Om säkerhetsinnehållet i macOS Big Sur 11.7

Det här dokumentet beskriver säkerhetsinnehållet i macOS Big Sur 11.7.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet.

macOS Big Sur 11.7

Släpptes 12 september 2022

AppleMobileFileIntegrity

Tillgängligt för: macOS Big Sur

Effekt: en app kan komma åt användarkänsliga data

Beskrivning: Ett problem med validering av kodsignaturer åtgärdades med förbättrade kontroller.

CVE-2022-42789: Koh M. Nakagawa på FFRI Security, Inc.

Lades till 27 oktober 2022

ATS

Tillgängligt för: macOS Big Sur

Effekt: en app kan komma åt användarkänsliga data

Beskrivning: ett åtkomstproblem åtgärdades genom ytterligare sandlådebegränsningar.

CVE-2022-32904: Mickey Jin (@patch1t)

Lades till 27 oktober 2022

ATS

Tillgängligt för: macOS Big Sur

Effekt: en app kan kringgå inställningar för Integritet

Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2022-32902: Mickey Jin (@patch1t)

Calendar

Tillgängligt för: macOS Big Sur

Effekt: en app kanske kan läsa känslig platsinformation

Beskrivning: ett åtkomstproblem åtgärdades genom ytterligare åtkomstbegränsningar.

CVE-2022-42819: en anonym forskare

Lades till 27 oktober 2022

Contacts

Tillgängligt för: macOS Big Sur

Effekt: en app kan kringgå inställningar för Integritet

Beskrivning: problemet åtgärdades med förbättrade kontroller.

CVE-2022-32854: Holger Fuhrmannek på Deutsche Telekom Security

GarageBand

Tillgängligt för: macOS Big Sur

Effekt: en app kan komma åt användarkänsliga data

Beskrivning: Ett konfigurationsproblem åtgärdades med ytterligare begränsningar.

CVE-2022-32877: Wojciech Reguła (@_r3ggi) från SecuRing

Lades till 27 oktober 2022

ImageIO

Tillgängligt för: macOS Big Sur

Effekt: bearbetning av en bild kan leda till ett dos-angrepp

Beskrivning: Ett dos-problem åtgärdades med hjälp av förbättrad validering.

CVE-2022-1622

Lades till 27 oktober 2022

Image Processing

Tillgängligt för: macOS Big Sur

Effekt: En app i sandlådeläge kan fastställa vilken app som just nu använder kameran

Beskrivning: Problemet åtgärdades med ytterligare begränsningar för visning av applägen.

CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)

Lades till 27 oktober 2022

iMovie

Tillgängligt för: macOS Big Sur

Effekt: en användare kan visa känslig användarinformation

Beskrivning: problemet åtgärdades genom att aktivera härdad exekvering.

CVE-2022-32896: Wojciech Reguła (@_r3ggi)

Kernel

Tillgängligt för: macOS Big Sur

Effekt: Anslutning till en skadlig NFS-server kan orsaka körning av opålitlig kod med kernelbehörighet

Beskrivning: Problemet åtgärdades med förbättrade gränskontroller.

CVE-2022-46701: Felix Poulin-Belanger

Lades till 11 maj 2023

Kernel

Tillgängligt för: macOS Big Sur

Effekt: en app kan köra opålitlig kod med kernelbehörighet

Beskrivning: ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2022-32914: Zweig på Kunlun Lab

Lades till 27 oktober 2022

Kernel

Tillgängligt för: macOS Big Sur

Effekt: en app kan köra opålitlig kod med kernelbehörighet

Beskrivning: problemet hanterades med förbättrad minneshantering.

CVE-2022-32866: Linus Henze på Pinauten GmbH (pinauten.de)

CVE-2022-32911: Zweig på Kunlun Lab

CVE-2022-32924: Ian Beer på Google Project Zero

Uppdaterades 27 oktober 2022

Kernel

Tillgängligt för: macOS Big Sur

Effekt: en app kan avslöja kernelminnet

Beskrivning: problemet hanterades med förbättrad minneshantering.

CVE-2022-32864: Linus Henze på Pinauten GmbH (pinauten.de)

Kernel

Tillgängligt för: macOS Big Sur

Effekt: en app kan köra opålitlig kod med kernelbehörighet. Apple känner till en rapport om att det här problemet kan ha utnyttjats aktivt.

Beskrivning: ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2022-32894: en anonym forskare

Kernel

Tillgängligt för: macOS Big Sur

Effekt: en app kan köra opålitlig kod med kernelbehörighet. Apple känner till en rapport om att det här problemet kan ha utnyttjats aktivt.

Beskrivning: problemet hanterades med förbättrade gränskontroller.

CVE-2022-32917: en anonym forskare

Maps

Tillgängligt för: macOS Big Sur

Effekt: en app kanske kan läsa känslig platsinformation

Beskrivning: ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.

CVE-2022-32883: Ron Masas från breakpointhq.com

Uppdaterades 27 oktober 2022

MediaLibrary

Tillgängligt för: macOS Big Sur

Effekt: en användare kanske kan öka behörigheter

Beskrivning: ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2022-32908: en anonym forskare

ncurses

Tillgängligt för: macOS Big Sur

Effekt: En användare kan orsaka oväntad avslutning av app eller körning av opålitlig kod

Beskrivning: ett buffertspill åtgärdades med förbättrad gränskontroll.

CVE-2021-39537

Lades till 27 oktober 2022

PackageKit

Tillgängligt för: macOS Big Sur

Effekt: en app kan få högre behörighet

Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2022-32900: Mickey Jin (@patch1t)

Sandbox

Tillgängligt för: macOS Big Sur

Effekt: En app kan ändra skyddade delar av filsystemet

Beskrivning: ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.

CVE-2022-32881: Csaba Fitzl (@theevilbit) på Offensive Security

Lades till 27 oktober 2022

Security

Tillgängligt för: macOS Big Sur

Effekt: En app kan kringgå kodsigneringskontroller

Beskrivning: Ett problem med validering av kodsignaturer åtgärdades med förbättrade kontroller.

CVE-2022-42793: Linus Henze på Pinauten GmbH (pinauten.de)

Lades till 27 oktober 2022

Sidecar

Tillgängligt för: macOS Big Sur

Effekt: En användare kan visa begränsat innehåll via låsskärmen

Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2022-42790: Om kothawade på Zaprico Digital

Lades till 27 oktober 2022

SMB

Tillgängligt för: macOS Big Sur

Effekt: en fjärranvändare kan orsaka körning av kernelkod

Beskrivning: problemet hanterades med förbättrad minneshantering.

CVE-2022-32934: Felix Poulin-Belanger

Lades till 27 oktober 2022

Vim

Tillgängligt för: macOS Big Sur

Effekt: Bearbetning av en fil med skadligt innehåll kan leda till ett dos-angrepp eller möjligen avslöja innehåll från minnet

Beskrivning: problemet åtgärdades med förbättrade kontroller.

CVE-2022-1720

CVE-2022-2000

CVE-2022-2042

CVE-2022-2124

CVE-2022-2125

CVE-2022-2126

Lades till 27 oktober 2022

Weather

Tillgängligt för: macOS Big Sur

Effekt: en app kanske kan läsa känslig platsinformation

Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2022-32875: en anonym forskare

Lades till 27 oktober 2022

WebKit

Tillgängligt för: macOS Big Sur

Effekt: bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

WebKit Bugzilla: 242047

CVE-2022-32888: P1umer (@p1umer)

Lades till 27 oktober 2022

Ytterligare tack

apache

Vi vill tacka Tricia Lee på Enterprise Service Center för hjälpen.

Lades till 11 maj 2023

Identity Services

Vi vill tacka Joshua Jones för hjälpen.

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.

Publiceringsdatum: