Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του macOS Big Sur 11.6.6
Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του macOS Big Sur 11.6.6.
Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple
Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.
Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.
macOS Big Sur 11.6.6
Κυκλοφόρησε στις 16 Μαΐου 2022
apache
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Πολλά προβλήματα στο Apache
Περιγραφή: Πολλά προβλήματα αντιμετωπίστηκαν με ενημέρωση Apache στην έκδοση 2.4.53.
CVE-2021-44224
CVE-2021-44790
CVE-2022-22719
CVE-2022-22720
CVE-2022-22721
AppKit
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκτήσει προνόμια ρίζας
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2022-22665: Lockheed Martin Red Team
AppleAVD
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα. Η Apple έχει λάβει υπόψη της μια αναφορά ότι αυτό το πρόβλημα ενδέχεται να προκαλεί ενεργή εκμετάλλευση ευπάθειας.
Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2022-22675: ανώνυμος ερευνητής
AppleEvents
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προκαλέσει μη αναμενόμενο τερματισμό εφαρμογής ή αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
CVE-2022-22630: Jeremy Brown σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
Η καταχώριση προστέθηκε στις 8 Ιουνίου 2023
AppleGraphicsControl
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2022-26751: Michael DePlante (@izobashi) του προγράμματος Zero Day Initiative της Trend Micro
AppleScript
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου δυαδικού αρχείου AppleScript μπορεί να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αποκάλυψη της μνήμης διεργασιών
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2022-26698: Qi Sun της Trend Micro, Ye Zhang (@co0py_Cat) της Baidu Security
Η καταχώριση ενημερώθηκε στις 6 Ιουλίου 2022
AppleScript
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου δυαδικού αρχείου AppleScript μπορεί να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αποκάλυψη της μνήμης διεργασιών
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2022-26697: Qi Sun και Robert Ai της Trend Micro
CoreTypes
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να παρακάμψει τους ελέγχους του Gatekeeper
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους για την αποτροπή μη εξουσιοδοτημένων ενεργειών.
CVE-2022-22663: Arsenii Kostromin (0x3c3e)
CVMS
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκτήσει προνόμια ρίζας
Περιγραφή: Ένα πρόβλημα εκκίνησης μνήμης αντιμετωπίστηκε.
CVE-2022-26721: Yonghwi Jin (@jinmo123) της Theori
CVE-2022-26722: Yonghwi Jin (@jinmo123) της Theori
DriverKit
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα πρόσβασης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2022-26763: Linus Henze της Pinauten GmbH (pinauten.de)
Graphics Drivers
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορέσει να διαβάσει τα περιεχόμενα της μνήμης πυρήνα
Περιγραφή: Υπήρχε ένα πρόβλημα ανάγνωσης εκτός ορίων το οποίο οδήγησε στην αποκάλυψη περιεχομένου μνήμης πυρήνα. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2022-22674: ανώνυμος ερευνητής
Intel Graphics Driver
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2022-26720: Liu Long του Ant Security Light-Year Lab
Intel Graphics Driver
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2022-26770: Liu Long του Ant Security Light-Year Lab
Intel Graphics Driver
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2022-26756: Jack Dates της RET2 Systems, Inc
Intel Graphics Driver
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2022-26769: Antonio Zekic (@antoniozekic)
Intel Graphics Driver
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2022-26748: Jeonghoon Shin της Theori σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro
IOMobileFrameBuffer
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2022-26768: ανώνυμος ερευνητής
Kernel
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) της STAR Labs (@starlabs_sg)
Kernel
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
CVE-2022-26757: Ned Williamson του Google Project Zero
LaunchServices
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να παρακάμψει ορισμένες προτιμήσεις Απορρήτου
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.
CVE-2021-30946: @gorelics και Ron Masas της BreakPoint.sh
Η καταχώριση προστέθηκε στις 8 Ιουνίου 2023
LaunchServices
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να παρακάμψει τις προτιμήσεις απορρήτου
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με επιπλέον ελέγχους δικαιωμάτων.
CVE-2022-26767: Wojciech Reguła (@_r3ggi) της SecuRing
LaunchServices
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια διεργασία sandbox μπορεί να αποκτήσει τη δυνατότητα να παρακάμψει τους περιορισμούς του sandbox
Περιγραφή: Αντιμετωπίστηκε ένα πρόβλημα πρόσβασης με πρόσθετους περιορισμούς sandbox σε εφαρμογές τρίτων.
CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or της Microsoft
Η καταχώριση ενημερώθηκε στις 6 Ιουλίου 2022
Libinfo
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να παρακάμψει τις προτιμήσεις Απορρήτου
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2022-32882: Zhipeng Huo (@R3dF09) και Yuebin Sun (@yuebinsun2020) του Tencent Security Xuanwu Lab
Η ενημέρωση προστέθηκε στις 16 Σεπτεμβρίου 2022
libresolv
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Ένας απομακρυσμένος χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2022-32790: Max Shavrick (@_mxms) της ομάδας Google Security
Η καταχώριση προστέθηκε στις 21 Ιουνίου 2022
libresolv
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2022-26776: Zubair Ashraf της Crowdstrike, Max Shavrick (@_mxms) της Ομάδας ασφάλειας της Google
LibreSSL
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου πιστοποιητικού μπορεί να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2022-0778
libxml2
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
CVE-2022-23308
OpenSSL
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου πιστοποιητικού μπορεί να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2022-0778
PackageKit
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2022-32794: Mickey Jin (@patch1t)
Η ενημέρωση προστέθηκε στις 4 Οκτωβρίου 2022
PackageKit
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να τροποποιήσει προστατευμένα τμήματα του συστήματος αρχείων
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.
CVE-2022-26712: Mickey Jin (@patch1t)
Printing
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να παρακάμψει τις προτιμήσεις απορρήτου
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.
CVE-2022-26746: @gorelics
Safari Private Browsing
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Ένας κακόβουλος ιστότοπος ενδέχεται να μπορεί να παρακολουθεί τους επισκέπτες όταν χρησιμοποιούν την ιδιωτική περιήγηση στο Safari
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2022-26731: ανώνυμος ερευνητής
Η καταχώριση προστέθηκε στις 6 Ιουλίου 2022
Security
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να παρακάμψει την επικύρωση υπογραφής
Περιγραφή: Ένα πρόβλημα ανάλυσης πιστοποιητικού αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2022-26766: Linus Henze της Pinauten GmbH (pinauten.de)
SMB
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2022-26718: Peter Nguyễn Vũ Hoàng της STAR Labs
SMB
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Η προσάρτηση ενός κακόβουλου κοινόχρηστου στοιχείου δικτύου Samba ενδέχεται να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2022-26723: Felix Poulin-Belanger
SMB
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια
Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2022-26715: Peter Nguyễn Vũ Hoàng της STAR Labs
SoftwareUpdate
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια κακόβουλη εφαρμογή μπορεί να αποκτήσει πρόσβαση σε περιορισμένα αρχεία
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένα δικαιώματα.
CVE-2022-26728: Mickey Jin (@patch1t)
TCC
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να καταγράψει την οθόνη ενός χρήστη
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2022-26726: Antonio Cheong Yu Xuan της YCISCQ
Η καταχώριση ενημερώθηκε στις 8 Ιουνίου 2023
Tcl
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να διαφύγει από το προστατευμένο περιβάλλον της
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης περιβάλλοντος.
CVE-2022-26755: Arsenii Kostromin (0x3c3e)
Vim
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Πολλαπλά προβλήματα στο Vim
Περιγραφή: Πολλαπλά προβλήματα αντιμετωπίστηκαν με την ενημέρωση του Vim.
CVE-2021-4136
CVE-2021-4166
CVE-2021-4173
CVE-2021-4187
CVE-2021-4192
CVE-2021-4193
CVE-2021-46059
CVE-2022-0128
WebKit
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου μηνύματος email μπορεί να οδηγήσει σε εκτέλεση αυθαίρετης javascript
Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.
CVE-2022-22589: Heige της ομάδας KnownSec 404 (knownsec.com) και Bo Qu της Palo Alto Networks (paloaltonetworks.com)
Wi-Fi
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να αποκαλύψει περιορισμένη μνήμη
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2022-26745: Scarlet Raine
Η καταχώριση ενημερώθηκε στις 6 Ιουλίου 2022
Wi-Fi
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2022-26761: Wang Yu της Cyberserval
zip
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου μπορεί να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε με βελτιωμένο χειρισμό κατάστασης.
CVE-2022-0530
zlib
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2018-25032: Tavis Ormandy
zsh
Διαθέσιμο για: macOS Big Sur
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδεχομένως να έχει τη δυνατότητα να προκαλέσει εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με την ενημέρωση του zsh στην έκδοση 5.8.1.
CVE-2021-45444
Επιπλέον αναγνώριση
Bluetooth
Θα θέλαμε να ευχαριστήσουμε τον Jann Horn του Project Zero για τη βοήθειά του.
Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.