Informace o bezpečnostním obsahu macOS Big Sur 11.7

Tento dokument popisuje bezpečnostní obsah macOS Big Sur 11.7.

Informace o bezpečnostních aktualizacích Apple

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.

Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.

Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.

macOS Big Sur 11.7

Vydáno 12. září 2022

AppleMobileFileIntegrity

K dispozici pro: macOS Big Sur

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém v ověřování podpisů kódu byl vyřešen vylepšením kontrol.

CVE-2022-42789: Koh M. Nakagawa ze společnosti FFRI Security, Inc.

Záznam přidán 27. října 2022

ATS

K dispozici pro: macOS Big Sur

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém s přístupem byl vyřešen přidáním dalších omezení sandboxu.

CVE-2022-32904: Mickey Jin (@patch1t)

Záznam přidán 27. října 2022

ATS

K dispozici pro: macOS Big Sur

Dopad: Aplikaci se může podařit obejít předvolby soukromí.

Popis: Problém v logice byl vyřešen vylepšením správy stavu.

CVE-2022-32902: Mickey Jin (@patch1t)

Calendar

K dispozici pro: macOS Big Sur

Dopad: Aplikaci se může podařit číst citlivé polohové informace.

Popis: Problém s přístupem byl vyřešen vylepšením přístupových omezení.

CVE-2022-42819: anonymní výzkumník

Záznam přidán 27. října 2022

Contacts

K dispozici pro: macOS Big Sur

Dopad: Aplikaci se může podařit obejít předvolby soukromí.

Popis: Problém byl vyřešen vylepšením kontrol.

CVE-2022-32854: Holger Fuhrmannek ze společnosti Deutsche Telekom Security

GarageBand

K dispozici pro: macOS Big Sur

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém s konfigurací byl vyřešen přidáním dalších omezení.

CVE-2022-32877: Wojciech Reguła (@_r3ggi) ze společnosti SecuRing

Záznam přidán 27. října 2022

ImageIO

K dispozici pro: macOS Big Sur

Dopad: Zpracování obrázku může vést k odepření služby.

Popis: Problém s odmítnutím služby byl vyřešen vylepšením ověřování.

CVE-2022-1622

Záznam přidán 27. října 2022

Image Processing

K dispozici pro: macOS Big Sur

Dopad: Aplikaci v sandboxu se může podařit zjistit, která aplikace momentálně používá kameru.

Popis: Problém byl vyřešen přidáním dalších omezení k viditelnosti stavů aplikací.

CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)

Záznam přidán 27. října 2022

iMovie

K dispozici pro: macOS Big Sur

Dopad: Uživateli se může podařit zobrazit citlivé uživatelské údaje.

Popis: Tento problém byl vyřešen povolením nastavení Hardened Runtime.

CVE-2022-32896: Wojciech Reguła (@_r3ggi)

Kernel

K dispozici pro: macOS Big Sur

Dopad: Připojení ke škodlivému NFS serveru může vést ke spuštění libovolného kódu s oprávněními k jádru.

Popis: Problém byl vyřešen vylepšením kontroly rozsahu.

CVE-2022-46701: Felix Poulin-Belanger

Záznam přidán 11. května 2023

Kernel

K dispozici pro: macOS Big Sur

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními jádra.

Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

CVE-2022-32914: Zweig z týmu Kunlun Lab

Záznam přidán 27. října 2022

Kernel

K dispozici pro: macOS Big Sur

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními jádra.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2022-32866: Linus Henze ze společnosti Pinauten GmbH (pinauten.de)

CVE-2022-32911: Zweig z týmu Kunlun Lab

CVE-2022-32924: Ian Beer z týmu Google Project Zero

Záznam aktualizován 27. října 2022

Kernel

K dispozici pro: macOS Big Sur

Dopad: Aplikaci se může podařit odhalit obsah paměti jádra.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2022-32864: Linus Henze ze společnosti Pinauten GmbH (pinauten.de)

Kernel

K dispozici pro: macOS Big Sur

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru. Apple má informace o tom, že tento problém mohl být aktivně zneužit.

Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením kontroly rozsahu.

CVE-2022-32894: anonymní výzkumník

Kernel

K dispozici pro: macOS Big Sur

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru. Apple má informace o tom, že tento problém mohl být aktivně zneužit.

Popis: Problém byl vyřešen vylepšením kontroly rozsahu.

CVE-2022-32917: anonymní výzkumník

Maps

K dispozici pro: macOS Big Sur

Dopad: Aplikaci se může podařit číst citlivé polohové informace.

Popis: Problém v logice byl vyřešen vylepšením omezení.

CVE-2022-32883: Ron Masas z týmu breakpointhq.com

Záznam aktualizován 27. října 2022

MediaLibrary

K dispozici pro: macOS Big Sur

Dopad: Uživateli se může podařit navýšit oprávnění.

Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.

CVE-2022-32908: anonymní výzkumník

ncurses

K dispozici pro: macOS Big Sur

Dopad: Uživateli se může podařit způsobit nečekané ukončení aplikace nebo spustit libovolný kód.

Popis: Problém s přetečením zásobníku byl vyřešen vylepšením kontroly rozsahu.

CVE-2021-39537

Záznam přidán 27. října 2022

PackageKit

K dispozici pro: macOS Big Sur

Dopad: Aplikaci se může podařit navýšit si oprávnění.

Popis: Problém v logice byl vyřešen vylepšením správy stavu.

CVE-2022-32900: Mickey Jin (@patch1t)

Sandbox

K dispozici pro: macOS Big Sur

Dopad: Aplikaci se může podařit upravit chráněné části souborového systému.

Popis: Problém v logice byl vyřešen vylepšením omezení.

CVE-2022-32881: Csaba Fitzl (@theevilbit) ze společnosti Offensive Security

Záznam přidán 27. října 2022

Security

K dispozici pro: macOS Big Sur

Dopad: Aplikaci se může podařit obejít kontroly podpisu kódu.

Popis: Problém v ověřování podpisů kódu byl vyřešen vylepšením kontrol.

CVE-2022-42793: Linus Henze ze společnosti Pinauten GmbH (pinauten.de)

Záznam přidán 27. října 2022

Sidecar

K dispozici pro: macOS Big Sur

Dopad: Uživateli se může podařit zobrazit omezený obsah na zamčené obrazovce.

Popis: Problém v logice byl vyřešen vylepšením správy stavu.

CVE-2022-42790: Om kothawade ze společnosti Zaprico Digital

Záznam přidán 27. října 2022

SMB

K dispozici pro: macOS Big Sur

Dopad: Vzdálenému uživateli se může podařit spustit kód na úrovni jádra.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2022-32934: Felix Poulin-Belanger

Záznam přidán 27. října 2022

Vim

K dispozici pro: macOS Big Sur

Dopad: Zpracování škodlivého souboru může vést k odmítnutí služby nebo k potenciálnímu odhalení obsahu paměti.

Popis: Problém byl vyřešen vylepšením kontrol.

CVE-2022-1720

CVE-2022-2000

CVE-2022-2042

CVE-2022-2124

CVE-2022-2125

CVE-2022-2126

Záznam přidán 27. října 2022

Weather

K dispozici pro: macOS Big Sur

Dopad: Aplikaci se může podařit číst citlivé polohové informace.

Popis: Problém v logice byl vyřešen vylepšením správy stavu.

CVE-2022-32875: anonymní výzkumník

Záznam přidán 27. října 2022

WebKit

K dispozici pro: macOS Big Sur

Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.

Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením kontroly rozsahu.

WebKit Bugzilla: 242047

CVE-2022-32888: P1umer (@p1umer)

Záznam přidán 27. října 2022

Další poděkování

apache

Poděkování za pomoc zaslouží Tricia Lee z týmu Enterprise Service Center.

Záznam přidán 11. května 2023

Identity Services

Poděkování za pomoc zaslouží Joshua Jones.

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.

Datum zveřejnění: