Om sikkerhedsindholdet i macOS Big Sur 11.6.6
I dette dokument beskrives sikkerhedsindholdet i macOS Big Sur 11.6.6.
Om Apple-sikkerhedsopdateringer
Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.
Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.
macOS Big Sur 11.6.6
Udgivet 16. maj 2022
apache
Fås til: macOS Big Sur
Effekt: Flere problemer i Apache
Beskrivelse: Flere problemer blev løst ved at opdatere Apache til version 2.4.53.
CVE-2021-44224
CVE-2021-44790
CVE-2022-22719
CVE-2022-22720
CVE-2022-22721
AppKit
Fås til: macOS Big Sur
Effekt: Et skadeligt program kan muligvis opnå rodrettigheder
Beskrivelse: Et logikproblem er løst via forbedret godkendelse.
CVE-2022-22665: Lockheed Martin Red Team
AppleAVD
Fås til: macOS Big Sur
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder. Apple er opmærksom på, at dette problem kan være blevet aktivt udnyttet.
Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.
CVE-2022-22675: en anonym programmør
AppleEvents
Fås til: macOS Big Sur
Effekt: Et fjernangreb kan muligvis forårsage en pludselig applukning eller kørsel af vilkårlig kode
Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.
CVE-2022-22630: Jeremy Brown, der arbejder med Trend Micro Zero Day Initiative
Post tilføjet 8. juni 2023
AppleGraphicsControl
Fås til: macOS Big Sur
Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2022-26751: Michael DePlante (@izobashi) fra Trend Micros Zero Day Initiative
AppleScript
Fås til: macOS Big Sur
Effekt: Behandling af et skadeligt binært AppleScript-arkiv kan medføre uventet programlukning eller afsløring af proceshukommelse
Beskrivelse: Et out-of-bounds-læseproblem blev løst via forbedret kontrol af grænser.
CVE-2022-26698: Qi Sun fra Trend Micro, Ye Zhang (@co0py_Cat) fra Baidu Security
Post opdateret 6. juli 2022
AppleScript
Fås til: macOS Big Sur
Effekt: Behandling af et skadeligt binært AppleScript-arkiv kan medføre uventet programlukning eller afsløring af proceshukommelse
Beskrivelse: Et out-of-bounds-læseproblem blev løst ved forbedret inputvalidering.
CVE-2022-26697: Qi Sun og Robert Ai fra Trend Micro
CoreTypes
Fås til: macOS Big Sur
Effekt: Et skadeligt program kan omgå Gatekeeper-kontrollerne
Beskrivelse: Problemet er løst ved hjælp af forbedret kontrol for at forhindre uautoriserede handlinger i at blive udført.
CVE-2022-22663: Arsenii Kostromin (0x3c3e)
CVMS
Fås til: macOS Big Sur
Effekt: Et skadeligt program kan muligvis opnå rodrettigheder
Beskrivelse: Et problem med hukommelsesinitialisering er blevet løst.
CVE-2022-26721: Yonghwi Jin (@jinmo123) fra Theori
CVE-2022-26722: Yonghwi Jin (@jinmo123) fra Theori
DriverKit
Fås til: macOS Big Sur
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Et out-of-bounds-adgangsproblem blev løst via forbedret kontrol af grænser.
CVE-2022-26763: Linus Henze fra Pinauten GmbH (pinauten.de)
Graphics Drivers
Fås til: macOS Big Sur
Effekt: En lokal bruger kan læse kernehukommelsen
Beskrivelse: Et out-of-bounds-læseproblem ledte til offentliggørelse af kernehukommelse. Dette er løst via forbedret godkendelse af input.
CVE-2022-22674: en anonym programmør
Intel Graphics Driver
Fås til: macOS Big Sur
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.
CVE-2022-26720: Liu Long fra Ant Security Light-Year Lab
Intel Graphics Driver
Fås til: macOS Big Sur
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret inputvalidering.
CVE-2022-26770: Liu Long fra Ant Security Light-Year Lab
Intel Graphics Driver
Fås til: macOS Big Sur
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et out-of-bounds-skriveproblem blev løst ved forbedret inputvalidering.
CVE-2022-26756: Jack Dates fra RET2 Systems, Inc
Intel Graphics Driver
Fås til: macOS Big Sur
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2022-26769: Antonio Zekic (@antoniozekic)
Intel Graphics Driver
Fås til: macOS Big Sur
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Et out-of-bounds-skriveproblem er løst via forbedret inputvalidering.
CVE-2022-26748: Jeonghoon Shin fra Theori i samarbejde med Trend Micro Zero Day Initiative
IOMobileFrameBuffer
Fås til: macOS Big Sur
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.
CVE-2022-26768: En anonym programmør
Kernel
Fås til: macOS Big Sur
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.
CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) fra STAR Labs (@starlabs_sg)
Kernel
Fås til: macOS Big Sur
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.
CVE-2022-26757: Ned Williamson fra Google Project Zero
LaunchServices
Fås til: macOS Big Sur
Effekt: En app kan muligvis omgå visse indstillinger for fortrolighed
Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.
CVE-2021-30946: @gorelics og Ron Masas fra BreakPoint.sh
Post tilføjet 8. juni 2023
LaunchServices
Fås til: macOS Big Sur
Effekt: Et skadeligt program kan muligvis omgå indstillingerne for fortrolighed
Beskrivelse: Problemet er løst med yderligere tilladelseskontroller.
CVE-2022-26767: Wojciech Reguła (@_r3ggi) fra SecuRing
LaunchServices
Fås til: macOS Big Sur
Effekt: En sandbox-proces kan muligvis gå uden om sandbox-begrænsningerne
Beskrivelse: Et adgangsproblem blev løst via yderligere sandbox-begrænsninger på tredjepartsapps.
CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or fra Microsoft
Post opdateret 6. juli 2022
Libinfo
Fås til: macOS Big Sur
Effekt: En app kan muligvis omgå indstillingerne for fortrolighed
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2022-32882: Zhipeng Huo (@R3dF09) og Yuebin Sun (@yuebinsun2020) fra Tencent Security Xuanwu Lab
Post tilføjet 16. september 2022
libresolv
Fås til: macOS Big Sur
Effekt: En ekstern bruger kan muligvis forårsage DoS-angreb
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2022-32790: Max Shavrick (@_mxms) fra Googles sikkerhedsteam
Post tilføjet 21. juni 2022
libresolv
Fås til: macOS Big Sur
Effekt: En hacker kan forårsage uventet programafslutning eller kørsel af vilkårlig kode
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2022-26776: Zubair Ashraf fra Crowdstrike, Max Shavrick (@_mxms) fra Googles sikkerhedsteam
LibreSSL
Fås til: macOS Big Sur
Effekt: Behandling af et skadeligt certifikat kan medføre DoS (Denial of Service)
Beskrivelse: Et Denial of Service-problem blev rettet via forbedret inputvalidering.
CVE-2022-0778
libxml2
Fås til: macOS Big Sur
Effekt: En ekstern hacker kan muligvis forårsage pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.
CVE-2022-23308
OpenSSL
Fås til: macOS Big Sur
Effekt: Behandling af et skadeligt certifikat kan medføre DoS (Denial of Service)
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2022-0778
PackageKit
Fås til: macOS Big Sur
Effekt: En app kan muligvis få adgang til ekstra rettigheder
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2022-32794: Mickey Jin (@patch1t)
Post tilføjet 4. oktober 2022
PackageKit
Fås til: macOS Big Sur
Effekt: Et skadeligt program kan muligvis ændre beskyttede dele af arkivsystemet
Beskrivelse: Problemet blev løst ved at fjerne den sårbare kode.
CVE-2022-26712: Mickey Jin (@patch1t)
Printing
Fås til: macOS Big Sur
Effekt: Et skadeligt program kan muligvis omgå indstillingerne for fortrolighed
Beskrivelse: Problemet blev løst ved at fjerne den sårbare kode.
CVE-2022-26746: @gorelics
Safari Private Browsing
Fås til: macOS Big Sur
Effekt: Et skadeligt websted kan muligvis spore brugerne i funktionen Privat browser i Safari
Beskrivelse: Der var et logikproblem, som er løst via forbedret statusadministration.
CVE-2022-26731: En anonym programmør
Post tilføjet 6. juli 2022
Security
Fås til: macOS Big Sur
Effekt: En skadelig app kan muligvis omgå signaturvalidering
Beskrivelse: Et problem med parsing af certifikat er løst ved hjælp af forbedrede kontroller.
CVE-2022-26766: Linus Henze fra Pinauten GmbH (pinauten.de)
SMB
Fås til: macOS Big Sur
Effekt: Et program kan få adgang til hævede rettigheder
Beskrivelse: Et out-of-bounds-læseproblem blev løst ved forbedret inputvalidering.
CVE-2022-26718: Peter Nguyễn Vũ Hoàng fra STAR Labs
SMB
Fås til: macOS Big Sur
Effekt: Åbning af en skadelig Samba-netværksmappe kan medføre kørsel af vilkårlig kode
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2022-26723: Felix Poulin-Belanger
SMB
Fås til: macOS Big Sur
Effekt: Et program kan få adgang til hævede rettigheder
Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.
CVE-2022-26715: Peter Nguyễn Vũ Hoàng fra STAR Labs
SoftwareUpdate
Fås til: macOS Big Sur
Effekt: Et skadeligt program kan muligvis få adgang til begrænsede arkiver
Beskrivelse: Problemet er løst ved forbedret godkendelse.
CVE-2022-26728: Mickey Jin (@patch1t)
TCC
Fås til: macOS Big Sur
Effekt: En app kan muligvis tage kontrollen over en brugers skærm
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2022-26726: Antonio Cheong Yu Xuan fra YCISCQ
Post opdateret 8. juni 2023
Tcl
Fås til: macOS Big Sur
Effekt: Et skadeligt program kan muligvis frigøre sig fra sin sandbox
Beskrivelse: Problemet blev løst ved forbedret rensning af miljøet.
CVE-2022-26755: Arsenii Kostromin (0x3c3e)
Vim
Fås til: macOS Big Sur
Effekt: Flere problemer i Vim
Beskrivelse: Flere problemer er løst ved at opdatere Vim.
CVE-2021-4136
CVE-2021-4166
CVE-2021-4173
CVE-2021-4187
CVE-2021-4192
CVE-2021-4193
CVE-2021-46059
CVE-2022-0128
WebKit
Fås til: macOS Big Sur
Effekt: Behandling af en skadelig mailbesked kan medføre kørsel af vilkårlig javascript
Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.
CVE-2022-22589: Heige fra KnownSec 404 Team (knownsec.com) og Bo Qu fra Palo Alto Networks (paloaltonetworks.com)
Wi-Fi
Fås til: macOS Big Sur
Effekt: Et skadeligt program kan muligvis afsløre beskyttet hukommelse
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.
CVE-2022-26745: Scarlet Raine
Post opdateret 6. juli 2022
Wi-Fi
Fås til: macOS Big Sur
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2022-26761: Wang Yu fra Cyberserval
Zip
Fås til: macOS Big Sur
Effekt: Behandling af et skadeligt arkiv kan medføre DoS (Denial of Service)
Beskrivelse: Et Denial of Service-problem blev rettet via forbedret statushåndtering.
CVE-2022-0530
zlib
Fås til: macOS Big Sur
Effekt: En hacker kan forårsage uventet programafslutning eller kørsel af vilkårlig kode
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2018-25032: Tavis Ormandy
zsh
Fås til: macOS Big Sur
Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode
Beskrivelse: Dette problem blev løst ved at opdatere til zsh-version 5.8.1.
CVE-2021-45444
Yderligere anerkendelser
Bluetooth
Vi vil gerne takke Jann Horn fra Project Zero for hjælpen.
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.