Tietoja macOS Big Sur 11.6.6:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan macOS Big Sur 11.6.6:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
macOS Big Sur 11.6.6
Julkaistu 16.5.2022
apache
Saatavuus: macOS Big Sur
Vaikutus: Apachessa esiintyi useita ongelmia.
Kuvaus: useita ongelmia ratkaistiin päivittämällä apache versioon 2.4.53.
CVE-2021-44224
CVE-2021-44790
CVE-2022-22719
CVE-2022-22720
CVE-2022-22721
AppKit
Saatavuus: macOS Big Sur
Vaikutus: Haittaohjelma saattoi pystyä hankkimaan pääkäyttöoikeudet.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.
CVE-2022-22665: Lockheed Martin Red Team
AppleAVD
Saatavuus: macOS Big Sur
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää aktiivisesti.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2022-22675: nimetön tutkija
AppleEvents
Saatavuus: macOS Big Sur
Vaikutus: etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2022-22630: Jeremy Brown yhteistyössä Trend Micro Zero Day Initiativen kanssa
Kohta lisätty 8.6.2023
AppleGraphicsControl
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2022-26751: Michael DePlante (@izobashi) – Trend Micro Zero Day Initiative
AppleScript
Saatavuus: macOS Big Sur
Vaikutus: vilpillisessä tarkoituksessa tuotettu AppleScript-binääri saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai prosessimuistin paljastumisen.
Kuvaus: rajojen ulkopuolisen muistin luku ongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2022-26698: Qi Sun (Trend Micro), Ye Zhang (@co0py_Cat, Baidu Security)
Kohta päivitetty 6.7.2022
AppleScript
Saatavuus: macOS Big Sur
Vaikutus: Vilpillisessä tarkoituksessa tuotettu AppleScript-binääri saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai prosessimuistin paljastumisen.
Kuvaus: rajojen ulkopuolisen muistin lukemiseen liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2022-26697: Qi Sun ja Robert Ai (Trend Micro)
CoreTypes
Saatavuus: macOS Big Sur
Vaikutus: Haitallinen ohjelma saattoi ohittaa Gatekeeper-tarkistukset.
Kuvaus: Ongelma on ratkaistu parannetuilla tarkistuksilla luvattomien toimintojen estämiseksi.
CVE-2022-22663: Arsenii Kostromin (0x3c3e)
CVMS
Saatavuus: macOS Big Sur
Vaikutus: Haittaohjelma saattoi pystyä hankkimaan pääkäyttöoikeudet.
Kuvaus: muistin alustusongelma on korjattu.
CVE-2022-26721: Yonghwi Jin (@jinmo123) – Theori
CVE-2022-26722: Yonghwi Jin (@jinmo123) – Theori
DriverKit
Saatavuus: macOS Big Sur
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2022-26763: Linus Henze (Pinauten GmbH, pinauten.de)
Graphics Drivers
Saatavuus: macOS Big Sur
Vaikutus: Paikallinen käyttäjä saattoi pystyä lukemaan kernel-muistia.
Kuvaus: Rajojen ulkopuolisen lukemisen ongelma saattoi johtaa kernel-muistin paljastumiseen. Ongelma on ratkaistu parantamalla annettujen tietojen validointia.
CVE-2022-22674: nimetön tutkija
Intel Graphics Driver
Saatavuus: macOS Big Sur
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2022-26720: Liu Long – Ant Security Light-Year Lab
Intel Graphics Driver
Saatavuus: macOS Big Sur
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: rajojen ulkopuolisen muistin lukemiseen liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2022-26770: Liu Long – Ant Security Light-Year Lab
Intel Graphics Driver
Saatavuus: macOS Big Sur
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2022-26756: Jack Dates (RET2 Systems, Inc)
Intel Graphics Driver
Saatavuus: macOS Big Sur
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2022-26769: Antonio Zekic (@antoniozekic)
Intel Graphics Driver
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2022-26748: Jeonghoon Shin (Theori) yhteistyössä Trend Micro Zero Day Initiativen kanssa
IOMobileFrameBuffer
Saatavuus: macOS Big Sur
Vaikutus: sovellus saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2022-26768: nimetön tutkija
Kernel
Saatavuus: macOS Big Sur
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: Muistin vioittumisongelma ratkaistiin parantamalla validointia.
CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) – STAR Labs (@starlabs_sg)
Kernel
Saatavuus: macOS Big Sur
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2022-26757: Ned Williamson (Google Project Zero)
LaunchServices
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä ohittamaan tietyt yksityisyysasetukset.
Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2021-30946: @gorelics ja Ron Masas (BreakPoint.sh)
Kohta lisätty 8.6.2023
LaunchServices
Saatavuus: macOS Big Sur
Vaikutus: Haittaohjelma saattoi pystyä ohittamaan tietosuoja-asetukset
Kuvaus: ongelma ratkaistiin lisäämällä käyttöoikeuksien tarkistuksia.
CVE-2022-26767: Wojciech Reguła (@_r3ggi, SecuRing)
LaunchServices
Saatavuus: macOS Big Sur
Vaikutus: eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.
Kuvaus: käyttöongelma on ratkaistu lisäämällä muiden valmistajien sovellusten eristysrajoituksia.
CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or (Microsoft)
Kohta päivitetty 6.7.2022
Libinfo
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä ohittamaan yksityisyysasetukset.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-32882: Zhipeng Huo (@R3dF09) Yuebin Sun (@yuebinsun2020) (Tencent Security Xuanwu Lab)
Kohta lisätty 16.9.2022
libresolv
Saatavuus: macOS Big Sur
Vaikutus: Etäkäyttäjä saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-32790: Max Shavrick (@_mxms, Google Security Team)
Kohta lisätty 21.6.2022
libresolv
Saatavuus: macOS Big Sur
Vaikutus: hyökkääjä voi saada aikaan ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-26776: Zubair Ashraf (Crowdstrike), Max Shavrick (@_mxms, Google Security Team)
LibreSSL
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen varmenteen käsittely saattoi johtaa palvelunestoon.
Kuvaus: palvelunesto-ongelma on ratkaistu parantamalla tietojen vahvistamista.
CVE-2022-0778
libxml2
Saatavuus: macOS Big Sur
Vaikutus: Etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2022-23308
OpenSSL
Saatavuus: macOS Big Sur
Vaikutus: haitallisen varmenteen käsittely saattoi johtaa palvelunestoon.
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-0778
PackageKit
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2022-32794: Mickey Jin (@patch1t)
Kohta lisätty 4.10.2022
PackageKit
Saatavuus: macOS Big Sur
Vaikutus: Haittaohjelma saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.
Kuvaus: Tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2022-26712: Mickey Jin (@patch1t)
Printing
Saatavuus: macOS Big Sur
Vaikutus: Haittaohjelma saattoi pystyä ohittamaan tietosuoja-asetukset.
Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2022-26746: @gorelics
Safari Private Browsing
Saatavuus: macOS Big Sur
Vaikutus: haitallinen sivusto saattoi pystyä seuraamaan käyttäjän toimia Safarin yksityisessä selaustilassa.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2022-26731: nimetön tutkija
Kohta lisätty 6.7.2022
Security
Saatavuus: macOS Big Sur
Vaikutus: Haitallinen appi saattoi pystyä ohittamaan allekirjoituksen tarkistuksen.
Kuvaus: varmenteiden jäsennysongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-26766: Linus Henze – Pinauten GmbH (pinauten.de)
SMB
Saatavuus: macOS Big Sur
Vaikutus: Appi saattoi pystyä hankkimaan laajennetut käyttöoikeudet.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2022-26718: Peter Nguyễn Vũ Hoàng – STAR Labs
SMB
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen Samba-verkkojaon näkyviin tuominen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2022-26723: Felix Poulin-Belanger
SMB
Saatavuus: macOS Big Sur
Vaikutus: Appi saattoi pystyä hankkimaan laajennetut käyttöoikeudet.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2022-26715: Peter Nguyễn Vũ Hoàng (STAR Labs)
SoftwareUpdate
Saatavuus: macOS Big Sur
Vaikutus: Haitallinen ohjelma saattoi pystyä käyttämään rajoitettuja tiedostoja.
Kuvaus: Ongelma on ratkaistu parannetuilla oikeuksilla.
CVE-2022-26728: Mickey Jin (@patch1t)
TCC
Saatavuus: macOS Big Sur
Vaikutus: Appi saattoi pystyä kaappaamaan käyttäjän näytön.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-26726: Antonio Cheong Yu Xuan (YCISCQ)
Kohta päivitetty 8.6.2023
Tcl
Saatavuus: macOS Big Sur
Vaikutus: Haittaohjelma saattoi pystyä poistumaan eristyksestään.
Kuvaus: ongelma on ratkaistu parantamalla ympäristön puhdistamista.
CVE-2022-26755: Arsenii Kostromin (0x3c3e)
Vim
Saatavuus: macOS Big Sur
Vaikutus: Vimissä esiintyi useita ongelmia.
Kuvaus: useita ongelmia ratkaistiin päivittämällä Vim.
CVE-2021-4136
CVE-2021-4166
CVE-2021-4173
CVE-2021-4187
CVE-2021-4192
CVE-2021-4193
CVE-2021-46059
CVE-2022-0128
WebKit
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen Mail-sähköpostiviestin käsitteleminen saattoi johtaa satunnaisen Javascript-koodin suorittamiseen.
Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.
CVE-2022-22589: Heige (KnownSec 404 Team, knownsec.com) ja Bo Qu (Palo Alto Networks, paloaltonetworks.com)
Wi-Fi
Saatavuus: macOS Big Sur
Vaikutus: Haittaohjelma saattoi paljastaa rajoitetun muistin.
Kuvaus: Muistin vioittumisongelma ratkaistiin parantamalla validointia.
CVE-2022-26745: Scarlet Raine
Kohta päivitetty 6.7.2022
Wi-Fi
Saatavuus: macOS Big Sur
Vaikutus: Sovellus saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-26761: Wang Yu (Cyberserval)
zip
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen tiedoston käsittely saattoi johtaa palvelunestoon.
Kuvaus: palvelunesto-ongelma on ratkaistu parantamalla tilankäsittelyä.
CVE-2022-0530
zlib
Saatavuus: macOS Big Sur
Vaikutus: Hyökkääjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2018-25032: Tavis Ormandy
zsh
Saatavuus: macOS Big Sur
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen.
Kuvaus: ongelma on korjattu päivittämällä zsh-versioon 5.8.1.
CVE-2021-45444
Kiitokset
Bluetooth
Haluamme kiittää Project Zeron Jann Hornia hänen avustaan.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.