เกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Big Sur 11.6.5
เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Big Sur 11.6.5
เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
macOS Big Sur 11.6.5
Accelerate Framework
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: การเปิดไฟล์ PDF ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชันหยุดโดยไม่คาดหมายหรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2022-22633: ryuzaki
AppKit
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจสามารถได้รับสิทธิ์ในระดับรูท
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2022-22665: Lockheed Martin Red Team
AppleGraphicsControl
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปพลิเคชันอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2022-22631: Wang Yu จาก cyberserval
AppleScript
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปพลิเคชันอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2022-22648: Mickey Jin (@patch1t) จาก Trend Micro
AppleScript
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: การประมวลผล AppleScript ไบนารี่ที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้แอปพลิเคชันหยุดโดยไม่คาดหมาย หรือเปิดเผยหน่วยความจําของการประมวลผล
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2022-22627: Qi Sun และ Robert Ai จาก Trend Micro
CVE-2022-22626: Mickey Jin (@patch1t) จาก Trend Micro
AppleScript
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: การประมวลผล AppleScript ไบนารี่ที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้แอปพลิเคชันหยุดโดยไม่คาดหมาย หรือเปิดเผยหน่วยความจําของการประมวลผล
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2022-22625: Mickey Jin (@patch1t) จาก Trend Micro
AppleScript
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2022-22597: Qi Sun และ Robert Ai จาก Trend Micro
BOM
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: ไฟล์ ZIP เก็บถาวรที่ออกแบบมาเพื่อประสงค์ร้ายอาจบายพาสการตรวจสอบ Gatekeeper
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2022-22616: Ferdous Saljooki (@malwarezoo) และ Jaron Bradley (@jbradley89) จาก Jamf Software, Mickey Jin (@patch1t)
CUPS
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปพลิเคชันอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2022-26691: Joshua Mason จาก Mandiant
Intel Graphics Driver
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2022-46706: Wang Yu จาก Cyberserval และ Pan ZhenPeng (@Peterpan0927) จาก Alibaba Security Pandora Lab
Intel Graphics Driver
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2022-22661: Wang Yu จาก Cyberserval และ Pan ZhenPeng (@Peterpan0927) จาก Alibaba Security Pandora Lab
Kernel
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2022-22613: Alex นักวิจัยนิรนาม
Kernel
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยพลการ
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2022-22615: นักวิจัยนิรนาม
CVE-2022-22614: นักวิจัยนิรนาม
Kernel
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: ผู้โจมตีในตำแหน่งที่มีสิทธิ์อาจสามารถดำเนินการโจมตีโดยการปฏิเสธบริการได้
คำอธิบาย: ช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2022-22638: derrek (@derrekr6)
Kernel
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถยกระดับสิทธิ์ได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2022-22632: Keegan Saunders
Login Window
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: บุคคลที่มีสิทธิ์เข้าถึง Mac อาจบายพาส Login Window ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2022-22647: Yuto Ikeda จาก Kyushu University
LoginWindow
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: ผู้โจมตีในระบบอาจสามารถดูเดสก์ท็อปของผู้ใช้ที่เข้าสู่ระบบก่อนหน้าได้จากหน้าจอการสลับผู้ใช้อย่างเร็ว
คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2022-22656
MobileAccessoryUpdater
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยพลการ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2022-22672: Siddharth Aeri (@b1n4r1b01)
PackageKit
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปพลิเคชันอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2022-22617: Mickey Jin (@patch1t)
PackageKit
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปพลิเคชันประสงค์ร้ายที่มีสิทธิ์ในระดับรูทอาจสามารถแก้ไขเนื้อหาของไฟล์ระบบได้
คำอธิบาย: ปัญหาในการจัดการ symlink ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2022-26688: Mickey Jin (@patch1t) จาก Trend Micro
QuickTime Player
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: ปลั๊กอินอาจรับค่าสิทธิ์การอนุญาตของแอปพลิเคชันและเข้าถึงข้อมูลผู้ใช้ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2022-22650: Wojciech Reguła (@_r3ggi) จาก SecuRing
Siri
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: บุคคลที่สามาถเข้าถึงตัวอุปกรณ์ได้อาจใช้ Siri เพื่อดูข้อมูลตำแหน่งที่ตั้งบางอย่างจากหน้าจอล็อคได้
คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2022-22599: Andrew Goldberg จาก The University of Texas at Austin, McCombs School of Business (linkedin.com/andrew-goldberg-/)
SMB
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: ผู้โจมตีระยะไกลอาจทำให้เกิดการยุติระบบโดยไม่คาดคิดหรือสร้างความเสียหายให้กับหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2022-22651: Felix Poulin-Belanger
WebKit
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยข้อมูลสำคัญของผู้ใช้ได้
ปัญหาการจัดการคุกกี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2022-22662: Prakash (@1lastBr3ath) จาก Threat Nix
WebKit
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยข้อมูลสำคัญของผู้ใช้ได้
ปัญหาการจัดการคุกกี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2022-22662: Prakash (@1lastBr3ath) จาก Threat Nix
xar
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถเขียนไฟล์ได้โดยพลการ
คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการ symlinks ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบของ symlinks ให้ดียิ่งขึ้น
CVE-2022-22582: Richard Warren จาก NCC Group
คำขอบคุณพิเศษ
Intel Graphics Driver
เราขอขอบคุณสำหรับความช่วยเหลือจาก Jack Dates จาก RET2 Systems, Inc., Yinyi Wu (@3ndy1)
syslog
เราขอขอบคุณสำหรับความช่วยเหลือจาก Yonghwi Jin (@jinmo123) จาก Theori
TCC
เราขอขอบคุณสำหรับความช่วยเหลือจาก Csaba Fitzl (@theevilbit) จาก Offensive Security
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม