Giới thiệu về các bản cập nhật bảo mật của Apple
Nhằm bảo vệ khách hàng, Apple sẽ không tiết lộ, thảo luận hay xác nhận các sự cố bảo mật cho đến khi quá trình điều tra diễn ra và đã có bản vá lỗi hoặc bản phát hành. Các bản phát hành gần đây đều có trên trang Bản cập nhật bảo mật của Apple.
Tài liệu bảo mật của Apple đề cập đến các lỗ hổng bảo mật theo CVE-ID khi có thể.
Để biết thêm thông tin về vấn đề bảo mật, hãy xem trang Bảo mật cho sản phẩm Apple.
macOS Monterey 12.6
Phát hành ngày 12 tháng 9 năm 2022
AppleMobileFileIntegrity
Dành cho: macOS Monterey
Tác động: Ứng dụng có thể truy cập dữ liệu nhạy cảm của người dùng
Mô tả: Sự cố về xác thực chữ ký mã đã được giải quyết bằng cách cải thiện quy trình kiểm tra.
CVE-2022-42789: Koh M. Nakagawa đến từ FFRI Security, Inc.
Mục nhập được thêm vào ngày 27 tháng 10 năm 2022
ATS
Dành cho: macOS Monterey
Tác động: Ứng dụng có thể bỏ qua tùy chọn Quyền riêng tư
Mô tả: Sự cố về logic đã được giải quyết bằng cách cải thiện quy trình quản lý trạng thái.
CVE-2022-32902: Mickey Jin (@patch1t)
Mục nhập được thêm vào ngày 27 tháng 10 năm 2022
ATS
Dành cho: macOS Monterey
Tác động: Ứng dụng có thể truy cập dữ liệu nhạy cảm của người dùng
Mô tả: Sự cố về truy cập đã được giải quyết bằng cách bổ sung giới hạn sandbox.
CVE-2022-32904: Mickey Jin (@patch1t)
Mục nhập được thêm vào ngày 27 tháng 10 năm 2022
ATS
Dành cho: macOS Monterey
Tác động: Ứng dụng có thể bỏ qua tùy chọn Quyền riêng tư
Mô tả: Sự cố về logic đã được giải quyết bằng cách cải thiện quy trình quản lý trạng thái.
CVE-2022-32902: Mickey Jin (@patch1t)
Calendar
Dành cho: macOS Monterey
Tác động: Ứng dụng có thể đọc thông tin nhạy cảm về vị trí
Mô tả: Sự cố về truy cập đã được giải quyết bằng cách cải thiện giới hạn quyền truy cập.
CVE-2022-42819: một nhà nghiên cứu ẩn danh
Mục nhập được thêm vào ngày 27 tháng 10 năm 2022
GarageBand
Dành cho: macOS Monterey
Tác động: Ứng dụng có thể truy cập dữ liệu nhạy cảm của người dùng
Mô tả: Sự cố về cấu hình đã được giải quyết bằng cách bổ sung giới hạn.
CVE-2022-32877: Wojciech Reguła (@_r3ggi) đến từ SecuRing
Mục nhập được thêm vào ngày 27 tháng 10 năm 2022
ImageIO
Dành cho: macOS Monterey
Tác động: Hoạt động xử lý hình ảnh có thể dẫn đến tấn công từ chối dịch vụ
Mô tả: Sự cố tấn công từ chối dịch vụ đã được giải quyết bằng cách cải thiện quy trình xác thực.
CVE-2022-1622
Mục nhập được thêm vào ngày 27 tháng 10 năm 2022
Image Processing
Dành cho: macOS Monterey
Tác động: Ứng dụng chạy trong sandbox có thể xác định ứng dụng nào hiện đang sử dụng camera
Mô tả: Sự cố đã được giải quyết bằng cách bổ sung giới hạn về khả năng quan sát trạng thái ứng dụng.
CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)
Mục nhập được thêm vào ngày 27 tháng 10 năm 2022
iMovie
Dành cho: macOS Monterey
Tác động: Người dùng có thể xem thông tin người dùng nhạy cảm
Mô tả: Sự cố này đã được giải quyết bằng cách bật thời gian chạy có giới hạn.
CVE-2022-32896: Wojciech Reguła (@_r3ggi)
Kernel
Dành cho: macOS Monterey
Tác động: Ứng dụng có thể thực thi mã tùy ý khi có đặc quyền kernel
Mô tả: Sự cố sử dụng sau khi giải phóng đã được giải quyết bằng cách cải thiện khả năng quản lý bộ nhớ.
CVE-2022-32914: Zweig đến từ Kunlun Lab
Mục nhập được thêm vào ngày 27 tháng 10 năm 2022
Kernel
Dành cho: macOS Monterey
Tác động: Ứng dụng có thể thực thi mã tùy ý khi có đặc quyền kernel
Mô tả: Sự cố này đã được giải quyết bằng cách cải thiện khả năng xử lý bộ nhớ.
CVE-2022-32911: Zweig đến từ Kunlun Lab
CVE-2022-32866: Linus Henze đến từ Pinauten GmbH (pinauten.de)
CVE-2022-32924: Ian Beer đến từ Google Project Zero
Mục nhập được thêm vào ngày 27 tháng 10 năm 2022
Kernel
Dành cho: macOS Monterey
Tác động: Ứng dụng có thể tiết lộ bộ nhớ kernel
Mô tả: Sự cố này đã được giải quyết bằng cách cải thiện khả năng xử lý bộ nhớ.
CVE-2022-32864: Linus Henze đến từ Pinauten GmbH (pinauten.de)
Kernel
Dành cho: macOS Monterey
Tác động: Ứng dụng có thể thực thi mã tùy ý khi có đặc quyền kernel. Apple nhận được báo cáo cho biết sự cố này có thể đã được tích cực khai thác.
Mô tả: Sự cố đã được giải quyết bằng cách cải thiện quy trình kiểm tra biên.
CVE-2022-32917: một nhà nghiên cứu ẩn danh
Maps
Dành cho: macOS Monterey
Tác động: Ứng dụng có thể đọc thông tin nhạy cảm về vị trí
Mô tả: Sự cố về logic đã được giải quyết bằng cách cải thiện giới hạn.
CVE-2022-32883: Ron Masas đến từ breakpointhq.com
Mục nhập được thêm vào ngày 27 tháng 10 năm 2022
MediaLibrary
Dành cho: macOS Monterey
Tác động: Người dùng có thể nâng cấp đặc quyền
Mô tả: Sự cố hỏng bộ nhớ đã được giải quyết bằng cách cải thiện quy trình xác thực đầu vào.
CVE-2022-32908: một nhà nghiên cứu ẩn danh
ncurses
Dành cho: macOS Monterey
Tác động: Người dùng có thể thực thi mã tùy ý hoặc khiến ứng dụng bị chấm dứt đột ngột
Mô tả: Lỗi tràn bộ đệm đã được giải quyết bằng cách cải thiện quy trình kiểm tra biên.
CVE-2021-39537
Mục nhập được thêm vào ngày 27 tháng 10 năm 2022
Notes
Dành cho: macOS Monterey
Tác động: Người dùng ở vị trí mạng đặc quyền có thể theo dõi hoạt động người dùng
Mô tả: Sự cố này đã được giải quyết bằng cách cải thiện quy trình bảo vệ dữ liệu.
CVE-2022-42818: Gustav Hansen đến từ WithSecure
Mục nhập được thêm vào ngày 22 tháng 12 năm 2022
PackageKit
Dành cho: macOS Monterey
Tác động: Ứng dụng có thể có được đặc quyền nâng cao
Mô tả: Sự cố về logic đã được giải quyết bằng cách cải thiện quy trình quản lý trạng thái.
CVE-2022-32900: Mickey Jin (@patch1t)
Sandbox
Dành cho: macOS Monterey
Tác động: Ứng dụng có thể sửa đổi các phần được bảo vệ trong hệ thống tệp
Mô tả: Sự cố về logic đã được giải quyết bằng cách cải thiện giới hạn.
CVE-2022-32881: Csaba Fitzl (@theevilbit) đến từ Offensive Security
Mục nhập được thêm vào ngày 27 tháng 10 năm 2022
Security
Dành cho: macOS Monterey
Tác động: Ứng dụng có thể bỏ qua quá trình kiểm tra ký mã
Mô tả: Sự cố về xác thực chữ ký mã đã được giải quyết bằng cách cải thiện quy trình kiểm tra.
CVE-2022-42793: Linus Henze đến từ Pinauten GmbH (pinauten.de)
Mục nhập được thêm vào ngày 27 tháng 10 năm 2022
Sidecar
Dành cho: macOS Monterey
Tác động: Người dùng có thể xem nội dung bị giới hạn từ màn hình khóa
Mô tả: Sự cố về logic đã được giải quyết bằng cách cải thiện quy trình quản lý trạng thái.
CVE-2022-42790: Om kothawade đến từ Zaprico Digital
Mục nhập được thêm vào ngày 27 tháng 10 năm 2022
SMB
Dành cho: macOS Monterey
Tác động: Người dùng từ xa có thể gây ra lỗ hổng thực thi mã kernel
Mô tả: Sự cố này đã được giải quyết bằng cách cải thiện khả năng xử lý bộ nhớ.
CVE-2022-32934: Felix Poulin-Belanger
Mục nhập được thêm vào ngày 27 tháng 10 năm 2022
Vim
Dành cho: macOS Monterey
Tác động: Hoạt động xử lý tệp theo cách độc hại có thể dẫn đến ứng dụng chấm dứt đột ngột hoặc thực thi mã tùy ý
Mô tả: Sự cố ghi ngoài giới hạn đã được giải quyết bằng cách cải thiện quy trình xác thực đầu vào.
CVE-2022-0261
CVE-2022-0318
CVE-2022-0319
CVE-2022-0351
CVE-2022-0359
CVE-2022-0361
CVE-2022-0368
CVE-2022-0392
Mục nhập được thêm vào ngày 27 tháng 10 năm 2022
Vim
Dành cho: macOS Monterey
Tác động: Hoạt động xử lý tệp được tạo theo cách độc hại có thể dẫn đến tấn công từ chối dịch vụ hoặc có khả năng tiết lộ nội dung trong bộ nhớ
Mô tả: Sự cố này đã được giải quyết thông qua việc cải thiện quy trình kiểm tra.
CVE-2022-1720
CVE-2022-2000
CVE-2022-2042
CVE-2022-2124
CVE-2022-2125
CVE-2022-2126
Mục nhập được thêm vào ngày 27 tháng 10 năm 2022
Weather
Dành cho: macOS Monterey
Tác động: Ứng dụng có thể đọc thông tin nhạy cảm về vị trí
Mô tả: Sự cố về logic đã được giải quyết bằng cách cải thiện quy trình quản lý trạng thái.
CVE-2022-32875: một nhà nghiên cứu ẩn danh
Mục nhập được thêm vào ngày 27 tháng 10 năm 2022
WebKit
Dành cho: macOS Monterey
Tác động: Hoạt động xử lý nội dung web được tạo theo cách độc hại có thể gây ra lỗ hổng thực thi mã tùy ý
Mô tả: Sự cố ghi ngoài giới hạn đã được giải quyết bằng cách cải thiện quy trình kiểm tra biên.
WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)
Mục nhập được thêm vào ngày 27 tháng 10 năm 2022
Lời tri ân khác
Identity Services
Chúng tôi muốn cảm ơn Joshua Jones vì sự hỗ trợ của họ.