À propos des correctifs de sécurité de macOS Big Sur 11.6.6
Ce document décrit les correctifs de sécurité de macOS Big Sur 11.6.6.
À propos des mises à jour de sécurité Apple
Dans un souci de protection de ses clients, Apple s’abstient de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou des mises à jour ne sont pas offerts. Les mises à jour récentes sont répertoriées à la page Mises à jour de sécurité Apple.
Les documents de sécurité Apple répertorient les vulnérabilités par référence CVE dans la mesure du possible.
Pour obtenir plus d’informations en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.
macOS Big Sur 11.6.6
Publié le 16 mai 2022
apache
Disponible pour : macOS Big Sur
Conséquence : Apache présentait plusieurs problèmes.
Description : plusieurs problèmes ont été résolus par la mise à jour d’Apache vers la version 2.4.53.
CVE-2021-44224
CVE-2021-44790
CVE-2022-22719
CVE-2022-22720
CVE-2022-22721
AppKit
Disponible pour : macOS Big Sur
Conséquence : une app malveillante peut être en mesure de bénéficier de privilèges racines.
Description : un problème de logique a été résolu par une meilleure validation.
CVE-2022-22665 : Red Team de Lockheed Martin
AppleAVD
Disponible pour : macOS Big Sur
Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau. Apple a connaissance de l’exploitation active potentielle de cette faille de sécurité.
Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.
CVE-2022-22675 : un chercheur anonyme
AppleEvents
Disponible pour : macOS Big Sur
Conséquence : un attaquant à distance pourrait être en mesure de provoquer la fermeture inopinée d’une app ou l’exécution arbitraire de code.
Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.
CVE-2022-22630 : Jeremy Brown en collaboration avec Trend Micro Zero Day Initiative
Entrée ajoutée le 8 juin 2023
AppleGraphicsControl
Disponible pour : macOS Big Sur
Conséquence : le traitement d’une image malveillante peut entraîner l’exécution arbitraire de code.
Description : un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées.
CVE-2022-26751 : Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative
AppleScript
Disponible pour : macOS Big Sur
Conséquence : le traitement d’un binaire AppleScript malveillant peut entraîner l’arrêt inopiné d’applications ou la divulgation du contenu de la mémoire de traitement.
Description : un problème de lecture hors limites a été résolu par une meilleure vérification des limites.
CVE-2022-26698 : Qi Sun de Trend Micro et Ye Zhang (@co0py_Cat) de Baidu Security
Entrée mise à jour le 6 juillet 2022
AppleScript
Disponible pour : macOS Big Sur
Conséquence : le traitement d’un binaire AppleScript malveillant peut entraîner l’arrêt inopiné d’applications ou la divulgation du contenu de la mémoire de traitement.
Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.
CVE-2022-26697 : Qi Sun et Robert Ai de Trend Micro
CoreTypes
Disponible pour : macOS Big Sur
Conséquence : une app malveillante peut être en mesure de contourner les vérifications de Gatekeeper.
Description : ce problème a été résolu par l’application de meilleures vérifications pour prévenir les actions non autorisées.
CVE-2022-22663 : Arsenii Kostromin (0x3c3e)
CVMS
Disponible pour : macOS Big Sur
Conséquence : une app malveillante peut être en mesure de bénéficier de privilèges racines.
Description : un problème d’initialisation de la mémoire a été résolu.
CVE-2022-26721 : Yonghwi Jin (@jinmo123) de Theori
CVE-2022-26722 : Yonghwi Jin (@jinmo123) de Theori
DriverKit
Disponible pour : macOS Big Sur
Conséquence : une application malveillante peut être en mesure d’exécuter du code arbitraire avec des privilèges système.
Description : un problème d’accès hors limites a été résolu par une meilleure vérification des limites.
CVE-2022-26763 : Linus Henze de Pinauten GmbH (pinauten.de)
Graphics Drivers
Disponible pour : macOS Big Sur
Conséquence : un utilisateur local peut être en mesure de lire la mémoire du noyau.
Description : un problème de lecture hors limites entraînait la divulgation de la mémoire du noyau. Ce problème a été résolu grâce à une meilleure validation des entrées.
CVE-2022-22674 : un chercheur anonyme
Intel Graphics Driver
Disponible pour : macOS Big Sur
Conséquence : une app malveillante peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.
CVE-2022-26720 : Liu Long de Ant Security Light-Year Lab
Intel Graphics Driver
Disponible pour : macOS Big Sur
Conséquence : une application malveillante peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.
CVE-2022-26770 : Liu Long de Ant Security Light-Year Lab
Intel Graphics Driver
Disponible pour : macOS Big Sur
Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : un problème d’écriture hors limites a été résolu par une meilleure validation des entrées.
CVE-2022-26756 : Jack Dates de RET2 Systems, Inc
Intel Graphics Driver
Disponible pour : macOS Big Sur
Conséquence : une application malveillante peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées.
CVE-2022-26769 : Antonio Zekic (@antoniozekic)
Intel Graphics Driver
Disponible pour : macOS Big Sur
Conséquence : le traitement d’un contenu web malveillant peut entraîner l’exécution arbitraire de code.
Description : un problème d’écriture hors limites a été résolu par une meilleure validation des entrées.
CVE-2022-26748 : Jeonghoon Shin de Theori en collaboration avec Trend Micro Zero Day Initiative
IOMobileFrameBuffer
Disponible pour : macOS Big Sur
Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion des états.
CVE-2022-26768 : un chercheur anonyme
Kernel
Disponible pour : macOS Big Sur
Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : un problème de corruption de la mémoire a été résolu par une meilleure validation.
CVE-2022-26714 : Peter Nguyễn Vũ Hoàng (@peternguyen14) de STAR Labs (@starlabs_sg)
Kernel
Disponible pour : macOS Big Sur
Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.
CVE-2022-26757 : Ned Williamson de Google Project Zero
LaunchServices
Disponible pour : macOS Big Sur
Conséquence : une app peut être en mesure de contourner certaines préférences de confidentialité.
Description : un problème de logique a été résolu par de meilleures restrictions.
CVE-2021-30946 : @gorelics et Ron Masas de BreakPoint.sh
Entrée ajoutée le 8 juin 2023
LaunchServices
Disponible pour : macOS Big Sur
Conséquence : une application malveillante peut être en mesure de contourner les préférences de confidentialité.
Description : le problème a été résolu par des vérifications d’autorisations supplémentaires.
CVE-2022-26767 : Wojciech Reguła (@_r3ggi) de SecuRing
LaunchServices
Disponible pour : macOS Big Sur
Conséquence : un processus en mode bac à sable peut être en mesure de contourner les restrictions de bac à sable.
Description : un problème d’accès a été résolu par des restrictions supplémentaires de bac à sable sur les apps tierces.
CVE-2022-26706 : Arsenii Kostromin (0x3c3e) et Jonathan Bar Or de Microsoft
Entrée mise à jour le 6 juillet 2022
Libinfo
Disponible pour : macOS Big Sur
Conséquence : une app peut être en mesure de contourner les préférences en matière de confidentialité.
Description : ce problème a été résolu par l’application de meilleures vérifications.
CVE-2022-32882 : Zhipeng Huo (@R3dF09) et Yuebin Sun (@yuebinsun2020) de Tencent Security Xuanwu Lab
Entrée ajoutée le 16 septembre 2022
libresolv
Disponible pour : macOS Big Sur
Conséquence : un utilisateur distant peut être à l’origine d’un déni de service.
Description : ce problème a été résolu par l’application de meilleures vérifications.
CVE-2022-32790 : Max Shavrick (@_mxms) de l’équipe de sécurité de Google
Entrée ajoutée le 21 juin 2022
libresolv
Disponible pour : macOS Big Sur
Conséquence : un attaquant peut être en mesure de provoquer la fermeture inopinée d’une app ou l’exécution arbitraire de code.
Description : ce problème a été résolu par l’application de meilleures vérifications.
CVE-2022-26776 : Zubair Ashraf de Crowdstrike, Max Shavrick (@_mxms) de Google Security Team
LibreSSL
Disponible pour : macOS Big Sur
Conséquence : le traitement d’un certificat malveillant peut conduire à un déni de service.
Description : un problème de déni de service a été résolu par une meilleure validation des entrées.
CVE-2022-0778
libxml2
Disponible pour : macOS Big Sur
Conséquence : un attaquant distant peut être en mesure de provoquer la fermeture inopinée d’une app ou l’exécution arbitraire de code.
Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.
CVE-2022-23308
OpenSSL
Disponible pour : macOS Big Sur
Conséquence : le traitement d’un certificat malveillant peut entraîner un déni de service.
Description : ce problème a été résolu par l’application de meilleures vérifications.
CVE-2022-0778
PackageKit
Disponible pour : macOS Big Sur
Conséquence : une app peut être en mesure d’accéder à des privilèges élevés.
Description : un problème de logique a été résolu par une meilleure gestion des états.
CVE-2022-32794 : Mickey Jin (@patch1t)
Entrée ajoutée le 4 octobre 2022
PackageKit
Disponible pour : macOS Big Sur
Conséquence : une app malveillante peut être en mesure de modifier des sections protégées du système de fichiers.
Description : le problème a été résolu par la suppression du code vulnérable.
CVE-2022-26712 : Mickey Jin (@patch1t)
Printing
Disponible pour : macOS Big Sur
Conséquence : une app malveillante peut être en mesure de contourner les préférences de confidentialité.
Description : le problème a été résolu par la suppression du code vulnérable.
CVE-2022-26746 : @gorelics
Safari Private Browsing
Disponible pour : macOS Big Sur
Conséquence : un site web malveillant est susceptible de traquer les utilisateurs de Safari en mode de navigation privée
Description : un problème de logique a été résolu par une meilleure gestion des états.
CVE-2022-26731 : un chercheur anonyme
Entrée ajoutée le 6 juillet 2022
Security
Disponible pour : macOS Big Sur
Conséquence : une app malveillante peut être en mesure de contourner la validation des signatures.
Description : un problème d’analyse de certificat a été résolu grâce à une amélioration des vérifications.
CVE-2022-26766 : Linus Henze de Pinauten GmbH (pinauten.de)
SMB
Disponible pour : macOS Big Sur
Conséquence : une app peut être en mesure d’accéder à des privilèges élevés.
Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.
CVE-2022-26718 : Peter Nguyễn Vũ Hoàng de STAR Labs
SMB
Disponible pour : macOS Big Sur
Conséquence : le montage d’un partage réseau Samba malveillant peut conduire à l’exécution arbitraire de code
Description : un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées.
CVE-2022-26723 : Félix Poulin-Bélanger
SMB
Disponible pour : macOS Big Sur
Conséquence : une app peut être en mesure d’accéder à des privilèges élevés.
Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.
CVE-2022-26715 : Peter Nguyễn Vũ Hoàng de STAR Labs
SoftwareUpdate
Disponible pour : macOS Big Sur
Conséquence : une app malveillante peut être en mesure d’accéder à des fichiers restreints.
Description : ce problème a été résolu par l’application d’autorisations améliorées.
CVE-2022-26728 : Mickey Jin (@patch1t)
TCC
Disponible pour : macOS Big Sur
Conséquence : une app peut être en mesure de capturer l’écran d’un utilisateur.
Description : ce problème a été résolu par l’application de meilleures vérifications.
CVE-2022-26726 : Antonio Cheong Yu Xuan de YCISCQ
Entrée mise à jour le 8 juin 2023
Tcl
Disponible pour : macOS Big Sur
Conséquence : une application malveillante peut être en mesure de sortir de son bac à sable.
Description : ce problème a été résolu par une meilleure désinfection de l’environnement.
CVE-2022-26755 : Arsenii Kostromin (0x3c3e)
Vim
Disponible pour : macOS Big Sur
Conséquence : Vim présentait plusieurs problèmes.
Description : plusieurs problèmes ont été résolus par la mise à jour de Vim.
CVE-2021-4136
CVE-2021-4166
CVE-2021-4173
CVE-2021-4187
CVE-2021-4192
CVE-2021-4193
CVE-2021-46059
CVE-2022-0128
WebKit
Disponible pour : macOS Big Sur
Conséquence : le traitement d’un courriel malveillant peut entraîner une exécution arbitraire de JavaScript.
Description : un problème de validation a été résolu par un meilleur nettoyage des entrées.
CVE-2022-22589 : Heige de KnownSec 404 (knownsec.com) et Bo Qu de Palo Alto Networks (paloaltonetworks.com)
Wi-Fi
Disponible pour : macOS Big Sur
Conséquence : une app malveillante peut divulguer la mémoire restreinte.
Description : un problème de corruption de la mémoire a été résolu par une meilleure validation.
CVE-2022-26745 : Scarlet Raine
Entrée mise à jour le 6 juillet 2022
Wi-Fi
Disponible pour : macOS Big Sur
Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion de cette dernière.
CVE-2022-26761 : Wang Yu de Cyberserval
zip
Disponible pour : macOS Big Sur
Conséquence : le traitement d’un fichier malveillant peut conduire à un déni de service.
Description : un problème de déni de service a été résolu par une meilleure gestion des états.
CVE-2022-0530
zlib
Disponible pour : macOS Big Sur
Conséquence : un attaquant peut être en mesure de provoquer la fermeture inopinée d’une app ou l’exécution arbitraire de code.
Description : un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées.
CVE-2018-25032 : Tavis Ormandy
zsh
Disponible pour : macOS Big Sur
Conséquence : un attaquant distant peut être en mesure de provoquer l’exécution arbitraire de code.
Description : ce problème a été résolu par l’installation de la version 5.8.1 de zsh.
CVE-2021-45444
Remerciements supplémentaires
Bluetooth
Nous tenons à remercier Jann Horn de Project Zero pour son aide.
Les renseignements sur les produits qui ne sont pas fabriqués par Apple ou sur les sites Web indépendants qui ne sont pas gérés ou vérifiés par Apple sont fournis sans recommandation ni approbation de la part d’Apple. Apple se dégage de toute responsabilité quant à la sélection, au bon fonctionnement ou à l’utilisation de sites Web ou de produits de tiers. Apple ne fait aucune déclaration et n’offre aucune garantie quant à l’exactitude ou à la fiabilité de ces sites Web de tiers. Communiquez avec le vendeur pour de plus amples renseignements.