Despre conținutul de securitate din macOS Big Sur 11.6.5
Acest document descrie conținutul de securitate din macOS Big Sur 11.6.5.
Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
macOS Big Sur 11.6.5
Accelerate Framework
Disponibilitate pentru: macOS Big Sur
Impact: deschiderea unui fișier PDF creat cu rea intenție poate duce la închiderea neașteptată a aplicației sau la executarea unui cod aleatoriu
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2022-22633: ryuzaki
AppKit
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație rău intenționată poate să obțină privilegii de rădăcină
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea validării.
CVE-2022-22665: Lockheed Martin Red Team
AppleGraphicsControl
Disponibilitate pentru: macOS Big Sur
Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat
Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2022-22631: Wang Yu de la cyberserval
AppleScript
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate citi memorie restricționată
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2022-22648: Mickey Jin (@patch1t) de la Trend Micro
AppleScript
Disponibilitate pentru: macOS Big Sur
Impact: procesarea unor date binare AppleScript create cu rea intenție poate cauza închiderea neașteptată a aplicației sau dezvăluirea memoriei de procesare
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2022-22627: Qi Sun și Robert Ai (Trend Micro)
CVE-2022-22626: Mickey Jin (@patch1t) (Trend Micro)
AppleScript
Disponibilitate pentru: macOS Big Sur
Impact: procesarea unor date binare AppleScript create cu rea intenție poate cauza închiderea neașteptată a aplicației sau dezvăluirea memoriei de procesare
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2022-22625: Mickey Jin (@patch1t) (Trend Micro)
AppleScript
Disponibilitate pentru: macOS Big Sur
Impact: procesarea unui fișier creat cu rea intenție poate duce la executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării.
CVE-2022-22597: Qi Sun și Robert Ai (Trend Micro)
BOM
Disponibilitate pentru: macOS Big Sur
Impact: o arhivă ZIP creată cu rea intenție poate ocoli verificările Gatekeeper
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2022-22616: Ferdous Saljooki (@malwarezoo) și Jaron Bradley (@jbradley89) (Jamf Software), Mickey Jin (@patch1t)
CUPS
Disponibilitate pentru: macOS Big Sur
Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2022-26691: Joshua Mason de la Mandiant
Intel Graphics Driver
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea tratării stării.
CVE-2022-46706: Wang Yu de la Cyberserval și Pan ZhenPeng (@Peterpan0927) de la Alibaba Security Pandora Lab
Intel Graphics Driver
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea tratării stării.
CVE-2022-22661: Wang Yu of Cyberserval și Pan ZhenPeng (@Peterpan0927) de la Alibaba Security Pandora Lab
Kernel
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2022-22613: Alex, un cercetător anonim
Kernel
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2022-22615: un cercetător anonim
CVE-2022-22614: un cercetător anonim
Kernel
Disponibilitate pentru: macOS Big Sur
Impact: un atacator în poziție privilegiată ar putea iniția un atac de refuzare a serviciului
Descriere: a fost rezolvată o problemă de anulare a referinței pentru indicatorul nul prin îmbunătățirea validării.
CVE-2022-22638: derrek (@derrekr6)
Kernel
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație rău intenționată poate să acorde privilegii superioare
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2022-22632: Keegan Saunders
Login Window
Disponibilitate pentru: macOS Big Sur
Impact: o persoană cu acces la un computer Mac poate reuși să evite fereastra de login
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2022-22647: Yuto Ikeda de la Kyushu University
LoginWindow
Disponibilitate pentru: macOS Big Sur
Impact: este posibil ca un atacator local să vadă desktopul utilizatorului conectat anterior pe ecranul pentru comutarea rapidă a utilizatorului
Descriere: a fost rezolvată o problemă de autentificare prin îmbunătățirea gestionării stării.
CVE-2022-22656
MobileAccessoryUpdater
Disponibilitate pentru: macOS Big Sur
Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2022-22672: Siddharth Aeri (@b1n4r1b01)
PackageKit
Disponibilitate pentru: macOS Big Sur
Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2022-22617: Mickey Jin (@patch1t)
PackageKit
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație rău intenționată cu privilegii de rădăcină poate să modifice conținutul fișierelor de sistem
Descriere: a fost rezolvată o problemă privind tratarea symlinkurilor prin îmbunătățirea validării.
CVE-2022-26688: Mickey Jin (@patch1t) de la Trend Micro
QuickTime Player
Disponibilitate pentru: macOS Big Sur
Impact: un plug-in poate fi capabil să moștenească permisiunile aplicației și să acceseze datele utilizatorului
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2022-22650: Wojciech Reguła (@_r3ggi) (SecuRing)
Siri
Disponibilitate pentru: macOS Big Sur
Impact: o persoană care are acces fizic la un dispozitiv ar putea folosi Siri pentru a obține anumite informații despre locație din ecranul de blocare
Descriere: a fost rezolvată o problemă de permisiune prin îmbunătățirea validării.
CVE-2022-22599: Andrew Goldberg (University of Texas, Austin, McCombs School of Business) (linkedin.com/andrew-goldberg-/)
SMB
Disponibilitate pentru: macOS Big Sur
Impact: un atacator la distanță ar putea cauza închiderea neașteptată a sistemului sau ar putea corupe memoria kernel
Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2022-22651: Felix Poulin-Belanger
WebKit
Disponibilitate pentru: macOS Big Sur
Impact: procesarea conținutului unui site web rău intenționat poate dezvălui informații sensibile ale utilizatorului
Descriere: a fost rezolvată o problemă de gestionare a modulelor cookie prin gestionarea îmbunătățită a stării.
CVE-2022-22662: Prakash (@1lastBr3ath) (Threat Nix)
WebKit
Disponibilitate pentru: macOS Big Sur
Impact: procesarea conținutului unui site web rău intenționat poate dezvălui informații sensibile ale utilizatorului
Descriere: a fost rezolvată o problemă de gestionare a modulelor cookie prin gestionarea îmbunătățită a stării.
CVE-2022-22662: Prakash (@1lastBr3ath) (Threat Nix)
xar
Disponibilitate pentru: macOS Big Sur
Impact: este posibil ca un utilizator local să poată scrie fișiere arbitrare
Descriere: a existat o problemă de validare la tratarea symlinkurilor. Această problemă a fost rezolvată prin îmbunătățirea validării linkurilor simbolice.
CVE-2022-22582: Richard Warren de la NCC Group
Alte mențiuni
Intel Graphics Driver
Dorim să-i mulțumim lui Jack Dates (RET2 Systems, Inc.) și lui Yinyi Wu (@3ndy1) pentru asistența acordată.
syslog
Dorim să îi mulțumim lui Yonghwi Jin (@jinmo123) (Theori) pentru asistența acordată.
TCC
Dorim să îi mulțumim lui Csaba Fitzl (@theevilbit) (Offensive Security) pentru asistență.
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.