Сведения о проблемах системы безопасности, устраняемых обновлением macOS Big Sur 11.7

В этом документе описаны проблемы системы безопасности, устраняемые обновлением macOS Big Sur 11.7.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительную информацию о безопасности продуктов Apple см. на этой странице.

macOS Big Sur 11.7

AppleMobileFileIntegrity

Целевые продукты: macOS Big Sur

Воздействие. Приложение может получать доступ к конфиденциальным пользовательским данным.

Описание. Проблема с проверкой подписания кода устранена путем улучшения проверок.

CVE-2022-42789: Koh M. Nakagawa из FFRI Security, Inc.

ATS

Целевые продукты: macOS Big Sur

Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.

Описание. Проблема доступа устранена путем ввода дополнительных ограничений изолированной среды.

CVE-2022-32904: Mickey Jin (@patch1t)

ATS

Целевые продукты: macOS Big Sur

Воздействие. Приложение может обойти настройки конфиденциальности.

Описание. Логическая проблема устранена путем улучшенного управления состояниями.

CVE-2022-32902: Mickey Jin (@patch1t)

Calendar

Целевые продукты: macOS Big Sur

Воздействие. Приложение может получать доступ к конфиденциальным данным о геопозиции.

Описание. Проблема доступа устранена путем улучшения ограничений доступа.

CVE-2022-42819: анонимный исследователь

Contacts

Целевые продукты: macOS Big Sur

Воздействие. Приложение может обойти настройки конфиденциальности.

Описание. Проблема устранена путем улучшения проверок.

CVE-2022-32854: Holger Fuhrmannek из Deutsche Telekom Security

GarageBand

Целевые продукты: macOS Big Sur

Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.

Описание. Проблема конфигурации решена посредством добавления дополнительных ограничений.

CVE-2022-32877: Wojciech Reguła (@_r3ggi) из SecuRing

ImageIO

Целевые продукты: macOS Big Sur

Воздействие. Обработка изображения может приводить к отказу в обслуживании.

Описание. Проблема с отказом в обслуживании устранена путем улучшения процедуры проверки.

CVE-2022-1622

Image Processing

Целевые продукты: macOS Big Sur

Воздействие. Приложение в изолированной среде может определять, какое приложение в данный момент времени использует камеру.

Описание. Проблема устранена путем ввода дополнительных ограничений на возможность отслеживать состояния приложений.

CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)

iMovie

Целевые продукты: macOS Big Sur

Воздействие. Пользователь может просматривать конфиденциальные пользовательские данные.

Описание. Проблема устранена путем включения защищенной среды выполнения.

CVE-2022-32896: Wojciech Reguła (@_r3ggi)

Kernel

Целевые продукты: macOS Big Sur

Воздействие. Подключение к вредоносному серверу NFS может привести к выполнению произвольного кода с привилегиями ядра.

Описание. Проблема устранена путем улучшенной проверки границ.

CVE-2022-46701: Felix Poulin-Belanger

Kernel

Целевые продукты: macOS Big Sur

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2022-32914: пользователь Zweig из Kunlun Lab

Kernel

Целевые продукты: macOS Big Sur

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2022-32866: Linus Henze из Pinauten GmbH (pinauten.de)

CVE-2022-32911: пользователь Zweig из Kunlun Lab

CVE-2022-32924: Ian Beer из подразделения Google Project Zero

Kernel

Целевые продукты: macOS Big Sur

Воздействие. Приложение может раскрывать данные из памяти ядра.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2022-32864: Linus Henze из Pinauten GmbH (pinauten.de)

Kernel

Целевые продукты: macOS Big Sur

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра. Компании Apple известно о том, что этой проблемой могли активно пользоваться.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2022-32894: анонимный исследователь

Kernel

Целевые продукты: macOS Big Sur

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра. Компании Apple известно о том, что этой проблемой могли активно пользоваться.

Описание. Проблема устранена путем улучшенной проверки границ.

CVE-2022-32917: анонимный исследователь

Maps

Целевые продукты: macOS Big Sur

Воздействие. Приложение может получать доступ к конфиденциальным данным о геопозиции.

Описание. Проблема с логикой устранена путем улучшения ограничений.

CVE-2022-32883: Ron Masas из breakpointhq.com

MediaLibrary

Целевые продукты: macOS Big Sur

Воздействие. Пользователь может повышать уровень привилегий.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.

CVE-2022-32908: анонимный исследователь

ncurses

Целевые продукты: macOS Big Sur

Воздействие. Пользователь может выполнить произвольный код или вызвать неожиданное завершение работы приложения.

Описание. Проблема переполнения буфера решена посредством улучшенной проверки границ.

CVE-2021-39537

PackageKit

Целевые продукты: macOS Big Sur

Воздействие. Приложение может получить повышенные привилегии.

Описание. Логическая проблема устранена путем улучшенного управления состояниями.

CVE-2022-32900: Mickey Jin (@patch1t)

Sandbox

Целевые продукты: macOS Big Sur

Воздействие. Приложение может изменять защищенные области файловой системы.

Описание. Проблема с логикой устранена путем улучшения ограничений.

CVE-2022-32881: Csaba Fitzl (@theevilbit) из Offensive Security

Security

Целевые продукты: macOS Big Sur

Воздействие. Приложение может обходить проверки подписания кода.

Описание. Проблема с проверкой подписания кода устранена путем улучшения проверок.

CVE-2022-42793: Linus Henze из Pinauten GmbH (pinauten.de)

Sidecar

Целевые продукты: macOS Big Sur

Воздействие. Пользователь может просматривать содержимое с ограниченным доступом на экране блокировки.

Описание. Логическая проблема устранена путем улучшенного управления состояниями.

CVE-2022-42790: Om kothawade из Zaprico Digital

SMB

Целевые продукты: macOS Big Sur

Воздействие. Удаленный пользователь может вызвать выполнение кода ядра.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2022-32934: Felix Poulin-Belanger

Vim

Целевые продукты: macOS Big Sur

Воздействие. Обработка вредоносного файла может вызывать отказ в обслуживании или раскрывать содержимое памяти.

Описание. Проблема устранена путем улучшения проверок.

CVE-2022-1720

CVE-2022-2000

CVE-2022-2042

CVE-2022-2124

CVE-2022-2125

CVE-2022-2126

Weather

Целевые продукты: macOS Big Sur

Воздействие. Приложение может получать доступ к конфиденциальным данным о геопозиции.

Описание. Логическая проблема устранена путем улучшенного управления состояниями.

CVE-2022-32875: анонимный исследователь

WebKit

Целевые продукты: macOS Big Sur

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2022-32888: пользователь P1umer (@p1umer)

Дополнительные благодарности

apache

Выражаем благодарность за помощь Tricia Lee из Enterprise Service Center.

Identity Services

Выражаем благодарность за помощь Joshua Jones.