Informacije o sigurnosnom sadržaju sustava macOS Big Sur 11.7
U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS Big Sur 11.7.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
macOS Big Sur 11.7
AppleMobileFileIntegrity
Dostupno za: macOS Big Sur
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem s provjerom valjanosti potpisa koda riješen je poboljšanim provjerama.
CVE-2022-42789: Koh M. Nakagawa (FFRI Security, Inc.)
ATS
Dostupno za: macOS Big Sur
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem s pristupom riješen je dodatnim ograničenjima za memoriju za testiranje.
CVE-2022-32904: Mickey Jin (@patch1t)
ATS
Dostupno za: macOS Big Sur
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-32902: Mickey Jin (@patch1t)
Calendar
Dostupno za: macOS Big Sur
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem s pristupom riješen je poboljšanim ograničenjima pristupa.
CVE-2022-42819: anonimni istraživač
Contacts
Dostupno za: macOS Big Sur
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-32854: Holger Fuhrmannek (Deutsche Telekom Security)
GarageBand
Dostupno za: macOS Big Sur
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem s konfiguracijom riješen je dodatnim ograničenjima.
CVE-2022-32877: Wojciech Reguła (@_r3ggi) (SecuRing)
ImageIO
Dostupno za: macOS Big Sur
Učinak: obrada slike mogla bi dovesti do prekida usluge
Opis: problem odbijanja usluge riješen je poboljšanom provjerom valjanosti.
CVE-2022-1622
Image Processing
Dostupno za: macOS Big Sur
Učinak: aplikacija u memoriji za testiranje mogla bi otkriti koja aplikacija trenutačno upotrebljava kameru
Opis: problem je riješen dodatnim ograničenjima uočljivosti stanja aplikacije.
CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)
iMovie
Dostupno za: macOS Big Sur
Učinak: korisnik bi mogao pregledavati osjetljive korisničke informacije
Opis: ovaj problem riješen je omogućavanjem dodatnog osiguranja pokretanja.
CVE-2022-32896: Wojciech Reguła (@_r3ggi)
Kernel
Dostupno za: macOS Big Sur
Učinak: spajanje na zlonamjeran NFS poslužitelj moglo bi dovesti do izvršavanja proizvoljnog koda s kernelskim ovlastima
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2022-46701: Felix Poulin-Belanger
Kernel
Dostupno za: macOS Big Sur
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2022-32914: Zweig (Kunlun Lab)
Kernel
Dostupno za: macOS Big Sur
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32866: Linus Henze (Pinauten GmbH, pinauten.de)
CVE-2022-32911: Zweig (Kunlun Lab)
CVE-2022-32924: Ian Beer (Google Project Zero)
Kernel
Dostupno za: macOS Big Sur
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32864: Linus Henze (Pinauten GmbH (pinauten.de))
Kernel
Dostupno za: macOS Big Sur
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod. Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-32894: anonimni istraživač
Kernel
Dostupno za: macOS Big Sur
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod. Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2022-32917: anonimni istraživač
Maps
Dostupno za: macOS Big Sur
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2022-32883: Ron Masas (breakpointhq.com)
MediaLibrary
Dostupno za: macOS Big Sur
Učinak: korisnik bi si mogao povećati ovlasti
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-32908: anonimni istraživač
ncurses
Dostupno za: macOS Big Sur
Učinak: korisnik bi mogao uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.
CVE-2021-39537
PackageKit
Dostupno za: macOS Big Sur
Učinak: aplikacije bi mogle dobiti veće ovlasti
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-32900: Mickey Jin (@patch1t)
Sandbox
Dostupno za: macOS Big Sur
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2022-32881: Csaba Fitzl (@theevilbit) (Offensive Security)
Security
Dostupno za: macOS Big Sur
Učinak: aplikacija bi mogla zaobići provjere potpisivanja koda
Opis: problem s provjerom valjanosti potpisa koda riješen je poboljšanim provjerama.
CVE-2022-42793: Linus Henze (Pinauten GmbH, pinauten.de)
Sidecar
Dostupno za: macOS Big Sur
Učinak: korisnik bi mogao vidjeti ograničeni sadržaj na zaključanom zaslonu
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-42790: Om kothawade (Zaprico Digital)
SMB
Dostupno za: macOS Big Sur
Učinak: udaljeni korisnik mogao bi uzrokovati izvršavanje kernelskog koda
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32934: Felix Poulin-Belanger
Vim
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjerne datoteke moglo bi doći do odbijanja usluge ili potencijalnog otkrivanja sadržaja memorije
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-1720
CVE-2022-2000
CVE-2022-2042
CVE-2022-2124
CVE-2022-2125
CVE-2022-2126
Weather
Dostupno za: macOS Big Sur
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-32875: anonimni istraživač
WebKit
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-32888: P1umer (@p1umer)
Dodatna zahvala
apache
Željeli bismo zahvaliti Triciji Lee iz tvrtke Enterprise Service Center na pomoći.
Identity Services
Na pomoći zahvaljujemo Joshui Jonesu.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.