Відомості про проблеми системи безпеки, які усунено в оновленні macOS Monterey 12.6.

У цьому документі описано проблеми системи безпеки, які усунено в оновленні macOS Monterey 12.6.

Відомості про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски див. в статті Оновлення системи безпеки Apple.

Документи про безпеку Apple класифікують вразливості за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

macOS Monterey 12.6

Дата випуску: 12 вересня 2022 р.

AppleMobileFileIntegrity

Цільовий продукт: macOS Monterey.

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з перевіркою підпису коду вирішено завдяки поліпшенню перевірок.

CVE-2022-42789: Кох М. Накагава (Koh M. Nakagawa) з FFRI Security, Inc.

Запис додано 27 жовтня 2022 р.

ATS

Цільовий продукт: macOS Monterey.

Вплив: програма може обходити параметри приватності.

Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.

CVE-2022-32902: Міккі Джин (Mickey Jin, @patch1t)

Запис додано 27 жовтня 2022 р.

ATS

Цільовий продукт: macOS Monterey.

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з доступом вирішено завдяки додатковим обмеженням ізольованого програмного середовища.

CVE-2022-32904: Міккі Джин (Mickey Jin, @patch1t)

Запис додано 27 жовтня 2022 р.

ATS

Цільовий продукт: macOS Monterey.

Вплив: програма може обходити параметри приватності.

Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.

CVE-2022-32902: Міккі Джин (Mickey Jin, @patch1t)

Calendar

Цільовий продукт: macOS Monterey.

Вплив: програма може отримувати доступ до конфіденційних даних про геопозицію.

Опис: проблему вирішено завдяки вдосконаленню обмежень доступу.

CVE-2022-42819: анонімний дослідник

Запис додано 27 жовтня 2022 р.

GarageBand

Цільовий продукт: macOS Monterey.

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з конфігурацією вирішено шляхом додаткових обмежень.

CVE-2022-32877: Войцех Регула (Wojciech Reguła, @_r3ggi) із SecuRing

Запис додано 27 жовтня 2022 р.

ImageIO

Цільовий продукт: macOS Monterey.

Вплив: обробка зображення може призвести до відмови в обслуговуванні.

Опис: проблему відмови в обслуговуванні вирішено завдяки вдосконаленню перевірки.

CVE-2022-1622

Запис додано 27 жовтня 2022 р.

Image Processing

Цільовий продукт: macOS Monterey

Вплив: програма в ізольованому середовищі може визначити, яка програма зараз використовує камеру.

Опис: проблему вирішено шляхом додаткових обмежень щодо спостережуваності станів програми.

CVE-2022-32913: Йігіт Кан Йилмаз (Yiğit Can YILMAZ, @yilmazcanyigit)

Запис додано 27 жовтня 2022 р.

iMovie

Цільовий продукт: macOS Monterey.

Вплив: користувач може переглядати конфіденційну інформацію про користувача.

Опис: цю проблему вирішено за рахунок обмеження часу роботи програми.

CVE-2022-32896: Войцех Регула (Wojciech Reguła, @_r3ggi)

Kernel

Цільовий продукт: macOS Monterey.

Вплив: підключення до шкідливого сервера NFS може призвести до виконання довільного коду з привілеями ядра.

Опис: проблему вирішено завдяки вдосконаленню перевірки меж.

CVE-2022-46701: Felix Poulin-Belanger

Запис додано 11 травня 2023 р.

Kernel

Цільовий продукт: macOS Monterey.

Вплив: програма може виконувати довільний код із привілеями ядра.

Опис: покращене керування пам’яттю усунуло проблему Use-After-Free.

CVE-2022-32914: користувач Zweig із Kunlun Lab

Запис додано 27 жовтня 2022 р.

Kernel

Цільовий продукт: macOS Monterey.

Вплив: програма може виконувати довільний код із привілеями ядра.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2022-32911: користувач Zweig із Kunlun Lab

CVE-2022-32866: Лінус Генце (Linus Henze) з Pinauten GmbH (pinauten.de)

CVE-2022-32924: Ієн Бір (Ian Beer) із Google Project Zero

Запис оновлено 27 жовтня 2022 р.

Kernel

Цільовий продукт: macOS Monterey.

Вплив: програма може розкривати дані з пам’яті ядра.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2022-32864: Лінус Генце (Linus Henze) з Pinauten GmbH (pinauten.de)

Kernel

Цільовий продукт: macOS Monterey.

Вплив: програма може виконувати довільний код із привілеями ядра. Компанії Apple відомо, що цією проблемою могли активно користуватися.

Опис: проблему вирішено завдяки вдосконаленню перевірки меж.

CVE-2022-32917: анонімний дослідник

Maps

Цільовий продукт: macOS Monterey.

Вплив: програма може отримувати доступ до конфіденційних даних про геопозицію.

Опис: проблему з логікою вирішено завдяки поліпшенню обмежень.

CVE-2022-32883: Рон Масас з breakpointhq.com

Запис оновлено 27 жовтня 2022 р.

MediaLibrary

Цільовий продукт: macOS Monterey

Вплив: користувач може підвищувати рівень привілеїв.

Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки поліпшенню перевірки вводу.

CVE-2022-32908: анонімний дослідник

ncurses

Цільовий продукт: macOS Monterey.

Вплив: користувач може спричинити несподіване завершення роботи програми або виконання довільного коду.

Опис: проблему переповнення буфера вирішено завдяки вдосконаленню перевірки меж.

CVE-2021-39537

Запис додано 27 жовтня 2022 р.

Notes

Цільовий продукт: macOS Monterey.

Вплив: користувач із привілейованим положенням у мережі може відстежувати дії користувачів.

Опис: цю проблему вирішено завдяки вдосконаленню захисту даних.

CVE-2022-42818: Густав Хансен (Gustav Hansen) з WithSecure

Запис додано 22 грудня 2022 р.

PackageKit

Цільовий продукт: macOS Monterey

Вплив: програма може отримувати вищий рівень привілеїв.

Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.

CVE-2022-32900: Міккі Джин (Mickey Jin, @patch1t)

Sandbox

Цільовий продукт: macOS Monterey.

Вплив: програма може змінювати захищені частини файлової системи.

Опис: проблему з логікою вирішено завдяки поліпшенню обмежень.

CVE-2022-32881: Чаба Фіцль (Csaba Fitzl, @theevilbit) з Offensive Security

Запис додано 27 жовтня 2022 р.

Security

Цільовий продукт: macOS Monterey

Вплив: програма може обходити перевірки підпису коду.

Опис: проблему з перевіркою підпису коду вирішено завдяки поліпшенню перевірок.

CVE-2022-42793: Лінус Генце (Linus Henze) з Pinauten GmbH (pinauten.de)

Запис додано 27 жовтня 2022 р.

Sidecar

Цільовий продукт: macOS Monterey.

Вплив: користувач може переглядати обмежений вміст із замкненого екрана.

Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.

CVE-2022-42790: Ом Котаваде (Om Kothawade) із Zaprico Digital

Запис додано 27 жовтня 2022 р.

SMB

Цільовий продукт: macOS Monterey

Вплив: віддалений користувач може спричинити виконання коду в ядрі.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2022-32934: Фелікс Пулен-Беланжер (Felix Poulin-Belanger)

Запис додано 27 жовтня 2022 р.

Vim

Цільовий продукт: macOS Monterey.

Вплив: обробка шкідливого файлу може призводити до несподіваного завершення роботи програми або виконання довільного коду.

Опис: проблему записування за межами виділеної пам’яті вирішено завдяки вдосконаленню перевірки вводу.

CVE-2022-0261

CVE-2022-0318

CVE-2022-0319

CVE-2022-0351

CVE-2022-0359

CVE-2022-0361

CVE-2022-0368

CVE-2022-0392

Запис додано 27 жовтня 2022 р.

Vim

Цільовий продукт: macOS Monterey.

Вплив: обробка шкідливого файлу може викликати відмову в обслуговуванні або розкрити вміст пам’яті.

Опис: цю проблему вирішено завдяки вдосконаленню перевірок.

CVE-2022-1720

CVE-2022-2000

CVE-2022-2042

CVE-2022-2124

CVE-2022-2125

CVE-2022-2126

Запис додано 27 жовтня 2022 р.

Weather

Цільовий продукт: macOS Monterey.

Вплив: програма може отримувати доступ до конфіденційних даних про геопозицію.

Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.

CVE-2022-32875: анонімний дослідник

Запис додано 27 жовтня 2022 р.

WebKit

Цільовий продукт: macOS Monterey.

Вплив: обробка шкідливого вебконтенту може призводити до виконання довільного коду.

Опис: проблему записування за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.

WebKit Bugzilla: 242047
CVE-2022-32888: користувач P1umer (@p1umer)

Запис додано 27 жовтня 2022 р.

Додаткова подяка

apache

Дякуємо за допомогу Тріші Лі (Tricia Lee) з Enterprise Service Center.

Запис додано 11 травня 2023 р.

Identity Services

Дякуємо за допомогу Джошуа Джонсу (Joshua Jones).

 

Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.

Дата опублікування: