Tietoja macOS Big Sur 11.6.8:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan macOS Big Sur 11.6.8:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
macOS Big Sur 11.6.8
APFS
Saatavuus: macOS Big Sur
Vaikutus: appi, jolla oli pääkäyttöoikeudet, saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-32832: Tommy Muir (@Muirey03)
AppleMobileFileIntegrity
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi saada pääkäyttöoikeudet.
Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2022-32826: Mickey Jin (@patch1t, Trend Micro)
AppleScript
Saatavuus: macOS Big Sur
Vaikutus: haitallisen AppleScript-binaarin käsittely saattoi aiheuttaa odottamattoman lopetuksen tai prosessimuistin paljastumisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-32797: Mickey Jin (@patch1t), Ye Zhang (@co0py_Cat, Baidu Security), Mickey Jin (@patch1t, Trend Micro)
AppleScript
Saatavuus: macOS Big Sur
Vaikutus: haitallisen AppleScript-binaarin käsittely saattoi aiheuttaa odottamattoman lopetuksen tai prosessimuistin paljastumisen.
Kuvaus: rajojen ulkopuolisen muistin lukemiseen liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2022-32853: Ye Zhang (@co0py_Cat, Baidu Security)
CVE-2022-32851: Ye Zhang (@co0py_Cat, Baidu Security)
AppleScript
Saatavuus: macOS Big Sur
Vaikutus: haitallisen AppleScript-binaarin käsittely saattoi aiheuttaa odottamattoman lopetuksen tai prosessimuistin paljastumisen.
Kuvaus: rajojen ulkopuolisen muistin lukemiseen liittyvä ongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2022-32831: Ye Zhang (@co0py_Cat, Baidu Security)
Archive Utility
Saatavuus: macOS Big Sur
Vaikutus: arkisto saattoi pystyä ohittamaan Gatekeeperin.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2022-32910: Ferdous Saljooki (@malwarezoo, Jamf Software)
Audio
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-32825: John Aakerblom (@jaakerblom)
Audio
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2022-32820: nimetön tutkija
Calendar
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.
CVE-2022-32805: Csaba Fitzl (@theevilbit, Offensive Security)
Calendar
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä käyttämään tietoja, joita ei ole tarkoitettu käyttäjille.
Kuvaus: tietojen paljastumiseen liittyvä ongelma ratkaistiin poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2022-32849: Joshua Jones
CoreText
Saatavuus: macOS Big Sur
Vaikutus: etäkäyttäjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.
CVE-2022-32839: STAR Labs (@starlabs_sg)
FaceTime
Saatavuus: macOS Big Sur
Vaikutus: appi, jolla oli pääkäyttöoikeudet, saattoi pystyä käyttämään yksityisiä tietoja.
Kuvaus: ongelma ratkaistiin ottamalla käyttöön vahvistettu suorituksenaikainen suojaus.
CVE-2022-32781: Wojciech Reguła (@_r3ggi, SecuRing)
File System Events
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi saada pääkäyttöoikeudet.
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2022-32819: Joshua Mason (Mandiant)
ICU
Saatavuus: macOS Big Sur
Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2022-32787: Dohyun Lee (@l33d0hyun, SSD Secure Disclosure Labs & DNSLab, Korea Univ.)
ImageIO
Saatavuus: macOS Big Sur
Vaikutus: kuvan käsittely saattoi aiheuttaa palveluneston.
Kuvaus: nollaosoittimen epäviittaus on korjattu parantamalla tietojen vahvistamista.
CVE-2022-32785: Yiğit Can YILMAZ (@yilmazcanyigit)
Intel Graphics Driver
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-32812: Yinyi Wu (@3ndy1, ABC Research s.r.o.)
Intel Graphics Driver
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: muistin vioittumishaavoittuvuus on korjattu parantamalla lukitsemista.
CVE-2022-32811: ABC Research s.r.o
Kernel
Saatavuus: macOS Big Sur
Vaikutus: appi, jolla oli pääkäyttöoikeudet, saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-32815: Xinru Chi (Pangu Lab)
CVE-2022-32813: Xinru Chi (Pangu Lab)
LaunchServices
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä ohittamaan tietyt yksityisyysasetukset.
Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2021-30946: @gorelics ja Ron Masas (BreakPoint.sh)
libxml2
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia käyttäjätietoja.
Kuvaus: muistinalustusongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-32823
Multi-Touch
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: muistin vioittumisongelma ratkaistiin parantamalla validointia.
CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)
Multi-Touch
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla tilan käsittelyä.
CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)
PackageKit
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.
Kuvaus: ympäristömuuttujien käsittelyyn liittyvä ongelma on ratkaistu parantamalla tietojen vahvistamista.
CVE-2022-32786: Mickey Jin (@patch1t)
PackageKit
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-32800: Mickey Jin (@patch1t)
PluginKit
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä lukemaan mielivaltaisia tiedostoja.
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2022-32838: Mickey Jin (@patch1t, Trend Micro)
PS Normalizer
Saatavuus: macOS Big Sur
Vaikutus: haitallisen PostScript-tiedoston käsittely saattoi aiheuttaa apin odottamattoman lopetuksen tai prosessimuistin paljastumisen.
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2022-32843: Kai Lu (Zscaler's ThreatLabz)
Software Update
Saatavuus: macOS Big Sur
Vaikutus: etuoikeutetussa verkkoasemassa oleva käyttäjä pystyi seuraamaan käyttäjän toimintaa.
Kuvaus: ongelma on ratkaistu käyttämällä tiedonsiirtoon verkossa HTTPS-protokollaa.
CVE-2022-32857: Jeffrey Paul (sneak.berlin)
Spindump
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä korvaamaan mielivaltaisia tiedostoja.
Kuvaus: ongelma on ratkaistu parantamalla tiedostojen käsittelyä.
CVE-2022-32807: Zhipeng Huo (@R3dF09, Tencent Security Xuanwu Lab)
Spotlight
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.
Kuvaus: symlink-käsittelyssä oli vahvistusongelma, joka on korjattu parantamalla symlink-vahvistamista.
CVE-2022-26704: Joshua Mason (Mandiant)
TCC
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: käyttöoikeusongelma ratkaistiin parantamalla eristystä.
CVE-2022-32834: Xuxiang Yang (@another1024) (Tencent Security Xuanwu Lab, xlab.tencent.com), Yuebin Sun (@yuebinsun2020) (Tencent Security Xuanwu Lab, xlab.tencent.com), Zhipeng Huo (@R3dF09) (Tencent Security Xuanwu Lab, xlab.tencent.com)
Vim
Saatavuus: macOS Big Sur
Vaikutus: Vimissä esiintyi useita ongelmia.
Kuvaus: useita ongelmia ratkaistiin päivittämällä Vim.
CVE-2022-0156
CVE-2022-0158
Wi-Fi
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2022-32860: Wang Yu (Cyberserval)
Wi-Fi
Saatavuus: macOS Big Sur
Vaikutus: etäkäyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai vioittamaan kernel-muistia.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-32847: Wang Yu (Cyberserval)
Windows Server
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä ottamaan kuvan käyttäjän näytöstä.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2022-32848: Jeremy Legendre (MacEnhance)
Kiitokset
Calendar
Haluamme kiittää Joshua Jonesia hänen antamastaan avusta.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.