Tietoja macOS Big Sur 11.7:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan macOS Big Sur 11.7:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
macOS Big Sur 11.7
AppleMobileFileIntegrity
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä käyttämään tietoja, joita ei ole tarkoitettu käyttäjille.
Kuvaus: Koodien allekirjoitusten validointiongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-42789: Koh M. Nakagawa (FFRI Security, Inc.)
ATS
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.
CVE-2022-32904: Mickey Jin (@patch1t)
ATS
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2022-32902: Mickey Jin (@patch1t)
Calendar
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.
Kuvaus: Käyttöoikeusongelma on ratkaistu lisäämällä käyttöoikeusrajoituksia.
CVE-2022-42819: nimetön tutkija
Contacts
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä ohittamaan yksityisyysasetukset.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-32854: Holger Fuhrmannek (Deutsche Telekom Security)
GarageBand
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä käyttämään tietoja, joita ei ole tarkoitettu käyttäjille.
Kuvaus: Määritysongelma on ratkaistu lisäämällä rajoituksia.
CVE-2022-32877: Wojciech Reguła (@_r3ggi), SecuRing
ImageIO
Saatavuus: macOS Big Sur
Vaikutus: kuvan käsittely saattoi aiheuttaa palveluneston.
Kuvaus: Palvelunesto-ongelma on ratkaistu parantamalla validointia.
CVE-2022-1622
Image Processing
Saatavuus: macOS Big Sur
Vaikutus: Eristetty appi pystyi mahdollisesti päättelemään, mikä appi käyttää kameraa.
Kuvaus: Ongelma on ratkaistu lisäämällä appien tilojen havaitsemisen rajoituksia.
CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)
iMovie
Saatavuus: macOS Big Sur
Vaikutus: käyttäjä saattoi pystyä tarkastelemaan arkaluontoisia käyttäjätietoja.
Kuvaus: ongelma ratkaistiin ottamalla käyttöön vahvistettu suorituksenaikainen suojaus.
CVE-2022-32896: Wojciech Reguła (@_r3ggi)
Kernel
Saatavuus: macOS Big Sur
Vaikutus: yhdistäminen haitalliseen NFS-palvelimeen saattoi johtaa mielivaltaisen koodin suorittamiseen kernel-käyttöoikeuksilla
Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.
CVE-2022-46701: Felix Poulin-Belanger
Kernel
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2022-32914: Zweig (Kunlun Lab)
Kernel
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-32866: Linus Henze (Pinauten GmbH, pinauten.de)
CVE-2022-32911: Zweig (Kunlun Lab)
CVE-2022-32924: Ian Beer (Google Project Zero)
Kernel
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-32864: Linus Henze (Pinauten GmbH, pinauten.de)
Kernel
Saatavuus: macOS Big Sur
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu aktiivisesti hyödyntää.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2022-32894: nimetön tutkija
Kernel
Saatavuus: macOS Big Sur
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu aktiivisesti hyödyntää.
Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.
CVE-2022-32917: nimetön tutkija
Maps
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.
Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2022-32883: Ron Masas (breakpointhq.com)
MediaLibrary
Saatavuus: macOS Big Sur
Vaikutus: käyttäjä saattoi pystyä hankkimaan laajemmat käyttöoikeudet.
Kuvaus: muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2022-32908: nimetön tutkija
ncurses
Saatavuus: macOS Big Sur
Vaikutus: käyttäjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: puskurin ylivuoto on korjattu parantamalla rajojen tarkistusta.
CVE-2021-39537
PackageKit
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2022-32900: Mickey Jin (@patch1t)
Sandbox
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.
Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2022-32881: Csaba Fitzl (@theevilbit, Offensive Security)
Security
Saatavuus: macOS Big Sur
Vaikutus: Ohjelma saattoi pystyä ohittamaan koodin allekirjoitustarkistukset.
Kuvaus: Koodien allekirjoitusten validointiongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-42793: Linus Henze (Pinauten GmbH, pinauten.de)
Sidecar
Saatavuus: macOS Big Sur
Vaikutus: käyttäjä saattoi pystyä katselemaan kiellettyä sisältöä lukitulta näytöltä.
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2022-42790: Om Kothawade (Zaprico Digital)
SMB
Saatavuus: macOS Big Sur
Vaikutus: etäkäyttäjä saattoi pystyä aiheuttamaan kernel-koodin suorittamisen
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-32934: Felix Poulin-Belanger
Vim
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen tiedoston käsitteleminen saattoi aiheuttaa palveluneston tai mahdollisesti paljastaa muistin sisällön.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-1720
CVE-2022-2000
CVE-2022-2042
CVE-2022-2124
CVE-2022-2125
CVE-2022-2126
Weather
Saatavuus: macOS Big Sur
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2022-32875: nimetön tutkija
WebKit
Saatavuus: macOS Big Sur
Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2022-32888: P1umer (@p1umer)
Kiitokset
apache
Haluamme kiittää Enterprise Service Centerin Tricia Leetä hänen avustaan.
Identity Services
Haluamme kiittää Joshua Jonesia hänen antamastaan avusta.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.