A macOS Big Sur 11.7 biztonsági változásjegyzéke

Ez a dokumentum a macOS Big Sur 11.7 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

macOS Big Sur 11.7

Kiadás dátuma: 2022. szeptember 12.

AppleMobileFileIntegrity

A következőhöz érhető el: macOS Big Sur

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy kódaláírások hitelesítésével kapcsolatos problémát.

CVE-2022-42789: Koh M. Nakagawa (FFRI Security, Inc.)

Bejegyzés hozzáadva: 2022. október 27.

ATS

A következőhöz érhető el: macOS Big Sur

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: További sandbox-korlátozásokkal elhárítottunk egy hozzáféréssel összefüggő problémát.

CVE-2022-32904: Mickey Jin (@patch1t)

Bejegyzés hozzáadva: 2022. október 27.

ATS

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2022-32902: Mickey Jin (@patch1t)

Calendar

A következőhöz érhető el: macOS Big Sur

Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat.

Leírás: Hatékonyabb hozzáférés-korlátozással hárítottunk el egy hozzáférési problémát.

CVE-2022-42819: anonim kutató

Bejegyzés hozzáadva: 2022. október 27.

Contacts

A következőhöz érhető el: macOS Big Sur.

Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2022-32854: Holger Fuhrmannek (Deutsche Telekom Security)

GarageBand

A következőhöz érhető el: macOS Big Sur

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: További korlátozásokkal elhárítottunk egy konfigurációs hibát.

CVE-2022-32877: Wojciech Reguła (@_r3ggi, SecuRing)

Bejegyzés hozzáadva: 2022. október 27.

ImageIO

A következőhöz érhető el: macOS Big Sur

Érintett terület: A képek feldolgozása szolgáltatásmegtagadáshoz vezethetett

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy szolgáltatásmegtagadási hibát.

CVE-2022-1622

Bejegyzés hozzáadva: 2022. október 27.

Image Processing

A következőhöz érhető el: macOS Big Sur

Érintett terület: A sandboxban lévő appok meg tudták határozni, hogy éppen melyik app használja a kamerát.

Leírás: Az appállapotok megfigyelhetőségének további korlátozásával hárítottuk el a problémát.

CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)

Bejegyzés hozzáadva: 2022. október 27.

iMovie

A következőhöz érhető el: macOS Big Sur

Érintett terület: A felhasználók bizonyos esetben hozzá tudtak férni a bizalmas jellegű felhasználói információkhoz.

Leírás: Megerősített futtatási idővel hárítottuk el a problémát.

CVE-2022-32896: Wojciech Reguła (@_r3ggi)

Kernel

A következőhöz érhető el: macOS Big Sur

Érintett terület: A rosszindulatú NFS-szerverekhez való csatlakozás tetszőleges programkód végrehajtását eredményezhette kerneljogosultságokkal.

Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.

CVE-2022-46701: Felix Poulin-Belanger

Bejegyzés hozzáadva 2023. május 11-én.

Kernel

A következőhöz érhető el: macOS Big Sur

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2022-32914: Zweig (Kunlun Lab)

Bejegyzés hozzáadva: 2022. október 27.

Kernel

A következőhöz érhető el: macOS Big Sur

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2022-32866: Linus Henze (Pinauten GmbH; pinauten.de)

CVE-2022-32911: Zweig (Kunlun Lab)

CVE-2022-32924: Ian Beer (Google Project Zero)

Bejegyzés frissítve: 2022. október 27.

Kernel

A következőhöz érhető el: macOS Big Sur

Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2022-32864: Linus Henze (Pinauten GmbH, pinauten.de)

Kernel

A következőhöz érhető el: macOS Big Sur

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani. Az Apple tud egy jelentésről, mely szerint lehet, hogy ezt a problémát aktívan kihasználták.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2022-32894: anonim kutató

Kernel

A következőhöz érhető el: macOS Big Sur

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani. Az Apple tud egy jelentésről, mely szerint lehet, hogy ezt a problémát aktívan kihasználták.

Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.

CVE-2022-32917: anonim kutató

Maps

A következőhöz érhető el: macOS Big Sur

Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2022-32883: Ron Masas (breakpointhq.com)

Bejegyzés frissítve: 2022. október 27.

MediaLibrary

A következőhöz érhető el: macOS Big Sur

Érintett terület: A felhasználók magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2022-32908: anonim kutató

ncurses

A következőhöz érhető el: macOS Big Sur

Érintett terület: A felhasználók váratlan appleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2021-39537

Bejegyzés hozzáadva: 2022. október 27.

PackageKit

A következőhöz érhető el: macOS Big Sur

Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2022-32900: Mickey Jin (@patch1t)

Sandbox

A következőhöz érhető el: macOS Big Sur

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2022-32881: Fitzl Csaba (@theevilbit; Offensive Security)

Bejegyzés hozzáadva: 2022. október 27.

Security

A következőhöz érhető el: macOS Big Sur

Érintett terület: Az appok meg tudták kerülni a kódaláírási ellenőrzéseket.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy kódaláírások hitelesítésével kapcsolatos problémát.

CVE-2022-42793: Linus Henze (Pinauten GmbH; pinauten.de)

Bejegyzés hozzáadva: 2022. október 27.

Sidecar

A következőhöz érhető el: macOS Big Sur.

Érintett terület: A felhasználók bizonyos esetekben a zárolt képernyőn is meg tudták tekinteni a korlátozott tartalmakat.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2022-42790: Om kothawade (Zaprico Digital)

Bejegyzés hozzáadva: 2022. október 27.

SMB

A következőhöz érhető el: macOS Big Sur

Érintett terület: A távoli felhasználók elő tudták idézni egy kernelkód végrehajtását

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2022-32934: Felix Poulin-Belanger

Bejegyzés hozzáadva: 2022. október 27.

Vim

A következőhöz érhető el: macOS Big Sur

Érintett terület: Az ártó szándékkal létrehozott fájlok szolgáltatásmegtagadást tudtak előidézni, illetve fel tudták fedni a memória tartalmát.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2022-1720

CVE-2022-2000

CVE-2022-2042

CVE-2022-2124

CVE-2022-2125

CVE-2022-2126

Bejegyzés hozzáadva: 2022. október 27.

Weather

A következőhöz érhető el: macOS Big Sur

Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2022-32875: anonim kutató

Bejegyzés hozzáadva: 2022. október 27.

WebKit

A következőhöz érhető el: macOS Big Sur

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)

Bejegyzés hozzáadva: 2022. október 27.

További köszönetnyilvánítás

apache

Köszönjük Tricia Lee (Enterprise Service Center) segítségét.

Bejegyzés hozzáadva 2023. május 11-én.

Identity Services

Szeretnénk megköszönni Joshua Jones segítségét.

 

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: