Om sikkerhetsinnholdet i macOS Big Sur 11.6.8
Dette dokumentet beskriver sikkerhetsinnholdet i macOS Big Sur 11.6.8.
Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
macOS Big Sur 11.6.8
APFS
Tilgjengelig for: macOS Big Sur
Virkning: En app med rotrettigheter kan være i stand til å kjøre utilsiktet kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2022-32832: Tommy Muir (@Muirey03)
AppleMobileFileIntegrity
Tilgjengelig for: macOS Big Sur
Virkning: En app kan være i stand til å få rotrettigheter
Beskrivelse: Et problem med autorisering ble løst gjennom forbedret tilstandshåndtering.
CVE-2022-32826: Mickey Jin (@patch1t) fra Trend Micro
AppleScript
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av en skadelig AppleScript-binærfil kan føre til uventet programavslutning eller deling av behandlingsminne
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2022-32797: Mickey Jin (@patch1t), Ye Zhang (@co0py_Cat) fra Baidu Security, Mickey Jin (@patch1t) fra Trend Micro
AppleScript
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av en skadelig AppleScript-binærfil kan føre til uventet programavslutning eller deling av behandlingsminne
Beskrivelse: Et problem med lesing utenfor bufferen ble løst gjennom forbedret validering av inndata.
CVE-2022-32853: Ye Zhang (@co0py_Cat) fra Baidu Security
CVE-2022-32851: Ye Zhang (@co0py_Cat) fra Baidu Security
AppleScript
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av en skadelig AppleScript-binærfil kan føre til uventet programavslutning eller deling av behandlingsminne
Beskrivelse: Et problem med lesing utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.
CVE-2022-32831: Ye Zhang (@co0py_Cat) fra Baidu Security
Archive Utility
Tilgjengelig for: macOS Big Sur
Virkning: Et arkiv kan være i stand til å omgå Gatekeeper
Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.
CVE-2022-32910: Ferdous Saljooki (@malwarezoo) fra Jamf Software
Audio
Tilgjengelig for: macOS Big Sur
Virkning: En app kan avsløre kjerneminne
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2022-32825: John Aakerblom (@jaakerblom)
Audio
Tilgjengelig for: macOS Big Sur
Virkning: En app kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2022-32820: en anonym forsker
Calendar
Tilgjengelig for: macOS Big Sur
Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av buffere.
CVE-2022-32805: Csaba Fitzl (@theevilbit) fra Offensive Security
Calendar
Tilgjengelig for: macOS Big Sur
Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon
Beskrivelse: Et problem med avdekking av informasjon ble løst gjennom fjerning av den sårbare koden.
CVE-2022-32849: Joshua Jones
CoreText
Tilgjengelig for: macOS Big Sur
Virkning: En ekstern bruker kan forårsake uventet avslutning av en app eller utføring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.
CVE-2022-32839: STAR Labs (@starlabs_sg)
FaceTime
Tilgjengelig for: macOS Big Sur
Virkning: En app med rotrettigheter kan få tilgang til privat informasjon
Beskrivelse: Problemet ble løst ved å aktivere «hardened runtime».
CVE-2022-32781: Wojciech Reguła (@_r3ggi) fra SecuRing
File System Events
Tilgjengelig for: macOS Big Sur
Virkning: En app kan være i stand til å få rotrettigheter
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2022-32819: Joshua Mason fra Mandiant
ICU
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2022-32787: Dohyun Lee (@l33d0hyun) fra SSD Secure Disclosure Labs & DNSLab, Korea Univ.
ImageIO
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av et bilde kan føre til tjenestenekt
Beskrivelse: En dereferanse for en nullpeker ble løst med forbedret validering.
CVE-2022-32785: Yiğit Can YILMAZ (@yilmazcanyigit)
Intel Graphics Driver
Tilgjengelig for: macOS Big Sur
Virkning: En app kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2022-32812: Yinyi Wu (@3ndy1), ABC Research s.r.o.
Intel Graphics Driver
Tilgjengelig for: macOS Big Sur
Virkning: En app kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et sårbarhetsproblem med skadet minne ble løst gjennom forbedret låsing.
CVE-2022-32811: ABC Research s.r.o
Kernel
Tilgjengelig for: macOS Big Sur
Virkning: En app med rotrettigheter kan være i stand til å kjøre utilsiktet kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2022-32815: Xinru Chi fra Pangu Lab
CVE-2022-32813: Xinru Chi fra Pangu Lab
LaunchServices
Tilgjengelig for: macOS Big Sur
Virkning: En app kan være i stand til å omgå enkelte personvernpreferanser
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2021-30946: @gorelics og Ron Masas fra BreakPoint.sh
libxml2
Tilgjengelig for: macOS Big Sur
Virkning: En app kan kanskje lekke sensitiv brukerinformasjon
Beskrivelse: Et problem med initialisering av minne ble løst gjennom forbedret minnehåndtering.
CVE-2022-32823
Multi-Touch
Tilgjengelig for: macOS Big Sur
Virkning: En app kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.
CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)
Multi-Touch
Tilgjengelig for: macOS Big Sur
Virkning: En app kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret tilstandshåndtering.
CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)
PackageKit
Tilgjengelig for: macOS Big Sur
Virkning: En app kan endre beskyttede deler av filsystemet
Beskrivelse: Et problem i håndteringen av miljøvariabler ble løst med forbedret validering.
CVE-2022-32786: Mickey Jin (@patch1t)
PackageKit
Tilgjengelig for: macOS Big Sur
Virkning: En app kan endre beskyttede deler av filsystemet
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2022-32800: Mickey Jin (@patch1t)
PluginKit
Tilgjengelig for: macOS Big Sur
Virkning: En app kan være i stand til å lese vilkårlige filer
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2022-32838: Mickey Jin (@patch1t) fra Trend Micro
PS Normalizer
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av en skadelig Postscript-fil kan føre til uventet appavslutning eller deling av behandlingsminne
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2022-32843: Kai Lu fra Zscaler's ThreatLabz
Software Update
Tilgjengelig for: macOS Big Sur
Virkning: En bruker i en privilegert nettverksposisjon kan spore en brukers aktivitet
Beskrivelse: Dette problemet ble løst ved å bruke HTTPS ved sending av informasjon over nettverket.
CVE-2022-32857: Jeffrey Paul (sneak.berlin)
Spindump
Tilgjengelig for: macOS Big Sur
Virkning: En app kan være i stand til å overskrive vilkårlige filer
Beskrivelse: Problemet ble løst gjennom forbedret filhåndtering.
CVE-2022-32807: Zhipeng Huo (@R3dF09) fra Tencent Security Xuanwu Lab
Spotlight
Tilgjengelig for: macOS Big Sur
Virkning: Et program kan være i stand til å få opphøyde rettigheter
Beskrivelse: Det var et valideringsproblem i håndteringen av symlinks som ble løst gjennom forbedret validering av symlinks.
CVE-2022-26704: Joshua Mason fra Mandiant
TCC
Tilgjengelig for: macOS Big Sur
Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon
Beskrivelse: Et tilgangsproblem ble løst med forbedringer av sandkassen.
CVE-2022-32834: Xuxiang Yang (@another1024) fra Tencent Security Xuanwu Lab (xlab.tencent.com), Yuebin Sun (@yuebinsun2020) fra Tencent Security Xuanwu Lab (xlab.tencent.com) og Zhipeng Huo (@R3dF09) fra Tencent Security Xuanwu Lab (xlab.tencent.com)
Vim
Tilgjengelig for: macOS Big Sur
Virkning: Flere problemer i Vim
Beskrivelse: Flere problemer ble løst ved å oppdatere Vim.
CVE-2022-0156
CVE-2022-0158
Wi-Fi
Tilgjengelig for: macOS Big Sur
Virkning: En app kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2022-32860: Wang Yu fra Cyberserval
Wi-Fi
Tilgjengelig for: macOS Big Sur
Virkning: En ekstern bruker kan forårsake uventet systemavslutning eller skadet kjerneminne
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2022-32847: Wang Yu fra Cyberserval
Windows Server
Tilgjengelig for: macOS Big Sur
Virkning: En app kan være i stand til å ta bilde av en brukers skjerm
Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.
CVE-2022-32848: Jeremy Legendre fra MacEnhance
Ytterligere anerkjennelser
Calendar
Vi vil gjerne takke Joshua Jones for hjelpen.
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.