macOS 13.1 có thể đang thu hút mọi sự chú ý, nhưng Apple không quên các hệ điều hành cũ hơn của mình. Bên cạnh bản cập nhật lớn đầu tiên của Ventura, Apple cũng đã phát hành các bản cập nhật cho Big Sur (11.7.2) và Monterey (12.6.2) chứa một loạt các bản cập nhật bảo mật quan trọng. Apple dường như đã hoàn thành việc phát hành các bản cập nhật cho Catalina hai tuổi.
Để cập nhật lên phiên bản mới nhất của Monterey hoặc Big Sur, hãy truy cập Tùy chọn hệ thống, nhấp vào Cập nhật phần mềm, sau đó nhấp vào Cài đặt ngay. Một số bản cập nhật là lỗi nghiêm trọng có thể dẫn đến việc thực thi mã tùy ý. Nhiều bản cập nhật bảo mật giống nhau trên cả hai hệ điều hành, nhưng có ba bản cập nhật chỉ dành cho Monterey.
Cập nhật bảo mật Monterey 12.6.2
Bluetooth
- Va chạm: Một ứng dụng có thể tiết lộ bộ nhớ kernel
- Sự mô tả: Vấn đề đã được giải quyết với việc xử lý bộ nhớ được cải thiện.
- CVE-2022-42854: Pan ZhenPeng (@Peterpan0927) của STAR Labs SG Pte. Công ty TNHH (@starlabs_sg)
Hệ thống tập tin
- Va chạm: Một ứng dụng có thể thoát ra khỏi sandbox của nó
- Sự mô tả: Vấn đề này đã được giải quyết với kiểm tra được cải thiện.
- CVE-2022-42861: pattern-f (@pattern_F_) của Ant Security Light-Year Lab
Sở thích
- Va chạm: Một ứng dụng có thể sử dụng các quyền tùy ý
- Sự mô tả: Một vấn đề logic đã được giải quyết với quản lý nhà nước được cải thiện.
- CVE-2022-42855: Ivan Fratric của Google Project Zero
Cập nhật bảo mật Monterey 12.6.2 và Big Sur 11.7.2
hội đồng quản trị
- Va chạm: Một ứng dụng có thể bỏ qua kiểm tra của Gatekeeper
- Sự mô tả: Một vấn đề logic đã được giải quyết với các kiểm tra được cải thiện.
- CVE-2022-42821: Jonathan Bar Hoặc của Microsoft
DriverKit
- Va chạm: Một ứng dụng có thể thực thi mã tùy ý với các đặc quyền của kernel
- Sự mô tả: Vấn đề đã được giải quyết với việc xử lý bộ nhớ được cải thiện.
- CVE-2022-32942: Linus Henze của Pinauten GmbH (pinauten.de)
IOHIDFamily
- Va chạm: Một ứng dụng có thể thực thi mã tùy ý với các đặc quyền của kernel
- Sự mô tả: Một điều kiện chủng tộc đã được giải quyết với việc xử lý trạng thái được cải thiện.
- CVE-2022-42864: Tommy Muir (@Muirey03)
hạt nhân
- Va chạm: Một ứng dụng có thể thực thi mã tùy ý với các đặc quyền của kernel
- Sự mô tả: Một điều kiện cuộc đua đã được giải quyết với xác nhận bổ sung.
- CVE-2022-46689: Ian Beer của Google Project Zero
hạt nhân
- Va chạm: Một ứng dụng có quyền root có thể thực thi mã tùy ý với quyền kernel
- Sự mô tả: Vấn đề đã được giải quyết với việc xử lý bộ nhớ được cải thiện.
- CVE-2022-42845: Adam Doupé của ASU SEFCOM
hạt nhân
- Va chạm: Người dùng từ xa có thể gây ra thực thi mã kernel
- Sự mô tả: Vấn đề đã được giải quyết với việc xử lý bộ nhớ được cải thiện.
- CVE-2022-42842: pattern-f (@pattern_F_) của Ant Security Light-Year Lab
libxml2
- Va chạm: Người dùng từ xa có thể gây ra việc chấm dứt ứng dụng không mong muốn hoặc thực thi mã tùy ý
- Sự mô tả: Lỗi tràn số nguyên đã được giải quyết thông qua xác thực đầu vào được cải thiện.
- CVE-2022-40303: Maddie Stone của Google Project Zero
libxml2
- Va chạm: Người dùng từ xa có thể gây ra việc chấm dứt ứng dụng không mong muốn hoặc thực thi mã tùy ý
- Sự mô tả: Vấn đề này đã được giải quyết với kiểm tra được cải thiện.
- CVE-2022-40304: Ned Williamson và Nathan Wachholz của Google Project Zero
ppp
- Va chạm: Một ứng dụng có thể thực thi mã tùy ý với các đặc quyền của kernel
- Sự mô tả: Vấn đề đã được giải quyết với việc xử lý bộ nhớ được cải thiện.
- CVE-2022-42840: nhà nghiên cứu ẩn danh
xar
- Va chạm: Xử lý một gói thủ công độc hại có thể dẫn đến thực thi mã tùy ý
- Sự mô tả: Một vấn đề nhầm lẫn loại đã được giải quyết với kiểm tra được cải thiện.
- CVE-2022-42841: Thijs Alkemade (@xnyhps) của Computest Sector 7
Cập nhật bảo mật Safari 16.2
Ngoài ra còn có một bản cập nhật riêng cho Safari (16.2) sửa tám lỗi WebKit nghiêm trọng, trong đó nghiêm trọng nhất là lỗ hổng zero-day đã bị khai thác tích cực. Đó là lỗ hổng tương tự đã được vá trong iOS 16.1.2 vào tuần trước.
WebKit
Va chạm: Việc xử lý nội dung web thủ công độc hại có thể dẫn đến việc thực thi mã tùy ý. Apple đã biết về một báo cáo rằng vấn đề này có thể đã bị khai thác tích cực đối với các phiên bản iOS được phát hành trước iOS 15.1.
Sự mô tả: Một vấn đề nhầm lẫn loại đã được giải quyết với việc xử lý trạng thái được cải thiện.
CVE-2022-42856: Clément Lecigne thuộc Nhóm phân tích mối đe dọa của Google