A macOS Big Sur 11.6.8 biztonsági változásjegyzéke
Ez a dokumentum a macOS Big Sur 11.6.8 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
macOS Big Sur 11.6.8
APFS
A következőhöz érhető el: macOS Big Sur
Érintett terület: A gyökérszintű jogosultsággal rendelkező alkalmazások tetszőleges kódvégrehajtást tudtak előidézni kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2022-32832: Tommy Muir (@Muirey03)
AppleMobileFileIntegrity
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.
CVE-2022-32826: Mickey Jin (@patch1t; Trend Micro)
AppleScript
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az ártó szándékkal létrehozott AppleScript bináris fájlok feldolgozása váratlan leálláshoz vagy a folyamatmemória tartalmának felfedéséhez vezethetett
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2022-32797: Mickey Jin (@patch1t), Ye Zhang (@co0py_Cat, Baidu Security), Mickey Jin (@patch1t, Trend Micro)
AppleScript
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az ártó szándékkal létrehozott AppleScript bináris fájlok feldolgozása váratlan leálláshoz vagy a folyamatmemória tartalmának felfedéséhez vezethetett
Leírás: Hatékonyabb bemenet-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2022-32853: Ye Zhang (@co0py_Cat), Baidu Security
CVE-2022-32851: Ye Zhang (@co0py_Cat), Baidu Security
AppleScript
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az ártó szándékkal létrehozott AppleScript bináris fájlok feldolgozása váratlan leálláshoz vagy a folyamatmemória tartalmának felfedéséhez vezethetett
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.
CVE-2022-32831: Ye Zhang (@co0py_Cat), Baidu Security
Archive Utility
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egyes archívumok bizonyos körülmények között meg tudták kerülni a Gatekeepert.
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.
CVE-2022-32910: Ferdous Saljooki (@malwarezoo, Jamf Software)
Audio
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2022-32825: John Aakerblom (@jaakerblom)
Audio
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb bemenet-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.
CVE-2022-32820: anonim kutató
Calendar
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói információkhoz hozzáférni
Leírás: A gyorsítótárak hatékonyabb kezelésével hárítottuk el a problémát.
CVE-2022-32805: Fitzl Csaba (@theevilbit; Offensive Security)
Calendar
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: Elhárítottunk egy információfelfedéssel kapcsolatos problémát a sebezhető kód eltávolításával.
CVE-2022-32849: Joshua Jones
CoreText
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egy távoli támadó váratlan alkalmazásleállást tudott előidézni, illetve tetszőleges programkódot tudott végrehajtani
Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.
CVE-2022-32839: STAR Labs (@starlabs_sg)
FaceTime
A következőhöz érhető el: macOS Big Sur
Érintett terület: A gyökérszintű jogosultsággal rendelkező alkalmazások hozzá tudtak férni személyes információkhoz.
Leírás: Megerősített futtatási idővel hárítottuk el a problémát.
CVE-2022-32781: Wojciech Reguła (@_r3ggi, SecuRing)
File System Events
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2022-32819: Joshua Mason (Mandiant)
ICU
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.
CVE-2022-32787: Dohyun Lee (@l33d0hyun, SSD Secure Disclosure Labs & DNSLab), Korea Univ.
ImageIO
A következőhöz érhető el: macOS Big Sur
Érintett terület: A képek feldolgozása szolgáltatásmegtagadáshoz vezethetett
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy címke nélküli mutatófeloldási hibát.
CVE-2022-32785: Yiğit Can YILMAZ (@yilmazcanyigit)
Intel Graphics Driver
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2022-32812: Yinyi Wu (@3ndy1, ABC Research s.r.o.)
Intel Graphics Driver
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb zárolás révén elhárítottunk egy memóriasérülési biztonsági rést.
CVE-2022-32811: ABC Research s.r.o
Kernel
A következőhöz érhető el: macOS Big Sur
Érintett terület: A gyökérszintű jogosultsággal rendelkező alkalmazások tetszőleges kódvégrehajtást tudtak előidézni kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2022-32815: Xinru Chi (Pangu Lab)
CVE-2022-32813: Xinru Chi (Pangu Lab)
LaunchServices
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egy alkalmazás potenciálisan meg tudott kerülni bizonyos adatvédelmi beállításokat
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2021-30946: @gorelics és Ron Masas (BreakPoint.sh)
libxml2
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói információkat kiszivárogtatni
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriainicializálási hibát.
CVE-2022-32823
Multi-Touch
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)
Multi-Touch
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy típustévesztési hibát.
CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)
PackageKit
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit
Leírás: A validálás továbbfejlesztésével megoldottunk egy, a környezeti változók kezelésével kapcsolatos hibát.
CVE-2022-32786: Mickey Jin (@patch1t)
PackageKit
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2022-32800: Mickey Jin (@patch1t)
PluginKit
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egyes alkalmazások képesek voltak eltérő fájlokat is olvasni
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2022-32838: Mickey Jin (@patch1t; Trend Micro)
PS Normalizer
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az ártó szándékkal létrehozott Postscript-fájlok feldolgozása váratlan leálláshoz vagy a folyamatmemória tartalmának felfedéséhez vezethetett
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.
CVE-2022-32843: Kai Lu (Zscaler's ThreatLabz)
Software Update
A következőhöz érhető el: macOS Big Sur
Érintett terület: A magas hálózati jogosultságú felhasználók nyomon tudták követni a felhasználói tevékenységeket
Leírás: Az információk hálózati továbbítása során HTTPS használatával megoldottuk a problémát.
CVE-2022-32857: Jeffrey Paul (sneak.berlin)
Spindump
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egyes alkalmazások képesek voltak eltérő fájlokat is felülírni
Leírás: Hatékonyabb fájlkezeléssel hárítottuk el a problémát.
CVE-2022-32807: Zhipeng Huo (@R3dF09; Tencent Security Xuanwu Lab)
Spotlight
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.
Leírás: Érvényesítési hiba a szimbolikus hivatkozások kezelési módjában, amelyet a szimbolikus hivatkozások érvényesítésének továbbfejlesztésével küszöböltünk ki.
CVE-2022-26704: Joshua Mason (Mandiant)
TCC
A következőhöz érhető el: macOS Big Sur
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói információkhoz hozzáférni
Leírás: A sandbox továbbfejlesztésével kiküszöböltük a hozzáféréssel kapcsolatos problémát.
CVE-2022-32834: Xuxiang Yang (@another1024, Tencent Security Xuanwu Lab, xlab.tencent.com), Yuebin Sun (@yuebinsun2020, Tencent Security Xuanwu Lab, xlab.tencent.com), Zhipeng Huo (@R3dF09, Tencent Security Xuanwu Lab, xlab.tencent.com)
Vim
A következőhöz érhető el: macOS Big Sur
Érintett terület: A Vimmel kapcsolatos többféle probléma.
Leírás: Több problémát elhárítottunk a Vim frissítésével.
CVE-2022-0156
CVE-2022-0158
Wi-Fi
A következőhöz érhető el: macOS Big Sur
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.
CVE-2022-32860: Wang Yu (Cyberserval)
Wi-Fi
A következőhöz érhető el: macOS Big Sur
Érintett terület: A távoli felhasználók váratlan rendszerleállást tudtak előidézni, illetve sérülést tudtak okozni a kernelmemóriában
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2022-32847: Wang Yu (Cyberserval)
Windows Server
A következőhöz érhető el: macOS Big Sur
Érintett terület: Előfordult, hogy az alkalmazások rögzíteni tudták a felhasználó képernyőjét
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.
CVE-2022-32848: Jeremy Legendre (MacEnhance)
További köszönetnyilvánítás
Calendar
Szeretnénk megköszönni Joshua Jones segítségét.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.