Despre conținutul de securitate din macOS Big Sur 11.6.6

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.

Lansat pe 16 mai 2022

apache

Disponibilitate pentru: macOS Big Sur

Impact: probleme multiple în Apache

Descriere: au fost rezolvate mai multe probleme prin actualizarea apache la versiunea 2.4.53.

CVE-2021-44224

CVE-2021-44790

CVE-2022-22719

CVE-2022-22720

CVE-2022-22721

AppKit

Disponibilitate pentru: macOS Big Sur

Impact: o aplicație rău intenționată poate să obțină privilegii de rădăcină

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea validării.

CVE-2022-22665: Lockheed Martin Red Team

AppleAVD

Disponibilitate pentru: macOS Big Sur

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel. Apple are cunoștință de un raport conform căruia această problemă ar fi putut fi exploatată în mod activ.

Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2022-22675: un cercetător anonim

AppleEvents

Disponibilitate pentru: macOS Big Sur

Impact: un atacator la distanță poate cauza o închidere neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2022-22630: Jeremy Brown în colaborare cu Trend Micro Zero Day Initiative

Adăugare intrare: 8 iunie 2023

AppleGraphicsControl

Disponibilitate pentru: macOS Big Sur

Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: o problemă de corupere a memoriei a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2022-26751: Michael DePlante (@izobashi) Zero Day Initiative (Trend Micro)

AppleScript

Disponibilitate pentru: macOS Big Sur

Impact: procesarea unor date binare AppleScript create cu rea intenție poate cauza închiderea neașteptată a aplicației sau dezvăluirea memoriei de procesare

Descriere: a fost rezolvată o problemă legată de citirea în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2022-26698: Qi Sun (Trend Micro), Ye Zhang (@co0py_Cat) (Baidu Security)

Intrare actualizată pe 6 iulie 2022

AppleScript

Disponibilitate pentru: macOS Big Sur

Impact: procesarea unor date binare AppleScript create cu rea intenție poate cauza închiderea neașteptată a aplicației sau dezvăluirea memoriei de procesare

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2022-26697: Qi Sun și Robert Ai de la Trend Micro

CoreTypes

Disponibilitate pentru: macOS Big Sur

Impact: o aplicație rău intenționată poate ocoli verificările Gatekeeper

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite pentru a preveni acțiunile neautorizate.

CVE-2022-22663: Arsenii Kostromin (0x3c3e)

CVMS

Disponibilitate pentru: macOS Big Sur

Impact: o aplicație rău intenționată poate să obțină privilegii de rădăcină

Descriere: a fost rezolvată o problemă de inițializare a memoriei.

CVE-2022-26721: Yonghwi Jin (@jinmo123) (Theori)

CVE-2022-26722: Yonghwi Jin (@jinmo123) (Theori)

DriverKit

Disponibilitate pentru: macOS Big Sur

Impact: o aplicație rău intenționată ar putea executa un cod arbitrar cu privilegii de sistem

Descriere: a fost rezolvată o problemă de acces în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2022-26763: Linus Henze de la Pinauten GmbH (pinauten.de)

Graphics Drivers

Disponibilitate pentru: macOS Big Sur

Impact: un utilizator local poate citi memoria kernel

Descriere: a existat o problemă de citire în afara limitelor care conducea la divulgarea conținutului memoriei kernel. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2022-22674: un cercetător anonim

Intel Graphics Driver

Disponibilitate pentru: macOS Big Sur

Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2022-26720: Liu Long (Ant Security Light-Year Lab)

Intel Graphics Driver

Disponibilitate pentru: macOS Big Sur

Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă legată de citirea în afara limitelor prin îmbunătățirea validării datelor introduse.

CVE-2022-26770: Liu Long (Ant Security Light-Year Lab)

Intel Graphics Driver

Disponibilitate pentru: macOS Big Sur

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.

CVE-2022-26756: Jack Dates de la RET2 Systems, Inc

Intel Graphics Driver

Disponibilitate pentru: macOS Big Sur

Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar cu privilegii de kernel

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2022-26769: Antonio Zekic (@antoniozekic)

Intel Graphics Driver

Disponibilitate pentru: macOS Big Sur

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.

CVE-2022-26748: Jeonghoon Shin de la Theori în colaborare cu Trend Micro Zero Day Initiative

IOMobileFrameBuffer

Disponibilitate pentru: macOS Big Sur

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2022-26768: un cercetător anonim

Kernel

Disponibilitate pentru: macOS Big Sur

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de corupere a memoriei prin îmbunătățirea validării.

CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) (STAR Labs) (@starlabs_sg)

Kernel

Disponibilitate pentru: macOS Big Sur

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2022-26757: Ned Williamson de la Google Project Zero

LaunchServices

Disponibilitate pentru: macOS Big Sur

Impact: o aplicație poate să ocolească anumite preferințe de confidențialitate

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.

CVE-2021-30946: @gorelics și Ron Masas de la BreakPoint.sh

Adăugare intrare: 8 iunie 2023

LaunchServices

Disponibilitate pentru: macOS Big Sur

Impact: este posibil ca o aplicație rău intenționată să poată ocoli preferințele de confidențialitate

Descriere: problema a fost remediată prin verificări suplimentare ale permisiunilor.

CVE-2022-26767: Wojciech Reguła (@_r3ggi) de la SecuRing

LaunchServices

Disponibilitate pentru: macOS Big Sur

Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului

Descriere: o problemă legată de acces a fost rezolvată cu restricții suplimentare la nivel de sandbox aplicate aplicațiilor terțe.

CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or (Microsoft)

Intrare actualizată pe 6 iulie 2022

Libinfo

Disponibilitate pentru: macOS Big Sur

Impact: o aplicație poate să ocolească preferințele de confidențialitate

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2022-32882: Zhipeng Huo (@R3dF09) și Yuebin Sun (@yuebinsun2020) de la Tencent Security Xuanwu Lab

Intrare adăugată pe 16 septembrie 2022

libresolv

Disponibilitate pentru: macOS Big Sur

Impact: un utilizator la distanță poate provoca un refuz al serviciului

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2022-32790: Max Shavrick (@_mxms) (Google Security Team)

Intrare adăugată la data de 21 iunie 2022

libresolv

Disponibilitate pentru: macOS Big Sur

Impact: un atacator poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2022-26776: Zubair Ashraf de la Crowdstrike, Max Shavrick (@_mxms) de la Google Security Team

LibreSSL

Disponibilitate pentru: macOS Big Sur

Impact: procesarea unui certificat creat cu rea intenție poate cauza o refuzare a serviciului (DoS)

Descriere: a fost rezolvată o problemă de refuzare a serviciului (DoS) prin îmbunătățirea validării intrărilor.

CVE-2022-0778

libxml2

Disponibilitate pentru: macOS Big Sur

Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2022-23308

OpenSSL

Disponibilitate pentru: macOS Big Sur

Impact: procesarea unui certificat creat cu rea intenție poate cauza o refuzare a serviciului

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2022-0778

PackageKit

Disponibilitate pentru: macOS Big Sur

Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2022-32794: Mickey Jin (@patch1t)

Intrare adăugată pe 4 octombrie 2022

PackageKit

Disponibilitate pentru: macOS Big Sur

Impact: este posibil ca o aplicație rea intenționată să poată modifica părțile protejate ale sistemului de fișiere

Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.

CVE-2022-26712: Mickey Jin (@patch1t)

Printing

Disponibilitate pentru: macOS Big Sur

Impact: este posibil ca o aplicație rău intenționată să poată ocoli preferințele de confidențialitate

Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.

CVE-2022-26746: @gorelics

Safari Private Browsing

Disponibilitate pentru: macOS Big Sur

Impact: un site web rău intenționat poate urmări utilizatori în modul de navigare privată din Safari

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2022-26731: un cercetător anonim

Intrare adăugată la data de 06 iulie 2022

Security

Disponibilitate pentru: macOS Big Sur

Impact: o aplicație rău intenționată poate ocoli validarea semnăturilor

Descriere: a fost rezolvată o problemă legată de analiza certificatelor prin îmbunătățirea verificărilor.

CVE-2022-26766: Linus Henze (Pinauten GmbH) (pinauten.de)

SMB

Disponibilitate pentru: macOS Big Sur

Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat

Descriere: a fost rezolvată o problemă legată de citirea în afara limitelor prin îmbunătățirea validării datelor introduse.

CVE-2022-26718: Peter Nguyễn Vũ Hoàng (STAR Labs)

SMB

Disponibilitate pentru: macOS Big Sur

Impact: instalarea unei partajări în rețea Samba create cu rea intenție poate duce la executarea unui cod arbitrar

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2022-26723: Felix Poulin-Belanger

SMB

Disponibilitate pentru: macOS Big Sur

Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat

Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2022-26715: Peter Nguyễn Vũ Hoàng de la STAR Labs

SoftwareUpdate

Disponibilitate pentru: macOS Big Sur

Impact: este posibil ca o aplicație rău-intenționată să poată accesa fișierele restricționate

Descriere: această problemă a fost rezolvată prin îmbunătățirea drepturilor.

CVE-2022-26728: Mickey Jin (@patch1t)

TCC

Disponibilitate pentru: macOS Big Sur

Impact: o aplicație poate captura ecranul unui utilizator

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2022-26726: Antonio Cheong Yu Xuan (YCISCQ)

Actualizare intrare: 8 iunie 2023

Tcl

Disponibilitate pentru: macOS Big Sur

Impact: o aplicație rău intenționată poate evada din sandbox

Descriere: această problemă a fost rezolvată printr-o igienizare îmbunătățită a mediului.

CVE-2022-26755: Arsenii Kostromin (0x3c3e)

Vim

Disponibilitate pentru: macOS Big Sur

Impact: probleme multiple în Vim

Descriere: mai multe probleme au fost rezolvate prin actualizarea Vim.

CVE-2021-4136

CVE-2021-4166

CVE-2021-4173

CVE-2021-4187

CVE-2021-4192

CVE-2021-4193

CVE-2021-46059

CVE-2022-0128

WebKit

Disponibilitate pentru: macOS Big Sur

Impact: procesarea unui mesaj de e-mail creat cu rea intenție poate cauza executarea unui cod javascript arbitrar

Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.

CVE-2022-22589: Heige (KnownSec 404 Team) (knownsec.com) și Bo Qu (Palo Alto Networks) (paloaltonetworks.com)

Wi-Fi

Disponibilitate pentru: macOS Big Sur

Impact: o aplicație rău intenționată poate divulga memorie restricționată

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării.

CVE-2022-26745: Scarlet Raine

Intrare actualizată pe 6 iulie 2022

Wi-Fi

Disponibilitate pentru: macOS Big Sur

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de corupere a memoriei prin îmbunătățirea tratării memoriei.

CVE-2022-26761: Wang Yu de la Cyberserval

zip

Disponibilitate pentru: macOS Big Sur

Impact: procesarea unui fișier creat cu rea intenție poate cauza o refuzare a serviciului

Descriere: a fost rezolvată o problemă de refuzare a serviciului (DoS) prin îmbunătățirea tratării stării.

CVE-2022-0530

zlib

Disponibilitate pentru: macOS Big Sur

Impact: un atacator poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: o problemă de corupere a memoriei a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2018-25032: Tavis Ormandy

zsh

Disponibilitate pentru: macOS Big Sur

Impact: un atacator de la distanță poate cauza executarea unui cod arbitrar

Descriere: această problemă a fost rezolvată prin actualizarea la zsh versiunea 5.8.1.

CVE-2021-45444

Bluetooth

Dorim să îi mulțumim pentru asistență lui Jann Horn ( Project Zero).