เกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Big Sur 11.6.6

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Big Sur 11.6.6

เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

macOS Big Sur 11.6.6

เปิดตัวเมื่อวันที่ 16 พฤษภาคม 2022

apache

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: มีปัญหาหลายอย่างใน Apache

คำอธิบาย: ปัญหาหลายอย่างได้รับการแก้ไขแล้วโดยการอัปเดต apache ให้เป็นเวอร์ชั่น 2.4.53

CVE-2021-44224

CVE-2021-44790

CVE-2022-22719

CVE-2022-22720

CVE-2022-22721

AppKit

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจสามารถได้รับสิทธิ์ในระดับรูท

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2022-22665: Lockheed Martin Red Team

AppleAVD

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยพลการ Apple รับทราบถึงรายงานที่แจ้งว่ามีการตั้งใจใช้ประโยชน์จากปัญหานี้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2022-22675: นักวิจัยนิรนาม

AppleEvents

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: ผู้โจมตีระยะไกลอาจเป็นเหตุให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2022-22630: Jeremy Brown ที่ทำงานร่วมกับ Trend Micro Zero Day Initiative

เพิ่มรายการเมื่อวันที่ 8 มิถุนายน 2023

AppleGraphicsControl

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยพลการ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2022-26751: Michael DePlante (@izobashi) จาก Trend Micro Zero Day Initiative

AppleScript

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: การประมวลผล AppleScript ไบนารี่ที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้แอปพลิเคชันหยุดโดยไม่คาดหมาย หรือเปิดเผยหน่วยความจําของการประมวลผล

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2022-26698: Qi Sun จาก Trend Micro, Ye Zhang (@co0py_Cat) จาก Baidu Security

อัปเดตรายการเมื่อวันที่ 6 กรกฎาคม 2022

AppleScript

มีให้สำหรับ: macOS Big Sur

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2022-26697: Qi Sun และ Robert Ai จาก Trend Micro

CoreTypes

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจบายพาสการตรวจสอบ Gatekeeper

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขโดยการปรับปรุงการตรวจสอบเพื่อป้องกันการกระทำที่ไม่ได้รับอนุญาต

CVE-2022-22663: Arsenii Kostromin (0x3c3e)

CVMS

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถได้รับสิทธิ์ในระดับราก

คำอธิบาย: ปัญหาการเริ่มต้นหน่วยความจำได้รับการแก้ไขแล้ว

CVE-2022-26721: Yonghwi Jin (@jinmo123) จาก Theori

CVE-2022-26722: Yonghwi Jin (@jinmo123) จาก Theori

DriverKit

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

คำอธิบาย: ปัญหาด้านการเข้าถึงนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2022-26763: Linus Henze จาก Pinauten GmbH (pinauten.de)

Graphics Drivers

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถอ่านหน่วยความจำเคอร์เนลได้

คำอธิบาย: มีปัญหาการอ่านข้อมูลนอกขอบเขตที่นำไปสู่การเปิดเผยหน่วยความจำเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2022-22674: นักวิจัยนิรนาม

Intel Graphics Driver

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

CVE-2022-26720: Liu Long จาก Ant Security Light-Year Lab

Intel Graphics Driver

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยพลการ

CVE-2022-26770: Liu Long จาก Ant Security Light-Year Lab

Intel Graphics Driver

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2022-26756: Jack Dates จาก RET2 Systems, Inc

Intel Graphics Driver

มีให้สำหรับ: macOS Big Sur

CVE-2022-26769: Antonio Zekic (@antoniozekic)

Intel Graphics Driver

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

CVE-2022-26748: Jeonghoon Shin จาก Theori ที่ทำงานร่วมกับ Trend Micro Zero Day Initiative

IOMobileFrameBuffer

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยพลการ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2022-26768: นักวิจัยนิรนาม

Kernel

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) จาก STAR Labs (@starlabs_sg)

Kernel

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยพลการ

CVE-2022-26757: Ned Williamson จาก Google Project Zero

LaunchServices

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปอาจบายพาสการตั้งค่าความเป็นส่วนตัวบางรายการได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น

CVE-2021-30946: @gorelics และ Ron Masas จาก BreakPoint.sh

เพิ่มรายการเมื่อวันที่ 8 มิถุนายน 2023

LaunchServices

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจบายพาสการตั้งค่าความเป็นส่วนตัวได้

คำอธิบาย: ปัญหาได้รับการแก้ไขแล้วด้วยการตรวจสอบสิทธิ์อนุญาตเพิ่มเติม

CVE-2022-26767: Wojciech Reguła (@_r3ggi) จาก SecuRing

LaunchServices

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: กระบวนการที่ถูกวางอยู่ใน Sandbox อาจสามารถหลีกเลี่ยงข้อจำกัดของ Sandbox ได้

คำอธิบาย: ปัญหาด้านการเข้าถึงได้รับการแก้ไขแล้วด้วยข้อจำกัดของ Sandbox เพิ่มเติมบนแอปพลิเคชันของบริษัทอื่น

CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or จาก Microsoft

อัปเดตรายการเมื่อวันที่ 6 กรกฎาคม 2022

Libinfo

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปอาจบายพาสการตั้งค่าความเป็นส่วนตัวได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2022-32882: Zhipeng Huo (@R3dF09) และ Yuebin Sun (@yuebinsun2020) จาก Tencent Security Xuanwu Lab

เพิ่มรายการเมื่อวันที่ 16 กันยายน 2022

libresolv

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: ผู้ใช้ระยะไกลอาจสามารถทำให้ระบบเกิดปัญหาการปฏิเสธการให้บริการ

CVE-2022-32790: Max Shavrick (@_mxms) จาก Google Security Team

เพิ่มรายการเมื่อวันที่ 21 มิถุนายน 2022

libresolv

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: ผู้โจมตีอาจสามารถทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดหมาย หรือมีการใช้โค้ดโดยพลการ

CVE-2022-26776: Zubair Ashraf จาก Crowdstrike, Max Shavrick (@_mxms) จาก Google Security Team

LibreSSL

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: การประมวลผลใบรับรองที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้

คำอธิบาย: ปัญหาการปฏิเสธบริการได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2022-0778

libxml2

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: ผู้โจมตีระยะไกลอาจเป็นเหตุให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสโดยพลการ

CVE-2022-23308

OpenSSL

มีให้สำหรับ: macOS Big Sur

CVE-2022-0778

PackageKit

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปอาจสามารถเข้าถึงสิทธิ์ในระดับที่สูงขึ้นได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2022-32794: Mickey Jin (@patch1t)

เพิ่มรายการเมื่อวันที่ 4 ตุลาคม 2022

PackageKit

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการนำรหัสที่มีความเสี่ยงออก

CVE-2022-26712: Mickey Jin (@patch1t)

Printing

มีให้สำหรับ: macOS Big Sur

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการนำรหัสที่มีความเสี่ยงออก

CVE-2022-26746: @gorelics

Safari Private Browsing

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: เว็บไซต์ที่เป็นอันตรายอาจสามารถติดตามผู้ใช้ในโหมดการเลือกชมแบบส่วนตัวของ Safari ได้

CVE-2022-26731: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 6 กรกฎาคม 2022

Security

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปประสงค์ร้ายอาจหลบเลี่ยงการตรวจสอบลายเซ็นได้

คำอธิบาย: ปัญหาการแยกวิเคราะห์ใบรับรองได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2022-26766: Linus Henze จาก Pinauten GmbH (pinauten.de)

SMB

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้

CVE-2022-26718: Peter Nguyễn Vũ Hoàng จาก STAR Labs

SMB

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: การต่อเชื่อมการแชร์เครือข่าย Samba ที่ออกแบบมาเพื่อประสงค์ร้ายอาจนำไปสู่การใช้รหัสโดยอำเภอใจได้

CVE-2022-26723: Felix Poulin-Belanger

SMB

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้

CVE-2022-26715: Peter Nguyễn Vũ Hoàng จาก STAR Labs

SoftwareUpdate

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจเข้าถึงไฟล์ที่มีการจำกัดสิทธิ์ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงสิทธิ์ให้ดียิ่งขึ้น

CVE-2022-26728: Mickey Jin (@patch1t)

TCC

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปอาจจับภาพหน้าจอของผู้ใช้ได้

CVE-2022-26726: Antonio Cheong Yu Xuan จาก YCISCQ

อัปเดตรายการเมื่อวันที่ 8 มิถุนายน 2023

Tcl

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถแยกตัวออกจาก Sandbox ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลสภาพแวดล้อมให้ดียิ่งขึ้น

CVE-2022-26755: Arsenii Kostromin (0x3c3e)

Vim

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: มีปัญหาหลายประการใน Vim

คำอธิบาย: ปัญหาหลายประการได้รับการแก้ไขแล้วโดยการอัปเดต Vim

CVE-2021-4136

CVE-2021-4166

CVE-2021-4173

CVE-2021-4187

CVE-2021-4192

CVE-2021-4193

CVE-2021-46059

CVE-2022-0128

WebKit

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: การประมวลผลข้อความเมลที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการเรียกใช้ JavaScript โดยพลการ

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2022-22589: Heige จาก KnownSec 404 Team (knownsec.com) และ Bo Qu จาก Palo Alto Networks (paloaltonetworks.com)

Wi-Fi

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจเปิดเผยหน่วยความจำที่จำกัดไว้

CVE-2022-26745: Scarlet Raine

อัปเดตรายการเมื่อวันที่ 6 กรกฎาคม 2022

Wi-Fi

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: แอปพลิเคชันอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2022-26761: Wang Yu จาก Cyberserval

zip

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้

คำอธิบาย: ปัญหาการปฏิเสธบริการได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2022-0530

zlib

มีให้สำหรับ: macOS Big Sur

CVE-2018-25032: Tavis Ormandy

zsh

มีให้สำหรับ: macOS Big Sur

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการอัปเดต zsh ให้เป็นเวอร์ชั่น 5.8.1

CVE-2021-45444

คำขอบคุณพิเศษ

Bluetooth

เราขอขอบคุณสำหรับความช่วยเหลือจาก Jann Horn จาก Project Zero

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: 11 ธันวาคม 2566