Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του macOS Big Sur 11.6.5

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του macOS Big Sur 11.6.5.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

macOS Big Sur 11.6.5

Accelerate Framework

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Το άνοιγμα ενός κακόβουλου αρχείου PDF ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2022-22633: ryuzaki

AppKit

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκτήσει προνόμια ρίζας

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2022-22665: Lockheed Martin Red Team

AppleGraphicsControl

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2022-22631: Wang Yu της cyberserval

AppleScript

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2022-22648: Mickey Jin (@patch1t) της Trend Micro

AppleScript

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου δυαδικού αρχείου AppleScript μπορεί να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2022-22627: Qi Sun και Robert Ai της Trend Micro

CVE-2022-22626: Mickey Jin (@patch1t) της Trend Micro

AppleScript

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου δυαδικού αρχείου AppleScript μπορεί να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2022-22625: Mickey Jin (@patch1t) της Trend Micro

AppleScript

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2022-22597: Qi Sun και Robert Ai της Trend Micro

BOM

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Ένα κακόβουλο αρχείο ZIP ενδέχεται να παρακάμψει τους ελέγχους του Gatekeeper

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2022-22616: Ferdous Saljooki (@malwarezoo) και Jaron Bradley (@jbradley89) της Jamf Software, Mickey Jin (@patch1t)

CUPS

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2022-26691: Joshua Mason της Mandiant

Intel Graphics Driver

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε με βελτιωμένο χειρισμό κατάστασης.

CVE-2022-46706: Wang Yu της Cyberserval και Pan ZhenPeng (@Peterpan0927) του Alibaba Security Pandora Lab

Intel Graphics Driver

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε με βελτιωμένο χειρισμό κατάστασης.

CVE-2022-22661: Wang Yu της Cyberserval και Pan ZhenPeng (@Peterpan0927) του Alibaba Security Pandora Lab

Kernel

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2022-22613: Alex, ανώνυμος ερευνητής

Kernel

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2022-22615: ανώνυμος ερευνητής

CVE-2022-22614: ανώνυμος ερευνητής

Kernel

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση μπορεί να έχει τη δυνατότητα να εκτελέσει μια επίθεση άρνησης υπηρεσίας

Περιγραφή: Ένα πρόβλημα διακοπής αναφοράς δείκτη null αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2022-22638: derrek (@derrekr6)

Kernel

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2022-22632: Keegan Saunders

Login Window

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Ένα άτομο με πρόσβαση σε ένα Mac ενδέχεται να μπορεί να παρακάμψει το παράθυρο σύνδεσης

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2022-22647: Yuto Ikeda του Kyushu University

LoginWindow

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να δει την επιφάνεια εργασίας του προηγούμενου χρήστη που είχε συνδεθεί, από την οθόνη γρήγορης εναλλαγής χρήστη

Περιγραφή: Ένα πρόβλημα ελέγχου ταυτότητας αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2022-22656

MobileAccessoryUpdater

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2022-22672: Siddharth Aeri (@b1n4r1b01)

PackageKit

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2022-22617: Mickey Jin (@patch1t)

PackageKit

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια κακόβουλη εφαρμογή με προνόμια ρίζας ενδέχεται να μπορεί να τροποποιήσει το περιεχόμενο των αρχείων συστήματος

Περιγραφή: Ένα πρόβλημα στον χειρισμό symlinks αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2022-26688: Mickey Jin (@patch1t) της Trend Micro

QuickTime Player

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Μια προσθήκη ενδέχεται να μπορεί να αποκτήσει τα δικαιώματα της εφαρμογής και να έχει πρόσβαση στα δεδομένα χρήστη

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2022-22650: Wojciech Reguła (@_r3ggi) της SecuRing

Siri

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Ένα άτομο με φυσική πρόσβαση σε μια συσκευή ενδέχεται να μπορεί να χρησιμοποιήσει το Siri για να αποκτήσει κάποιες πληροφορίες τοποθεσίας από την οθόνη κλειδώματος

Περιγραφή: Ένα πρόβλημα δικαιωμάτων αντιμετωπίστηκε με βελτιωμένη επικύρωση.

CVE-2022-22599: Andrew Goldberg του University of Texas στο Austin, McCombs School of Business (linkedin.com/andrew-goldberg-/)

SMB

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει απρόσμενο τερματισμό συστήματος ή να καταστρέψει τη μνήμη πυρήνα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2022-22651: Felix Poulin-Belanger

WebKit

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να αποκαλύψει ευαίσθητες πληροφορίες χρήστη

Περιγραφή: Ένα πρόβλημα διαχείρισης cookie αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2022-22662: Prakash (@1lastBr3ath) της Threat Nix

WebKit

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να αποκαλύψει ευαίσθητες πληροφορίες χρήστη

Περιγραφή: Ένα πρόβλημα διαχείρισης cookie αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2022-22662: Prakash (@1lastBr3ath) της Threat Nix

xar

Διαθέσιμο για: macOS Big Sur

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να εγγράφει αυθαίρετα αρχεία

Περιγραφή: Υπήρχε πρόβλημα επαλήθευσης στον χειρισμό symlinks. Αυτό το πρόβλημα αντιμετωπίστηκε με τη βελτιωμένη επαλήθευση symlinks.

CVE-2022-22582: Richard Warren της NCC Group

Επιπλέον αναγνώριση

Intel Graphics Driver

Θα θέλαμε να ευχαριστήσουμε τους Jack Dates της RET2 Systems, Inc. και Yinyi Wu (@3ndy1) για τη βοήθειά τους.

syslog

Θα θέλαμε να ευχαριστήσουμε τον Yonghwi Jin (@jinmo123) της Theori για τη βοήθειά του.

TCC

Θα θέλαμε να ευχαριστήσουμε τον Csaba Fitzl (@theevilbit) της Offensive Security για τη βοήθειά του.