Mengenai konten keamanan macOS Big Sur 11.6.6
Dokumen ini menjelaskan konten keamanan macOS Big Sur 11.6.6.
Mengenai pembaruan keamanan Apple
Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.
Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.
Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.
macOS Big Sur 11.6.6
Dirilis pada 16 Mei 2022
apache
Tersedia untuk: macOS Big Sur
Dampak: Beberapa masalah di Apache
Deskripsi: Beberapa masalah telah diatasi dengan memperbarui apache ke versi 2.4.53.
CVE-2021-44224
CVE-2021-44790
CVE-2022-22719
CVE-2022-22720
CVE-2022-22721
AppKit
Tersedia untuk: macOS Big Sur
Dampak: Aplikasi perusak yang berbahaya dapat memperoleh hak istimewa dasar
Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.
CVE-2022-22665: Lockheed Martin Red Team
AppleAVD
Tersedia untuk: macOS Big Sur
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel. Apple mengetahui adanya laporan bahwa masalah ini mungkin telah dieksploitasi secara aktif.
Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2022-22675: peneliti anonim
AppleEvents
Tersedia untuk: macOS Big Sur
Dampak: Penyerang jarak jauh mungkin dapat menyebabkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan manajemen memori yang ditingkatkan.
CVE-2022-22630: Jeremy Brown bekerja sama dengan Zero Day Initiative dari Trend Micro
Entri ditambahkan pada 8 Juni 2023
AppleGraphicsControl
Tersedia untuk: macOS Big Sur
Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.
CVE-2022-26751: Michael DePlante (@izobashi) dari Zero Day Initiative dari Trend Micro
AppleScript
Tersedia untuk: macOS Big Sur
Dampak: Memproses biner AppleScript perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau pengungkapan memori proses
Deskripsi: Masalah pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2022-26698: Qi Sun dari Trend Micro, Ye Zhang (@co0py_Cat) dari Baidu Security
Entri diperbarui pada 6 Juli 2022
AppleScript
Tersedia untuk: macOS Big Sur
Dampak: Memproses biner perusak AppleScript berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau pengungkapan memori proses
Deskripsi: Masalah pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2022-26697: Qi Sun dan Robert Ai dari Trend Micro
CoreTypes
Tersedia untuk: macOS Big Sur
Dampak: Aplikasi berbahaya dapat melewati pemeriksaan Gatekeeper
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan untuk mencegah tindakan tidak sah.
CVE-2022-22663: Arsenii Kostromin (0x3c3e)
CVMS
Tersedia untuk: macOS Big Sur
Dampak: Aplikasi perusak yang berbahaya dapat memperoleh hak istimewa dasar
Deskripsi: Masalah inisialisasi memori telah diatasi.
CVE-2022-26721: Yonghwi Jin (@jinmo123) dari Theori
CVE-2022-26722: Yonghwi Jin (@jinmo123) dari Theori
DriverKit
Tersedia untuk: macOS Big Sur
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah akses di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2022-26763: Linus Henze dari Pinauten GmbH (pinauten.de)
Graphics Drivers
Tersedia untuk: macOS Big Sur
Dampak: Pengguna lokal dapat membaca memori kernel
Deskripsi: Terjadi masalah pembacaan di luar batas yang mengakibatkan pengungkapan memori kernel. Masalah ini telah diatasi dengan validasi input yang ditingkatkan.
CVE-2022-22674: peneliti anonim
Intel Graphics Driver
Tersedia untuk: macOS Big Sur
Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2022-26720: Liu Long dari Ant Security Light-Year Lab
Intel Graphics Driver
Tersedia untuk: macOS Big Sur
Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2022-26770: Liu Long dari Ant Security Light-Year Lab
Intel Graphics Driver
Tersedia untuk: macOS Big Sur
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah penulisan di luar batas telah diatasi dengan validasi input yang ditingkatkan.
CVE-2022-26756: Jack Dates dari RET2 Systems, Inc
Intel Graphics Driver
Tersedia untuk: macOS Big Sur
Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.
CVE-2022-26769: Antonio Zekic (@antoniozekic)
Intel Graphics Driver
Tersedia untuk: macOS Big Sur
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah penulisan di luar batas telah diatasi dengan validasi input yang ditingkatkan.
CVE-2022-26748: Jeonghoon Shin dari Theori bekerja sama dengan Zero Day Initiative dari Trend Micro
IOMobileFrameBuffer
Tersedia untuk: macOS Big Sur
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan pengelolaan status yang ditingkatkan.
CVE-2022-26768: peneliti anonim
Kernel
Tersedia untuk: macOS Big Sur
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi yang ditingkatkan.
CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) dari STAR Labs (@starlabs_sg)
Kernel
Tersedia untuk: macOS Big Sur
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.
CVE-2022-26757: Ned Williamson dari Google Project Zero
LaunchServices
Tersedia untuk: macOS Big Sur
Dampak: App mungkin dapat melewatkan preferensi Privasi tertentu
Deskripsi: Masalah logika telah diatasi dengan pembatasan yang ditingkatkan.
CVE-2021-30946: @gorelics, dan Ron Masas dari BreakPoint.sh
Entri ditambahkan pada 8 Juni 2023
LaunchServices
Tersedia untuk: macOS Big Sur
Dampak: Aplikasi berbahaya mungkin dapat melewati preferensi Privasi
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan izin tambahan.
CVE-2022-26767: Wojciech Reguła (@_r3ggi) dari SecuRing
LaunchServices
Tersedia untuk: macOS Big Sur
Dampak: Proses yang melewati sandbox dapat menggagalkan pembatasan sandbox
Deskripsi: Masalah akses telah diatasi dengan pembatasan sandbox tambahan pada app pihak ketiga.
CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or dari Microsoft
Entri diperbarui pada 6 Juli 2022
Libinfo
Tersedia untuk: macOS Big Sur
Dampak: App mungkin dapat melewatkan preferensi Privasi
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2022-32882: Zhipeng Huo (@R3dF09) dan Yuebin Sun (@yuebinsun2020) dari Tencent Security Xuanwu Lab
Entri ditambahkan pada 16 September 2022
libresolv
Tersedia untuk: macOS Big Sur
Dampak: Pengguna dari jarak jauh dapat menyebabkan penolakan layanan
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2022-32790: Max Shavrick (@_mxms) dari Google Security Team
Entri ditambahkan pada 21 Juni 2022
libresolv
Tersedia untuk: macOS Big Sur
Dampak: Penyerang dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2022-26776: Zubair Ashraf dari Crowdstrike, Max Shavrick (@_mxms) dari Google Security Team
LibreSSL
Tersedia untuk: macOS Big Sur
Dampak: Memproses sertifikat perusak yang berbahaya dapat mengakibatkan penolakan layanan
Deskripsi: Masalah penolakan layanan telah diatasi dengan validasi input yang ditingkatkan.
CVE-2022-0778
libxml2
Tersedia untuk: macOS Big Sur
Dampak: Penyerang jarak jauh dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.
CVE-2022-23308
OpenSSL
Tersedia untuk: macOS Big Sur
Dampak: Memproses sertifikat perusak berbahaya dapat mengakibatkan penolakan layanan
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2022-0778
PackageKit
Tersedia untuk: macOS Big Sur
Dampak: App mungkin dapat memperoleh hak istimewa yang lebih tinggi
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2022-32794: Mickey Jin (@patch1t)
Entri ditambahkan pada 4 Oktober 2022
PackageKit
Tersedia untuk: macOS Big Sur
Dampak: Aplikasi berbahaya mungkin dapat memodifikasi bagian sistem file yang dilindungi
Deskripsi: Masalah ini telah diatasi dengan menghapus kode yang rentan.
CVE-2022-26712: Mickey Jin (@patch1t)
Printing
Tersedia untuk: macOS Big Sur
Dampak: Aplikasi berbahaya mungkin dapat melewati preferensi Privasi
Deskripsi: Masalah ini telah diatasi dengan menghapus kode yang rentan.
CVE-2022-26746: @gorelics
Safari Private Browsing
Tersedia untuk: macOS Big Sur
Dampak: Situs web berbahaya dapat melacak pengguna dalam mode penelusuran pribadi Safari
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2022-26731: peneliti anonim
Entri ditambahkan pada 6 Juli 2022
Security
Tersedia untuk: macOS Big Sur
Dampak: App berbahaya dapat mengabaikan validasi tanda tangan
Deskripsi: Masalah penguraian sertifikat telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2022-26766: Linus Henze dari Pinauten GmbH (pinauten.de)
SMB
Tersedia untuk: macOS Big Sur
Dampak: Aplikasi dapat memperoleh hak istimewa yang lebih tinggi
Deskripsi: Masalah pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2022-26718: Peter Nguyễn Vũ Hoàng dari STAR Labs
SMB
Tersedia untuk: macOS Big Sur
Dampak: Memasang pembagian jaringan Samba perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.
CVE-2022-26723: Felix Poulin-Belanger
SMB
Tersedia untuk: macOS Big Sur
Dampak: Aplikasi dapat memperoleh hak istimewa yang lebih tinggi
Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2022-26715: Peter Nguyễn Vũ Hoàng dari STAR Labs
SoftwareUpdate
Tersedia untuk: macOS Big Sur
Dampak: Aplikasi berbahaya mungkin dapat mengakses file yang dibatasi
Deskripsi: Masalah ini telah diatasi dengan penetapan hak yang ditingkatkan.
CVE-2022-26728: Mickey Jin (@patch1t)
TCC
Tersedia untuk: macOS Big Sur
Dampak: App dapat mengambil tangkapan layar pengguna
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2022-26726: Antonio Cheong Yu Xuan dari YCISCQ
Entri diperbarui pada 8 Juni 2023
Tcl
Tersedia untuk: macOS Big Sur
Dampak: Aplikasi berbahaya mungkin dapat keluar dari sandbox
Deskripsi: Masalah ini telah diatasi dengan sanitasi lingkungan yang ditingkatkan.
CVE-2022-26755: Arsenii Kostromin (0x3c3e)
Vim
Tersedia untuk: macOS Big Sur
Dampak: Beberapa masalah di Vim
Deskripsi: Beberapa masalah telah diatasi dengan memperbarui Vim.
CVE-2021-4136
CVE-2021-4166
CVE-2021-4173
CVE-2021-4187
CVE-2021-4192
CVE-2021-4193
CVE-2021-46059
CVE-2022-0128
WebKit
Tersedia untuk: macOS Big Sur
Dampak: Memproses pesan mail perusak yang berbahaya dapat mengakibatkan javascript arbitrer dijalankan
Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang ditingkatkan.
CVE-2022-22589: Heige dari KnownSec 404 Team (knownsec.com) dan Bo Qu dari Palo Alto Networks (paloaltonetworks.com)
Wi-Fi
Tersedia untuk: macOS Big Sur
Dampak: Aplikasi berbahaya mungkin dapat mengungkap memori yang dibatasi
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi yang ditingkatkan.
CVE-2022-26745: Scarlet Raine
Entri diperbarui pada 6 Juli 2022
Wi-Fi
Tersedia untuk: macOS Big Sur
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2022-26761: Wang Yu dari Cyberserval
zip
Tersedia untuk: macOS Big Sur
Dampak: Memproses file perusak berbahaya dapat mengakibatkan penolakan layanan
Deskripsi: Masalah penolakan layanan telah diatasi dengan penanganan status yang ditingkatkan.
CVE-2022-0530
zlib
Tersedia untuk: macOS Big Sur
Dampak: Penyerang mungkin dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.
CVE-2018-25032: Tavis Ormandy
zsh
Tersedia untuk: macOS Big Sur
Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah ini telah diatasi dengan memperbarui ke zsh versi 5.8.1.
CVE-2021-45444
Ucapan terima kasih tambahan
Bluetooth
Kami ingin berterima kasih kepada Jann Horn dari Project Zero atas bantuannya.
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.