אודות תוכן האבטחה של macOS Big Sur 11.6.6

מסמך זה מתאר את תוכן האבטחה של macOS Big Sur 11.6.6.

מידע על עדכוני אבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. הגרסאות העדכניות רשומות בדף עדכוני אבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.

למידע נוסף בנושא אבטחה, עיינו בדף אבטחת מוצרי Apple.

macOS Big Sur 11.6.6

apache

זמין עבור: macOS Big Sur

השפעה: מספר בעיות ב-apache

תיאור: מספר בעיות טופלו באמצעות עדכון apache לגרסה 2.4.53.

CVE-2021-44224

CVE-2021-44790

CVE-2022-22719

CVE-2022-22720

CVE-2022-22721

AppKit‏

זמין עבור: macOS Big Sur

השפעה: ייתכן שאפליקציה זדונית תצליח לקבל הרשאות בסיס

תיאור: בעיית לוגיקה טופלה באמצעות אימות משופר.

CVE-2022-22665‏: Lockheed Martin Red Team

AppleAVD

זמין עבור: macOS Big Sur

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה. Apple מודעת לדיווח על כך שייתכן שבעיה זו נוצלה באופן פעיל.

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2022-22675: חוקר אנונימי

AppleEvents

זמין עבור: macOS Big Sur

השפעה: תוקף מרוחק עלול לגרום לסגירה בלתי צפויה של יישום או להפעלת קוד שרירותי

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2022-22630:‏ ג'רמי בראון יחד עם Zero Day Initiative של Trend Micro

AppleGraphicsControl

זמין עבור: macOS Big Sur

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי

תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.

CVE-2022-26751: מייקל דה פלנטה (‎@izobashi) מ-Trend Micro Zero Day Initiative

AppleScript

זמין עבור: macOS Big Sur

השפעה: עיבוד של AppleScript בינארי בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של יישום או לחשיפת זיכרון התהליך

תיאור: בעיית קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2022-26698: קי סאן מ-Trend Micro, יה ז'אנג (‎@co0py_Cat) מ-Baidu Security

AppleScript

זמין עבור: macOS Big Sur

השפעה: עיבוד של AppleScript בינארי בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של יישום או לחשיפת זיכרון התהליך

תיאור: בעיית קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2022-26697: קי סאן ורוברט איי מ-Trend Micro

CoreTypes

זמין עבור: macOS Big Sur

השפעה: אפליקציה זדונית עלולה להצליח לעקוף את הבדיקות של Gatekeeper

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות למניעת פעולות לא מורשות.

CVE-2022-22663: ארסני קוסטרומין (0x3c3e)

CVMS

זמין עבור: macOS Big Sur

השפעה: ייתכן שאפליקציה זדונית תצליח לקבל הרשאות בסיס

תיאור: בעיית אתחול זיכרון טופלה.

CVE-2022-26721: יונגווי ג'ין (‎@jinmo123) מ-Theori

CVE-2022-26722: יונגווי ג'ין (‎@jinmo123) מ-Theori

DriverKit

זמין עבור: macOS Big Sur

השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת

תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2022-26763: לינוס הנצה מ-Pinauten GmbH‏ (pinauten.de)

Graphics Drivers

זמין עבור: macOS Big Sur

השפעה: משתמש מקומי עלול להצליח לקרוא זיכרון ליבה

תיאור: הייתה בעיה של קריאה מחוץ לתחום שהובילה לחשיפת זיכרון ליבה. הבעיה טופלה באמצעות אימות קלט משופר.

CVE-2022-22674: חוקר אנונימי

Intel Graphics Driver

זמין עבור: macOS Big Sur

השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2022-26720: ליו לונג מ-Ant Security Light-Year Lab

Intel Graphics Driver

זמין עבור: macOS Big Sur

השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2022-26770: ליו לונג מ-Ant Security Light-Year Lab

Intel Graphics Driver

זמין עבור: macOS Big Sur

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2022-26756: ג'ק דייטס מ-RET2 Systems, Inc

Intel Graphics Driver

זמין עבור: macOS Big Sur

השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.

CVE-2022-26769: אנטוניו זקיץ' (‎@antoniozekic)

Intel Graphics Driver

זמין עבור: macOS Big Sur

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2022-26748: ג'אונגהון שין מ-Theori בשיתוף עם Trend Micro Zero Day Initiative

IOMobileFrameBuffer

זמין עבור: macOS Big Sur

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.

CVE-2022-26768: חוקר אנונימי

Kernel

זמין עבור: macOS Big Sur

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית השחתת זיכרון טופלה באמצעות שיפור האימות.

CVE-2022-26714: פיטר נויין וו הואנג (‎@peternguyen14) מ-STAR Labs‏ (‎@starlabs_sg)

Kernel

זמין עבור: macOS Big Sur

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2022-26757: נד וויליאמסון מ-Google Project Zero

LaunchServices

זמין עבור: macOS Big Sur

השפעה: יישום עלול להצליח לעקוף העדפות פרטיות מסוימות

תיאור: בעיה לוגית טופלה באמצעות הגבלות משופרות.

CVE-2021-30946‏: ‎@gorelics ורון מאסאס מ-BreakPoint.sh

LaunchServices

זמין עבור: macOS Big Sur

השפעה: יישום זדוני עלול להצליח לעקוף את העדפות הפרטיות

תיאור: הבעיה טופלה באמצעות בדיקות הרשאות נוספות.

CVE-2022-26767: וויצ'ך רגולה (‎@_r3ggi) מ-SecuRing

LaunchServices

זמין עבור: macOS Big Sur

השפעה: תהליך בשלב 'ארגז החול' עלול להצליח לעקוף את ההגבלות של 'ארגז החול'

תיאור: בעיית גישה טופלה באמצעות הגבלות 'ארגז חול' נוספות על יישומים של צד שלישי.

CVE-2022-26706: ארסני קוסטרומין (0x3c3e), ג'ונתן בר אור מ-Microsoft

Libinfo

זמין עבור: macOS Big Sur

השפעה: יישום עלול להצליח לעקוף את העדפות הפרטיות

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2022-32882: ג'יפנג הו (‎@R3dF09) ויואה-בין סון (‎@yuebinsun2020) מ-Tencent Security Xuanwu Lab

libresolv

זמין עבור: macOS Big Sur

השפעה: משתמש מרוחק עלול להצליח לגרום למניעת שירות

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2022-32790: מקס שווריק (‎@_mxms) מ-Google Security Team

libresolv

זמין עבור: macOS Big Sur

השפעה: תוקף עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2022-26776: זובייר אשרף מ-Crowdstrike, מקס שווריק (‎@_mxms) מ-Google Security Team

LibreSSL

זמין עבור: macOS Big Sur

השפעה: עיבוד אישור בעל מבנה זדוני עלול להוביל למניעת שירות

תיאור: בעיית מניעת שירות טופלה באמצעות אימות קלט משופר.

CVE-2022-0778

libxml2

זמין עבור: macOS Big Sur

השפעה: תוקף מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2022-23308

OpenSSL

זמין עבור: macOS Big Sur

השפעה: עיבוד אישור בעל מבנה זדוני עלול להוביל למניעת שירות

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2022-0778

PackageKit

זמין עבור: macOS Big Sur

השפעה: יישום עלול להצליח לקבל הרשאות ברמה גבוהה יותר

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

CVE-2022-32794: מיקי ג'ין (‎@patch1t)

PackageKit

זמין עבור: macOS Big Sur

השפעה: אפליקציה זדונית עלולה להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.

CVE-2022-26712: מיקי ג'ין (‎@patch1t)

Printing

זמין עבור: macOS Big Sur

השפעה: יישום זדוני עלול להצליח לעקוף את העדפות הפרטיות

תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.

CVE-2022-26746: ‏‎@gorelics

Safari Private Browsing

זמין עבור: macOS Big Sur

השפעה: אתר אינטרנט זדוני עלול להצליח לעקוב אחר משתמשים ב-Safari במצב גלישה פרטית

תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.

CVE-2022-26731: חוקר אנונימי

Security

זמין עבור: macOS Big Sur

השפעה: יישום זדוני עלול להצליח לעקוף אימות חתימה

תיאור: בעיה בניתוח אישורים טופלה באמצעות בדיקות משופרות.

CVE-2022-26766: לינוס הנצה מ-Pinauten GmbH‏ (pinauten.de)

SMB

זמין עבור: macOS Big Sur

השפעה: יישום עלול לקבל הרשאות ברמה גבוהה יותר

תיאור: בעיית קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2022-26718: פיטר נויין וו הואנג מ-STAR Labs

SMB

זמין עבור: macOS Big Sur

השפעה: טעינת שיתוף רשת Samba בעל מבנה זדוני עלולה להוביל להפעלת קוד שרירותי

תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.

CVE-2022-26723: פליקס פולין-בלאנג'ר

SMB

זמין עבור: macOS Big Sur

השפעה: יישום עלול לקבל הרשאות ברמה גבוהה יותר

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2022-26715: פיטר נויין וו הואנג מ-STAR Labs

SoftwareUpdate

זמין עבור: macOS Big Sur

השפעה: יישום זדוני עלול להצליח לגשת לקבצים מוגבלים

תיאור: בעיה זו טופלה באמצעות זכאויות משופרות.

CVE-2022-26728: מיקי ג'ין (‎@patch1t)

TCC

זמין עבור: macOS Big Sur

השפעה: יישום עלול להצליח לצלם מסך של משתמש

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2022-26726: אנטוניו צ'אונג יו שואן YCISCQ

Tcl

זמין עבור: macOS Big Sur

השפעה: יישום זדוני עלול להצליח לצאת מתוך ארגז החול

תיאור: בעיה זו טופלה באמצעות סניטציה משופרת של הסביבה.

CVE-2022-26755: ארסני קוסטרומין (0x3c3e)

Vim

זמין עבור: macOS Big Sur

השפעה: מספר בעיות ב-Vim

תיאור: מספר בעיות טופלו באמצעות עדכון Vim.

CVE-2021-4136

CVE-2021-4166

CVE-2021-4173

CVE-2021-4187

CVE-2021-4192

CVE-2021-4193

CVE-2021-46059

CVE-2022-0128

WebKit

זמין עבור: macOS Big Sur

השפעה: עיבוד הודעת דואר בעלת מבנה זדוני עלול להוביל להפעלת javascript שרירותי

תיאור: בעיית אימות טופלה באמצעות סניטציה משופרת של קלט.

CVE-2022-22589: הייג' מ-KnownSec 404 Team‏ (knownsec.com) ובו קו מ-Paolo Alto Networks‏ (paloaltonetworks.com)

Wi-Fi

זמין עבור: macOS Big Sur

השפעה: יישום זדוני עלול לחשוף זיכרון מוגבל

תיאור: בעיית השחתת זיכרון טופלה באמצעות שיפור האימות.

CVE-2022-26745: סקרלט ריינה

Wi-Fi

זמין עבור: macOS Big Sur

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2022-26761: וואנג יו מ-Cyberserval

zip

זמין עבור: macOS Big Sur

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל למניעת שירות

תיאור: בעיית מניעת שירות טופלה באמצעות טיפול משופר במצב.

CVE-2022-0530

zlib‏

זמין עבור: macOS Big Sur

השפעה: תוקף עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.

CVE-2018-25032: טאוויס אורמנדי

zsh

זמין עבור: macOS Big Sur

השפעה: תוקף מרוחק עלול להצליח להפעיל קוד שרירותי

תיאור: בעיה זו טופלה באמצעות עדכון ל-zsh בגרסה 5.8.1.

CVE-2021-45444

תודות נוספות

Bluetooth

אנחנו מבקשים להודות ליאן הורן מ-Project Zero על הסיוע.