Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
Para obter mais informações sobre segurança, consulte a página sobre segurança de produtos Apple.
macOS Big Sur 11.6.6
Lançado em 16 de maio de 2022
apache
Disponível para: macOS Big Sur
Impacto: vários problemas no apache
Descrição: vários problemas foram resolvidos com a atualização do Apache para a versão 2.4.53.
CVE-2021-44224
CVE-2021-44790
CVE-2022-22719
CVE-2022-22720
CVE-2022-22721
AppKit
Disponível para: macOS Big Sur
Impacto: um aplicativo malicioso pode obter privilégios raiz
Descrição: um problema de lógica foi resolvido por meio de melhorias na validação.
CVE-2022-22665: Lockheed Martin Red Team
AppleAVD
Disponível para: macOS Big Sur
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel. A Apple está ciente de um relato de que esse problema pode ter sido explorado ativamente.
Descrição: um problema de gravação fora dos limites foi resolvido por meio de melhorias na verificação de limites.
CVE-2022-22675: pesquisador anônimo
AppleEvents
Disponível para: macOS Big Sur
Impacto: um invasor remoto pode conseguir causar o encerramento inesperado de apps ou a execução arbitrária de códigos
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-2022-22630: Jeremy Brown em parceria com a Zero Day Initiative da Trend Micro
Entrada adicionada em 8 de junho de 2023
AppleGraphicsControl
Disponível para: macOS Big Sur
Impacto: processar uma imagem criada com códigos maliciosos pode levar à execução arbitrária de códigos
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
CVE-2022-26751: Michael DePlante (@izobashi) da Zero Day Initiative da Trend Micro
AppleScript
Disponível para: macOS Big Sur
Impacto: o processamento de um binário AppleScript criado com códigos maliciosos pode resultar no encerramento inesperado de aplicativos ou na divulgação da memória do processo
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na verificação de limites.
CVE-2022-26698: Qi Sun da Trend Micro, Ye Zhang (@co0py_Cat) da Baidu Security
Entrada atualizada em 6 de julho de 2022
AppleScript
Disponível para: macOS Big Sur
Impacto: o processamento de um binário AppleScript criado com códigos maliciosos pode resultar no encerramento inesperado de aplicativos ou na divulgação da memória do processo
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2022-26697: Qi Sun e Robert Ai da Trend Micro
CoreTypes
Disponível para: macOS Big Sur
Impacto: um aplicativo malicioso pode ignorar as verificações do Gatekeeper
Descrição: esse problema foi resolvido por meio de melhorias nas verificações para impedir ações não autorizadas.
CVE-2022-22663: Arsenii Kostromin (0x3c3e)
CVMS
Disponível para: macOS Big Sur
Impacto: um aplicativo malicioso pode obter privilégios raiz
Descrição: um problema na inicialização da memória foi resolvido.
CVE-2022-26721: Yonghwi Jin (@jinmo123) da Theori
CVE-2022-26722: Yonghwi Jin (@jinmo123) da Theori
DriverKit
Disponível para: macOS Big Sur
Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de sistema
Descrição: um problema de acesso fora dos limites foi resolvido por meio de melhorias na verificação de limites.
CVE-2022-26763: Linus Henze da Pinauten GmbH (pinauten.de)
Graphics Drivers
Disponível para: macOS Big Sur
Impacto: um usuário local pode ler a memória do kernel
Descrição: havia um problema de leitura fora dos limites que causava a divulgação da memória do kernel. Esse problema foi resolvido por meio de melhorias na validação de entradas.
CVE-2022-22674: pesquisador anônimo
Intel Graphics Driver
Disponível para: macOS Big Sur
Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de gravação fora dos limites foi resolvido por meio de melhorias na verificação de limites.
CVE-2022-26720: Liu Long do Ant Security Light-Year Lab
Intel Graphics Driver
Disponível para: macOS Big Sur
Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2022-26770: Liu Long do Ant Security Light-Year Lab
Intel Graphics Driver
Disponível para: macOS Big Sur
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de gravação fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2022-26756: Jack Dates da RET2 Systems, Inc
Intel Graphics Driver
Disponível para: macOS Big Sur
Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
CVE-2022-26769: Antonio Zekic (@antoniozekic)
Intel Graphics Driver
Disponível para: macOS Big Sur
Impacto: processar conteúdo da web criado com códigos maliciosos pode levar à execução arbitrária de códigos
Descrição: um problema de gravação fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2022-26748: Jeonghoon Shin da Theori em parceria com a Zero Day Initiative da Trend Micro
IOMobileFrameBuffer
Disponível para: macOS Big Sur
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2022-26768: pesquisador anônimo
Kernel
Disponível para: macOS Big Sur
Impacto: um aplicativo pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação.
CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) da STAR Labs (@starlabs_sg)
Kernel
Disponível para: macOS Big Sur
Impacto: um aplicativo pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-2022-26757: Ned Williamson do Google Project Zero
LaunchServices
Disponível para: macOS Big Sur
Impacto: um app pode conseguir ignorar determinadas preferências de Privacidade
Descrição: um problema de lógica foi resolvido por meio de melhorias nas restrições.
CVE-2021-30946: @gorelics e Ron Masas da BreakPoint.sh
Entrada adicionada em 8 de junho de 2023
LaunchServices
Disponível para: macOS Big Sur
Impacto: um aplicativo malicioso pode conseguir ignorar as preferências de privacidade
Descrição: o problema foi resolvido com mais verificações de permissão.
CVE-2022-26767: Wojciech Reguła (@_r3ggi) da SecuRing
LaunchServices
Disponível para: macOS Big Sur
Impacto: um processo em área restrita pode contornar restrições dessa área
Descrição: um problema de acesso foi resolvido por meio de outras restrições da área restrita em aplicativos de terceiros.
CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or da Microsoft
Entrada atualizada em 6 de julho de 2022
Libinfo
Disponível para: macOS Big Sur
Impacto: um app pode conseguir ignorar as preferências de Privacidade
Descrição: este problema foi resolvido por meio de melhorias nas verificações.
CVE-2022-32882: Zhipeng Huo (@R3dF09) e Yuebin Sun (@yuebinsun2020) do Tencent Security Xuanwu Lab
Entrada adicionada em 16 de setembro de 2022
libresolv
Disponível para: macOS Big Sur
Impacto: um usuário remoto podia causar uma negação de serviço
Descrição: esse problema foi resolvido por meio de melhorias nas verificações.
CVE-2022-32790: Max Shavrick (@_mxms) da Google Security Team
Entrada adicionada em 21 de junho de 2022
libresolv
Disponível para: macOS Big Sur
Impacto: um invasor pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: esse problema foi resolvido por meio de melhorias nas verificações.
CVE-2022-26776: Zubair Ashraf da Crowdstrike, Max Shavrick (@_mxms) da Google Security Team
LibreSSL
Disponível para: macOS Big Sur
Impacto: processar um certificado criado com códigos maliciosos pode causar uma negação de serviço
Descrição: um problema de negação de serviço foi resolvido por meio de melhorias na validação de entradas.
CVE-2022-0778
libxml2
Disponível para: macOS Big Sur
Impacto: um invasor remoto pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-2022-23308
OpenSSL
Disponível para: macOS Big Sur
Impacto: processar um certificado criado com códigos maliciosos pode causar uma negação de serviço
Descrição: esse problema foi resolvido por meio de melhorias nas verificações.
CVE-2022-0778
PackageKit
Disponível para: macOS Big Sur
Impacto: um app pode obter privilégios elevados
Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2022-32794: MickeHAIKU_HT_RUSH_213257_707712y Jin (@patch1t)
Entrada adicionada em 4 de outubro de 2022
PackageKit
Disponível para: macOS Big Sur
Impacto: um aplicativo malicioso pode modificar áreas protegidas do sistema de arquivos
Descrição: o problema foi resolvido por meio da remoção do código vulnerável.
CVE-2022-26712: Mickey Jin (@patch1t)
Printing
Disponível para: macOS Big Sur
Impacto: um aplicativo malicioso pode conseguir ignorar as preferências de privacidade
Descrição: o problema foi resolvido por meio da remoção do código vulnerável.
CVE-2022-26746: @gorelics
Safari Private Browsing
Disponível para: macOS Big Sur
Impacto: um site criado com códigos mal-intencionados pode rastrear usuários no Safari no modo de navegação privada
Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2022-26731: pesquisador anônimo
Entrada adicionada em 6 de julho de 2022
Security
Disponível para: macOS Big Sur
Impacto: um app malicioso pode conseguir ignorar a validação da assinatura
Descrição: um problema na análise de certificados foi resolvido por meio de melhorias nas verificações.
CVE-2022-26766: Linus Henze da Pinauten GmbH (pinauten.de)
SMB
Disponível para: macOS Big Sur
Impacto: um aplicativo pode obter privilégios elevados
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2022-26718: Peter Nguyễn Vũ Hoàng da STAR Labs
SMB
Disponível para: macOS Big Sur
Impacto: a montagem de um compartilhamento de rede Samba criado com códigos maliciosos pode causar a execução de códigos arbitrários
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
CVE-2022-26723: Felix Poulin-Belanger
SMB
Disponível para: macOS Big Sur
Impacto: um aplicativo pode obter privilégios elevados
Descrição: um problema de gravação fora dos limites foi resolvido por meio de melhorias na verificação de limites.
CVE-2022-26715: Peter Nguyễn Vũ Hoàng do STAR Labs
SoftwareUpdate
Disponível para: macOS Big Sur
Impacto: um aplicativo malicioso pode ter acesso a arquivos restritos
Descrição: esse problema foi resolvido por meio de melhorias nos direitos.
CVE-2022-26728: Mickey Jin (@patch1t)
TCC
Disponível para: macOS Big Sur
Impacto: um app pode capturar a tela de uma pessoa
Descrição: esse problema foi resolvido por meio de melhorias nas verificações.
CVE-2022-26726: Antonio Cheong Yu Xuan da YCISCQ
Entrada atualizada em 8 de junho de 2023
Tcl
Disponível para: macOS Big Sur
Impacto: um aplicativo malicioso pode sair de sua área restrita
Descrição: esse problema foi resolvido por meio de melhorias na limpeza do ambiente.
CVE-2022-26755: Arsenii Kostromin (0x3c3e)
Vim
Disponível para: macOS Big Sur
Impacto: vários problemas no Vim
Descrição: diversos problemas foram resolvidos com a atualização do Vim.
CVE-2021-4136
CVE-2021-4166
CVE-2021-4173
CVE-2021-4187
CVE-2021-4192
CVE-2021-4193
CVE-2021-46059
CVE-2022-0128
WebKit
Disponível para: macOS Big Sur
Impacto: o processamento de uma mensagem do Mail criada com códigos maliciosos pode levar à execução arbitrária de javascript
Descrição: um problema de validação foi resolvido por meio de melhorias na limpeza de entradas.
CVE-2022-22589: Heige da 404 Team da KnownSec (knownsec.com) e Bo Qu da Palo Alto Networks (paloaltonetworks.com)
Wi-Fi
Disponível para: macOS Big Sur
Impacto: um aplicativo malicioso pode expor a memória restrita
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação.
CVE-2022-26745: Scarlet Raine
Entrada atualizada em 6 de julho de 2022
Wi-Fi
Disponível para: macOS Big Sur
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2022-26761: Wang Yu da Cyberserval
zip
Disponível para: macOS Big Sur
Impacto: processar um arquivo criado com códigos maliciosos pode resultar em uma negação de serviço
Descrição: um problema de negação de serviço foi resolvido por meio de melhorias no gerenciamento de estado.
CVE-2022-0530
zlib
Disponível para: macOS Big Sur
Impacto: um invasor pode causar o encerramento inesperado de aplicativos ou a execução de códigos arbitrários
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
CVE-2018-25032: Tavis Ormandy
zsh
Disponível para: macOS Big Sur
Impacto: um invasor externo pode causar a execução arbitrária de códigos
Descrição: o problema foi resolvido com a atualização do zsh para a versão 5.8.1.
CVE-2021-45444
Outros reconhecimentos
Bluetooth
Gostaríamos de agradecer a Jann Horn do Project Zero pela ajuda.