Vulnérabilités dans Apple MacOS Monterrey
Date de publication :
Apple macOS Monterey est la dernière version majeure du système d’exploitation MacOS.
CVE-2022-22669[Score CVSS v3.1: 7.8]
Une vulnérabilité dans le composant AMD de Apple macOS Monterey peut permettre à un attaquant d’exécuter du code arbitraire avec les privilèges le plus élevés.
CVE-2022-22665[Score CVSS v3.1: 7.8]
Un défaut logique dans le composant AppKit de Apple macOS Monterey peut permettre à un attaquant d’élever ses privilèges.
CVE-2022-22664[Score CVSS v3.1: 7.8]
Un problème d’écriture hors limites dans le programme GarageBand MIDI de Apple macOS Monterey peut permettre à un attaquant de créer un fichier spécialement forgé en vue d’exécuter du code arbitraire ou de mener une attaque par déni de service.
CVE-2022-22657[Score CVSS v3.1: 7.8]
Un défaut d’initialisation de la mémoire dans le programme GarageBand MIDI de Apple macOS Monterey peut permettre à un attaquant de créer un fichier spécialement forgé en vue d’exécuter du code arbitraire ou de mener une attaque par déni de service.
CVE-2022-22651[Score CVSS v3.1: 7.5]
Un problème d’écriture hors limites dans la composante SMB de Apple macOS Monterey peut permettre à un attaquant d’envoyer une requête spécialement forgée en vue de compromettre la mémoire du noyau ou de mener une attaque par déni de service.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Élévation de privilèges
Exécution de code arbitraire
Déni de service
Criticité
Score CVSS v3.1: 7.8 max
La faille est activement exploitée
Non, pour l’ensemble des CVE présentées.
Des correctifs existent
Oui, pour l’ensemble des CVE présentées.
Des mesures de contournement existent
Non, pour l’ensemble des CVE présentées.
Les vulnérabilités exploitées sont du type
-
Pour la CVE-2022-22669
CWE-416: Use After Free
Pour la CVE-2022-22664
CWE-125: Out-of-bounds Read
Pour la CVE-2022-22651
CWE-787: Out-of-bounds Write
-
Pour la CVE-2022-22665
CWE 264 : Permissions, Privileges, and Access Controls
Pour la CVE-2022-22657
CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer
Détails sur l’exploitation
Pour la CVE-2022-22669, CVE-2022-22665
Vecteur d’attaque : Local.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.
Pour la CVE-2022-22664, CVE-2022-22657
Vecteur d’attaque : Local.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Pour la CVE-2022-22651
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Aucune.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Composants vulnérables
Ces vulnérabilités affectent les versions de MacOS Monterey antérieures à 12.3.
Solutions ou recommandations
- Mettre à jour le système d’exploitation MacOS Monterey à la version 12.3. Des informations supplémentaires sont disponibles ici.