Проблеми системи безпеки, які усунено в оновленні macOS Big Sur 11.6.8
У цьому документі описано проблеми системи безпеки, які усунено в оновленні macOS Big Sur 11.6.8.
Відомості про оновлення системи безпеки Apple
Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски див. в статті Оновлення системи безпеки Apple.
Документи про безпеку Apple класифікують вразливості за кодами CVE-ID, коли це можливо.
Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.
macOS Big Sur 11.6.8
APFS
Цільові продукти: macOS Big Sur.
Вплив: програма з правами кореневого користувача може виконувати довільний код із привілеями ядра.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2022-32832: Томмі М’юр (Tommy Muir, @Muirey03)
AppleMobileFileIntegrity
Цільові продукти: macOS Big Sur.
Вплив: програма може отримувати права кореневого користувача.
Опис: проблему з авторизацією вирішено завдяки вдосконаленню керування станами.
CVE-2022-32826: Мікі Джин (Mickey Jin, @patch1t) із Trend Micro
AppleScript
Цільові продукти: macOS Big Sur.
Вплив: обробка шкідливого бінарного файлу AppleScript може призводити до несподіваного завершення роботи програми або розкриття даних пам’яті процесу.
Опис: цю проблему вирішено завдяки вдосконаленню перевірок.
CVE-2022-32797: Є Чжан (Ye Zhang, @co0py_Cat) із Baidu Security, Мікі Джин (Mickey Jin, @patch1t) із Trend Micro
AppleScript
Цільові продукти: macOS Big Sur.
Вплив: обробка шкідливого бінарного файлу AppleScript може призводити до несподіваного завершення роботи програми або розкриття даних пам’яті процесу.
Опис: проблему читання за межами виділеної пам’яті вирішено завдяки вдосконаленню перевірки вводу.
CVE-2022-32853: Є Чжан (Ye Zhang, @co0py_Cat) із Baidu Security
CVE-2022-32851: Є Чжан (Ye Zhang, @co0py_Cat) із Baidu Security
AppleScript
Цільові продукти: macOS Big Sur.
Вплив: обробка шкідливого бінарного файлу AppleScript може призводити до несподіваного завершення роботи програми або розкриття даних пам’яті процесу.
Опис: проблему записування за межами виділеної пам’яті вирішено завдяки вдосконаленню перевірки меж.
CVE-2022-32831: Є Чжан (Ye Zhang, @co0py_Cat) із Baidu Security
Archive Utility
Цільові продукти: macOS Big Sur.
Вплив: архів може обійти перевірку Gatekeeper
Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.
CVE-2022-32910: Ferdous Saljooki (@malwarezoo) з Jamf Software
Audio
Цільові продукти: macOS Big Sur.
Вплив: програма може розкривати дані з пам’яті ядра.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2022-32825: Джон Акерблом (John Aakerblom, @jaakerblom)
Audio
Цільові продукти: macOS Big Sur.
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему записування за межами виділеної пам’яті вирішено завдяки вдосконаленню перевірки вводу.
CVE-2022-32820: анонімний дослідник
Calendar
Цільові продукти: macOS Big Sur.
Вплив: програма може отримувати доступ до конфіденційної інформації користувача.
Опис: цю проблему вирішено завдяки вдосконаленню обробки кешу.
CVE-2022-32805: Чаба Фіцль (Csaba Fitzl, @theevilbit) з Offensive Security
Calendar
Цільові продукти: macOS Big Sur.
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему витоку інформації вирішено шляхом видалення вразливого коду.
CVE-2022-32849: Джошуа Джонс (Joshua Jones)
CoreText
Цільові продукти: macOS Big Sur.
Вплив: віддалений користувач може спричинити несподіване завершення роботи програми або виконання довільного коду.
Опис: проблему вирішено завдяки вдосконаленню перевірки меж.
CVE-2022-32839: STAR Labs (@starlabs_sg)
FaceTime
Цільові продукти: macOS Big Sur.
Вплив: програма з привілеями кореневого користувача може отримувати доступ до приватної інформації.
Опис: цю проблему вирішено за рахунок обмеження часу роботи програми.
CVE-2022-32781: Войцех Регула (Wojciech Reguła, @_r3ggi) із SecuRing
File System Events
Цільові продукти: macOS Big Sur.
Вплив: програма може отримувати права кореневого користувача.
Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.
CVE-2022-32819: Джошуа Мейсон (Joshua Mason) із Mandiant
ICU
Цільові продукти: macOS Big Sur
Вплив: обробка шкідливого вебконтенту може призводити до виконання довільного коду.
Опис: проблему записування за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.
CVE-2022-32787: Дохьон Лі (Dohyun Lee, @l33d0hyun) із SSD Secure Disclosure Labs і DNSLab, Університет Корьо.
ImageIO
Цільові продукти: macOS Big Sur.
Вплив: обробка зображення може призвести до відмови в обслуговуванні
Опис: проблему розіменування нульового покажчика вирішено завдяки вдосконаленню перевірки.
CVE-2022-32785: Йігіт Кан Йилмаз (Yiğit Can YILMAZ, @yilmazcanyigit)
Intel Graphics Driver
Цільові продукти: macOS Big Sur.
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2022-32812: Іньї Ву (Yinyi Wu, @3ndy1), ABC Research s.r.o.
Intel Graphics Driver
Цільові продукти: macOS Big Sur.
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: уразливість, пов’язану з пошкодженням пам’яті, вирішено шляхом поліпшення блокування.
CVE-2022-32811: ABC Research s.r.o
Kernel
Цільові продукти: macOS Big Sur.
Вплив: програма з правами кореневого користувача може виконувати довільний код із привілеями ядра.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2022-32815: Сіньжу Чи (Xinru Chi) з Pangu Lab
CVE-2022-32813: Сіньжу Чи (Xinru Chi) з Pangu Lab
LaunchServices
Цільові продукти: macOS Big Sur.
Вплив: програма може обходити певні параметри приватності
Опис: проблему з логікою вирішено завдяки поліпшенню обмежень.
CVE-2021-30946: користувач @gorelics і Рон Масас (Ron Masas) із BreakPoint.sh
libxml2
Цільові продукти: macOS Big Sur.
Вплив: програма може спричинити витік конфіденційної інформації користувача.
Опис: проблему з ініціалізацією пам’яті вирішено завдяки вдосконаленню обробки звернень до пам’яті.
CVE-2022-32823
Multi-Touch
Цільові продукти: macOS Big Sur
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки вдосконаленню перевірки.
CVE-2022-32814: Пань Чженьпен (Pan ZhenPeng, @Peterpan0927)
Multi-Touch
Цільові продукти: macOS Big Sur
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему переплутування типів вирішено завдяки вдосконаленню обробки станів.
CVE-2022-32814: Пань Чженьпен (Pan ZhenPeng, @Peterpan0927)
PackageKit
Цільові продукти: macOS Big Sur.
Вплив: програма може змінювати захищені частини файлової системи.
Опис: проблему з обробкою змінних середовища вирішено завдяки вдосконаленню перевірки.
CVE-2022-32786: Мікі Джин (Mickey Jin, @patch1t)
PackageKit
Цільові продукти: macOS Big Sur.
Вплив: програма може змінювати захищені частини файлової системи.
Опис: цю проблему вирішено завдяки вдосконаленню перевірок.
CVE-2022-32800: Мікі Джин (Mickey Jin, @patch1t)
PluginKit
Цільові продукти: macOS Big Sur
Вплив: програма може читати довільні файли.
Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.
CVE-2022-32838: Мікі Джин (Mickey Jin, @patch1t) із Trend Micro
PS Normalizer
Цільові продукти: macOS Big Sur.
Вплив: обробка шкідливого бінарного файлу AppleScript може призводити до несподіваного завершення роботи програми або розкриття даних пам’яті процесу.
Опис: проблему записування за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.
CVE-2022-32843: Кай Лу (Kai Lu) з команди ThreatLabz у компанії Zscaler
Software Update
Цільові продукти: macOS Big Sur.
Вплив: користувач із привілейованим положенням у мережі може відстежувати дії користувачів.
Опис: цю проблему вирішено завдяки використанню HTTPS під час надсилання інформації через мережу.
CVE-2022-32857: Джеффрі Пол (Jeffrey Paul, sneak.berlin)
Spindump
Цільові продукти: macOS Big Sur.
Вплив: програма може перезаписувати довільні файли.
Опис: цю проблему вирішено завдяки вдосконаленню обробки файлів.
CVE-2022-32807: Чжипен Хо (Zhipeng Huo, @R3dF09) із Tencent Security Xuanwu Lab
Spotlight
Цільові продукти: macOS Big Sur.
Вплив: програма може отримувати вищий рівень привілеїв.
Опис: проблему з перевіркою під час обробки символьних посилань вирішено завдяки вдосконаленню перевірки символьних посилань.
CVE-2022-26704: Джошуа Мейсон (Joshua Mason) із Mandiant
TCC
Цільові продукти: macOS Big Sur.
Вплив: програма може отримувати доступ до конфіденційної інформації користувача.
Опис: проблему з доступом було вирішено завдяки вдосконаленню пісочниці.
CVE-2022-32834: Xuxiang Yang (@another1024) з Tencent Security Xuanwu Lab (xlab.tencent.com), Yuebin Sun (@yuebinsun2020) з Tencent Security Xuanwu Lab (xlab.tencent.com), Zhipeng Huo (@R3dF09) з Tencent Security Xuanwu Lab (xlab.tencent.com)
Vim
Цільові продукти: macOS Big Sur.
Вплив: виявлено кілька проблем у Vim.
Опис: кілька проблем вирішено завдяки оновленню Vim.
CVE-2022-0156
CVE-2022-0158
Wi-Fi
Цільові продукти: macOS Big Sur.
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему записування за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки вводу.
CVE-2022-32860: Ванг Ю (Wang Yu) із Cyberserval
Wi-Fi
Цільові продукти: macOS Big Sur.
Вплив: віддалений користувач може спричиняти несподіване завершення роботи системи або пошкодження пам’яті ядра.
Опис: цю проблему вирішено завдяки вдосконаленню перевірок.
CVE-2022-32847: Ванг Ю (Wang Yu) із Cyberserval
Windows Server
Цільові продукти: macOS Big Sur.
Вплив: програма може робити знімки екрана користувача.
Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.
CVE-2022-32848: Джеремі Лежандр (Jeremy Legendre) із MacEnhance
Додаткова подяка
Calendar
Дякуємо за допомогу Джошуа Джонсу (Joshua Jones).
Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.