Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
macOS Big Sur 11.6.6
Dátum vydania: 16. mája 2022
apache
Dostupné pre: macOS Big Sur
Dopad: Viacero problémov v súčasti apache
Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním súčasti apache na verziu 2.4.53.
CVE-2021-44224
CVE-2021-44790
CVE-2022-22719
CVE-2022-22720
CVE-2022-22721
AppKit
Dostupné pre: macOS Big Sur
Dopad: Apka so škodlivým kódom môže byť schopná získať prístup k oprávneniam správcu
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.
CVE-2022-22665: Lockheed Martin Red Team
AppleAVD
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra. Spoločnosť Apple vie o hlásení o tom, že tento problém mohol byť aktívne zneužitý.
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2022-22675: Anonymný výskumník
AppleEvents
Dostupné pre: macOS Big Sur
Dopad: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2022-22630: Jeremy Brown v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Dátum pridania záznamu: 8. júna 2023
AppleGraphicsControl
Dostupné pre: macOS Big Sur
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2022-26751: Michael DePlante (@izobashi) (Trend Micro Zero Day Initiative)
AppleScript
Dostupné pre: macOS Big Sur
Dopad: Spracovanie binárneho súboru AppleScript so škodlivým kódom môže spôsobiť neočakávané ukončenie apky alebo odhalenie operačnej pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2022-26698: Qi Sun z tímu Trend Micro, Ye Zhang (@co0py_Cat) z tímu Baidu Security
Dátum aktualizovania záznamu: 6. júla 2022
AppleScript
Dostupné pre: macOS Big Sur
Dopad: Spracovanie binárneho súboru AppleScript so škodlivým kódom môže spôsobiť neočakávané ukončenie apky alebo odhalenie operačnej pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2022-26697: Qi Sun a Robert Ai zo spoločnosti Trend Micro
CoreTypes
Dostupné pre: macOS Big Sur
Dopad: Apka so škodlivým kódom môže obísť kontroly modulu Gatekeeper
Popis: Tento problém bol vyriešený vylepšením kontrol, aby sa zabránilo neoprávneným akciám.
CVE-2022-22663: Arsenii Kostromin (0x3c3e)
CVMS
Dostupné pre: macOS Big Sur
Dopad: Aplikácia so škodlivým kódom môže byť schopná získať prístup k oprávneniam správcu
Popis: Bol vyriešený problém s inicializáciou pamäte.
CVE-2022-26721: Yonghwi Jin (@jinmo123) (Theori)
CVE-2022-26722: Yonghwi Jin (@jinmo123) (Theori)
DriverKit
Dostupné pre: macOS Big Sur
Dopad: Apka so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2022-26763: Linus Henze zo spoločnosti Pinauten GmbH (pinauten.de)
Graphics Drivers
Dostupné pre: macOS Big Sur
Dopad: Lokálny používateľ môže byť schopný čítať pamäť jadra
Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý viedol k odhaleniu pamäte jadra. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2022-22674: Anonymný výskumník
Intel Graphics Driver
Dostupné pre: macOS Big Sur
Dopad: Apka so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2022-26720: Liu Long (Ant Security Light-Year Lab)
Intel Graphics Driver
Dostupné pre: macOS Big Sur
Dopad: Apka so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2022-26770: Liu Long (Ant Security Light-Year Lab)
Intel Graphics Driver
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2022-26756: Jack Dates zo spoločnosti RET2 Systems, Inc.
Intel Graphics Driver
Dostupné pre: macOS Big Sur
Dopad: Apka so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2022-26769: Antonio Zekic (@antoniozekic)
Intel Graphics Driver
Dostupné pre: macOS Big Sur
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2022-26748: Jeonghoon Shin z tímu Theori v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
IOMobileFrameBuffer
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-26768: Anonymný výskumník
Kernel
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) zo STAR Labs (@starlabs_sg)
Kernel
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2022-26757: Ned Williamson z tímu Google Project Zero
LaunchServices
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná obísť určité nastavenia súkromia
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2021-30946: @gorelics a Ron Masas z tímu BreakPoint.sh
Dátum pridania záznamu: 8. júna 2023
LaunchServices
Dostupné pre: macOS Big Sur
Dopad: Apka so škodlivým kódom môže byť schopná obísť nastavenia ochrany súkromia
Popis: Tento problém bol vyriešený pridaním ďalších kontrol povolení.
CVE-2022-26767: Wojciech Reguła (@_r3ggi) z tímu SecuRing
LaunchServices
Dostupné pre: macOS Big Sur
Dopad: Proces sandboxu môže byť schopný obísť obmedzenia sandboxu
Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený používaním ďalších obmedzení sandboxu pre aplikácie od iných výrobcov.
CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or zo spoločnosti Microsoft
Dátum aktualizovania záznamu: 6. júla 2022
Libinfo
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná obísť nastavenia súkromia
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2022-32882: Zhipeng Huo (@R3dF09) a Yuebin Sun (@yuebinsun2020) z tímu Security Xuanwu Lab spoločnosti Tencent
Dátum pridania záznamu: 16. septembra 2022
libresolv
Dostupné pre: macOS Big Sur
Dopad: Vzdialený používateľ môže byť schopný spôsobiť odopretie služby
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2022-32790: Max Shavrick (@_mxms) z tímu Google Security Team
Dátum pridania záznamu: 21. júna 2022
libresolv
Dostupné pre: macOS Big Sur
Dopad: Útočník môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2022-26776: Zubair Ashraf z tímu Crowdstrike, Max Shavrick (@_mxms) z tímu Google Security Team
LibreSSL
Dostupné pre: macOS Big Sur
Dopad: Spracovanie certifikátu so škodlivým kódom môže viesť k odmietnutiu služby
Popis: Dochádzalo k problému súvisiacemu s odmietnutím služby, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2022-0778
libxml2
Dostupné pre: macOS Big Sur
Dopad: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2022-23308
OpenSSL
Dostupné pre: macOS Big Sur
Dopad: Spracovanie certifikátu so škodlivým kódom môže viesť k odmietnutiu služby
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2022-0778
PackageKit
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-32794: Mickey Jin (@patch1t)
Dátum pridania záznamu: 4. októbra 2022
PackageKit
Dostupné pre: macOS Big Sur
Dopad: Apka so škodlivým kódom môže byť schopná upravovať chránené časti súborového systému
Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2022-26712: Mickey Jin (@patch1t)
Printing
Dostupné pre: macOS Big Sur
Dopad: Apka so škodlivým kódom môže byť schopná obísť nastavenia ochrany súkromia
Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2022-26746: @gorelics
Safari Private Browsing
Dostupné pre: macOS Big Sur
Dopad: Webová stránka so škodlivým kódom môže byť schopná sledovať používateľov v režime anonymného prezerania v Safari
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-26731: Anonymný výskumník
Dátum pridania záznamu: 6. júla 2022
Security
Dostupné pre: macOS Big Sur
Dopad: Apka so škodlivým kódom môže byť schopná obísť overovanie podpisov
Popis: Dochádzalo k problému s analýzou certifikátov, ktorý bol vyriešený vylepšením kontrol.
CVE-2022-26766: Linus Henze (Pinauten GmbH, pinauten.de)
SMB
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2022-26718: Peter Nguyễn Vũ Hoàng (STAR Labs)
SMB
Dostupné pre: macOS Big Sur
Dopad: Pripojenie zdieľaného sieťového prvku Samba so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2022-26723: Felix Poulin-Belanger
SMB
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému so zápisom dát do zakázaných oblastí, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2022-26715: Peter Nguyễn Vũ Hoàng z tímu STAR Labs
SoftwareUpdate
Dostupné pre: macOS Big Sur
Dopad: Apka so škodlivým kódom môže byť schopná získať prístup k súborom s obmedzeným prístupom
Popis: Tento problém bol vyriešený vylepšením autorizácie.
CVE-2022-26728: Mickey Jin (@patch1t)
TCC
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná zachytiť obrazovku používateľa
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2022-26726: Antonio Cheong Yu Xuan (YCISCQ)
Dátum aktualizovania záznamu: 8. júna 2023
Tcl
Dostupné pre: macOS Big Sur
Dopad: Apka so škodlivým kódom môže byť schopná pracovať mimo svojho sandboxu
Popis: Tento problém bol vyriešený vylepšením čistenia prostredia.
CVE-2022-26755: Arsenii Kostromin (0x3c3e)
Vim
Dostupné pre: macOS Big Sur
Dopad: Viacero problémov týkajúcich sa softvéru Vim
Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizáciou softvéru Vim.
CVE-2021-4136
CVE-2021-4166
CVE-2021-4173
CVE-2021-4187
CVE-2021-4192
CVE-2021-4193
CVE-2021-46059
CVE-2022-0128
WebKit
Dostupné pre: macOS Big Sur
Dopad: Spracovanie e-mailovej správy so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu JavaScript
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.
CVE-2022-22589: Heige z tímu KnownSec 404 (knownsec.com) a Bo Qu zo spoločnosti Palo Alto Networks (paloaltonetworks.com)
Wi-Fi
Dostupné pre: macOS Big Sur
Dopad: Apka so škodlivým kódom môže byť schopná odhaliť vyhradenú pamäť
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2022-26745: Scarlet Raine
Dátum aktualizovania záznamu: 6. júla 2022
Wi-Fi
Dostupné pre: macOS Big Sur
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2022-26761: Wang Yu z tímu Cyberserval
zip
Dostupné pre: macOS Big Sur
Dopad: Spracovanie súboru so škodlivým kódom môže viesť k odmietnutiu služby
Popis: Dochádzalo k problému s odmietnutím služby, ktorý bol vyriešený vylepšením spracovania stavu.
CVE-2022-0530
zlib
Dostupné pre: macOS Big Sur
Dopad: Útočník môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2018-25032: Tavis Ormandy
zsh
Dostupné pre: macOS Big Sur
Dopad: Vzdialený útočník môže byť schopný spôsobiť spustenie ľubovoľného kódu
Popis: Tento problém bol vyriešený aktualizovaním súčasti zsh na verziu 5.8.1.
CVE-2021-45444
Ďalšie poďakovanie
Bluetooth
Poďakovanie za pomoc si zaslúži Jann Horn (Project Zero).