Informacije o sigurnosnom sadržaju sustava macOS Big Sur 11.6.8
U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS Big Sur 11.6.8.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
macOS Big Sur 11.6.8
APFS
Dostupno za: macOS Big Sur
Učinak: aplikacija s korijenskim ovlastima mogla bi izvršiti proizvoljni kod s kernelskim ovlastima
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32832: Tommy Muir (@Muirey03)
AppleMobileFileIntegrity
Dostupno za: macOS Big Sur
Učinak: aplikacije bi mogle dobiti korijenske ovlasti
Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.
CVE-2022-32826: Mickey Jin (@patch1t) (Trend Micro)
AppleScript
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjerno sastavljene binarne skripte AppleScript moglo bi doći do neočekivanog zatvaranja ili otkrivanja procesne memorije
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-32797: Mickey Jin (@patch1t), Ye Zhang (@co0py_Cat) (Baidu Security), Mickey Jin (@patch1t) (Trend Micro)
AppleScript
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjerno sastavljene binarne skripte AppleScript moglo bi doći do neočekivanog zatvaranja ili otkrivanja procesne memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-32853: Ye Zhang (@co0py_Cat) (Baidu Security)
CVE-2022-32851: Ye Zhang (@co0py_Cat) (Baidu Security)
AppleScript
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjerno sastavljene binarne skripte AppleScript moglo bi doći do neočekivanog zatvaranja ili otkrivanja procesne memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-32831: Ye Zhang (@co0py_Cat) (Baidu Security)
Archive Utility
Dostupno za: macOS Big Sur
Učinak: arhiva bi mogla zaobići alat Gatekeeper
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2022-32910: Ferdous Saljooki (@malwarezoo) (Jamf Software)
Audio
Dostupno za: macOS Big Sur
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32825: John Aakerblom (@jaakerblom)
Audio
Dostupno za: macOS Big Sur
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem sa zapisivanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-32820: anonimni istraživač
Calendar
Dostupno za: macOS Big Sur
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem je riješen poboljšanim rukovanjem predmemorijama.
CVE-2022-32805: Csaba Fitzl (@theevilbit) (Offensive Security)
Calendar
Dostupno za: macOS Big Sur
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem s otkrivanjem informacija riješen je uklanjanjem koda sa slabim točkama.
CVE-2022-32849: Joshua Jones
CoreText
Dostupno za: macOS Big Sur
Učinak: udaljeni korisnik može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2022-32839: STAR Labs (@starlabs_sg)
FaceTime
Dostupno za: macOS Big Sur
Utjecaj: aplikacija s korijenskim ovlastima mogla bi pristupiti privatnim podacima
Opis: ovaj problem riješen je omogućavanjem dodatnog osiguranja pokretanja.
CVE-2022-32781: Wojciech Reguła (@_r3ggi) (SecuRing)
File System Events
Dostupno za: macOS Big Sur
Učinak: aplikacije bi mogle dobiti korijenske ovlasti
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-32819: Joshua Mason (Mandiant)
ICU
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-32787: Dohyun Lee (@l33d0hyun) (SSD Secure Disclosure Labs) & DNSLab, Korejsko sveučilište
ImageIO
Dostupno za: macOS Big Sur
Učinak: obrada slike mogla bi dovesti do prekida usluge
Opis: dereferenca pokazivača s vrijednošću null riješena je poboljšanom provjerom valjanosti.
CVE-2022-32785: Yiğit Can YILMAZ (@yilmazcanyigit)
Intel Graphics Driver
Dostupno za: macOS Big Sur
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32812: Yinyi Wu (@3ndy1), ABC Research s.r.o.
Intel Graphics Driver
Dostupno za: macOS Big Sur
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: slaba točka zbog oštećenja memorije riješena je poboljšanim zaključavanjem.
CVE-2022-32811: ABC Research s.r.o
Kernel
Dostupno za: macOS Big Sur
Učinak: aplikacija s korijenskim ovlastima mogla bi izvršiti proizvoljni kod s kernelskim ovlastima
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32815: Xinru Chi (Pangu Lab)
CVE-2022-32813: Xinru Chi (Pangu Lab)
LaunchServices
Dostupno za: macOS Big Sur
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2021-30946: @gorelics i Ron Masas (BreakPoint.sh)
libxml2
Dostupno za: macOS Big Sur
Učinak: aplikacija bi mogla otkriti osjetljive korisničke podatke
Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2022-32823
Multi-Touch
Dostupno za: macOS Big Sur
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)
Multi-Touch
Dostupno za: macOS Big Sur
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem sa zamjenom vrste riješen je poboljšanim upravljanjem stanjem.
CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)
PackageKit
Dostupno za: macOS Big Sur
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: problem s rukovanjem varijablama okruženja riješen je poboljšanom provjerom valjanosti.
CVE-2022-32786: Mickey Jin (@patch1t)
PackageKit
Dostupno za: macOS Big Sur
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-32800: Mickey Jin (@patch1t)
PluginKit
Dostupno za: macOS Big Sur
Učinak: aplikacija bi mogla čitati proizvoljne datoteke
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-32838: Mickey Jin (@patch1t) (Trend Micro)
PS Normalizer
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjerno sastavljene PostScript datoteke moglo bi doći do neočekivanog zatvaranja aplikacije ili otkrivanja procesne memorije
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-32843: Kai Lu (Zscaler's ThreatLabz)
Software Update
Dostupno za: macOS Big Sur
Učinak: korisnik s povlaštenim mrežnim položajem mogao bi pratiti aktivnosti korisnika
Opis: problem je riješen upotrebom HTTPS-a prilikom slanja podataka preko mreže.
CVE-2022-32857: Jeffrey Paul (sneak.berlin)
Spindump
Dostupno za: macOS Big Sur
Učinak: aplikacija bi mogla prebrisati proizvoljne datoteke
Opis: ovaj je problem riješen poboljšanim rukovanjem datotekom.
CVE-2022-32807: Zhipeng Huo (@R3dF09) (Tencent Security Xuanwu Lab)
Spotlight
Dostupno za: macOS Big Sur
Učinak: aplikacije bi mogle dobiti veće ovlasti
Opis: problem s provjerom valjanosti u rukovanju simboličkim vezama riješen je poboljšanom provjerom valjanosti simboličkih veza.
CVE-2022-26704: Joshua Mason (Mandiant)
TCC
Dostupno za: macOS Big Sur
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem s pristupom riješen je poboljšanjima ograničene memorije.
CVE-2022-32834: Xuxiang Yang (@another1024; Tencent Security Xuanwu Lab) (xlab.tencent.com), Yuebin Sun (@yuebinsun2020; Tencent Security Xuanwu Lab) (xlab.tencent.com), Zhipeng Huo (@R3dF09, Tencent Security Xuanwu Lab (xlab.tencent.com))
Vim
Dostupno za: macOS Big Sur
Učinak: veći broj problema u programu Vim
Opis: veći broj problema riješen je ažuriranjem programa Vim.
CVE-2022-0156
CVE-2022-0158
Wi-Fi
Dostupno za: macOS Big Sur
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-32860: Wang Yu (Cyberserval)
Wi-Fi
Dostupno za: macOS Big Sur
Učinak: udaljeni korisnik može uzrokovati neočekivani pad sustava ili oštetiti kernelsku memoriju
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-32847: Wang Yu (Cyberserval)
Windows Server
Dostupno za: macOS Big Sur
Učinak: neke bi aplikacije mogle snimiti zaslon korisnika
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2022-32848: Jeremy Legendre (MacEnhance)
Dodatna zahvala
Calendar
Na pomoći zahvaljujemo Joshui Jonesu.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.