas Belón) та Йоганнес Шінделін (Johannes Schindelin)

Git

Цільові продукти: macOS Monterey 12.5 і новіших версій

Вплив: клонування шкідливого сховища може призвести до розголошення конфіденційної інформації

Опис: цю проблему вирішено завдяки вдосконаленню перевірок.

CVE-2022-39253: Кори Снайдер (Cory Snider) із «Мірантіс»

Git

Цільові продукти: macOS Monterey 12.5 і новіших версій

Вплив: віддалений користувач може спричинити несподіване завершення роботи програми або довільне виконання коду, якщо в якості оболонки входу дозволено використовувати командний процесор git

Опис: цю проблему вирішено завдяки вдосконаленню перевірок.

CVE-2022-39260: Кевін Бекхаус (Kevin Backhouse) із лабораторії безпеки GitHub

IDE Xcode Server

Цільові продукти: macOS Monterey 12.5 і новіших версій

Вплив: програма може отримувати права кореневого користувача.

Опис: проблему з ін’єкцією вирішено завдяки вдосконаленню перевірки вводу.

CVE-2022-42797: Тім Мішо (Tim Michaud, @TimGMichaud) з Moveworks.ai