macOS Monterey アップデートで Safari のリークが修正

By XkeyacwpmPhotography0 comments

Contents

  1. Introduction
  2. Main Content
  3. Discussion
  4. Conclusion
macOS Monterey アップデートで Safari のリークが修正

Appleは本日、iOS 15.3、iPadOS 15.3、watchOS 8.4などのリリースに加え、macOS Monterey 12.2の全ユーザーへの配信を開始しました。今回のアップデートで最も注目すべき修正は、SafariでWebページ間で機密情報が漏洩する問題を修正したことです。

WebKitのストレージバグがSafariの漏洩を引き起こす

Appleはリリースノートで、IndexDB APIにおけるクロスオリジン問題を指摘しています。CVE-2022-22594として特定され、FingerprintJSのMartin Bajanik氏によって報告されたこのバグにより、ウェブサイトが複数のサイト間で機密性の高いユーザー情報を追跡することが可能になりました。

Appleによると、入力検証の改善により問題は解決したとのことです。9to5Macのテスターは、先週配布されたリリース候補版の時点で、macOS版Safariではこのバグの影響を受けなくなったことを確認しました。

AppleはWebKitの他の3つのセキュリティ問題も修正しました。これらの問題には、悪意のあるメールやWebコンテンツによる任意のコード実行や、コンテンツセキュリティポリシー違反による侵入を許す問題が含まれます。

macOS Monterey 12.2 で解決されたその他の問題

macOS Monterey 12.2では、多数のバグが修正されているため、できるだけ早くアップデートをインストールすることをお勧めします。システム環境設定 > ソフトウェアアップデートを開き、「今すぐアップデート」をクリックしてください。すぐに表示されない場合は、ソフトウェアアップデートを更新して表示されるようにする必要があるかもしれません。

macOS Monterey アップデートで Safari のリークが修正

最新のアップデートで見つかったセキュリティ修正の完全なリストは次のとおりです。

AMDカーネル

影響: 悪意のあるアプリケーションがカーネル権限で任意のコードを実行できる可能性がある

CVE-2022-22586: 匿名の研究者

カラーシンク

影響: 悪意を持って作成されたファイルを処理すると、任意のコードが実行される可能性がある

CVE-2022-22584: トレンドマイクロのミッキー・ジン氏(@patch1t)

クラッシュレポーター

影響: 悪意のあるアプリケーションがルート権限を取得できる可能性がある

CVE-2022-22578: 匿名の研究者

iCloud

影響: アプリケーションがユーザーのファイルにアクセスできる可能性がある

CVE-2022-22585: Tencent Security Xuanwu Lab (https://xlab.tencent.com) の Zhipeng Huo (@R3dF09)

インテル グラフィックス ドライバー

影響: 悪意のあるアプリケーションがカーネル権限で任意のコードを実行できる可能性がある

CVE-2022-22591: Diverto の Antonio Zekic (@antoniozekic)

IOモバイルフレームバッファ

影響:悪意のあるアプリケーションがカーネル権限で任意のコードを実行できる可能性があります。Appleは、この問題が実際に悪用されている可能性があるという報告を認識しています。

CVE-2022-22587: 匿名の研究者、MBition – Mercedes-Benz Innovation LabのMeysam Firouzi (@R00tkitSMM)、Siddharth Aeri (@b1n4r1b01)

カーネル

影響: 悪意のあるアプリケーションがカーネル権限で任意のコードを実行できる可能性がある

CVE-2022-22593: STAR Labs の Peter Nguyễn Vũ Hoàng

モデルI/O

影響: 悪意を持って作成された STL ファイルを処理すると、予期しないアプリケーションの終了や任意のコードの実行につながる可能性があります。

CVE-2022-22579: トレンドマイクロのミッキー・ジン氏(@patch1t)

パッケージキット

影響: アプリケーションが制限されたファイルにアクセスできる可能性がある

CVE-2022-22583: 匿名の研究者、Mickey Jin (@patch1t)、Perception PointのRon Hass (@ronhass7)

ウェブキット

影響: 悪意を持って作成されたメールメッセージを処理すると、任意のJavaScriptが実行される可能性がある。

説明: 入力サニタイズを強化し、検証の問題を解決しました。

CVE-2022-22589: KnownSec 404 チームの Heige (knownsec.com) と Palo Alto Networks の Bo Qu (paloaltonetworks.com)

ウェブキット

影響: 悪意を持って作成されたWebコンテンツを処理すると、任意のコードが実行される可能性がある

CVE-2022-22590: Sea Security (security.sea.com) の Team Orca の Toan Pham

ウェブキット

影響: 悪意を持って作成されたWebコンテンツを処理すると、コンテンツセキュリティポリシーが適用されなくなる可能性があります。

CVE-2022-22592: プラカシュ (@1lastBr3ath)

WebKit ストレージ

影響: ウェブサイトがユーザーの機密情報を追跡できる可能性がある

CVE-2022-22594: FingerprintJS の Martin Bajanik

Knowledge Network

Worth Exploring