Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
macOS Big Sur 11.6.6
Lansat pe 16 mai 2022
apache
Disponibilitate pentru: macOS Big Sur
Impact: probleme multiple în Apache
Descriere: au fost rezolvate mai multe probleme prin actualizarea apache la versiunea 2.4.53.
CVE-2021-44224
CVE-2021-44790
CVE-2022-22719
CVE-2022-22720
CVE-2022-22721
AppKit
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație rău intenționată poate să obțină privilegii de rădăcină
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea validării.
CVE-2022-22665: Lockheed Martin Red Team
AppleAVD
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel. Apple are cunoștință de un raport conform căruia această problemă ar fi putut fi exploatată în mod activ.
Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2022-22675: un cercetător anonim
AppleEvents
Disponibilitate pentru: macOS Big Sur
Impact: un atacator la distanță poate cauza o închidere neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2022-22630: Jeremy Brown în colaborare cu Trend Micro Zero Day Initiative
Adăugare intrare: 8 iunie 2023
AppleGraphicsControl
Disponibilitate pentru: macOS Big Sur
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2022-26751: Michael DePlante (@izobashi) Zero Day Initiative (Trend Micro)
AppleScript
Disponibilitate pentru: macOS Big Sur
Impact: procesarea unor date binare AppleScript create cu rea intenție poate cauza închiderea neașteptată a aplicației sau dezvăluirea memoriei de procesare
Descriere: a fost rezolvată o problemă legată de citirea în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2022-26698: Qi Sun (Trend Micro), Ye Zhang (@co0py_Cat) (Baidu Security)
Intrare actualizată pe 6 iulie 2022
AppleScript
Disponibilitate pentru: macOS Big Sur
Impact: procesarea unor date binare AppleScript create cu rea intenție poate cauza închiderea neașteptată a aplicației sau dezvăluirea memoriei de procesare
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2022-26697: Qi Sun și Robert Ai de la Trend Micro
CoreTypes
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație rău intenționată poate ocoli verificările Gatekeeper
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite pentru a preveni acțiunile neautorizate.
CVE-2022-22663: Arsenii Kostromin (0x3c3e)
CVMS
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație rău intenționată poate să obțină privilegii de rădăcină
Descriere: a fost rezolvată o problemă de inițializare a memoriei.
CVE-2022-26721: Yonghwi Jin (@jinmo123) (Theori)
CVE-2022-26722: Yonghwi Jin (@jinmo123) (Theori)
DriverKit
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație rău intenționată ar putea executa un cod arbitrar cu privilegii de sistem
Descriere: a fost rezolvată o problemă de acces în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2022-26763: Linus Henze de la Pinauten GmbH (pinauten.de)
Graphics Drivers
Disponibilitate pentru: macOS Big Sur
Impact: un utilizator local poate citi memoria kernel
Descriere: a existat o problemă de citire în afara limitelor care conducea la divulgarea conținutului memoriei kernel. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2022-22674: un cercetător anonim
Intel Graphics Driver
Disponibilitate pentru: macOS Big Sur
Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2022-26720: Liu Long (Ant Security Light-Year Lab)
Intel Graphics Driver
Disponibilitate pentru: macOS Big Sur
Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă legată de citirea în afara limitelor prin îmbunătățirea validării datelor introduse.
CVE-2022-26770: Liu Long (Ant Security Light-Year Lab)
Intel Graphics Driver
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.
CVE-2022-26756: Jack Dates de la RET2 Systems, Inc
Intel Graphics Driver
Disponibilitate pentru: macOS Big Sur
Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar cu privilegii de kernel
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2022-26769: Antonio Zekic (@antoniozekic)
Intel Graphics Driver
Disponibilitate pentru: macOS Big Sur
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.
CVE-2022-26748: Jeonghoon Shin de la Theori în colaborare cu Trend Micro Zero Day Initiative
IOMobileFrameBuffer
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2022-26768: un cercetător anonim
Kernel
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de corupere a memoriei prin îmbunătățirea validării.
CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) (STAR Labs) (@starlabs_sg)
Kernel
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2022-26757: Ned Williamson de la Google Project Zero
LaunchServices
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate să ocolească anumite preferințe de confidențialitate
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.
CVE-2021-30946: @gorelics și Ron Masas de la BreakPoint.sh
Adăugare intrare: 8 iunie 2023
LaunchServices
Disponibilitate pentru: macOS Big Sur
Impact: este posibil ca o aplicație rău intenționată să poată ocoli preferințele de confidențialitate
Descriere: problema a fost remediată prin verificări suplimentare ale permisiunilor.
CVE-2022-26767: Wojciech Reguła (@_r3ggi) de la SecuRing
LaunchServices
Disponibilitate pentru: macOS Big Sur
Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului
Descriere: o problemă legată de acces a fost rezolvată cu restricții suplimentare la nivel de sandbox aplicate aplicațiilor terțe.
CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or (Microsoft)
Intrare actualizată pe 6 iulie 2022
Libinfo
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate să ocolească preferințele de confidențialitate
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2022-32882: Zhipeng Huo (@R3dF09) și Yuebin Sun (@yuebinsun2020) de la Tencent Security Xuanwu Lab
Intrare adăugată pe 16 septembrie 2022
libresolv
Disponibilitate pentru: macOS Big Sur
Impact: un utilizator la distanță poate provoca un refuz al serviciului
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2022-32790: Max Shavrick (@_mxms) (Google Security Team)
Intrare adăugată la data de 21 iunie 2022
libresolv
Disponibilitate pentru: macOS Big Sur
Impact: un atacator poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2022-26776: Zubair Ashraf de la Crowdstrike, Max Shavrick (@_mxms) de la Google Security Team
LibreSSL
Disponibilitate pentru: macOS Big Sur
Impact: procesarea unui certificat creat cu rea intenție poate cauza o refuzare a serviciului (DoS)
Descriere: a fost rezolvată o problemă de refuzare a serviciului (DoS) prin îmbunătățirea validării intrărilor.
CVE-2022-0778
libxml2
Disponibilitate pentru: macOS Big Sur
Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2022-23308
OpenSSL
Disponibilitate pentru: macOS Big Sur
Impact: procesarea unui certificat creat cu rea intenție poate cauza o refuzare a serviciului
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2022-0778
PackageKit
Disponibilitate pentru: macOS Big Sur
Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2022-32794: Mickey Jin (@patch1t)
Intrare adăugată pe 4 octombrie 2022
PackageKit
Disponibilitate pentru: macOS Big Sur
Impact: este posibil ca o aplicație rea intenționată să poată modifica părțile protejate ale sistemului de fișiere
Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.
CVE-2022-26712: Mickey Jin (@patch1t)
Printing
Disponibilitate pentru: macOS Big Sur
Impact: este posibil ca o aplicație rău intenționată să poată ocoli preferințele de confidențialitate
Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.
CVE-2022-26746: @gorelics
Safari Private Browsing
Disponibilitate pentru: macOS Big Sur
Impact: un site web rău intenționat poate urmări utilizatori în modul de navigare privată din Safari
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2022-26731: un cercetător anonim
Intrare adăugată la data de 06 iulie 2022
Security
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație rău intenționată poate ocoli validarea semnăturilor
Descriere: a fost rezolvată o problemă legată de analiza certificatelor prin îmbunătățirea verificărilor.
CVE-2022-26766: Linus Henze (Pinauten GmbH) (pinauten.de)
SMB
Disponibilitate pentru: macOS Big Sur
Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat
Descriere: a fost rezolvată o problemă legată de citirea în afara limitelor prin îmbunătățirea validării datelor introduse.
CVE-2022-26718: Peter Nguyễn Vũ Hoàng (STAR Labs)
SMB
Disponibilitate pentru: macOS Big Sur
Impact: instalarea unei partajări în rețea Samba create cu rea intenție poate duce la executarea unui cod arbitrar
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2022-26723: Felix Poulin-Belanger
SMB
Disponibilitate pentru: macOS Big Sur
Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat
Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2022-26715: Peter Nguyễn Vũ Hoàng de la STAR Labs
SoftwareUpdate
Disponibilitate pentru: macOS Big Sur
Impact: este posibil ca o aplicație rău-intenționată să poată accesa fișierele restricționate
Descriere: această problemă a fost rezolvată prin îmbunătățirea drepturilor.
CVE-2022-26728: Mickey Jin (@patch1t)
TCC
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate captura ecranul unui utilizator
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2022-26726: Antonio Cheong Yu Xuan (YCISCQ)
Actualizare intrare: 8 iunie 2023
Tcl
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație rău intenționată poate evada din sandbox
Descriere: această problemă a fost rezolvată printr-o igienizare îmbunătățită a mediului.
CVE-2022-26755: Arsenii Kostromin (0x3c3e)
Vim
Disponibilitate pentru: macOS Big Sur
Impact: probleme multiple în Vim
Descriere: mai multe probleme au fost rezolvate prin actualizarea Vim.
CVE-2021-4136
CVE-2021-4166
CVE-2021-4173
CVE-2021-4187
CVE-2021-4192
CVE-2021-4193
CVE-2021-46059
CVE-2022-0128
WebKit
Disponibilitate pentru: macOS Big Sur
Impact: procesarea unui mesaj de e-mail creat cu rea intenție poate cauza executarea unui cod javascript arbitrar
Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.
CVE-2022-22589: Heige (KnownSec 404 Team) (knownsec.com) și Bo Qu (Palo Alto Networks) (paloaltonetworks.com)
Wi-Fi
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație rău intenționată poate divulga memorie restricționată
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării.
CVE-2022-26745: Scarlet Raine
Intrare actualizată pe 6 iulie 2022
Wi-Fi
Disponibilitate pentru: macOS Big Sur
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de corupere a memoriei prin îmbunătățirea tratării memoriei.
CVE-2022-26761: Wang Yu de la Cyberserval
zip
Disponibilitate pentru: macOS Big Sur
Impact: procesarea unui fișier creat cu rea intenție poate cauza o refuzare a serviciului
Descriere: a fost rezolvată o problemă de refuzare a serviciului (DoS) prin îmbunătățirea tratării stării.
CVE-2022-0530
zlib
Disponibilitate pentru: macOS Big Sur
Impact: un atacator poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2018-25032: Tavis Ormandy
zsh
Disponibilitate pentru: macOS Big Sur
Impact: un atacator de la distanță poate cauza executarea unui cod arbitrar
Descriere: această problemă a fost rezolvată prin actualizarea la zsh versiunea 5.8.1.
CVE-2021-45444
Alte mențiuni
Bluetooth
Dorim să îi mulțumim pentru asistență lui Jann Horn ( Project Zero).