A macOS Big Sur 11.7 biztonsági változásjegyzéke
Ez a dokumentum a macOS Big Sur 11.7 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
macOS Big Sur 11.7
AppleMobileFileIntegrity
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy kódaláírások hitelesítésével kapcsolatos problémát.
CVE-2022-42789: Koh M. Nakagawa (FFRI Security, Inc.)
ATS
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: További sandbox-korlátozásokkal elhárítottunk egy hozzáféréssel összefüggő problémát.
CVE-2022-32904: Mickey Jin (@patch1t)
ATS
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2022-32902: Mickey Jin (@patch1t)
Calendar
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat.
Leírás: Hatékonyabb hozzáférés-korlátozással hárítottunk el egy hozzáférési problémát.
CVE-2022-42819: anonim kutató
Contacts
A következőhöz érhető el: macOS Big Sur.
Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2022-32854: Holger Fuhrmannek (Deutsche Telekom Security)
GarageBand
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: További korlátozásokkal elhárítottunk egy konfigurációs hibát.
CVE-2022-32877: Wojciech Reguła (@_r3ggi, SecuRing)
ImageIO
A következőhöz érhető el: macOS Big Sur
Érintett terület: A képek feldolgozása szolgáltatásmegtagadáshoz vezethetett
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy szolgáltatásmegtagadási hibát.
CVE-2022-1622
Image Processing
A következőhöz érhető el: macOS Big Sur
Érintett terület: A sandboxban lévő appok meg tudták határozni, hogy éppen melyik app használja a kamerát.
Leírás: Az appállapotok megfigyelhetőségének további korlátozásával hárítottuk el a problémát.
CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)
iMovie
A következőhöz érhető el: macOS Big Sur
Érintett terület: A felhasználók bizonyos esetben hozzá tudtak férni a bizalmas jellegű felhasználói információkhoz.
Leírás: Megerősített futtatási idővel hárítottuk el a problémát.
CVE-2022-32896: Wojciech Reguła (@_r3ggi)
Kernel
A következőhöz érhető el: macOS Big Sur
Érintett terület: A rosszindulatú NFS-szerverekhez való csatlakozás tetszőleges programkód végrehajtását eredményezhette kerneljogosultságokkal.
Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.
CVE-2022-46701: Felix Poulin-Belanger
Kernel
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.
CVE-2022-32914: Zweig (Kunlun Lab)
Kernel
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2022-32866: Linus Henze (Pinauten GmbH; pinauten.de)
CVE-2022-32911: Zweig (Kunlun Lab)
CVE-2022-32924: Ian Beer (Google Project Zero)
Kernel
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2022-32864: Linus Henze (Pinauten GmbH, pinauten.de)
Kernel
A következőhöz érhető el: macOS Big Sur
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani. Az Apple tud egy jelentésről, mely szerint lehet, hogy ezt a problémát aktívan kihasználták.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.
CVE-2022-32894: anonim kutató
Kernel
A következőhöz érhető el: macOS Big Sur
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani. Az Apple tud egy jelentésről, mely szerint lehet, hogy ezt a problémát aktívan kihasználták.
Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.
CVE-2022-32917: anonim kutató
Maps
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat.
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2022-32883: Ron Masas (breakpointhq.com)
MediaLibrary
A következőhöz érhető el: macOS Big Sur
Érintett terület: A felhasználók magasabb szintű jogosultságokat tudtak szerezni.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
CVE-2022-32908: anonim kutató
ncurses
A következőhöz érhető el: macOS Big Sur
Érintett terület: A felhasználók váratlan appleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.
CVE-2021-39537
PackageKit
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2022-32900: Mickey Jin (@patch1t)
Sandbox
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2022-32881: Fitzl Csaba (@theevilbit; Offensive Security)
Security
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az appok meg tudták kerülni a kódaláírási ellenőrzéseket.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy kódaláírások hitelesítésével kapcsolatos problémát.
CVE-2022-42793: Linus Henze (Pinauten GmbH; pinauten.de)
Sidecar
A következőhöz érhető el: macOS Big Sur.
Érintett terület: A felhasználók bizonyos esetekben a zárolt képernyőn is meg tudták tekinteni a korlátozott tartalmakat.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2022-42790: Om kothawade (Zaprico Digital)
SMB
A következőhöz érhető el: macOS Big Sur
Érintett terület: A távoli felhasználók elő tudták idézni egy kernelkód végrehajtását
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2022-32934: Felix Poulin-Belanger
Vim
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az ártó szándékkal létrehozott fájlok szolgáltatásmegtagadást tudtak előidézni, illetve fel tudták fedni a memória tartalmát.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2022-1720
CVE-2022-2000
CVE-2022-2042
CVE-2022-2124
CVE-2022-2125
CVE-2022-2126
Weather
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2022-32875: anonim kutató
WebKit
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.
CVE-2022-32888: P1umer (@p1umer)
További köszönetnyilvánítás
apache
Köszönjük Tricia Lee (Enterprise Service Center) segítségét.
Identity Services
Szeretnénk megköszönni Joshua Jones segítségét.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.