Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
macOS Big Sur 11.6.6
Wydano 16 maja 2022 r.
apache
Dostępne dla: systemu macOS Big Sur
Zagrożenie: liczne błędy na serwerze Apache
Opis: naprawiono liczne błędy przez uaktualnienie serwera Apache do wersji 2.4.53.
CVE-2021-44224
CVE-2021-44790
CVE-2022-22719
CVE-2022-22720
CVE-2022-22721
AppKit
Dostępne dla: systemu macOS Big Sur
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie uzyskać uprawnienia użytkownika root.
Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.
CVE-2022-22665: Lockheed Martin Red Team
AppleAVD
Dostępne dla: systemu macOS Big Sur
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra. Apple ma świadomość, że problem mógł być aktywnie wykorzystywany.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2022-22675: anonimowy badacz
AppleEvents
Dostępne dla: systemu macOS Big Sur
Zagrożenie: osoba atakująca zdalnie może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
CVE-2022-22630: Jeremy Brown w ramach programu Zero Day Initiative firmy Trend Micro
Wpis dodano 8 czerwca 2023 r.
AppleGraphicsControl
Dostępne dla: systemu macOS Big Sur
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2022-26751: Michael DePlante (@izobashi) z programu Zero Day Initiative firmy Trend Micro
AppleScript
Dostępne dla: systemu macOS Big Sur
Zagrożenie: przetworzenie złośliwie spreparowanego pliku binarnego AppleScript może spowodować nieoczekiwane zakończenie aplikacji lub ujawnienie pamięci procesowej.
Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2022-26698: Qi Sun z Trend Micro, Ye Zhang (@co0py_Cat) z Baidu Security
Wpis uaktualniono 6 lipca 2022 r.
AppleScript
Dostępne dla: systemu macOS Big Sur
Zagrożenie: przetworzenie złośliwie spreparowanego pliku binarnego AppleScript może spowodować nieoczekiwane zakończenie aplikacji lub ujawnienie pamięci procesowej.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2022-26697: Qi Sun i Robert Ai z Trend Micro
CoreTypes
Dostępne dla: systemu macOS Big Sur
Zagrożenie: złośliwa aplikacja może ominąć kontrolę przeprowadzaną przez funkcję Gatekeeper.
Opis: ten błąd naprawiono przez poprawienie sprawdzania w celu uniemożliwienia wykonywania nieautoryzowanych czynności.
CVE-2022-22663: Arsenii Kostromin (0x3c3e)
CVMS
Dostępne dla: systemu macOS Big Sur
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie uzyskać uprawnienia użytkownika root.
Opis: rozwiązano problem z inicjalizacją pamięci.
CVE-2022-26721: Yonghwi Jin (@jinmo123) z Theori
CVE-2022-26722: Yonghwi Jin (@jinmo123) z Theori
DriverKit
Dostępne dla: systemu macOS Big Sur
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: usunięto błąd dostępu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2022-26763: Linus Henze z Pinauten GmbH (pinauten.de)
Graphics Drivers
Dostępne dla: systemu macOS Big Sur
Zagrożenie: użytkownik lokalny może być w stanie odczytać dane z pamięci jądra.
Opis: występował błąd odczytu spoza zakresu, który mógł doprowadzić do ujawnienia rozkładu pamięci jądra. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2022-22674: anonimowy badacz
Intel Graphics Driver
Dostępne dla: systemu macOS Big Sur
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2022-26720: Liu Long z Ant Security Light-Year Lab
Intel Graphics Driver
Dostępne dla: systemu macOS Big Sur
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2022-26770: Liu Long z Ant Security Light-Year Lab
Intel Graphics Driver
Dostępne dla: systemu macOS Big Sur
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2022-26756: Jack Dates z RET2 Systems, Inc
Intel Graphics Driver
Dostępne dla: systemu macOS Big Sur
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2022-26769: Antonio Zekic (@antoniozekic)
Intel Graphics Driver
Dostępne dla: systemu macOS Big Sur
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu.
Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2022-26748: Jeonghoon Shin z Theori w ramach programu Zero Day Initiative firmy Trend Micro
IOMobileFrameBuffer
Dostępne dla: systemu macOS Big Sur
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.
CVE-2022-26768: anonimowy badacz
Kernel
Dostępne dla: systemu macOS Big Sur
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie sprawdzania poprawności.
CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) z STAR Labs (@starlabs_sg)
Kernel
Dostępne dla: systemu macOS Big Sur
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
CVE-2022-26757: Ned Williamson z Google Project Zero
LaunchServices
Dostępne dla: systemu macOS Big Sur
Zagrożenie: aplikacja może być w stanie ominąć niektóre preferencje dotyczące prywatności.
Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.
CVE-2021-30946: @gorelics i Ron Masas z BreakPoint.sh
Wpis dodano 8 czerwca 2023 r.
LaunchServices
Dostępne dla: systemu macOS Big Sur
Zagrożenie: złośliwa aplikacja może obejść preferencje prywatności.
Opis: błąd naprawiono przez wprowadzenie dodatkowych procedur sprawdzania uprawnień.
CVE-2022-26767: Wojciech Reguła (@_r3ggi) z SecuRing
LaunchServices
Dostępne dla: systemu macOS Big Sur
Zagrożenie: proces działający w piaskownicy może być w stanie obejść ograniczenia piaskownicy.
Opis: naprawiono błąd dostępu przez wprowadzenie dodatkowych ograniczeń piaskownicy w aplikacjach innych firm.
CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or z Microsoft
Wpis uaktualniono 6 lipca 2022 r.
Libinfo
Dostępne dla: systemu macOS Big Sur
Zagrożenie: aplikacja może być w stanie pominąć ustawienia prywatności.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2022-32882: Zhipeng Huo (@R3dF09) i Yuebin Sun (@yuebinsun2020) z Tencent Security Xuanwu Lab
Wpis dodano 16 września 2022 r.
libresolv
Dostępne dla: systemu macOS Big Sur
Zagrożenie: zdalny użytkownik może doprowadzić do ataku typu „odmowa usługi”
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2022-32790: Max Shavrick (@_mxms) z Google Security Team
Wpis dodano 21 czerwca 2022 r.
libresolv
Dostępne dla: systemu macOS Big Sur
Zagrożenie: osoba atakująca mogła spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2022-26776: Zubair Ashraf z Crowdstrike, Max Shavrick (@_mxms) z zespołu Google Security Team
LibreSSL
Dostępne dla: systemu macOS Big Sur
Zagrożenie: przetworzenie złośliwie spreparowanego certyfikatu mogło doprowadzić do ataku typu „odmowa usługi”.
Opis: rozwiązano problem z podatnością na atak typu „odmowa usługi” przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2022-0778
libxml2
Dostępne dla: systemu macOS Big Sur
Zagrożenie: osoba atakująca zdalnie może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
CVE-2022-23308
OpenSSL
Dostępne dla: systemu macOS Big Sur
Zagrożenie: przetworzenie złośliwie spreparowanego certyfikatu mogło doprowadzić do ataku typu „odmowa usługi”.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2022-0778
PackageKit
Dostępne dla: systemu macOS Big Sur
Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2022-32794: Mickey Jin (@patch1t)
Wpis dodano 4 października 2022 r.
PackageKit
Dostępne dla: systemu macOS Big Sur
Zagrożenie: złośliwa aplikacja może być w stanie zmodyfikować chronione części systemu plików.
Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.
CVE-2022-26712: Mickey Jin (@patch1t)
Printing
Dostępne dla: systemu macOS Big Sur
Zagrożenie: złośliwa aplikacja może obejść preferencje prywatności.
Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.
CVE-2022-26746: @gorelics
Safari Private Browsing
Dostępne dla: systemu macOS Big Sur
Zagrożenie: złośliwie spreparowana witryna może śledzić użytkowników, gdy w przeglądarce Safari jest włączony tryb przeglądania prywatnego.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2022-26731: anonimowy badacz
Wpis dodano 6 lipca 2022 r.
Security
Dostępne dla: systemu macOS Big Sur
Zagrożenie: złośliwa aplikacja może być w stanie ominąć weryfikację podpisu.
Opis: naprawiono błąd analizy certyfikatu przez poprawienie procedur sprawdzania.
CVE-2022-26766: Linus Henze z Pinauten GmbH (pinauten.de)
SMB
Dostępne dla: systemu macOS Big Sur
Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2022-26718: Peter Nguyen Vu Hoang ze STAR Labs
SMB
Dostępne dla: systemu macOS Big Sur
Zagrożenie: zamontowanie złośliwie spreparowanego udziału sieciowego Samba może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2022-26723: Felix Poulin-Belanger
SMB
Dostępne dla: systemu macOS Big Sur
Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.
Opis: usunięto błąd zapisu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2022-26715: Peter Nguyễn Vũ Hoàng ze STAR Labs
SoftwareUpdate
Dostępne dla: systemu macOS Big Sur
Zagrożenie: złośliwa aplikacja może uzyskać dostęp do plików objętych ograniczeniami.
Opis: ten błąd naprawiono przez poprawienie mechanizmu obsługi uprawnień.
CVE-2022-26728: Mickey Jin (@patch1t)
TCC
Dostępne dla: systemu macOS Big Sur
Zagrożenie: aplikacja może być w stanie przechwycić ekran użytkownika.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2022-26726: Antonio Cheong Yu Xuan z YCISCQ
Wpis uaktualniono 8 czerwca 2023 r.
Tcl
Dostępne dla: systemu macOS Big Sur
Zagrożenie: złośliwa aplikacja może być w stanie wydostać się ze swojej piaskownicy.
Opis: ten błąd naprawiono przez poprawienie procedury oczyszczania środowiska.
CVE-2022-26755: Arsenii Kostromin (0x3c3e)
Vim
Dostępne dla: systemu macOS Big Sur
Zagrożenie: liczne błędy w aplikacji Vim.
Opis: naprawiono liczne błędy przez uaktualnienie oprogramowania Vim.
CVE-2021-4136
CVE-2021-4166
CVE-2021-4173
CVE-2021-4187
CVE-2021-4192
CVE-2021-4193
CVE-2021-46059
CVE-2022-0128
WebKit
Dostępne dla: systemu macOS Big Sur
Zagrożenie: przetworzenie złośliwie spreparowanej wiadomości pocztowej może doprowadzić do uruchomienia dowolnego skryptu javascript.
Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.
CVE-2022-22589: Heige z KnownSec 404 Team (knownsec.com) i Bo Qu z Palo Alto Networks (paloaltonetworks.com)
Wi-Fi
Dostępne dla: systemu macOS Big Sur
Zagrożenie: złośliwa aplikacja może ujawnić zastrzeżoną pamięć.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie sprawdzania poprawności.
CVE-2022-26745: Scarlet Raine
Wpis uaktualniono 6 lipca 2022 r.
Wi-Fi
Dostępne dla: systemu macOS Big Sur
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2022-26761: Wang Yu z Cyberserval
zip
Dostępne dla: systemu macOS Big Sur
Zagrożenie: przetworzenie złośliwie spreparowanego pliku mogło doprowadzić do ataku typu „odmowa usługi”.
Opis: naprawiono błąd podatności na atak typu „odmowa usługi” przez poprawienie procedury obsługi pamięci.
CVE-2022-0530
zlib
Dostępne dla: systemu macOS Big Sur
Zagrożenie: osoba atakująca mogła spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2018-25032: Tavis Ormandy
zsh
Dostępne dla: systemu macOS Big Sur
Zagrożenie: osoba atakująca zdalnie może spowodować wykonanie dowolnego kodu.
Opis: ten problem rozwiązano przez uaktualnienie do wersji zsh 5.8.1.
CVE-2021-45444
Dodatkowe podziękowania
Bluetooth
Dziękujemy Jannowi Hornowi z Project Zero za udzieloną pomoc.