Zawartość związana z zabezpieczeniami w systemie macOS Big Sur 11.7

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie macOS Big Sur 11.7.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

macOS Big Sur 11.7

AppleMobileFileIntegrity

Dostępne dla: systemu macOS Big Sur

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: usunięto błąd sprawdzania poprawności podpisu kodu przez poprawienie sprawdzania.

CVE-2022-42789: Koh M. Nakagawa z FFRI Security, Inc.

ATS

Dostępne dla: systemu macOS Big Sur

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: usunięto błąd dostępu przez wprowadzenie dodatkowych ograniczeń piaskownicy.

CVE-2022-32904: Mickey Jin (@patch1t)

ATS

Dostępne dla: systemu macOS Big Sur

Zagrożenie: aplikacja może być w stanie pominąć ustawienia prywatności.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2022-32902: Mickey Jin (@patch1t)

Calendar

Dostępne dla: systemu macOS Big Sur

Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.

Opis: usunięto błąd dostępu przez poprawienie ograniczeń dostępu.

CVE-2022-42819: anonimowy badacz

Contacts

Dostępne dla: systemu macOS Big Sur

Zagrożenie: aplikacja może być w stanie pominąć ustawienia prywatności.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2022-32854: Holger Fuhrmannek z Deutsche Telekom Security

GarageBand

Dostępne dla: systemu macOS Big Sur

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: naprawiono błąd z konfiguracją przez wprowadzenie dodatkowych ograniczeń.

CVE-2022-32877: Wojciech Reguła (@_r3ggi) z SecuRing

ImageIO

Dostępne dla: systemu macOS Big Sur

Zagrożenie: przetworzenie obrazu może doprowadzić do ataku typu „odmowa usługi”.

Opis: usunięto błąd typu „odmowa usługi” przez poprawienie procedury sprawdzania poprawności.

CVE-2022-1622

Image Processing

Dostępne dla: systemu macOS Big Sur

Zagrożenie: aplikacja w piaskownicy może być w stanie ustalić, która aplikacja korzysta obecnie z kamery.

Opis: problem został rozwiązany przez wprowadzenie dodatkowych ograniczeń dotyczących obserwowalności stanów aplikacji.

CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)

iMovie

Dostępne dla: systemu macOS Big Sur

Zagrożenie: użytkownik może wyświetlić poufne informacje użytkownika.

Opis: ten problem naprawiono przez włączenie wzmocnionego środowiska wykonawczego.

CVE-2022-32896: Wojciech Reguła (@_r3ggi)

Kernel

Dostępne dla: systemu macOS Big Sur

Zagrożenie: połączenie ze złośliwie spreparowanym serwerem NFS może doprowadzić do wykonania dowolnego kodu z uprawnieniami jądra.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.

CVE-2022-46701: Felix Poulin-Belanger

Kernel

Dostępne dla: systemu macOS Big Sur

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2022-32914: Zweig z Kunlun Lab

Kernel

Dostępne dla: systemu macOS Big Sur

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2022-32866: Linus Henze z Pinauten GmbH (pinauten.de)

CVE-2022-32911: Zweig z Kunlun Lab

CVE-2022-32924: Ian Beer z Google Project Zero

Kernel

Dostępne dla: systemu macOS Big Sur

Zagrożenie: aplikacja może być w stanie ujawnić pamięć jądra.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2022-32864: Linus Henze z Pinauten GmbH (pinauten.de)

Kernel

Dostępne dla: systemu macOS Big Sur

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra. Apple ma świadomość, że problem mógł być aktywnie wykorzystywany.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2022-32894: anonimowy badacz

Kernel

Dostępne dla: systemu macOS Big Sur

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra. Apple ma świadomość, że problem mógł być aktywnie wykorzystywany.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.

CVE-2022-32917: anonimowy badacz

Maps

Dostępne dla: systemu macOS Big Sur

Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.

Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.

CVE-2022-32883: Ron Masas z breakpointhq.com

MediaLibrary

Dostępne dla: systemu macOS Big Sur

Zagrożenie: użytkownik może być w stanie podwyższyć poziom uprawnień.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2022-32908: anonimowy badacz

ncurses

Dostępne dla: systemu macOS Big Sur

Zagrożenie: użytkownik może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: usunięto błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2021-39537

PackageKit

Dostępne dla: systemu macOS Big Sur

Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2022-32900: Mickey Jin (@patch1t)

Sandbox

Dostępne dla: systemu macOS Big Sur

Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.

Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.

CVE-2022-32881: Csaba Fitzl (@theevilbit) z Offensive Security

Security

Dostępne dla: systemu macOS Big Sur

Zagrożenie: aplikacja może być w stanie obejść sprawdzanie podpisywania kodu.

Opis: usunięto błąd sprawdzania poprawności podpisu kodu przez poprawienie sprawdzania.

CVE-2022-42793: Linus Henze z Pinauten GmbH (pinauten.de)

Sidecar

Dostępne dla: systemu macOS Big Sur

Zagrożenie: użytkownik może być w stanie przeglądać treści objęte ograniczeniami z poziomu zablokowanego ekranu.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2022-42790: Om kothawade z Zaprico Digital

SMB

Dostępne dla: systemu macOS Big Sur

Zagrożenie: zdalny użytkownik może być w stanie doprowadzić do wykonania kodu jądra.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2022-32934: Felix Poulin-Belanger

Vim

Dostępne dla: systemu macOS Big Sur

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może doprowadzić do ataku typu „odmowa usługi” lub potencjalnego ujawnienia zawartości pamięci.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2022-1720

CVE-2022-2000

CVE-2022-2042

CVE-2022-2124

CVE-2022-2125

CVE-2022-2126

Weather

Dostępne dla: systemu macOS Big Sur

Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2022-32875: anonimowy badacz

WebKit

Dostępne dla: systemu macOS Big Sur

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2022-32888: P1umer (@p1umer)

Dodatkowe podziękowania

apache

Dziękujemy za udzieloną pomoc: Tricia Lee z Enterprise Service Center.

Identity Services

Dziękujemy za udzieloną pomoc: Joshua Jones.