Om sikkerhedsindholdet i macOS Big Sur 11.6.6

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

Udgivet 16. maj 2022

apache

Fås til: macOS Big Sur

Effekt: Flere problemer i Apache

Beskrivelse: Flere problemer blev løst ved at opdatere Apache til version 2.4.53.

CVE-2021-44224

CVE-2021-44790

CVE-2022-22719

CVE-2022-22720

CVE-2022-22721

AppKit

Fås til: macOS Big Sur

Effekt: Et skadeligt program kan muligvis opnå rodrettigheder

Beskrivelse: Et logikproblem er løst via forbedret godkendelse.

CVE-2022-22665: Lockheed Martin Red Team

AppleAVD

Fås til: macOS Big Sur

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder. Apple er opmærksom på, at dette problem kan være blevet aktivt udnyttet.

Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.

CVE-2022-22675: en anonym programmør

AppleEvents

Fås til: macOS Big Sur

Effekt: Et fjernangreb kan muligvis forårsage en pludselig applukning eller kørsel af vilkårlig kode

Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2022-22630: Jeremy Brown, der arbejder med Trend Micro Zero Day Initiative

Post tilføjet 8. juni 2023

AppleGraphicsControl

Fås til: macOS Big Sur

Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2022-26751: Michael DePlante (@izobashi) fra Trend Micros Zero Day Initiative

AppleScript

Fås til: macOS Big Sur

Effekt: Behandling af et skadeligt binært AppleScript-arkiv kan medføre uventet programlukning eller afsløring af proceshukommelse

Beskrivelse: Et out-of-bounds-læseproblem blev løst via forbedret kontrol af grænser.

CVE-2022-26698: Qi Sun fra Trend Micro, Ye Zhang (@co0py_Cat) fra Baidu Security

Post opdateret 6. juli 2022

AppleScript

Fås til: macOS Big Sur

Effekt: Behandling af et skadeligt binært AppleScript-arkiv kan medføre uventet programlukning eller afsløring af proceshukommelse

Beskrivelse: Et out-of-bounds-læseproblem blev løst ved forbedret inputvalidering.

CVE-2022-26697: Qi Sun og Robert Ai fra Trend Micro

CoreTypes

Fås til: macOS Big Sur

Effekt: Et skadeligt program kan omgå Gatekeeper-kontrollerne

Beskrivelse: Problemet er løst ved hjælp af forbedret kontrol for at forhindre uautoriserede handlinger i at blive udført.

CVE-2022-22663: Arsenii Kostromin (0x3c3e)

CVMS

Fås til: macOS Big Sur

Effekt: Et skadeligt program kan muligvis opnå rodrettigheder

Beskrivelse: Et problem med hukommelsesinitialisering er blevet løst.

CVE-2022-26721: Yonghwi Jin (@jinmo123) fra Theori

CVE-2022-26722: Yonghwi Jin (@jinmo123) fra Theori

DriverKit

Fås til: macOS Big Sur

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et out-of-bounds-adgangsproblem blev løst via forbedret kontrol af grænser.

CVE-2022-26763: Linus Henze fra Pinauten GmbH (pinauten.de)

Graphics Drivers

Fås til: macOS Big Sur

Effekt: En lokal bruger kan læse kernehukommelsen

Beskrivelse: Et out-of-bounds-læseproblem ledte til offentliggørelse af kernehukommelse. Dette er løst via forbedret godkendelse af input.

CVE-2022-22674: en anonym programmør

Intel Graphics Driver

Fås til: macOS Big Sur

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.

CVE-2022-26720: Liu Long fra Ant Security Light-Year Lab

Intel Graphics Driver

Fås til: macOS Big Sur

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret inputvalidering.

CVE-2022-26770: Liu Long fra Ant Security Light-Year Lab

Intel Graphics Driver

Fås til: macOS Big Sur

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et out-of-bounds-skriveproblem blev løst ved forbedret inputvalidering.

CVE-2022-26756: Jack Dates fra RET2 Systems, Inc

Intel Graphics Driver

Fås til: macOS Big Sur

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2022-26769: Antonio Zekic (@antoniozekic)

Intel Graphics Driver

Fås til: macOS Big Sur

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Et out-of-bounds-skriveproblem er løst via forbedret inputvalidering.

CVE-2022-26748: Jeonghoon Shin fra Theori i samarbejde med Trend Micro Zero Day Initiative

IOMobileFrameBuffer

Fås til: macOS Big Sur

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2022-26768: En anonym programmør

Kernel

Fås til: macOS Big Sur

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.

CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) fra STAR Labs (@starlabs_sg)

Kernel

Fås til: macOS Big Sur

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2022-26757: Ned Williamson fra Google Project Zero

LaunchServices

Fås til: macOS Big Sur

Effekt: En app kan muligvis omgå visse indstillinger for fortrolighed

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2021-30946: @gorelics og Ron Masas fra BreakPoint.sh

Post tilføjet 8. juni 2023

LaunchServices

Fås til: macOS Big Sur

Effekt: Et skadeligt program kan muligvis omgå indstillingerne for fortrolighed

Beskrivelse: Problemet er løst med yderligere tilladelseskontroller.

CVE-2022-26767: Wojciech Reguła (@_r3ggi) fra SecuRing

LaunchServices

Fås til: macOS Big Sur

Effekt: En sandbox-proces kan muligvis gå uden om sandbox-begrænsningerne

Beskrivelse: Et adgangsproblem blev løst via yderligere sandbox-begrænsninger på tredjepartsapps.

CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or fra Microsoft

Post opdateret 6. juli 2022

Libinfo

Fås til: macOS Big Sur

Effekt: En app kan muligvis omgå indstillingerne for fortrolighed

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2022-32882: Zhipeng Huo (@R3dF09) og Yuebin Sun (@yuebinsun2020) fra Tencent Security Xuanwu Lab

Post tilføjet 16. september 2022

libresolv

Fås til: macOS Big Sur

Effekt: En ekstern bruger kan muligvis forårsage DoS-angreb

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2022-32790: Max Shavrick (@_mxms) fra Googles sikkerhedsteam

Post tilføjet 21. juni 2022

libresolv

Fås til: macOS Big Sur

Effekt: En hacker kan forårsage uventet programafslutning eller kørsel af vilkårlig kode

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2022-26776: Zubair Ashraf fra Crowdstrike, Max Shavrick (@_mxms) fra Googles sikkerhedsteam

LibreSSL

Fås til: macOS Big Sur

Effekt: Behandling af et skadeligt certifikat kan medføre DoS (Denial of Service)

Beskrivelse: Et Denial of Service-problem blev rettet via forbedret inputvalidering.

CVE-2022-0778

libxml2

Fås til: macOS Big Sur

Effekt: En ekstern hacker kan muligvis forårsage pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2022-23308

OpenSSL

Fås til: macOS Big Sur

Effekt: Behandling af et skadeligt certifikat kan medføre DoS (Denial of Service)

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2022-0778

PackageKit

Fås til: macOS Big Sur

Effekt: En app kan muligvis få adgang til ekstra rettigheder

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2022-32794: Mickey Jin (@patch1t)

Post tilføjet 4. oktober 2022

PackageKit

Fås til: macOS Big Sur

Effekt: Et skadeligt program kan muligvis ændre beskyttede dele af arkivsystemet

Beskrivelse: Problemet blev løst ved at fjerne den sårbare kode.

CVE-2022-26712: Mickey Jin (@patch1t)

Printing

Fås til: macOS Big Sur

Effekt: Et skadeligt program kan muligvis omgå indstillingerne for fortrolighed

Beskrivelse: Problemet blev løst ved at fjerne den sårbare kode.

CVE-2022-26746: @gorelics

Safari Private Browsing

Fås til: macOS Big Sur

Effekt: Et skadeligt websted kan muligvis spore brugerne i funktionen Privat browser i Safari

Beskrivelse: Der var et logikproblem, som er løst via forbedret statusadministration.

CVE-2022-26731: En anonym programmør

Post tilføjet 6. juli 2022

Security

Fås til: macOS Big Sur

Effekt: En skadelig app kan muligvis omgå signaturvalidering

Beskrivelse: Et problem med parsing af certifikat er løst ved hjælp af forbedrede kontroller.

CVE-2022-26766: Linus Henze fra Pinauten GmbH (pinauten.de)

SMB

Fås til: macOS Big Sur

Effekt: Et program kan få adgang til hævede rettigheder

Beskrivelse: Et out-of-bounds-læseproblem blev løst ved forbedret inputvalidering.

CVE-2022-26718: Peter Nguyễn Vũ Hoàng fra STAR Labs

SMB

Fås til: macOS Big Sur

Effekt: Åbning af en skadelig Samba-netværksmappe kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2022-26723: Felix Poulin-Belanger

SMB

Fås til: macOS Big Sur

Effekt: Et program kan få adgang til hævede rettigheder

Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.

CVE-2022-26715: Peter Nguyễn Vũ Hoàng fra STAR Labs

SoftwareUpdate

Fås til: macOS Big Sur

Effekt: Et skadeligt program kan muligvis få adgang til begrænsede arkiver

Beskrivelse: Problemet er løst ved forbedret godkendelse.

CVE-2022-26728: Mickey Jin (@patch1t)

TCC

Fås til: macOS Big Sur

Effekt: En app kan muligvis tage kontrollen over en brugers skærm

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2022-26726: Antonio Cheong Yu Xuan fra YCISCQ

Post opdateret 8. juni 2023

Tcl

Fås til: macOS Big Sur

Effekt: Et skadeligt program kan muligvis frigøre sig fra sin sandbox

Beskrivelse: Problemet blev løst ved forbedret rensning af miljøet.

CVE-2022-26755: Arsenii Kostromin (0x3c3e)

Vim

Fås til: macOS Big Sur

Effekt: Flere problemer i Vim

Beskrivelse: Flere problemer er løst ved at opdatere Vim.

CVE-2021-4136

CVE-2021-4166

CVE-2021-4173

CVE-2021-4187

CVE-2021-4192

CVE-2021-4193

CVE-2021-46059

CVE-2022-0128

WebKit

Fås til: macOS Big Sur

Effekt: Behandling af en skadelig mailbesked kan medføre kørsel af vilkårlig javascript

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.

CVE-2022-22589: Heige fra KnownSec 404 Team (knownsec.com) og Bo Qu fra Palo Alto Networks (paloaltonetworks.com)

Wi-Fi

Fås til: macOS Big Sur

Effekt: Et skadeligt program kan muligvis afsløre beskyttet hukommelse

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.

CVE-2022-26745: Scarlet Raine

Post opdateret 6. juli 2022

Wi-Fi

Fås til: macOS Big Sur

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2022-26761: Wang Yu fra Cyberserval

Zip

Fås til: macOS Big Sur

Effekt: Behandling af et skadeligt arkiv kan medføre DoS (Denial of Service)

Beskrivelse: Et Denial of Service-problem blev rettet via forbedret statushåndtering.

CVE-2022-0530

zlib

Fås til: macOS Big Sur

Effekt: En hacker kan forårsage uventet programafslutning eller kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2018-25032: Tavis Ormandy

zsh

Fås til: macOS Big Sur

Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode

Beskrivelse: Dette problem blev løst ved at opdatere til zsh-version 5.8.1.

CVE-2021-45444

Bluetooth

Vi vil gerne takke Jann Horn fra Project Zero for hjælpen.