Obsah zabezpečenia v systéme macOS Big Sur 11.6.8
V tomto dokumente sa opisuje obsah zabezpečenia v systéme macOS Big Sur 11.6.8.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
macOS Big Sur 11.6.8
APFS
Dostupné pre: macOS Big Sur
Dopad: Apka s oprávneniami používateľa root môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2022-32832: Tommy Muir (@Muirey03)
AppleMobileFileIntegrity
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná získať oprávnenia používateľa root
Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-32826: Mickey Jin (@patch1t) zo spoločnosti Trend Micro
AppleScript
Dostupné pre: macOS Big Sur
Dopad: Spracovanie binárneho súboru AppleScript so škodlivým kódom môže spôsobiť neočakávané ukončenie alebo odhalenie operačnej pamäte
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2022-32797: Mickey Jin (@patch1t), Ye Zhang (@co0py_Cat) z tímu Baidu Security, Mickey Jin (@patch1t) zo spoločnosti Trend Micro
AppleScript
Dostupné pre: macOS Big Sur
Dopad: Spracovanie binárneho súboru AppleScript so škodlivým kódom môže spôsobiť neočakávané ukončenie alebo odhalenie operačnej pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2022-32853: Ye Zhang (@co0py_Cat) z tímu Baidu Security
CVE-2022-32851: Ye Zhang (@co0py_Cat) z tímu Baidu Security
AppleScript
Dostupné pre: macOS Big Sur
Dopad: Spracovanie binárneho súboru AppleScript so škodlivým kódom môže spôsobiť neočakávané ukončenie alebo odhalenie operačnej pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2022-32831: Ye Zhang (@co0py_Cat) z tímu Baidu Security
Archive Utility
Dostupné pre: macOS Big Sur
Dopad: Archív môže byť schopný obísť funkciu Gatekeeper
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
CVE-2022-32910: Ferdous Saljooki (@malwarezoo, Jamf Software)
Audio
Dostupné pre: macOS Big Sur
Dosah: Apka môže byť schopná odhaliť obsah pamäte jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2022-32825: John Aakerblom (@jaakerblom)
Audio
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2022-32820: Anonymný výskumník
Calendar
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským informáciám
Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.
CVE-2022-32805: Csaba Fitzl (@theevilbit) zo spoločnosti Offensive Security
Calendar
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Dochádzalo k problému súvisiacemu s únikom informácií, ktorý bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2022-32849: Joshua Jones
CoreText
Dostupné pre: macOS Big Sur
Dopad: Vzdialený používateľ môže spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.
CVE-2022-32839: STAR Labs (@starlabs_sg)
FaceTime
Dostupné pre: macOS Big Sur
Dopad: Apka s oprávneniami používateľa root môže byť schopná získať prístup k súkromným informáciám
Popis: Tento problém bol vyriešený zapnutím zabezpečeného chodu apky.
CVE-2022-32781: Wojciech Reguła (@_r3ggi) z tímu SecuRing
File System Events
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná získať oprávnenia používateľa root
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-32819: Joshua Mason zo spoločnosti Mandiant
ICU
Dostupné pre: macOS Big Sur
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2022-32787: Dohyun Lee (@l33d0hyun) z tímu SSD Secure Disclosure Labs a DNSLab na Kórejskej univerzite
ImageIO
Dostupné pre: macOS Big Sur
Dopad: Spracovanie obrázka môže viesť k odopretiu služby
Popis: Dochádzalo k problému s dereferenciou smerníka s hodnotou NULL, ktorý bol vyriešený vylepšením overovania.
CVE-2022-32785: Yiğit Can YILMAZ (@yilmazcanyigit)
Intel Graphics Driver
Dostupné pre: macOS Big Sur
Dosah: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2022-32812: Yinyi Wu (@3ndy1), ABC Research s.r.o.
Intel Graphics Driver
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Nedostatočne zabezpečené miesto súvisiace s poškodením pamäte bolo odstránené vylepšením zamykania.
CVE-2022-32811: ABC Research s.r.o.
Kernel
Dostupné pre: macOS Big Sur
Dopad: Apka s oprávneniami používateľa root môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2022-32815: Xinru Chi z tímu Pangu Lab
CVE-2022-32813: Xinru Chi z tímu Pangu Lab
LaunchServices
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná obísť určité nastavenia súkromia
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2021-30946: @gorelics a Ron Masas z tímu BreakPoint.sh
libxml2
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná spôsobiť únik citlivých používateľských informácií
Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2022-32823
Multi-Touch
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)
Multi-Touch
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania stavu.
CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)
PackageKit
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Pri spracúvaní premenných prostredia dochádzalo k problému, ktorý bol vyriešený vylepšením overovania.
CVE-2022-32786: Mickey Jin (@patch1t)
PackageKit
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2022-32800: Mickey Jin (@patch1t)
PluginKit
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná čítať ľubovoľné súbory
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-32838: Mickey Jin (@patch1t) zo spoločnosti Trend Micro
PS Normalizer
Dostupné pre: macOS Big Sur
Dopad: Spracovanie súboru PostScript so škodlivým kódom môže spôsobiť neočakávané ukončenie apky alebo odhalenie operačnej pamäte
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2022-32843: Kai Lu z tímu Zscaler's ThreatLabz
Software Update
Dostupné pre: macOS Big Sur
Dopad: Používateľ s oprávneniami v sieti môže sledovať aktivitu iného používateľa
Popis: Tento problém bol vyriešený použitím zabezpečenia HTTPS pri odosielaní informácií v sieti.
CVE-2022-32857: Jeffrey Paul (sneak.berlin)
Spindump
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná prepisovať ľubovoľné súbory
Popis: Tento problém bol vyriešený vylepšením spracovania súborov.
CVE-2022-32807: Zhipeng Huo (@R3dF09) z tímu Security Xuanwu Lab spoločnosti Tencent
Spotlight
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná získať oprávnenia vyššej úrovne
Popis: Pri spracovávaní symbolických odkazov dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením overovania symbolických odkazov.
CVE-2022-26704: Joshua Mason zo spoločnosti Mandiant
TCC
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským informáciám
Popis: Problém s prístupom bol vyriešený vylepšením sandboxu.
CVE-2022-32834: Xuxiang Yang (@another1024) (Tencent Security Xuanwu Lab, xlab.tencent.com), Yuebin Sun (@yuebinsun2020) (Tencent Security Xuanwu Lab, xlab.tencent.com), Zhipeng Huo (@R3dF09) (Tencent Security Xuanwu Lab, xlab.tencent.com)
Vim
Dostupné pre: macOS Big Sur
Dopad: Viacero problémov týkajúcich sa softvéru Vim
Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizáciou softvéru Vim.
CVE-2022-0156
CVE-2022-0158
Wi-Fi
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2022-32860: Wang Yu (Cyberserval)
Wi-Fi
Dostupné pre: macOS Big Sur
Dopad: Vzdialený používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2022-32847: Wang Yu z tímu Cyberserval
Windows Server
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná zachytiť obrazovku používateľa
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
CVE-2022-32848: Jeremy Legendre z tímu MacEnhance
Ďalšie poďakovanie
Calendar
Poďakovanie za pomoc si zaslúži Joshua Jones.
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.