אודות תוכן האבטחה של macOS Big Sur 11.6.3
מסמך זה מתאר את תוכן האבטחה של macOS Big Sur 11.6.3.
אודות עדכוני אבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. הגרסאות העדכניות רשומות בדף עדכוני אבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.
למידע נוסף בנושא אבטחה, עיינו בדף אבטחת מוצרי Apple.
macOS Big Sur 11.6.3
פורסם ב-26 בינואר 2022
Audio
זמין עבור: macOS Big Sur
השפעה: ניתוח קובץ שמע בעל מבנה זדוני עלול להוביל לחשיפת המידע של משתמש
תיאור: בעיית גלישת חוצץ טופלה באמצעות טיפול משופר בזיכרון.
CVE-2021-30960: ג'ון-דונג שייה ושינגווי לין מ-Ant Security Light-Year Lab
iCloud
זמין עבור: macOS Big Sur
השפעה: אפליקציה עלולה להצליח לגשת לקבצים של המשתמש
תיאור: הייתה בעיה בלוגיקה של אימות נתיבים עבור קישורים סימבוליים. בעיה זו טופלה באמצעות סניטציה משופרת של נתיבים.
CVE-2022-22585: זיפנג הו (R3dF09@) מ-Tencent Security Xuanwu Lab (https://xlab.tencent.com)
IOMobileFrameBuffer
זמין עבור: macOS Big Sur
השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה. Apple מודעת לדיווח על כך שייתכן שבעיה זו נוצלה באופן פעיל.
תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.
CVE-2022-22587: חוקר אנונימי, מיסאם פירוזי (R00tkitSMM@) מ-MBition - Mercedes-Benz Innovation Lab, סידהרת ארי (b1n4r1b01@)
Kernel
זמין עבור: macOS Big Sur
השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית גלישת חוצץ טופלה באמצעות טיפול משופר בזיכרון.
CVE-2022-22593: פיטר נגוין וון הואנג ממעבדות STAR
Model I/O
זמין עבור: macOS Big Sur
השפעה: עיבוד קובץ STL בעל מבנה זדוני עלול להוביל לסיום יישומים בלתי צפוי או לביצוע קוד שרירותי
תיאור: בעיית חשיפת מידע טופלה באמצעות ניהול מצבים משופר.
CVE-2022-22579: מיקי ג'ין (patch1t@) מ-Trend Micro
PackageKit
זמין עבור: macOS Big Sur
השפעה: אפליקציה עלולה להצליח לגשת לקבצים מוגבלים
תיאור: בעיית הרשאות טופלה באמצעות אימות משופר.
CVE-2022-22583: רון הס (@ronhass7) מ-Perception Point, מיקי ג'ין (@patch1t)
TCC
זמין עבור: macOS Big Sur
השפעה: יישום זדוני עלול להצליח לעקוף העדפות פרטיות מסוימות
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2021-30972:¬CVE-2021-30972: שושיאנג יאנג (another1024@), ג'יפנג הו (R3dF09@) ויואה בין סון (yuebinsun2020@) מ-Tencent Security Xuanwu Lab (xlab.tencent.com), צ'אבה פיצל (theevilbit@) מ-Offensive Security, jhftss (patch1t@), וויצ'ך רגולה (@_r3ggi)
תודות נוספות
Kernel
אנחנו מבקשים להודות לטאו הואנג על הסיוע.
Metal
אנחנו מבקשים להודות לטאו הואנג על הסיוע.
PackageKit
אנחנו מבקשים להודות למיקי ג'ין (@patch1t) מ-Trend Micro על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.