מידע על עדכוני אבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. הגרסאות העדכניות רשומות בדף עדכוני אבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.
למידע נוסף בנושא אבטחה, עיינו בדף אבטחת מוצרי Apple.
macOS Big Sur 11.6.6
הופץ ב-16 במאי 2022
apache
זמין עבור: macOS Big Sur
השפעה: מספר בעיות ב-apache
תיאור: מספר בעיות טופלו באמצעות עדכון apache לגרסה 2.4.53.
CVE-2021-44224
CVE-2021-44790
CVE-2022-22719
CVE-2022-22720
CVE-2022-22721
AppKit
זמין עבור: macOS Big Sur
השפעה: ייתכן שאפליקציה זדונית תצליח לקבל הרשאות בסיס
תיאור: בעיית לוגיקה טופלה באמצעות אימות משופר.
CVE-2022-22665: Lockheed Martin Red Team
AppleAVD
זמין עבור: macOS Big Sur
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה. Apple מודעת לדיווח על כך שייתכן שבעיה זו נוצלה באופן פעיל.
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2022-22675: חוקר אנונימי
AppleEvents
זמין עבור: macOS Big Sur
השפעה: תוקף מרוחק עלול לגרום לסגירה בלתי צפויה של יישום או להפעלת קוד שרירותי
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2022-22630: ג'רמי בראון יחד עם Zero Day Initiative של Trend Micro
הרשומה נוספה ב‑8 ביוני 2023
AppleGraphicsControl
זמין עבור: macOS Big Sur
השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי
תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.
CVE-2022-26751: מייקל דה פלנטה (@izobashi) מ-Trend Micro Zero Day Initiative
AppleScript
זמין עבור: macOS Big Sur
השפעה: עיבוד של AppleScript בינארי בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של יישום או לחשיפת זיכרון התהליך
תיאור: בעיית קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2022-26698: קי סאן מ-Trend Micro, יה ז'אנג (@co0py_Cat) מ-Baidu Security
הרשומה עודכנה ב-6 ביולי 2022
AppleScript
זמין עבור: macOS Big Sur
השפעה: עיבוד של AppleScript בינארי בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של יישום או לחשיפת זיכרון התהליך
תיאור: בעיית קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2022-26697: קי סאן ורוברט איי מ-Trend Micro
CoreTypes
זמין עבור: macOS Big Sur
השפעה: אפליקציה זדונית עלולה להצליח לעקוף את הבדיקות של Gatekeeper
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות למניעת פעולות לא מורשות.
CVE-2022-22663: ארסני קוסטרומין (0x3c3e)
CVMS
זמין עבור: macOS Big Sur
השפעה: ייתכן שאפליקציה זדונית תצליח לקבל הרשאות בסיס
תיאור: בעיית אתחול זיכרון טופלה.
CVE-2022-26721: יונגווי ג'ין (@jinmo123) מ-Theori
CVE-2022-26722: יונגווי ג'ין (@jinmo123) מ-Theori
DriverKit
זמין עבור: macOS Big Sur
השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2022-26763: לינוס הנצה מ-Pinauten GmbH (pinauten.de)
Graphics Drivers
זמין עבור: macOS Big Sur
השפעה: משתמש מקומי עלול להצליח לקרוא זיכרון ליבה
תיאור: הייתה בעיה של קריאה מחוץ לתחום שהובילה לחשיפת זיכרון ליבה. הבעיה טופלה באמצעות אימות קלט משופר.
CVE-2022-22674: חוקר אנונימי
Intel Graphics Driver
זמין עבור: macOS Big Sur
השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2022-26720: ליו לונג מ-Ant Security Light-Year Lab
Intel Graphics Driver
זמין עבור: macOS Big Sur
השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2022-26770: ליו לונג מ-Ant Security Light-Year Lab
Intel Graphics Driver
זמין עבור: macOS Big Sur
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2022-26756: ג'ק דייטס מ-RET2 Systems, Inc
Intel Graphics Driver
זמין עבור: macOS Big Sur
השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.
CVE-2022-26769: אנטוניו זקיץ' (@antoniozekic)
Intel Graphics Driver
זמין עבור: macOS Big Sur
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2022-26748: ג'אונגהון שין מ-Theori בשיתוף עם Trend Micro Zero Day Initiative
IOMobileFrameBuffer
זמין עבור: macOS Big Sur
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.
CVE-2022-26768: חוקר אנונימי
Kernel
זמין עבור: macOS Big Sur
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות שיפור האימות.
CVE-2022-26714: פיטר נויין וו הואנג (@peternguyen14) מ-STAR Labs (@starlabs_sg)
Kernel
זמין עבור: macOS Big Sur
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2022-26757: נד וויליאמסון מ-Google Project Zero
LaunchServices
זמין עבור: macOS Big Sur
השפעה: יישום עלול להצליח לעקוף העדפות פרטיות מסוימות
תיאור: בעיה לוגית טופלה באמצעות הגבלות משופרות.
CVE-2021-30946: @gorelics ורון מאסאס מ-BreakPoint.sh
הרשומה נוספה ב‑8 ביוני 2023
LaunchServices
זמין עבור: macOS Big Sur
השפעה: יישום זדוני עלול להצליח לעקוף את העדפות הפרטיות
תיאור: הבעיה טופלה באמצעות בדיקות הרשאות נוספות.
CVE-2022-26767: וויצ'ך רגולה (@_r3ggi) מ-SecuRing
LaunchServices
זמין עבור: macOS Big Sur
השפעה: תהליך בשלב 'ארגז החול' עלול להצליח לעקוף את ההגבלות של 'ארגז החול'
תיאור: בעיית גישה טופלה באמצעות הגבלות 'ארגז חול' נוספות על יישומים של צד שלישי.
CVE-2022-26706: ארסני קוסטרומין (0x3c3e), ג'ונתן בר אור מ-Microsoft
הרשומה עודכנה ב-6 ביולי 2022
Libinfo
זמין עבור: macOS Big Sur
השפעה: יישום עלול להצליח לעקוף את העדפות הפרטיות
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2022-32882: ג'יפנג הו (@R3dF09) ויואה-בין סון (@yuebinsun2020) מ-Tencent Security Xuanwu Lab
הערך נוסף ב‑16 בספטמבר 2022
libresolv
זמין עבור: macOS Big Sur
השפעה: משתמש מרוחק עלול להצליח לגרום למניעת שירות
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2022-32790: מקס שווריק (@_mxms) מ-Google Security Team
הרשומה נוספה ב‑21 ביוני 2022
libresolv
זמין עבור: macOS Big Sur
השפעה: תוקף עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2022-26776: זובייר אשרף מ-Crowdstrike, מקס שווריק (@_mxms) מ-Google Security Team
LibreSSL
זמין עבור: macOS Big Sur
השפעה: עיבוד אישור בעל מבנה זדוני עלול להוביל למניעת שירות
תיאור: בעיית מניעת שירות טופלה באמצעות אימות קלט משופר.
CVE-2022-0778
libxml2
זמין עבור: macOS Big Sur
השפעה: תוקף מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2022-23308
OpenSSL
זמין עבור: macOS Big Sur
השפעה: עיבוד אישור בעל מבנה זדוני עלול להוביל למניעת שירות
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2022-0778
PackageKit
זמין עבור: macOS Big Sur
השפעה: יישום עלול להצליח לקבל הרשאות ברמה גבוהה יותר
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
CVE-2022-32794: מיקי ג'ין (@patch1t)
הערך נוסף ב-4 באוקטובר 2022
PackageKit
זמין עבור: macOS Big Sur
השפעה: אפליקציה זדונית עלולה להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.
CVE-2022-26712: מיקי ג'ין (@patch1t)
Printing
זמין עבור: macOS Big Sur
השפעה: יישום זדוני עלול להצליח לעקוף את העדפות הפרטיות
תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.
CVE-2022-26746: @gorelics
Safari Private Browsing
זמין עבור: macOS Big Sur
השפעה: אתר אינטרנט זדוני עלול להצליח לעקוב אחר משתמשים ב-Safari במצב גלישה פרטית
תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.
CVE-2022-26731: חוקר אנונימי
הרשומה נוספה ב-6 ביולי 2022
Security
זמין עבור: macOS Big Sur
השפעה: יישום זדוני עלול להצליח לעקוף אימות חתימה
תיאור: בעיה בניתוח אישורים טופלה באמצעות בדיקות משופרות.
CVE-2022-26766: לינוס הנצה מ-Pinauten GmbH (pinauten.de)
SMB
זמין עבור: macOS Big Sur
השפעה: יישום עלול לקבל הרשאות ברמה גבוהה יותר
תיאור: בעיית קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2022-26718: פיטר נויין וו הואנג מ-STAR Labs
SMB
זמין עבור: macOS Big Sur
השפעה: טעינת שיתוף רשת Samba בעל מבנה זדוני עלולה להוביל להפעלת קוד שרירותי
תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.
CVE-2022-26723: פליקס פולין-בלאנג'ר
SMB
זמין עבור: macOS Big Sur
השפעה: יישום עלול לקבל הרשאות ברמה גבוהה יותר
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2022-26715: פיטר נויין וו הואנג מ-STAR Labs
SoftwareUpdate
זמין עבור: macOS Big Sur
השפעה: יישום זדוני עלול להצליח לגשת לקבצים מוגבלים
תיאור: בעיה זו טופלה באמצעות זכאויות משופרות.
CVE-2022-26728: מיקי ג'ין (@patch1t)
TCC
זמין עבור: macOS Big Sur
השפעה: יישום עלול להצליח לצלם מסך של משתמש
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2022-26726: אנטוניו צ'אונג יו שואן YCISCQ
הערך עודכן ב‑8 יוני 2023
Tcl
זמין עבור: macOS Big Sur
השפעה: יישום זדוני עלול להצליח לצאת מתוך ארגז החול
תיאור: בעיה זו טופלה באמצעות סניטציה משופרת של הסביבה.
CVE-2022-26755: ארסני קוסטרומין (0x3c3e)
Vim
זמין עבור: macOS Big Sur
השפעה: מספר בעיות ב-Vim
תיאור: מספר בעיות טופלו באמצעות עדכון Vim.
CVE-2021-4136
CVE-2021-4166
CVE-2021-4173
CVE-2021-4187
CVE-2021-4192
CVE-2021-4193
CVE-2021-46059
CVE-2022-0128
WebKit
זמין עבור: macOS Big Sur
השפעה: עיבוד הודעת דואר בעלת מבנה זדוני עלול להוביל להפעלת javascript שרירותי
תיאור: בעיית אימות טופלה באמצעות סניטציה משופרת של קלט.
CVE-2022-22589: הייג' מ-KnownSec 404 Team (knownsec.com) ובו קו מ-Paolo Alto Networks (paloaltonetworks.com)
Wi-Fi
זמין עבור: macOS Big Sur
השפעה: יישום זדוני עלול לחשוף זיכרון מוגבל
תיאור: בעיית השחתת זיכרון טופלה באמצעות שיפור האימות.
CVE-2022-26745: סקרלט ריינה
הרשומה עודכנה ב-6 ביולי 2022
Wi-Fi
זמין עבור: macOS Big Sur
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2022-26761: וואנג יו מ-Cyberserval
zip
זמין עבור: macOS Big Sur
השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל למניעת שירות
תיאור: בעיית מניעת שירות טופלה באמצעות טיפול משופר במצב.
CVE-2022-0530
zlib
זמין עבור: macOS Big Sur
השפעה: תוקף עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.
CVE-2018-25032: טאוויס אורמנדי
zsh
זמין עבור: macOS Big Sur
השפעה: תוקף מרוחק עלול להצליח להפעיל קוד שרירותי
תיאור: בעיה זו טופלה באמצעות עדכון ל-zsh בגרסה 5.8.1.
CVE-2021-45444
תודות נוספות
Bluetooth
אנחנו מבקשים להודות ליאן הורן מ-Project Zero על הסיוע.