Informacije o sigurnosnom sadržaju sustava macOS Big Sur 11.6.6
U ovom je dokumentu opisan sigurnosni sadržaj sustava macOS Big Sur 11.6.6.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
macOS Big Sur 11.6.6
Objavljeno 16. svibnja 2022.
apache
Dostupno za: macOS Big Sur
Učinak: veći broj problema u softveru Apache
Opis: veći broj problema riješen je ažuriranjem softvera Apache na verziju 2.4.53.
CVE-2021-44224
CVE-2021-44790
CVE-2022-22719
CVE-2022-22720
CVE-2022-22721
AppKit
Dostupno za: macOS Big Sur
Učinak: neka zlonamjerna aplikacija mogla bi steći korijenske ovlasti
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2022-22665: Lockheed Martin Red Team
AppleAVD
Dostupno za: macOS Big Sur
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod. Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-22675: anonimni istraživač
AppleEvents
Dostupno za: macOS Big Sur
Učinak: udaljeni napadač mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2022-22630: Jeremy Brown u suradnji s inicijativom Trend Micro Zero Day
Unos je dodan 8. lipnja 2023.
AppleGraphicsControl
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-26751: Michael DePlante (@izobashi) i inicijativa Zero Day (Trend Micro)
AppleScript
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjerno sastavljene binarne skripte AppleScript moglo bi doći do neočekivanog zatvaranja aplikacija ili otkrivanja procesne memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-26698: Qi Sun (Trend Micro), Ye Zhang (@co0py_Cat) (Baidu Security)
Unos je ažuriran 6. srpnja 2022.
AppleScript
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjerno sastavljene binarne skripte AppleScript moglo bi doći do neočekivanog zatvaranja aplikacija ili otkrivanja procesne memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-26697: Qi Sun i Robert Ai, Trend Micro
CoreTypes
Dostupno za: macOS Big Sur
Učinak: zlonamjerna aplikacija može zaobići provjere alata Gatekeeper
Opis: problem je riješen poboljšanim provjerama radi sprječavanja neovlaštenih radnji.
CVE-2022-22663: Arsenii Kostromin (0x3c3e)
CVMS
Dostupno za: macOS Big Sur
Učinak: neka zlonamjerna aplikacija mogla bi steći korijenske ovlasti
Opis: problem s inicijalizacijom memorije riješen je.
CVE-2022-26721: Yonghwi Jin (@jinmo123) (Theori)
CVE-2022-26722: Yonghwi Jin (@jinmo123) (Theori)
DriverKit
Dostupno za: macOS Big Sur
Učinak: neke zlonamjerne aplikacije mogle bi uz sistemske ovlasti izvršiti proizvoljni kod
Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-26763: Linus Henze iz tvrtke Pinauten GmbH (pinauten.de)
Graphics Drivers
Dostupno za: macOS Big Sur
Učinak: lokalni korisnik mogao bi čitati kernelsku memoriju
Opis: otkriven je problem s prekoračenjem čitanja, koji je doveo do otkrivanja sadržaja kernelske memorije. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-22674: anonimni istraživač
Intel Graphics Driver
Dostupno za: macOS Big Sur
Učinak: uz kernelske ovlasti zlonamjerne aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-26720: Liu Long (Ant Security Light-Year Lab)
Intel Graphics Driver
Dostupno za: macOS Big Sur
Učinak: uz kernelske ovlasti zlonamjerne aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-26770: Liu Long (Ant Security Light-Year Lab)
Intel Graphics Driver
Dostupno za: macOS Big Sur
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-26756: Jack Dates iz tvrtke RET2 Systems, Inc
Intel Graphics Driver
Dostupno za: macOS Big Sur
Učinak: uz kernelske ovlasti zlonamjerne aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-26769: Antonio Zekic (@antoniozekic)
Intel Graphics Driver
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda
Opis: problem sa zapisivanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-26748: Jeonghoon Shin iz tvrtke Theori u suradnji s inicijativom Trend Micro Zero Day
IOMobileFrameBuffer
Dostupno za: macOS Big Sur
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2022-26768: anonimni istraživač
Kernel
Dostupno za: macOS Big Sur
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) (STAR Labs (@starlabs_sg))
Kernel
Dostupno za: macOS Big Sur
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2022-26757: Ned Williamson, Google Project Zero
LaunchServices
Dostupno za: macOS Big Sur
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2021-30946: @gorelics i Ron Masas (BreakPoint.sh)
Unos je dodan 8. lipnja 2023.
LaunchServices
Dostupno za: macOS Big Sur
Učinak: zlonamjerna aplikacija mogla bi zaobići postavke privatnosti
Opis: problem je riješen dodatnim provjerama dozvola.
CVE-2022-26767: Wojciech Reguła (@_r3ggi) iz tvrtke SecuRing
LaunchServices
Dostupno za: macOS Big Sur
Učinak: proces u memoriji za testiranje mogao bi zaobići ograničenja memorije za testiranje
Opis: problem s pristupom riješen je dodatnim ograničenjima memorije za testiranje na aplikacijama drugih proizvođača.
CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or (Microsoft)
Unos je ažuriran 6. srpnja 2022.
Libinfo
Dostupno za: macOS Big Sur
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-32882: Zhipeng Huo (@R3dF09) i Yuebin Sun (@yuebinsun2020) (Tencent Security Xuanwu Lab)
Unos je dodan 16. rujna 2022.
libresolv
Dostupno za: macOS Big Sur
Učinak: udaljeni korisnik mogao bi uzrokovati odbijanje usluge
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-32790: Max Shavrick (@_mxms) (Google Security Team)
Unos je dodan 21. lipnja 2022.
libresolv
Dostupno za: macOS Big Sur
Učinak: napadač je mogao uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-26776: Zubair Ashraf (Crowdstrike), Max Shavrick (@_mxms), Google Security Team
LibreSSL
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjernog certifikata može doći do odbijanja usluge
Opis: problem uskraćivanja usluge riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-0778
libxml2
Dostupno za: macOS Big Sur
Učinak: udaljeni napadač mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2022-23308
OpenSSL
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjernog certifikata može doći do odbijanja usluge
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-0778
PackageKit
Dostupno za: macOS Big Sur
Učinak: aplikacije bi mogle dobiti veće ovlasti
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-32794: Mickey Jin (@patch1t)
Unos je dodan 4. listopada 2022.
PackageKit
Dostupno za: macOS Big Sur
Učinak: zlonamjerna aplikacija mogla bi izmijeniti zaštićene dijelove datotečnog sustava
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2022-26712: Mickey Jin (@patch1t)
Printing
Dostupno za: macOS Big Sur
Učinak: zlonamjerna aplikacija mogla bi zaobići postavke privatnosti
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2022-26746: @gorelics
Safari Private Browsing
Dostupno za: macOS Big Sur
Učinak: zlonamjerna internetska stranca može pratiti korisnike u privatnom načinu pregledavanja u pregledniku Safari
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-26731: anonimni istraživač
Unos je dodan 6. srpnja 2022.
Security
Dostupno za: macOS Big Sur
Učinak: zlonamjerna aplikacija mogla bi zaobići provjeru valjanosti potpisa
Opis: problem s raščlanjivanjem certifikata riješen je poboljšanim provjerama.
CVE-2022-26766: Linus Henze (Pinauten GmbH (pinauten.de))
SMB
Dostupno za: macOS Big Sur
Učinak: neka bi aplikacija mogla dobiti veće ovlasti
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-26718: Peter Nguyễn Vũ Hoàng (STAR Labs)
SMB
Dostupno za: macOS Big Sur
Učinak: postavljanje zlonamjernog Samba mrežnog resursa moglo bi dovesti do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-26723: Felix Poulin-Belanger
SMB
Dostupno za: macOS Big Sur
Učinak: neka bi aplikacija mogla dobiti veće ovlasti
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-26715: Peter Nguyễn Vũ Hoàng iz tvrtke STAR Labs
SoftwareUpdate
Dostupno za: macOS Big Sur
Učinak: zlonamjerna aplikacija mogla bi pristupiti ograničenim datotekama
Opis: ovaj je problem riješen poboljšanim pravima.
CVE-2022-26728: Mickey Jin (@patch1t)
TCC
Dostupno za: macOS Big Sur
Učinak: aplikacija može snimiti korisnikov zaslon
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-26726: Antonio Cheong Yu Xuan (YCISCQ)
Unos je ažuriran 8. lipnja 2023.
Tcl
Dostupno za: macOS Big Sur
Učinak: zlonamjerne aplikacije mogle bi izaći izvan ograničene memorije
Opis: problem je riješen poboljšanom sanacijom okruženja.
CVE-2022-26755: Arsenii Kostromin (0x3c3e)
Vim
Dostupno za: macOS Big Sur
Učinak: veći broj problema u programu Vim
Opis: veći broj problema riješen je ažuriranjem programa Vim.
CVE-2021-4136
CVE-2021-4166
CVE-2021-4173
CVE-2021-4187
CVE-2021-4192
CVE-2021-4193
CVE-2021-46059
CVE-2022-0128
WebKit
Dostupno za: macOS Big Sur
Učinak: obrada zlonamjerno izrađene e-mail poruke može dovesti do pokretanja proizvoljnog javascript koda
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2022-22589: Heige (KnownSec, tim 404 (knownsec.com)) i Bo Qu (Palo Alto Networks (paloaltonetworks.com))
Wi-Fi
Dostupno za: macOS Big Sur
Učinak: zlonamjerne aplikacije mogle bi otkriti ograničenu memoriju
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2022-26745: Scarlet Raine
Unos je ažuriran 6. srpnja 2022.
Wi-Fi
Dostupno za: macOS Big Sur
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2022-26761: Wang Yu iz tvrtke Cyberserval
zip
Dostupno za: macOS Big Sur
Učinak: obradom zlonamjerne datoteke moglo bi izazvati odbijanje usluge
Opis: problem s odbijanjem pružanja usluge riješen je poboljšanim rukovanjem stanjem.
CVE-2022-0530
zlib
Dostupno za: macOS Big Sur
Učinak: napadač bi mogao uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2018-25032: Tavis Ormandy
zsh
Dostupno za: macOS Big Sur
Učinak: udaljeni napadač mogao bi uzrokovati izvršavanje proizvoljnog koda
Opis: problem je riješen ažuriranjem na zsh verzije 5.8.1.
CVE-2021-45444
Dodatna zahvala
Bluetooth
Na pomoći zahvaljujemo Jannu Hornu (Project Zero).
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.