À propos des correctifs de sécurité de macOS Big Sur 11.6.6
Ce document décrit les correctifs de sécurité de macOS Big Sur 11.6.6.
À propos des mises à jour de sécurité Apple
Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Les mises à jour récentes sont répertoriées sur la page Mises à jour de sécurité Apple.
Les documents de sécurité Apple répertorient les vulnérabilités par identifiant CVE dans la mesure du possible.
Pour obtenir des informations supplémentaires en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.
macOS Big Sur 11.6.6
Publié le 16 mai 2022
apache
Disponible pour : macOS Big Sur
Conséquence : Apache présentait plusieurs vulnérabilités.
Description : plusieurs problèmes ont été résolus par la mise à jour d’Apache vers la version 2.4.53.
CVE-2021-44224
CVE-2021-44790
CVE-2022-22719
CVE-2022-22720
CVE-2022-22721
AppKit
Disponible pour : macOS Big Sur
Conséquence : une application malveillante peut être en mesure de bénéficier de privilèges racine.
Description : un problème de logique a été résolu par une meilleure validation.
CVE-2022-22665 : Lockheed Martin Red Team
AppleAVD
Disponible pour : macOS Big Sur
Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau. Apple a conscience que cette faille de sécurité a pu être exploitée.
Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.
CVE-2022-22675 : un chercheur anonyme
AppleEvents
Disponible pour : macOS Big Sur
Conséquence : un attaquant distant peut être en mesure de provoquer la fermeture inopinée d’une app ou l’exécution arbitraire de code.
Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.
CVE-2022-22630 : Jeremy Brown en collaboration avec le programme Zero Day Initiative de Trend Micro
Entrée ajoutée le 8 juin 2023
AppleGraphicsControl
Disponible pour : macOS Big Sur
Conséquence : le traitement d’une image malveillante peut entraîner l’exécution arbitraire de code
Description : un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées.
CVE-2022-26751 : Michael DePlante (@izobashi) du programme Zero Day Initiative de Trend Micro
AppleScript
Disponible pour : macOS Big Sur
Conséquence : le traitement d’un binaire AppleScript malveillant peut entraîner la fermeture inopinée d’une application ou la divulgation du contenu de la mémoire de traitement.
Description : un problème de lecture hors limites a été résolu par une meilleure vérification des limites.
CVE-2022-26698 : Qi Sun de Trend Micro et Ye Zhang (@co0py_Cat) de Baidu Security
Entrée mise à jour le 6 juillet 2022
AppleScript
Disponible pour : macOS Big Sur
Conséquence : le traitement d’un binaire AppleScript malveillant peut entraîner la fermeture inopinée d’une application ou la divulgation du contenu de la mémoire de traitement.
Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.
CVE-2022-26697 : Qi Sun et Robert Ai de Trend Micro
CoreTypes
Disponible pour : macOS Big Sur
Conséquence : une application malveillante peut être en mesure de contourner les vérifications de Gatekeeper.
Description : ce problème a été résolu par l’application de meilleures vérifications pour éviter les actions non autorisées.
CVE-2022-22663 : Arsenii Kostromin (0x3c3e)
CVMS
Disponible pour : macOS Big Sur
Conséquence : une application malveillante peut être en mesure de bénéficier de privilèges racine
Description : un problème d’initialisation de la mémoire a été résolu.
CVE-2022-26721 : Yonghwi Jin (@jinmo123) de Theori
CVE-2022-26722 : Yonghwi Jin (@jinmo123) de Theori
DriverKit
Disponible pour : macOS Big Sur
Conséquence : une application malveillante peut exécuter un code arbitraire avec des privilèges système.
Description : un problème d’accès hors limites a été résolu par une meilleure vérification des limites.
CVE-2022-26763 : Linus Henze de Pinauten GmbH (pinauten.de)
Graphics Drivers
Disponible pour : macOS Big Sur
Conséquence : un utilisateur local peut être en mesure de lire la mémoire du noyau.
Description : un problème de lecture hors limites entraînait la divulgation de la mémoire du noyau. Ce problème a été résolu grâce à une meilleure validation des entrées.
CVE-2022-22674 : un chercheur anonyme
Intel Graphics Driver
Disponible pour : macOS Big Sur
Conséquence : une application malveillante peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau
Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.
CVE-2022-26720 : Liu Long de l’Ant Security Light-Year Lab
Intel Graphics Driver
Disponible pour : macOS Big Sur
Conséquence : une application malveillante peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.
CVE-2022-26770 : Liu Long de l’Ant Security Light-Year Lab
Intel Graphics Driver
Disponible pour : macOS Big Sur
Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : un problème d’écriture hors limites a été résolu par une meilleure validation des entrées.
CVE-2022-26756 : Jack Dates de RET2 Systems, Inc
Intel Graphics Driver
Disponible pour : macOS Big Sur
Conséquence : une application malveillante peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées.
CVE-2022-26769 : Antonio Zekic (@antoniozekic)
Intel Graphics Driver
Disponible pour : macOS Big Sur
Conséquence : le traitement d’un contenu web malveillant peut entraîner l’exécution arbitraire de code
Description : un problème d’écriture hors limites a été résolu par une meilleure validation des entrées.
CVE-2022-26748 : Jeonghoon Shin de Theori en collaboration avec le programme Zero Day Initiative de Trend Micro
IOMobileFrameBuffer
Disponible pour : macOS Big Sur
Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion des états.
CVE-2022-26768 : un chercheur anonyme
Kernel
Disponible pour : macOS Big Sur
Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : un problème de corruption de la mémoire a été résolu par une meilleure validation.
CVE-2022-26714 : Peter Nguyễn Vũ Hoàng (@peternguyen14) de STAR Labs (@starlabs_sg)
Kernel
Disponible pour : macOS Big Sur
Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.
CVE-2022-26757 : Ned Williamson de Google Project Zero
LaunchServices
Disponible pour : macOS Big Sur
Conséquence : une app pourrait contourner certaines préférences de confidentialité.
Description : un problème de logique a été résolu par de meilleures restrictions.
CVE-2021-30946 : @gorelics et Ron Masas de BreakPoint.sh
Entrée ajoutée le 8 juin 2023
LaunchServices
Disponible pour : macOS Big Sur
Conséquence : une application malveillante peut être en mesure de contourner les préférences de confidentialité.
Description : le problème a été résolu par l’application de vérifications supplémentaires des autorisations.
CVE-2022-26767 : Wojciech Reguła (@_r3ggi) de SecuRing
LaunchServices
Disponible pour : macOS Big Sur
Conséquence : un processus en sandbox peut contourner les restrictions de la sandbox.
Description : un problème d’accès a été résolu au moyen de restrictions sandbox supplémentaires sur les applications tierces.
CVE-2022-26706 : Arsenii Kostromin (0x3c3e) et Jonathan Bar Or de Microsoft
Entrée mise à jour le 6 juillet 2022
Libinfo
Disponible pour : macOS Big Sur
Conséquence : une app peut être en mesure de contourner les préférences de confidentialité.
Description : ce problème a été résolu par la réalisation de meilleures vérifications.
CVE-2022-32882 : Zhipeng Huo (@R3dF09) et Yuebin Sun (@yuebinsun2020) du Tencent Security Xuanwu Lab
Entrée ajoutée le 16 septembre 2022
libresolv
Disponible pour : macOS Big Sur
Conséquence : un utilisateur distant peut être en mesure d’entraîner un déni de service.
Description : ce problème a été résolu par la réalisation de meilleures vérifications.
CVE-2022-32790 : Max Shavrick (@_mxms) de l’équipe de sécurité Google
Entrée ajoutée le 21 juin 2022
libresolv
Disponible pour : macOS Big Sur
Conséquence : un attaquant peut provoquer la fermeture inopinée d’applications ou l’exécution arbitraire de code.
Description : ce problème a été résolu par la réalisation de meilleures vérifications.
CVE-2022-26776 : Zubair Ashraf de Crowdstrike, Max Shavrick (@_mxms) de la Google Security Team
LibreSSL
Disponible pour : macOS Big Sur
Conséquence : le traitement d’un certificat malveillant peut entraîner un déni de service.
Description : un problème de déni de service a été résolu par une meilleure validation des entrées.
CVE-2022-0778
libxml2
Disponible pour : macOS Big Sur
Conséquence : un attaquant distant peut provoquer la fermeture inopinée d’une application ou l’exécution arbitraire de code.
Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.
CVE-2022-23308
OpenSSL
Disponible pour : macOS Big Sur
Conséquence : le traitement d’un certificat malveillant peut entraîner un déni de service.
Description : ce problème a été résolu par la réalisation de meilleures vérifications.
CVE-2022-0778
PackageKit
Disponible pour : macOS Big Sur
Conséquence : il est possible qu’une app profite de privilèges élevés.
Description : un problème de logique a été résolu par une meilleure gestion des états.
CVE-2022-32794 : Mickey Jin (@patch1t)
Entrée ajoutée le 4 octobre 2022
PackageKit
Disponible pour : macOS Big Sur
Conséquence : une application malveillante peut apporter des modifications à des sections protégées du système de fichiers.
Description : ce problème a été résolu par la suppression du code vulnérable.
CVE-2022-26712 : Mickey Jin (@patch1t)
Printing
Disponible pour : macOS Big Sur
Conséquence : une application malveillante peut être en mesure de contourner les préférences de confidentialité
Description : ce problème a été résolu par la suppression du code vulnérable.
CVE-2022-26746 : @gorelics
Safari Private Browsing
Disponible pour : macOS Big Sur
Conséquence : un site web malveillant est susceptible de traquer les utilisateurs de Safari en mode de navigation privée.
Description : un problème de logique a été résolu par une meilleure gestion des états.
CVE-2022-26731 : un chercheur anonyme
Entrée ajoutée le 6 juillet 2022
Security
Disponible pour : macOS Big Sur
Conséquence : une app malveillante peut contourner la validation des signatures.
Description : un problème d’analyse de la certification a été résolu par la réalisation de meilleures vérifications.
CVE-2022-26766 : Linus Henze de Pinauten GmbH (pinauten.de)
SMB
Disponible pour : macOS Big Sur
Conséquence : il est possible qu’une application profite de privilèges élevés.
Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.
CVE-2022-26718 : Peter Nguyễn Vũ Hoàng de STAR Labs
SMB
Disponible pour : macOS Big Sur
Conséquence : le montage d’un partage réseau Samba malveillant peut conduire à l’exécution arbitraire de code.
Description : un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées.
CVE-2022-26723 : Felix Poulin-Belanger
SMB
Disponible pour : macOS Big Sur
Conséquence : il est possible qu’une application profite de privilèges élevés.
Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.
CVE-2022-26715 : Peter Nguyễn Vũ Hoàng de STAR Labs
SoftwareUpdate
Disponible pour : macOS Big Sur
Conséquence : une application malveillante peut accéder à des fichiers restreints.
Description : ce problème a été résolu par l’amélioration des autorisations.
CVE-2022-26728 : Mickey Jin (@patch1t)
TCC
Disponible pour : macOS Big Sur
Conséquence : une app peut être en mesure de capturer l’écran d’un utilisateur.
Description : ce problème a été résolu par la réalisation de meilleures vérifications.
CVE-2022-26726 : Antonio Cheong Yu Xuan de YCISCQ
Entrée mise à jour le 8 juin 2023
Tcl
Disponible pour : macOS Big Sur
Conséquence : une application malveillante peut être en mesure de quitter sa sandbox.
Description : ce problème a été résolu par un meilleur nettoyage de l’environnement.
CVE-2022-26755 : Arsenii Kostromin (0x3c3e)
Vim
Disponible pour : macOS Big Sur
Conséquence : Vim présentait plusieurs problèmes.
Description : plusieurs problèmes ont été résolus par la mise à jour de Vim.
CVE-2021-4136
CVE-2021-4166
CVE-2021-4173
CVE-2021-4187
CVE-2021-4192
CVE-2021-4193
CVE-2021-46059
CVE-2022-0128
WebKit
Disponible pour : macOS Big Sur
Conséquence : le traitement d’un e-mail malveillant peut entraîner l’exécution de code JavaScript arbitraire.
Description : un problème de validation a été résolu par un meilleur nettoyage des entrées.
CVE-2022-22589 : Heige de la KnownSec 404 Team (knownsec.com) et Bo Qu de Palo Alto Networks (paloaltonetworks.com)
Wi-Fi
Disponible pour : macOS Big Sur
Conséquence : une application malveillante peut entraîner la divulgation d’une mémoire restreinte.
Description : un problème de corruption de la mémoire a été résolu par une meilleure validation.
CVE-2022-26745 : Scarlet Raine
Entrée mise à jour le 6 juillet 2022
Wi-Fi
Disponible pour : macOS Big Sur
Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion de cette dernière.
CVE-2022-26761 : Wang Yu de Cyberserval
zip
Disponible pour : macOS Big Sur
Conséquence : le traitement d’un fichier malveillant peut conduire à un déni de service.
Description : un problème de déni de service a été résolu par une meilleure gestion des états.
CVE-2022-0530
zlib
Disponible pour : macOS Big Sur
Conséquence : un attaquant peut provoquer la fermeture inopinée d’une application ou l’exécution arbitraire de code.
Description : un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées.
CVE-2018-25032 : Tavis Ormandy
zsh
Disponible pour : macOS Big Sur
Conséquence : un attaquant distant peut être en mesure de provoquer l’exécution arbitraire de code.
Description : ce problème a été résolu par l’installation de la version 5.8.1 de zsh.
CVE-2021-45444
Remerciements supplémentaires
Bluetooth
Nous tenons à remercier Jann Horn de Project Zero pour son aide.
Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu responsable de problèmes liés à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web tiers ni l’exactitude des informations que ce dernier propose. Contactez le fournisseur pour plus d’informations.