Despre conținutul de securitate din macOS Big Sur 11.6.6
Acest document descrie conținutul de securitate din macOS Big Sur 11.6.6.
Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
macOS Big Sur 11.6.6
Lansat pe 16 mai 2022
apache
Disponibilitate pentru: macOS Big Sur
Impact: probleme multiple în Apache
Descriere: au fost rezolvate mai multe probleme prin actualizarea apache la versiunea 2.4.53.
CVE-2021-44224
CVE-2021-44790
CVE-2022-22719
CVE-2022-22720
CVE-2022-22721
AppKit
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație rău intenționată poate să obțină privilegii de rădăcină
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea validării.
CVE-2022-22665: Lockheed Martin Red Team
AppleAVD
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel. Apple are cunoștință de un raport conform căruia această problemă ar fi putut fi exploatată în mod activ.
Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2022-22675: un cercetător anonim
AppleEvents
Disponibilitate pentru: macOS Big Sur
Impact: un atacator la distanță poate cauza o închidere neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2022-22630: Jeremy Brown în colaborare cu Trend Micro Zero Day Initiative
Adăugare intrare: 8 iunie 2023
AppleGraphicsControl
Disponibilitate pentru: macOS Big Sur
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2022-26751: Michael DePlante (@izobashi) Zero Day Initiative (Trend Micro)
AppleScript
Disponibilitate pentru: macOS Big Sur
Impact: procesarea unor date binare AppleScript create cu rea intenție poate cauza închiderea neașteptată a aplicației sau dezvăluirea memoriei de procesare
Descriere: a fost rezolvată o problemă legată de citirea în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2022-26698: Qi Sun (Trend Micro), Ye Zhang (@co0py_Cat) (Baidu Security)
Intrare actualizată pe 6 iulie 2022
AppleScript
Disponibilitate pentru: macOS Big Sur
Impact: procesarea unor date binare AppleScript create cu rea intenție poate cauza închiderea neașteptată a aplicației sau dezvăluirea memoriei de procesare
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2022-26697: Qi Sun și Robert Ai de la Trend Micro
CoreTypes
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație rău intenționată poate ocoli verificările Gatekeeper
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite pentru a preveni acțiunile neautorizate.
CVE-2022-22663: Arsenii Kostromin (0x3c3e)
CVMS
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație rău intenționată poate să obțină privilegii de rădăcină
Descriere: a fost rezolvată o problemă de inițializare a memoriei.
CVE-2022-26721: Yonghwi Jin (@jinmo123) (Theori)
CVE-2022-26722: Yonghwi Jin (@jinmo123) (Theori)
DriverKit
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație rău intenționată ar putea executa un cod arbitrar cu privilegii de sistem
Descriere: a fost rezolvată o problemă de acces în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2022-26763: Linus Henze de la Pinauten GmbH (pinauten.de)
Graphics Drivers
Disponibilitate pentru: macOS Big Sur
Impact: un utilizator local poate citi memoria kernel
Descriere: a existat o problemă de citire în afara limitelor care conducea la divulgarea conținutului memoriei kernel. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2022-22674: un cercetător anonim
Intel Graphics Driver
Disponibilitate pentru: macOS Big Sur
Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2022-26720: Liu Long (Ant Security Light-Year Lab)
Intel Graphics Driver
Disponibilitate pentru: macOS Big Sur
Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă legată de citirea în afara limitelor prin îmbunătățirea validării datelor introduse.
CVE-2022-26770: Liu Long (Ant Security Light-Year Lab)
Intel Graphics Driver
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.
CVE-2022-26756: Jack Dates de la RET2 Systems, Inc
Intel Graphics Driver
Disponibilitate pentru: macOS Big Sur
Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar cu privilegii de kernel
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2022-26769: Antonio Zekic (@antoniozekic)
Intel Graphics Driver
Disponibilitate pentru: macOS Big Sur
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.
CVE-2022-26748: Jeonghoon Shin de la Theori în colaborare cu Trend Micro Zero Day Initiative
IOMobileFrameBuffer
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2022-26768: un cercetător anonim
Kernel
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de corupere a memoriei prin îmbunătățirea validării.
CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) (STAR Labs) (@starlabs_sg)
Kernel
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2022-26757: Ned Williamson de la Google Project Zero
LaunchServices
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate să ocolească anumite preferințe de confidențialitate
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.
CVE-2021-30946: @gorelics și Ron Masas de la BreakPoint.sh
Adăugare intrare: 8 iunie 2023
LaunchServices
Disponibilitate pentru: macOS Big Sur
Impact: este posibil ca o aplicație rău intenționată să poată ocoli preferințele de confidențialitate
Descriere: problema a fost remediată prin verificări suplimentare ale permisiunilor.
CVE-2022-26767: Wojciech Reguła (@_r3ggi) de la SecuRing
LaunchServices
Disponibilitate pentru: macOS Big Sur
Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului
Descriere: o problemă legată de acces a fost rezolvată cu restricții suplimentare la nivel de sandbox aplicate aplicațiilor terțe.
CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or (Microsoft)
Intrare actualizată pe 6 iulie 2022
Libinfo
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate să ocolească preferințele de confidențialitate
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2022-32882: Zhipeng Huo (@R3dF09) și Yuebin Sun (@yuebinsun2020) de la Tencent Security Xuanwu Lab
Intrare adăugată pe 16 septembrie 2022
libresolv
Disponibilitate pentru: macOS Big Sur
Impact: un utilizator la distanță poate provoca un refuz al serviciului
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2022-32790: Max Shavrick (@_mxms) (Google Security Team)
Intrare adăugată la data de 21 iunie 2022
libresolv
Disponibilitate pentru: macOS Big Sur
Impact: un atacator poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2022-26776: Zubair Ashraf de la Crowdstrike, Max Shavrick (@_mxms) de la Google Security Team
LibreSSL
Disponibilitate pentru: macOS Big Sur
Impact: procesarea unui certificat creat cu rea intenție poate cauza o refuzare a serviciului (DoS)
Descriere: a fost rezolvată o problemă de refuzare a serviciului (DoS) prin îmbunătățirea validării intrărilor.
CVE-2022-0778
libxml2
Disponibilitate pentru: macOS Big Sur
Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2022-23308
OpenSSL
Disponibilitate pentru: macOS Big Sur
Impact: procesarea unui certificat creat cu rea intenție poate cauza o refuzare a serviciului
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2022-0778
PackageKit
Disponibilitate pentru: macOS Big Sur
Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2022-32794: Mickey Jin (@patch1t)
Intrare adăugată pe 4 octombrie 2022
PackageKit
Disponibilitate pentru: macOS Big Sur
Impact: este posibil ca o aplicație rea intenționată să poată modifica părțile protejate ale sistemului de fișiere
Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.
CVE-2022-26712: Mickey Jin (@patch1t)
Printing
Disponibilitate pentru: macOS Big Sur
Impact: este posibil ca o aplicație rău intenționată să poată ocoli preferințele de confidențialitate
Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.
CVE-2022-26746: @gorelics
Safari Private Browsing
Disponibilitate pentru: macOS Big Sur
Impact: un site web rău intenționat poate urmări utilizatori în modul de navigare privată din Safari
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2022-26731: un cercetător anonim
Intrare adăugată la data de 06 iulie 2022
Security
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație rău intenționată poate ocoli validarea semnăturilor
Descriere: a fost rezolvată o problemă legată de analiza certificatelor prin îmbunătățirea verificărilor.
CVE-2022-26766: Linus Henze (Pinauten GmbH) (pinauten.de)
SMB
Disponibilitate pentru: macOS Big Sur
Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat
Descriere: a fost rezolvată o problemă legată de citirea în afara limitelor prin îmbunătățirea validării datelor introduse.
CVE-2022-26718: Peter Nguyễn Vũ Hoàng (STAR Labs)
SMB
Disponibilitate pentru: macOS Big Sur
Impact: instalarea unei partajări în rețea Samba create cu rea intenție poate duce la executarea unui cod arbitrar
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2022-26723: Felix Poulin-Belanger
SMB
Disponibilitate pentru: macOS Big Sur
Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat
Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2022-26715: Peter Nguyễn Vũ Hoàng de la STAR Labs
SoftwareUpdate
Disponibilitate pentru: macOS Big Sur
Impact: este posibil ca o aplicație rău-intenționată să poată accesa fișierele restricționate
Descriere: această problemă a fost rezolvată prin îmbunătățirea drepturilor.
CVE-2022-26728: Mickey Jin (@patch1t)
TCC
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate captura ecranul unui utilizator
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2022-26726: Antonio Cheong Yu Xuan (YCISCQ)
Actualizare intrare: 8 iunie 2023
Tcl
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație rău intenționată poate evada din sandbox
Descriere: această problemă a fost rezolvată printr-o igienizare îmbunătățită a mediului.
CVE-2022-26755: Arsenii Kostromin (0x3c3e)
Vim
Disponibilitate pentru: macOS Big Sur
Impact: probleme multiple în Vim
Descriere: mai multe probleme au fost rezolvate prin actualizarea Vim.
CVE-2021-4136
CVE-2021-4166
CVE-2021-4173
CVE-2021-4187
CVE-2021-4192
CVE-2021-4193
CVE-2021-46059
CVE-2022-0128
WebKit
Disponibilitate pentru: macOS Big Sur
Impact: procesarea unui mesaj de e-mail creat cu rea intenție poate cauza executarea unui cod javascript arbitrar
Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.
CVE-2022-22589: Heige (KnownSec 404 Team) (knownsec.com) și Bo Qu (Palo Alto Networks) (paloaltonetworks.com)
Wi-Fi
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație rău intenționată poate divulga memorie restricționată
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării.
CVE-2022-26745: Scarlet Raine
Intrare actualizată pe 6 iulie 2022
Wi-Fi
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de corupere a memoriei prin îmbunătățirea tratării memoriei.
CVE-2022-26761: Wang Yu de la Cyberserval
zip
Disponibilitate pentru: macOS Big Sur
Impact: procesarea unui fișier creat cu rea intenție poate cauza o refuzare a serviciului
Descriere: a fost rezolvată o problemă de refuzare a serviciului (DoS) prin îmbunătățirea tratării stării.
CVE-2022-0530
zlib
Disponibilitate pentru: macOS Big Sur
Impact: un atacator poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2018-25032: Tavis Ormandy
zsh
Disponibilitate pentru: macOS Big Sur
Impact: un atacator de la distanță poate cauza executarea unui cod arbitrar
Descriere: această problemă a fost rezolvată prin actualizarea la zsh versiunea 5.8.1.
CVE-2021-45444
Alte mențiuni
Bluetooth
Dorim să îi mulțumim pentru asistență lui Jann Horn ( Project Zero).
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.