macOS Big Sur 11.6.8 のセキュリティコンテンツについて

macOS Big Sur 11.6.8 のセキュリティコンテンツについて説明します。

Apple セキュリティアップデートについて

Apple では、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最近のリリースについては、「Apple セキュリティアップデート」ページに一覧形式でまとめています。

Apple のセキュリティ関連の文書では、可能な場合、脆弱性の CVE-ID に言及しています。

セキュリティについて詳しくは、Apple 製品のセキュリティに関するページを参照してください。

macOS Big Sur 11.6.8

2022 年 7 月 20 日リリース

APFS

対象 OS:macOS Big Sur

影響:ルート権限を持つ App が、カーネル権限で任意のコードを実行できる可能性がある。

説明:メモリ処理を改善することで、この問題に対処しました。

CVE-2022-32832:Tommy Muir 氏 (@Muirey03)

AppleMobileFileIntegrity

対象 OS:macOS Big Sur

影響:App がルート権限を取得できる可能性がある。

説明:ステート管理を改善し、認証の脆弱性に対処しました。

CVE-2022-32826:Trend Micro の Mickey Jin 氏 (@patch1t)

AppleScript

対象 OS:macOS Big Sur

影響:悪意を持って作成された AppleScript バイナリを処理すると、予期せず終了したり、プロセスメモリが漏洩したりする可能性がある。

説明:この問題は、チェックを強化することで解決されました。

CVE-2022-32797:Mickey Jin 氏 (@patch1t)、Baidu Security の Ye Zhang 氏 (@co0py_Cat)、Trend Micro の Mickey Jin 氏 (@patch1t)

AppleScript

対象 OS:macOS Big Sur

影響:悪意を持って作成された AppleScript バイナリを処理すると、予期せず終了したり、プロセスメモリが漏洩したりする可能性がある。

説明:入力検証を強化して、領域外読み込みの脆弱性に対処しました。

CVE-2022-32853:Baidu Security の Ye Zhang 氏 (@co0py_Cat)

CVE-2022-32851:Baidu Security の Ye Zhang 氏 (@co0py_Cat)

AppleScript

対象 OS:macOS Big Sur

影響:悪意を持って作成された AppleScript バイナリを処理すると、予期せず終了したり、プロセスメモリが漏洩したりする可能性がある。

説明:配列境界チェック機能を改善することで、領域外読み込みの脆弱性に対処しました。

CVE-2022-32831:Baidu Security の Ye Zhang 氏 (@co0py_Cat)

Archive Utility

対象 OS:macOS Big Sur

影響:アーカイブが Gatekeeper を回避できる可能性がある。

説明:チェックを強化し、ロジックの脆弱性に対処しました。

CVE-2022-32910:Jamf Software の Ferdous Saljooki 氏 (@malwarezoo)

2022 年 10 月 4 日に追加

Audio

対象 OS:macOS Big Sur

影響:App がカーネルメモリを漏洩させる可能性がある。

説明:メモリ処理を改善することで、この問題に対処しました。

CVE-2022-32825:John Aakerblom 氏 (@jaakerblom)

Audio

対象 OS:macOS Big Sur

影響:App がカーネル権限で任意のコードを実行できる可能性がある。

説明:入力検証を強化することで、領域外書き込みの脆弱性に対処しました。

CVE-2022-32820:匿名の研究者

Calendar

対象 OS:macOS Big Sur

影響:App が重要なユーザ情報にアクセスできる可能性がある。

説明:キャッシュの処理を改善することで、この問題に対処しました。

CVE-2022-32805:Offensive Security の Csaba Fitzl 氏 (@theevilbit)

Calendar

対象 OS:macOS Big Sur

影響:App が重要なユーザデータにアクセスできる可能性がある。

説明:脆弱なコードを削除することで、情報漏洩の脆弱性に対処しました。

CVE-2022-32849:Joshua Jones 氏

CoreText

対象 OS:macOS Big Sur

影響:リモートユーザによって、App が突然終了されたり、任意のコードが実行されたりする可能性がある。

説明:配列境界チェック機能を改善することで、この問題に対処しました。

CVE-2022-32839:STAR Labs (@starlabs_sg)

FaceTime

対象 OS:macOS Big Sur

影響:App にルート権限を取得され、非公開の情報にアクセスされる可能性がある。

説明:Hardened Runtime を有効にして、この問題に対処しました。

CVE-2022-32781:SecuRing の Wojciech Reguła 氏 (@_r3ggi)

File System Events

対象 OS:macOS Big Sur

影響:App がルート権限を取得できる可能性がある。

説明:ステート管理を改善し、ロジックの問題に対処しました。

CVE-2022-32819:Mandiant の Joshua Mason 氏

ICU

対象 OS:macOS Big Sur

影響:悪意を持って作成された Web コンテンツを処理すると、任意のコードを実行される可能性がある。

説明:配列境界チェック機能を改善することで、領域外書き込みの脆弱性に対処しました。

CVE-2022-32787:高麗大学校 (Korea Univ.) SSD Secure Disclosure Labs & DNSLab の Dohyun Lee 氏 (@l33d0hyun)

ImageIO

対象 OS:macOS Big Sur

影響:画像を処理すると、サービス運用妨害を受ける可能性がある。

説明:検証を強化し、ヌルポインタ逆参照に対処しました。

CVE-2022-32785:Yiğit Can YILMAZ 氏 (@yilmazcanyigit)

Intel Graphics Driver

対象 OS:macOS Big Sur

影響:App がカーネル権限で任意のコードを実行できる可能性がある。

説明:メモリ処理を改善することで、この問題に対処しました。

CVE-2022-32812:Yinyi Wu 氏 (@3ndy1)、ABC Research s.r.o.

Intel Graphics Driver

対象 OS:macOS Big Sur

影響:App がカーネル権限で任意のコードを実行できる可能性がある。

説明:ロック処理を強化し、メモリ破損の脆弱性に対処しました。

CVE-2022-32811:ABC Research s.r.o

Kernel

対象 OS:macOS Big Sur

影響:ルート権限を持つ App が、カーネル権限で任意のコードを実行できる可能性がある。

説明:メモリ処理を改善することで、この問題に対処しました。

CVE-2022-32815:Pangu Lab の Xinru Chi 氏

CVE-2022-32813:Pangu Lab の Xinru Chi 氏

LaunchServices

対象 OS:macOS Big Sur

影響:App が一部のプライバシーの環境設定を回避する可能性がある。

説明:制限を強化し、ロジックの脆弱性に対処しました。

CVE-2021-30946:@gorelics 氏、BreakPoint.sh の Ron Masas 氏

2023 年 5 月 11 日に追加

libxml2

対象 OS:macOS Big Sur

影響:App が重要なユーザ情報を漏洩させる可能性がある。

説明:メモリ処理を強化し、メモリ初期化の脆弱性に対処しました。

CVE-2022-32823

Multi-Touch

対象 OS:macOS Big Sur

影響:App がカーネル権限で任意のコードを実行できる可能性がある。

説明:検証を強化し、メモリ破損の脆弱性に対処しました。

CVE-2022-32814:Pan ZhenPeng 氏 (@Peterpan0927)

2022 年 11 月 9 日に追加

Multi-Touch

対象 OS:macOS Big Sur

影響:App がカーネル権限で任意のコードを実行できる可能性がある。

説明:ステート処理を強化し、型の取り違え (type confusion) の脆弱性に対処しました。

CVE-2022-32814:Pan ZhenPeng 氏 (@Peterpan0927)

2022 年 11 月 9 日に追加

PackageKit

対象 OS:macOS Big Sur

影響:ファイルシステムの保護された部分を App に変更されるおそれがある。

説明:環境変数の処理に脆弱性がありましたが、検証を強化して対処しました。

CVE-2022-32786:Mickey Jin 氏 (@patch1t)

PackageKit

対象 OS:macOS Big Sur

影響:ファイルシステムの保護された部分を App に変更されるおそれがある。

説明:この問題は、チェックを強化することで解決されました。

CVE-2022-32800:Mickey Jin 氏 (@patch1t)

PluginKit

対象 OS:macOS Big Sur

影響:App が任意のファイルを読み取れる可能性がある。

説明:ステート管理を改善し、ロジックの問題に対処しました。

CVE-2022-32838:Trend Micro の Mickey Jin 氏 (@patch1t)

PS Normalizer

対象 OS:macOS Big Sur

影響:悪意を持って作成された Postscript ファイルを処理すると、App が予期せず終了したり、プロセスメモリが漏洩したりする可能性がある。

説明:配列境界チェック機能を改善することで、領域外書き込みの脆弱性に対処しました。

CVE-2022-32843:Zscaler の ThreatLabz の Kai Lu 氏

Software Update

対象 OS:macOS Big Sur

影響:ネットワーク上の特権的な地位を利用したユーザに、ユーザのアクティビティを追跡される可能性がある。

説明:ネットワークで情報を送信する際は HTTPS を利用することで、この問題に対処しました。

CVE-2022-32857:Jeffrey Paul 氏 (sneak.berlin)

Spindump

対象 OS:macOS Big Sur

影響:App が任意のファイルに上書きできる可能性がある。

説明:この問題は、ファイルの処理を改善することで解決されました。

CVE-2022-32807:Tencent Security Xuanwu Lab の Zhipeng Huo 氏 (@R3dF09)

Spotlight

対象 OS:macOS Big Sur

影響:App に、昇格した権限を取得される可能性がある。

説明:シンボリックリンクの処理における検証に脆弱性がありましたが、シンボリックの検証を強化して対処しました。

CVE-2022-26704:Mandiant の Joshua Mason 氏

TCC

対象 OS:macOS Big Sur

影響:App が重要なユーザ情報にアクセスできる可能性がある。

説明:サンドボックスを改善して、アクセス関連の脆弱性に対処しました。

CVE-2022-32834:Tencent Security Xuanwu Lab (xlab.tencent.com) の Xuxiang Yang 氏 (@another1024)、Tencent Security Xuanwu Lab (xlab.tencent.com) の Yuebin Sun 氏 (@yuebinsun2020)、Tencent Security Xuanwu Lab (xlab.tencent.com) の Zhipeng Huo 氏 (@R3dF09)

2022 年 9 月 16 日に更新

Vim

対象 OS:macOS Big Sur

影響:Vim に複数の脆弱性がある。

説明:Vim をアップデートして、複数の脆弱性に対処しました。

CVE-2022-0156

CVE-2022-0158

Wi-Fi

対象 OS:macOS Big Sur

影響:App がカーネル権限で任意のコードを実行できる可能性がある。

説明:入力検証を強化することで、領域外書き込みに対処しました。

CVE-2022-32860:Cyberserval の Wang Yu 氏

2022 年 11 月 9 日に追加

Wi-Fi

対象 OS:macOS Big Sur

影響:リモートユーザにシステムを突然終了されたり、カーネルメモリを破損されたりする可能性がある。

説明:この問題は、チェックを強化することで解決されました。

CVE-2022-32847:Cyberserval の Wang Yu 氏

Windows Server

対象 OS:macOS Big Sur

影響:App がユーザの画面をキャプチャできる可能性がある。

説明:チェックを強化し、ロジックの脆弱性に対処しました。

CVE-2022-32848:MacEnhance の Jeremy Legendre 氏

ご協力いただいたその他の方々

Calendar

Joshua Jones 氏のご協力に感謝いたします。

2022 年 11 月 9 日に追加

Apple が製造していない製品に関する情報や、Apple が管理または検証していない個々の Web サイトについては、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選択、性能、使用に関しては一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性についてはいかなる表明もいたしません。詳しくは各メーカーや開発元にお問い合わせください。

公開日: