Over de beveiligingsinhoud van macOS Big Sur 11.6.6

In dit document wordt de beveiligingsinhoud van macOS Big Sur 11.6.6 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

macOS Big Sur 11.6.6

apache

Beschikbaar voor: macOS Big Sur

Impact: meerdere problemen in Apache

Beschrijving: meerdere problemen zijn verholpen door Apache bij te werken naar versie 2.4.53.

CVE-2021-44224

CVE-2021-44790

CVE-2022-22719

CVE-2022-22720

CVE-2022-22721

AppKit

Beschikbaar voor: macOS Big Sur

Impact: een kwaadaardig programma kan rootbevoegdheden verkrijgen

Beschrijving: een logicaprobleem is verholpen door verbeterde validatie.

CVE-2022-22665: Lockheed Martin Red Team

AppleAVD

Beschikbaar voor: macOS Big Sur

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden. Apple is op de hoogte van een melding dat er mogelijk actief misbruik is gemaakt van dit probleem.

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2022-22675: een anonieme onderzoeker

AppleEvents

Beschikbaar voor: macOS Big Sur

Impact: een externe aanvaller kan het onverwacht beëindigen van een app of het uitvoeren van willekeurige code veroorzaken

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2022-22630: Jeremy Brown in samenwerking met Trend Micro Zero Day Initiative

AppleGraphicsControl

Beschikbaar voor: macOS Big Sur

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2022-26751: Michael DePlante (@izobashi) van Trend Micro Zero Day Initiative

AppleScript

Beschikbaar voor: macOS Big Sur

Impact: het verwerken van een kwaadwillig vervaardigd binair AppleScript-bestand kan leiden tot het onverwacht beëindigen van het programma of het vrijgeven van procesgeheugen

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2022-26698: Qi Sun van Trend Micro, Ye Zhang (@co0py_Cat) van Baidu Security

AppleScript

Beschikbaar voor: macOS Big Sur

Impact: het verwerken van een kwaadwillig vervaardigd binair AppleScript-bestand kan leiden tot het onverwacht beëindigen van het programma of het vrijgeven van procesgeheugen

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2022-26697: Qi Sun en Robert Ai van Trend Micro

CoreTypes

Beschikbaar voor: macOS Big Sur

Impact: een kwaadaardig programma kan Gatekeeper-controles omzeilen

Beschrijving: dit probleem is verholpen door middel van verbeterde controles om ongeautoriseerde acties te voorkomen.

CVE-2022-22663: Arsenii Kostromin (0x3c3e)

CVMS

Beschikbaar voor: macOS Big Sur

Impact: een kwaadaardig programma kan rootbevoegdheden verkrijgen

Beschrijving: een probleem met geheugeninitialisatie is verholpen.

CVE-2022-26721: Yonghwi Jin (@jinmo123) van Theori

CVE-2022-26722: Yonghwi Jin (@jinmo123) van Theori

DriverKit

Beschikbaar voor: macOS Big Sur

Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

Beschrijving: een probleem met de toegang buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2022-26763: Linus Henze van Pinauten GmbH (pinauten.de)

Graphics Drivers

Beschikbaar voor: macOS Big Sur

Impact: een lokale gebruiker kan het kernelgeheugen lezen

Beschrijving: er was een probleem met het lezen buiten het bereik dat leidde tot de vrijgave van het kernelgeheugen. Dit probleem is verholpen door een verbeterde invoervalidatie.

CVE-2022-22674: een anonieme onderzoeker

Intel Graphics Driver

Beschikbaar voor: macOS Big Sur

Impact: een kwaadaardig programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2022-26720: Liu Long van Ant Security Light-Year Lab

Intel Graphics Driver

Beschikbaar voor: macOS Big Sur

Impact: een kwaadaardig programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2022-26770: Liu Long van Ant Security Light-Year Lab

Intel Graphics Driver

Beschikbaar voor: macOS Big Sur

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door verbeterde invoervalidatie.

CVE-2022-26756: Jack Dates van RET2 Systems, Inc

Intel Graphics Driver

Beschikbaar voor: macOS Big Sur

Impact: een kwaadaardig programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2022-26769: Antonio Zekic (@antoniozekic)

Intel Graphics Driver

Beschikbaar voor: macOS Big Sur

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2022-26748: Jeonghoon Shin van Theori in samenwerking met Trend Micro Zero Day Initiative

IOMobileFrameBuffer

Beschikbaar voor: macOS Big Sur

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.

CVE-2022-26768: een anonieme onderzoeker

Kernel

Beschikbaar voor: macOS Big Sur

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde validatie.

CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) van STAR Labs (@starlabs_sg)

Kernel

Beschikbaar voor: macOS Big Sur

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2022-26757: Ned Williamson van Google Project Zero

LaunchServices

Beschikbaar voor: macOS Big Sur

Impact: een app kan mogelijk bepaalde privacyvoorkeuren omzeilen

Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.

CVE-2021-30946: @gorelics en Ron Masas van BreakPoint.sh

LaunchServices

Beschikbaar voor: macOS Big Sur

Impact: een kwaadaardig programma kan mogelijk privacyvoorkeuren omzeilen

Beschrijving: het probleem is verholpen door aanvullende machtigingscontroles.

CVE-2022-26767: Wojciech Reguła (@_r3ggi) van SecuRing

LaunchServices

Beschikbaar voor: macOS Big Sur

Impact: een proces in de sandbox kan de sandboxbeperkingen omzeilen

Beschrijving: een toegangsprobleem is verholpen met aanvullende sandboxbeperkingen in programma's van derden.

CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or van Microsoft

Libinfo

Beschikbaar voor: macOS Big Sur

Impact: een app kan mogelijk privacyvoorkeuren omzeilen

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2022-32882: Zhipeng Huo (@R3dF09) en Yuebin Sun (@yuebinsun2020) van Tencent Security Xuanwu Lab

libresolv

Beschikbaar voor: macOS Big Sur

Impact: een externe gebruiker kan een denial-of-service veroorzaken

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2022-32790: Max Shavrick (@_mxms) van het Google Security Team

libresolv

Beschikbaar voor: macOS Big Sur

Impact: een aanvaller kan het onverwacht beëindigen van een programma of het uitvoeren van willekeurige code veroorzaken

Beschrijving: dit probleem is verholpen door verbeterde controles.

CVE-2022-26776: Zubair Ashraf van Crowdstrike, Max Shavrick (@_mxms) van het Google Security Team

LibreSSL

Beschikbaar voor: macOS Big Sur

Impact: het verwerken van een kwaadwillig vervaardigd certificaat kan leiden tot een denial of service

Beschrijving: een probleem met denial of service is verholpen door een verbeterde invoervalidatie.

CVE-2022-0778

libxml2

Beschikbaar voor: macOS Big Sur

Impact: een externe aanvaller kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code veroorzaken

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2022-23308

OpenSSL

Beschikbaar voor: macOS Big Sur

Impact: het verwerken van een kwaadwillig vervaardigd certificaat kan leiden tot een denial of service

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2022-0778

PackageKit

Beschikbaar voor: macOS Big Sur

Impact: een app kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.

CVE-2022-32794: Mickey Jin (@patch1t)

PackageKit

Beschikbaar voor: macOS Big Sur

Impact: een kwaadaardig programma kan mogelijk beveiligde onderdelen van het bestandssysteem wijzigen

Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.

CVE-2022-26712: Mickey Jin (@patch1t)

Printing

Beschikbaar voor: macOS Big Sur

Impact: een kwaadaardig programma kan mogelijk privacyvoorkeuren omzeilen

Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.

CVE-2022-26746: @gorelics

Safari Private Browsing

Beschikbaar voor: macOS Big Sur

Impact: een kwaadaardige website kan gebruikers in de privémodus van Safari volgen

Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.

CVE-2022-26731: een anonieme onderzoeker

Security

Beschikbaar voor: macOS Big Sur

Impact: een kwaadaardig programma kan de validatie van de ondertekening omzeilen

Beschrijving: een probleem met het parseren van certificaten is verholpen door middel van verbeterde controles.

CVE-2022-26766: Linus Henze van Pinauten GmbH (pinauten.de)

SMB

Beschikbaar voor: macOS Big Sur

Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2022-26718: Peter Nguyễn Vũ Hoàng van STAR Labs

SMB

Beschikbaar voor: macOS Big Sur

Impact: het activeren van een kwaadwillig vervaardigd Samba-netwerk kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2022-26723: Felix Poulin-Belanger

SMB

Beschikbaar voor: macOS Big Sur

Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2022-26715: Peter Nguyễn Vũ Hoàng van STAR Labs

SoftwareUpdate

Beschikbaar voor: macOS Big Sur

Impact: een kwaadaardig programma kan mogelijk toegang verkrijgen tot beperkte bestanden

Beschrijving: dit probleem is verholpen door middel van verbeterde rechten.

CVE-2022-26728: Mickey Jin (@patch1t)

TCC

Beschikbaar voor: macOS Big Sur

Impact: een programma kan een schermafbeelding maken van het scherm van een gebruiker

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2022-26726: Antonio Cheong Yu Xuan van YCISCQ

Tcl

Beschikbaar voor: macOS Big Sur

Impact: een kwaadwillig programma kan buiten zijn sandbox komen

Beschrijving: dit probleem is verholpen door een verbeterde opschoning van de omgeving.

CVE-2022-26755: Arsenii Kostromin (0x3c3e)

Vim

Beschikbaar voor: macOS Big Sur

Impact: meerdere problemen in Vim

Beschrijving: meerdere problemen zijn verholpen door Vim bij te werken.

CVE-2021-4136

CVE-2021-4166

CVE-2021-4173

CVE-2021-4187

CVE-2021-4192

CVE-2021-4193

CVE-2021-46059

CVE-2022-0128

WebKit

Beschikbaar voor: macOS Big Sur

Impact: het verwerken van een kwaadwillig vervaardigd e-mailbericht kan leiden het uitvoeren van willekeurige JavaScript-code

Beschrijving: een validatieprobleem is verholpen door verbeterde invoeropschoning.

CVE-2022-22589: Heige van het KnownSec 404 Team (knownsec.com) en Bo Qu van Palo Alto Networks (paloaltonetworks.com)

Wi-Fi

Beschikbaar voor: macOS Big Sur

Impact: een kwaadaardig programma kan beperkt geheugen vrijgeven

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde validatie.

CVE-2022-26745: Scarlet Raine

Wi-Fi

Beschikbaar voor: macOS Big Sur

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2022-26761: Wang Yu van Cyberserval

zip

Beschikbaar voor: macOS Big Sur

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot een denial of service

Beschrijving: een denial of service-probleem is verholpen door verbeterde statusverwerking.

CVE-2022-0530

zlib

Beschikbaar voor: macOS Big Sur

Impact: een aanvaller kan het onverwacht beëindigen van een programma of het uitvoeren van willekeurige code veroorzaken

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2018-25032: Tavis Ormandy

zsh

Beschikbaar voor: macOS Big Sur

Impact: een externe aanvaller kan het uitvoeren van willekeurige code veroorzaken

Beschrijving: dit probleem is verholpen door een update naar zsh-versie 5.8.1.

CVE-2021-45444

Aanvullende erkenning

Bluetooth

Met dank aan Jann Horn van Project Zero voor zijn hulp.