A macOS Big Sur 11.6.6 biztonsági változásjegyzéke

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Kiadás dátuma: 2022. május 16.

apache

A következőhöz érhető el: macOS Big Sur

Érintett terület: Az Apache több biztonsági rése.

Leírás: Több hibát elhárítottunk az apache 2.4.53-as verziójára való frissítéssel.

CVE-2021-44224

CVE-2021-44790

CVE-2022-22719

CVE-2022-22720

CVE-2022-22721

AppKit

A következőhöz érhető el: macOS Big Sur

Érintett terület: A rosszindulatú alkalmazások gyökérszintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.

CVE-2022-22665: Lockheed Martin Red Team

AppleAVD

A következőhöz érhető el: macOS Big Sur

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani. Az Apple tud egy jelentésről, mely szerint lehet, hogy ezt a problémát aktívan kihasználták.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2022-22675: egy anonim kutató

AppleEvents

A következőhöz érhető el: macOS Big Sur

Érintett terület: A távoli támadók váratlan appleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2022-22630: Jeremy Brown, a Trend Micro Zero Day Initiative közreműködőjeként

Bejegyzés hozzáadva: 2023. június 8.

AppleGraphicsControl

A következőhöz érhető el: macOS Big Sur

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2022-26751: Michael DePlante (@izobashi; Trend Micro Zero Day Initiative)

AppleScript

A következőhöz érhető el: macOS Big Sur

Érintett terület: Az ártó szándékkal létrehozott AppleScript bináris fájlok feldolgozása váratlan alkalmazásleálláshoz vagy a folyamatmemória tartalmának felfedéséhez vezethetett.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2022-26698: Qi Sun (Trend Micro), Ye Zhang (@co0py_Cat, Baidu Security)

Bejegyzés frissítve 2022. július 6.

AppleScript

A következőhöz érhető el: macOS Big Sur

Érintett terület: Az ártó szándékkal létrehozott AppleScript bináris fájlok feldolgozása váratlan alkalmazásleálláshoz vagy a folyamatmemória tartalmának felfedéséhez vezethetett.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2022-26697: Qi Sun és Robert Ai, Trend Micro

CoreTypes

A következőhöz érhető el: macOS Big Sur

Érintett terület: A rosszindulatú alkalmazások meg tudták kerülni a Gatekeeper ellenőrzéseit.

Leírás: Úgy hárítottuk el a problémát, hogy hatékonyabb ellenőrzéseket vezettünk be a jogosulatlan műveletek megakadályozására.

CVE-2022-22663: Arsenii Kostromin (0x3c3e)

CVMS

A következőhöz érhető el: macOS Big Sur

Érintett terület: A rosszindulatú alkalmazások gyökérszintű jogosultságokat tudtak szerezni.

Leírás: Elhárítottunk egy memóriainicializálási problémát.

CVE-2022-26721: Yonghwi Jin (@jinmo123; Theori)

CVE-2022-26722: Yonghwi Jin (@jinmo123; Theori)

DriverKit

A következőhöz érhető el: macOS Big Sur

Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2022-26763: Linus Henze, Pinauten GmbH (pinauten.de)

Graphics Drivers

A következőhöz érhető el: macOS Big Sur

Érintett terület: Előfordult, hogy a helyi felhasználók olvasni tudták a kernelmemóriát.

Leírás: Egy határértéken kívüli olvasási hiba miatt felfedhető volt a kernelmemória tartalma. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.

CVE-2022-22674: egy anonim kutató

Intel Graphics Driver

A következőhöz érhető el: macOS Big Sur

Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2022-26720: Liu Long (Ant Security Light-Year Lab)

Intel Graphics Driver

A következőhöz érhető el: macOS Big Sur

Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb bemenet-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2022-26770: Liu Long (Ant Security Light-Year Lab)

Intel Graphics Driver

A következőhöz érhető el: macOS Big Sur

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.

CVE-2022-26756: Jack Dates, RET2 Systems, Inc

Intel Graphics Driver

A következőhöz érhető el: macOS Big Sur

Érintett terület: A rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2022-26769: Antonio Zekic (@antoniozekic)

Intel Graphics Driver

A következőhöz érhető el: macOS Big Sur

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb bemenet-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.

CVE-2022-26748: Jeonghoon Shin (Theori) együttműködve a Trend Micro Zero Day Initiative-vel

IOMobileFrameBuffer

A következőhöz érhető el: macOS Big Sur

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2022-26768: egy anonim kutató

Kernel

A következőhöz érhető el: macOS Big Sur

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14, STAR Labs; @starlabs_sg)

Kernel

A következőhöz érhető el: macOS Big Sur

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2022-26757: Ned Williamson, Google Project Zero

LaunchServices

A következőhöz érhető el: macOS Big Sur

Érintett terület: Egy alkalmazás potenciálisan meg tudott kerülni bizonyos adatvédelmi beállításokat

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2021-30946: @gorelics és Ron Masas (BreakPoint.sh)

Bejegyzés hozzáadva: 2023. június 8.

LaunchServices

A következőhöz érhető el: macOS Big Sur

Érintett terület: A rosszindulatú alkalmazások meg tudták kerülni az adatvédelmi beállításokat.

Leírás: További engedély-ellenőrzési lépésekkel küszöböltük ki a problémát.

CVE-2022-26767: Wojciech Reguła (@_r3ggi), SecuRing

LaunchServices

A következőhöz érhető el: macOS Big Sur

Érintett terület: A sandboxban lévő folyamatok meg tudták kerülni a sandbox-korlátozásokat.

Leírás: Elhárítottunk egy hozzáféréssel összefüggő problémát azáltal, hogy további sandbox-korlátozásokat vezettünk be a külső fejlesztésű alkalmazások esetén.

CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or (Microsoft)

Bejegyzés frissítve 2022. július 6.

Libinfo

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2022-32882: Zhipeng Huo (@R3dF09) és Yuebin Sun (@yuebinsun2020, Tencent Security Xuanwu Lab)

Bejegyzés hozzáadva: 2022. szeptember 16.

libresolv

A következőhöz érhető el: macOS Big Sur

Érintett terület: A távoli támadó szolgáltatásmegtagadást tudott előidézni.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2022-32790: Max Shavrick (@_mxms, Google Security Team)

Bejegyzés hozzáadva: 2022. június 21.

libresolv

A következőhöz érhető el: macOS Big Sur

Érintett terület: A támadó bizonyos esetekben képes volt váratlanul leállítani az alkalmazásokat, valamint tetszőleges programkódot végrehajtani

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2022-26776: Zubair Ashraf, Crowdstrike, Max Shavrick (@_mxms), Google Security Team

LibreSSL

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott tanúsítványok feldolgozásakor szolgáltatásmegtagadás lépett fel

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy szolgáltatásmegtagadási hibát.

CVE-2022-0778

libxml2

A következőhöz érhető el: macOS Big Sur

Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2022-23308

OpenSSL

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Az ártó szándékkal létrehozott tanúsítványok feldolgozása szolgáltatásmegtagadást idézhetett elő.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2022-0778

PackageKit

A következőhöz érhető el: macOS Big Sur

Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2022-32794: Mickey Jin (@patch1t)

Bejegyzés hozzáadva: 2022. október 4.

PackageKit

A következőhöz érhető el: macOS Big Sur

Érintett terület: A rosszindulatú alkalmazások módosítani tudták a fájlrendszer védett részeit.

Leírás: A sebezhető kód eltávolításával hárítottuk el a problémát.

CVE-2022-26712: Mickey Jin (@patch1t)

Printing

A következőhöz érhető el: macOS Big Sur

Érintett terület: A rosszindulatú alkalmazások meg tudták kerülni az adatvédelmi beállításokat.

Leírás: A sebezhető kód eltávolításával hárítottuk el a problémát.

CVE-2022-26746: @gorelics

Safari Private Browsing

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A rosszindulatú webhelyek nyomon tudták követni a felhasználókat a Safari privát böngészési módjában.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2022-26731: egy anonim kutató

Bejegyzés hozzáadva 2022. július 6.

Security

A következőhöz érhető el: macOS Big Sur

Érintett terület: A rosszindulatú alkalmazások bizonyos esetekben képesek voltak megkerülni az aláírás-ellenőrzést

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy tanúsítványelemzési problémát.

CVE-2022-26766: Linus Henze (Pinauten GmbH; pinauten.de)

SMB

A következőhöz érhető el: macOS Big Sur

Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb bemenet-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2022-26718: Peter Nguyễn Vũ Hoàng (STAR Labs)

SMB

A következőhöz érhető el: macOS Big Sur

Érintett terület: Az ártó szándékkal létrehozott Samba hálózati megosztások tetszőleges programkód végrehajtására adtak lehetőséget.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2022-26723: Felix Poulin-Belanger

SMB

A következőhöz érhető el: macOS Big Sur

Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2022-26715: Peter Nguyễn Vũ Hoàng, STAR Labs

SoftwareUpdate

A következőhöz érhető el: macOS Big Sur

Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások hozzá tudtak férni korlátozott fájlokhoz.

Leírás: A jogosultságok megadásának javításával hárítottuk el a problémát.

CVE-2022-26728: Mickey Jin (@patch1t)

TCC

A következőhöz érhető el: macOS Big Sur

Érintett terület: Egyes alkalmazások képesek voltak rögzíteni a felhasználó képernyőjén látottakat

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2022-26726: Antonio Cheong Yu Xuan (YCISCQ)

Bejegyzés frissítve: 2023. június 8.

Tcl

A következőhöz érhető el: macOS Big Sur

Érintett terület: A rosszindulatú alkalmazások adott esetben ki tudtak törni a sandboxból.

Leírás: A környezeti tisztítás továbbfejlesztésével elhárítottuk a problémát.

CVE-2022-26755: Arsenii Kostromin (0x3c3e)

Vim

A következőhöz érhető el: macOS Big Sur

Érintett terület: A Vimmel kapcsolatos többféle probléma.

Leírás: Több problémát elhárítottunk a Vim frissítésével.

CVE-2021-4136

CVE-2021-4166

CVE-2021-4173

CVE-2021-4187

CVE-2021-4192

CVE-2021-4193

CVE-2021-46059

CVE-2022-0128

WebKit

A következőhöz érhető el: macOS Big Sur

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott levelek feldolgozásakor tetszőleges javascript futtatására került sor.

Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.

CVE-2022-22589: Heige (KnownSec 404 Team, knownsec.com) és Bo Qu (Palo Alto Networks, paloaltonetworks.com)

Wi-Fi

A következőhöz érhető el: macOS Big Sur

Érintett terület: A rosszindulatú alkalmazások fel tudtak fedni korlátozott memóriát.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2022-26745: Scarlet Raine

Bejegyzés frissítve 2022. július 6.

Wi-Fi

A következőhöz érhető el: macOS Big Sur

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2022-26761: Wang Yu, Cyberserval

zip

A következőhöz érhető el: macOS Big Sur

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor szolgáltatásmegtagadás lépett fel

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy szolgáltatásmegtagadási hibát.

CVE-2022-0530

zlib

A következőhöz érhető el: macOS Big Sur

Érintett terület: A támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-25032: Tavis Ormandy

zsh

A következőhöz érhető el: macOS Big Sur

Érintett terület: A távoli támadók elő tudták idézni egy tetszőleges kód végrehajtását.

Leírás: A zsh 5.8.1-es verziójára való frissítéssel hárítottuk el a problémát.

CVE-2021-45444

Bluetooth

Köszönjük Jann Horn (Project Zero) segítségét.