Über den Sicherheitsinhalt von macOS Big Sur 11.6.6

Dieses Dokument beschreibt den Sicherheitsinhalt von macOS Big Sur 11.6.6.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit findest du auf der Seite Sicherheits- oder Datenschutzschwachstelle melden.

macOS Big Sur 11.6.6

Veröffentlicht am 16. Mai 2022

apache

Verfügbar für: macOS Big Sur

Auswirkung: Mehrere Probleme in Apache

Beschreibung: Mehrere Probleme wurden durch ein Update von Apache auf Version 2.4.53 behoben.

CVE-2021-44224

CVE-2021-44790

CVE-2022-22719

CVE-2022-22720

CVE-2022-22721

AppKit

Verfügbar für: macOS Big Sur

Auswirkung: Ein Schadprogramm kann möglicherweise Root-Rechte erlangen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Überprüfung behoben.

CVE-2022-22665: Lockheed Martin Red Team

AppleAVD

Verfügbar für: macOS Big Sur

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen. Apple ist bekannt, dass ein Bericht vorliegt, wonach dieses Problem eventuell aktiv ausgenutzt wurde.

Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2022-22675: Ein anonymer Forscher

AppleEvents

Verfügbar für: macOS Big Sur

Auswirkung: Entfernte Angreifer können möglicherweise einen unerwarteten App-Abbruch oder die Ausführung willkürlichen Codes verursachen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-22630: Jeremy Brown in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Eintrag am 8. Juni 2023 hinzugefügt

AppleGraphicsControl

Verfügbar für: macOS Big Sur

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2022-26751: Michael DePlante (@izobashi) von der Zero Day Initiative von Trend Micro

AppleScript

Verfügbar für: macOS Big Sur

Auswirkung: Durch Verarbeitung einer in böser Absicht erstellten AppleScript-Binärdatei kann ein Programm unerwartet beendet oder Prozessspeicher offengelegt werden.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2022-26698: Qi Sun von Trend Micro, Ye Zhang (@co0py_Cat) von Baidu Security

Eintrag am Mittwoch, 6. Juli 2022 aktualisiert

AppleScript

Verfügbar für: macOS Big Sur

Auswirkung: Durch Verarbeitung einer in böser Absicht erstellten AppleScript-Binärdatei kann ein Programm unerwartet beendet oder Prozessspeicher offengelegt werden.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2022-26697: Qi Sun und Robert Ai von Trend Micro

CoreTypes

Verfügbar für: macOS Big Sur

Auswirkung: Eine schadhafte Anwendung kann Gatekeeper-Überprüfungen umgehen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben, die nicht autorisierte Aktionen verhindern.

CVE-2022-22663: Arsenii Kostromin (0x3c3e)

CVMS

Verfügbar für: macOS Big Sur

Auswirkung: Ein Schadprogramm kann möglicherweise Root-Rechte erlangen.

Beschreibung: Ein Problem mit der Speicherinitialisierung wurde behoben.

CVE-2022-26721: Yonghwi Jin (@jinmo123) von Theori

CVE-2022-26722: Yonghwi Jin (@jinmo123) von Theori

DriverKit

Verfügbar für: macOS Big Sur

Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen.

Beschreibung: Ein Problem, aufgrund dessen auf Daten außerhalb des zugewiesenen Bereichs zugegriffen werden konnte, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2022-26763: Linus Henze von der Pinauten GmbH (pinauten.de)

Graphics Drivers

Verfügbar für: macOS Big Sur

Auswirkung: Ein lokaler Benutzer kann möglicherweise den Kernelspeicher auslesen.

Beschreibung: Es bestand ein Problem, das den Lesezugriff auf Speicher außerhalb des zugewiesenen Bereichs ermöglichte. Dadurch wurden Inhalte des Kernelspeichers offengelegt. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2022-22674: Ein anonymer Forscher

Intel Graphics Driver

Verfügbar für: macOS Big Sur

Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2022-26720: Liu Long von Ant Security Light-Year Lab

Intel Graphics Driver

Verfügbar für: macOS Big Sur

Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2022-26770: Liu Long von Ant Security Light-Year Lab

Intel Graphics Driver

Verfügbar für: macOS Big Sur

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2022-26756: Jack Dates von RET2 Systems, Inc

Intel Graphics Driver

Verfügbar für: macOS Big Sur

Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2022-26769: Antonio Zekic (@antoniozekic)

Intel Graphics Driver

Verfügbar für: macOS Big Sur

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2022-26748: Jeonghoon Shin von Theori im Rahmen der Zero Day Initiative von Trend Micro

IOMobileFrameBuffer

Verfügbar für: macOS Big Sur

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-26768: ein anonymer Forscher

Kernel

Verfügbar für: macOS Big Sur

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Überprüfung behoben.

CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) von STAR Labs (@starlabs_sg)

Kernel

Verfügbar für: macOS Big Sur

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-26757: Ned Williamson von Google Project Zero

LaunchServices

Verfügbar für: macOS Big Sur

Auswirkung: Bestimmte Privatsphäre-Einstellungen können von einer App möglicherweise umgangen werden.

Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.

CVE-2021-30946: @gorelics und Ron Masas von BreakPoint.sh

Eintrag am 8. Juni 2023 hinzugefügt

LaunchServices

Verfügbar für: macOS Big Sur

Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann die Datenschutzeinstellungen umgehen.

Beschreibung: Dieses Problem wurde durch zusätzliche Berechtigungsprüfungen behoben.

CVE-2022-26767: Wojciech Reguła (@_r3ggi) von SecuRing

LaunchServices

Verfügbar für: macOS Big Sur

Auswirkung: Ein in der Sandbox ausgeführter Prozess kann möglicherweise Sandbox-Einschränkungen umgehen.

Beschreibung: Ein Zugriffsproblem wurde mit zusätzlichen Sandbox-Einschränkungen für Anwendungen von Drittanbietern behoben.

CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or von Microsoft

Eintrag am Mittwoch, 6. Juli 2022 aktualisiert

Libinfo

Verfügbar für: macOS Big Sur

Auswirkung: Die Privatsphäre-Einstellungen können von einer App möglicherweise umgangen werden.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2022-32882: Zhipeng Huo (@R3dF09) und Yuebin Sun (@yuebinsun2020) von Tencent Security Xuanwu Lab

Eintrag am 16. September 2022 hinzugefügt

libresolv

Verfügbar für: macOS Big Sur

Auswirkung: Ein Remote-Benutzer kann möglicherweise einen Denial-of-Service verursachen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2022-32790: Max Shavrick (@_mxms) vom Google Security Team

Eintrag am Dienstag, 21. Juni 2022 hinzugefügt

libresolv

Verfügbar für: macOS Big Sur

Auswirkung: Ein Angreifer kann einen unerwarteten Programmabbruch oder die Ausführung willkürlichen Codes verursachen

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2022-26776: Zubair Ashraf von Crowdstrike, Max Shavrick (@_mxms) vom Google-Sicherheitsteam

LibreSSL

Verfügbar für: macOS Big Sur

Auswirkung: Die Verarbeitung eines in böswilliger Absicht erstellten Zertifikats kann zu einem Denial-of-Service führen

Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2022-0778

libxml2

Verfügbar für: macOS Big Sur

Auswirkung: Ein entfernter Angreifer kann einen unerwarteten Programmabbruch oder die Ausführung willkürlichen Codes verursachen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-23308

OpenSSL

Verfügbar für: macOS Big Sur

Auswirkung: Die Verarbeitung eines in böswilliger Absicht erstellten Zertifikats kann zu einem Denial-of-Service führen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2022-0778

PackageKit

Verfügbar für: macOS Big Sur

Auswirkung: Eine App kann möglicherweise erhöhte Benutzerrechte erlangen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-32794: Mickey Jin (@patch1t)

Eintrag am 4. Oktober 2022 hinzugefügt

PackageKit

Verfügbar für: macOS Big Sur

Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann unter Umständen geschützte Bereiche des Dateisystems ändern.

Beschreibung: Dieses Problem wurde durch Entfernen des angreifbaren Codes behoben.

CVE-2022-26712: Mickey Jin (@patch1t)

Printing

Verfügbar für: macOS Big Sur

Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann die Datenschutzeinstellungen umgehen.

Beschreibung: Dieses Problem wurde durch Entfernen des angreifbaren Codes behoben.

CVE-2022-26746: @gorelics

Safari Private Browsing

Verfügbar für: macOS Big Sur

Auswirkung: Eine schadhafte Website kann Benutzer in Safari nachverfolgen, wenn der Modus "Privates Surfen" aktiviert ist

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-26731: ein anonymer Forscher

Eintrag am Mittwoch, 6. Juli 2022 hinzugefügt

Security

Verfügbar für: macOS Big Sur

Auswirkung: Eine schadhafte App kann die Überprüfung der Signatur umgehen

Beschreibung: Ein Problem beim Analysieren von Zertifikaten wurde durch verbesserte Prüfungen behoben.

CVE-2022-26766: Linus Henze von der Pinauten GmbH (pinauten.de)

SMB

Verfügbar für: macOS Big Sur

Auswirkung: Eine Anwendung kann möglicherweise erhöhte Benutzerrechte erlangen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2022-26718: Peter Nguyễn Vũ Hoàng von STAR Labs

SMB

Verfügbar für: macOS Big Sur

Auswirkung: Die Einbindung einer in böser Absicht erstellten Samba-Netzwerkfreigabe kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2022-26723: Felix Poulin-Belanger

SMB

Verfügbar für: macOS Big Sur

Auswirkung: Eine Anwendung kann möglicherweise erhöhte Benutzerrechte erlangen.

Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2022-26715: Peter Nguyễn Vũ Hoàng von STAR Labs

SoftwareUpdate

Verfügbar für: macOS Big Sur

Auswirkung: Ein Schadprogramm kann möglicherweise auf beschränkte Dateien zugreifen.

Beschreibung: Dieses Problem wurde durch verbesserte Berechtigungen behoben.

CVE-2022-26728: Mickey Jin (@patch1t)

TCC

Verfügbar für: macOS Big Sur

Auswirkung: Eine App kann eine Bildschirmaufnahme eines Benutzers erstellen

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2022-26726: Antonio Cheong Yu Xuan von YCISCQ

Eintrag am 8. Juni 2023 aktualisiert

Tcl

Verfügbar für: macOS Big Sur

Auswirkung: Ein Schadprogramm kann die Sandbox umgehen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Umgebungsbereinigung behoben.

CVE-2022-26755: Arsenii Kostromin (0x3c3e)

Vim

Verfügbar für: macOS Big Sur

Auswirkung: Mehrere Probleme in Vim

Beschreibung: Mehrere Probleme wurden durch ein Update von Vim behoben.

CVE-2021-4136

CVE-2021-4166

CVE-2021-4173

CVE-2021-4187

CVE-2021-4192

CVE-2021-4193

CVE-2021-46059

CVE-2022-0128

WebKit

Verfügbar für: macOS Big Sur

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten E-Mail-Nachricht kann zum willkürlichen Ausführen von JavaScript führen.

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2022-22589: Heige von KnownSec 404 Team (knownsec.com) und Bo Qu von Palo Alto Networks (paloaltonetworks.com)

Wi-Fi

Verfügbar für: macOS Big Sur

Auswirkung: Ein Schadprogramm kann möglicherweise eingeschränkten Speicher offenlegen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Überprüfung behoben.

CVE-2022-26745: Scarlet Raine

Eintrag am Mittwoch, 6. Juli 2022 aktualisiert

Wi-Fi

Verfügbar für: macOS Big Sur

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-26761: Wang Yu von Cyberserval

zip

Verfügbar für: macOS Big Sur

Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten Datei kann zu einem Denial-of-Service führen

Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Statusverarbeitung behoben.

CVE-2022-0530

zlib

Verfügbar für: macOS Big Sur

Auswirkung: Ein Angreifer kann möglicherweise eine unerwartete Beendigung der Anwendung oder die Ausführung von willkürlichem Code verursachen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2018-25032: Tavis Ormandy

zsh

Verfügbar für: macOS Big Sur

Auswirkung: Ein entfernter Angreifer kann die Ausführung von willkürlichem Code verursachen.

Beschreibung: Dieses Problem wurde durch ein Update auf zsh-Version 5.8.1 behoben.

CVE-2021-45444

Zusätzliche Danksagung

Bluetooth

Wir möchten uns bei Jann Horn von Project Zero für die Unterstützung bedanken.

Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.

Veröffentlichungsdatum: