Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
macOS Big Sur 11.6.6
Utgitt 16. mai 2022
apache
Tilgjengelig for: macOS Big Sur
Virkning: Flere problemer i Apache
Beskrivelse: Flere problemer ble løst ved å oppdatere Apache til versjon 2.4.53.
CVE-2021-44224
CVE-2021-44790
CVE-2022-22719
CVE-2022-22720
CVE-2022-22721
AppKit
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan bli i stand til å få rotrettigheter
Beskrivelse: Et logisk problem ble løst gjennom forbedret validering.
CVE-2022-22665: Lockheed Martin Red Team
AppleAVD
Tilgjengelig for: macOS Big Sur
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter. Apple kjenner til en rapport om at dette problemet kan ha blitt utnyttet aktivt.
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2022-22675: en anonym forsker
AppleEvents
Tilgjengelig for: macOS Big Sur
Virkning: En ekstern angriper kan være i stand til å forårsake en uventet appavslutning eller utilsiktet kodekjøring
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2022-22630: Jeremy Brown i samarbeid med Trend Micro Zero Day Initiative
Oppføring lagt til 8. juni 2023
AppleGraphicsControl
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2022-26751: Michael DePlante (@izobashi) fra Trend Micro Zero Day Initiative
AppleScript
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av en skadelig AppleScript-binærfil kan føre til uventet programavslutning eller deling av behandlingsminne
Beskrivelse: Et problem med lesing utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.
CVE-2022-26698: Qi Sun fra Trend Micro, Ye Zhang (@co0py_Cat) fra Baidu Security
Oppføring oppdatert 6. juli 2022
AppleScript
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av en skadelig AppleScript-binærfil kan føre til uventet programavslutning eller deling av behandlingsminne
Beskrivelse: Et problem med lesing utenfor bufferen ble løst gjennom forbedret validering av inndata.
CVE-2022-26697: Qi Sun og Robert Ai fra Trend Micro
CoreTypes
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan omgå Gatekeeper-kontroller
Beskrivelse: Problemet ble løst med forbedrede kontroller for å forhindre uautoriserte handlinger.
CVE-2022-22663: Arsenii Kostromin (0x3c3e)
CVMS
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan bli i stand til å få rotrettigheter
Beskrivelse: Et problem med initialisering av minne ble løst.
CVE-2022-26721: Yonghwi Jin (@jinmo123) fra Theori
CVE-2022-26722: Yonghwi Jin (@jinmo123) fra Theori
DriverKit
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med systemrettigheter
Beskrivelse: Et problem med tilgang utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.
CVE-2022-26763: Linus Henze fra Pinauten GmbH (pinauten.de)
Graphics Drivers
Tilgjengelig for: macOS Big Sur
Virkning: En lokal bruker kan være i stand til å lese kjerneminnet
Beskrivelse: Et problem med lesing utenfor området førte til avdekking av kjerneminnet. Dette ble løst gjennom forbedret validering av inndata.
CVE-2022-22674: en anonym forsker
Intel Graphics Driver
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2022-26720: Liu Long fra Ant Security Light-Year Lab
Intel Graphics Driver
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med lesing utenfor bufferen ble løst gjennom forbedret validering av inndata.
CVE-2022-26770: Liu Long fra Ant Security Light-Year Lab
Intel Graphics Driver
Tilgjengelig for: macOS Big Sur
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.
CVE-2022-26756: Jack Dates fra RET2 Systems, Inc
Intel Graphics Driver
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret validering av inndata.
CVE-2022-26769: Antonio Zekic (@antoniozekic)
Intel Graphics Driver
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.
CVE-2022-26748: Jeonghoon Shin fra Theori i samarbeid med Trend Micro Zero Day Initiative
IOMobileFrameBuffer
Tilgjengelig for: macOS Big Sur
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret tilstandshåndtering.
CVE-2022-26768: en anonym forsker
Kernel
Tilgjengelig for: macOS Big Sur
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.
CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) fra STAR Labs (@starlabs_sg)
Kernel
Tilgjengelig for: macOS Big Sur
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2022-26757: Ned Williamson fra Google Project Zero
LaunchServices
Tilgjengelig for: macOS Big Sur
Virkning: En app kan være i stand til å omgå enkelte personvernpreferanser
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2021-30946: @gorelics og Ron Masas fra BreakPoint.sh
Oppføring lagt til 8. juni 2023
LaunchServices
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan omgå personverninnstillinger
Beskrivelse: Problemet ble løst gjennom flere tillatelseskontroller.
CVE-2022-26767: Wojciech Reguła (@_r3ggi) fra SecuRing
LaunchServices
Tilgjengelig for: macOS Big Sur
Virkning: En sandkasseprosess kan omgå sandkasserestriksjoner
Beskrivelse: Et problem med tilgang ble løst gjennom ekstra sandkasserestriksjoner på programmer fra tredjeparter.
CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or fra Microsoft
Oppføring oppdatert 6. juli 2022
Libinfo
Tilgjengelig for: macOS Big Sur
Virkning: En app kan være i stand til å omgå personvernpreferanser
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2022-32882: Zhipeng Huo (@R3dF09) og Yuebin Sun (@yuebinsun2020) fra Tencent Security Xuanwu Lab
Oppføring lagt til 16. september 2022
libresolv
Tilgjengelig for: macOS Big Sur
Virkning: En ekstern bruker kan forårsake tjenestenekt
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2022-32790: Max Shavrick (@_mxms) fra Google Security Team
Oppføring lagt til 21. juni 2022
libresolv
Tilgjengelig for: macOS Big Sur
Virkning: En angriper kan være i stand til å forårsake at et program avsluttes uventet eller at vilkårlig kode utføres
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2022-26776: Zubair Ashraf fra Crowdstrike, Max Shavrick (@_mxms) fra Google Security Team
LibreSSL
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av et skadelig sertifikat kan føre til tjenestenekt
Beskrivelse: Et problem med tjenestenekt ble løst gjennom forbedret validering av inndata.
CVE-2022-0778
libxml2
Tilgjengelig for: macOS Big Sur
Virkning: En ekstern angriper kan være i stand til å forårsake uventet avslutning av et program eller kjøring av vilkårlig kode
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2022-23308
OpenSSL
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av et skadelig sertifikat kan føre til tjenestenekt
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2022-0778
PackageKit
Tilgjengelig for: macOS Big Sur
Virkning: Et program kan være i stand til å få opphøyde rettigheter
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2022-32794: Mickey Jin (@patch1t)
Oppføring lagt til 4. oktober 2022
PackageKit
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan endre beskyttede deler av filsystemet
Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.
CVE-2022-26712: Mickey Jin (@patch1t)
Printing
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan omgå personverninnstillinger
Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.
CVE-2022-26746: @gorelics
Safari Private Browsing
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig nettsted kan være i stand til å spore brukere i privat Safari-nettlesermodus
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2022-26731: en anonym forsker
Oppføring lagt til 6. juli 2022
Security
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan være i stand til å omgå signaturvalidering
Beskrivelse: Et problem med analyse av sertifikater ble løst gjennom forbedrede kontroller.
CVE-2022-26766: Linus Henze fra Pinauten GmbH (pinauten.de)
SMB
Tilgjengelig for: macOS Big Sur
Virkning: Et program kan være i stand til å få utvidede rettigheter
Beskrivelse: Et problem med lesing utenfor bufferen ble løst gjennom forbedret validering av inndata.
CVE-2022-26718: Peter Nguyễn Vũ Hoàng fra STAR Labs
SMB
Tilgjengelig for: macOS Big Sur
Virkning: Aktivering av en skadelig Samba-nettverksdeling kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret validering av inndata.
CVE-2022-26723: Felix Poulin-Belanger
SMB
Tilgjengelig for: macOS Big Sur
Virkning: Et program kan være i stand til å få utvidede rettigheter
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2022-26715: Peter Nguyễn Vũ Hoàng fra STAR Labs
SoftwareUpdate
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan få tilgang til begrensede filer
Beskrivelse: Problemet ble løst gjennom forbedret rettighetstildeling.
CVE-2022-26728: Mickey Jin (@patch1t)
TCC
Tilgjengelig for: macOS Big Sur
Virkning: Et program kan være i stand til å ta bilde av en brukers skjerm
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2022-26726: Antonio Cheong Yu Xuan fra YCISCQ
Oppføring oppdatert 8. juni 2023
Tcl
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan kanskje bryte ut av sandkassen sin
Beskrivelse: Problemet ble løst gjennom forbedret miljørensing.
CVE-2022-26755: Arsenii Kostromin (0x3c3e)
Vim
Tilgjengelig for: macOS Big Sur
Virkning: Flere problemer i Vim
Beskrivelse: Flere problemer ble løst ved å oppdatere Vim.
CVE-2021-4136
CVE-2021-4166
CVE-2021-4173
CVE-2021-4187
CVE-2021-4192
CVE-2021-4193
CVE-2021-46059
CVE-2022-0128
WebKit
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av en skadelig e-postmelding kan føre til kjøring av vilkårlige javascript
Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.
CVE-2022-22589: Heige fra KnownSec 404-teamet (knownsec.com) og Bo Qu fra Palo Alto Networks (paloaltonetworks.com)
Wi-Fi
Tilgjengelig for: macOS Big Sur
Virkning: Et skadelig program kan avdekke begrenset minne
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.
CVE-2022-26745: Scarlet Raine
Oppføring oppdatert 6. juli 2022
Wi-Fi
Tilgjengelig for: macOS Big Sur
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret minnehåndtering.
CVE-2022-26761: Wang Yu fra Cyberserval
zip
Tilgjengelig for: macOS Big Sur
Virkning: Behandling av en skadelig fil kan føre til tjenestenekt
Beskrivelse: Et problem med tjenestenekt ble løst gjennom forbedret tilstandshåndtering.
CVE-2022-0530
zlib
Tilgjengelig for: macOS Big Sur
Virkning: En angriper kan være i stand til å forårsake at et program avsluttes uventet eller at vilkårlig kode utføres
Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret validering av inndata.
CVE-2018-25032: Tavis Ormandy
zsh
Tilgjengelig for: macOS Big Sur
Virkning: En ekstern angriper kan være i stand kjøre vilkårlig kode
Beskrivelse: Problemet ble løst ved å oppdatere zsh til versjon 5.8.1.
CVE-2021-45444
Ytterligere anerkjennelser
Bluetooth
Vi vil gjerne takke Jann Horn fra Project Zero for hjelpen.