Проблеми системи безпеки, які усунено в оновленні macOS Big Sur 11.6.6

У цьому документі описано проблеми системи безпеки, які усунено в оновленні macOS Big Sur 11.6.6.

Відомості про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски див. в статті Оновлення системи безпеки Apple.

Документи про безпеку Apple класифікують вразливості за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

macOS Big Sur 11.6.6

Дата випуску: 16 травня 2022 року

apache

Цільові продукти: macOS Big Sur.

Вплив: виявлено кілька проблем в Apache.

Опис: проблеми вирішено завдяки оновленню apache до версії 2.4.53.

CVE-2021-44224

CVE-2021-44790

CVE-2022-22719

CVE-2022-22720

CVE-2022-22721

AppKit

Цільові продукти: macOS Big Sur.

Вплив: зловмисна програма може підвищувати рівень привілеїв до кореневого користувача.

Опис: проблему з логікою вирішено завдяки поліпшенню перевірки.

CVE-2022-22665: Lockheed Martin Red Team

AppleAVD

Цільові продукти: macOS Big Sur.

Вплив: програма може виконувати довільний код із привілеями ядра. Компанії Apple відомо, що цією проблемою могли активно користуватися.

Опис: проблему записування за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.

CVE-2022-22675: анонімний дослідник

AppleEvents

Цільові продукти: macOS Big Sur.

Вплив: зловмисник може віддалено спричинити несподіване завершення роботи програми чи виконання довільного коду.

Опис: проблему Use-After-Free вирішено завдяки вдосконаленню керування пам’яттю.

CVE-2022-22630: Джеремі Браун (Jeremy Brown) із Theori в співпраці з Trend Micro Zero Day Initiative

Запис додано 8 червня 2023 р.

AppleGraphicsControl

Цільові продукти: macOS Big Sur.

Вплив: обробка шкідливого зображення може призводити до виконання довільного коду.

Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки поліпшенню перевірки вводу.

CVE-2022-26751: Майкл Депланте (Michael DePlante, @izobashi) з Trend Micro Zero Day Initiative

AppleScript

Цільові продукти: macOS Big Sur.

Вплив: обробка шкідливого бінарного файлу AppleScript може призводити до несподіваного завершення роботи програми або розкриття пам’яті процесу.

Опис: проблему записування за межами виділеної пам’яті усунуто завдяки вдосконаленню перевірки меж.

CVE-2022-26698: Qi Sun з Trend Micro, Ye Zhang (@co0py_Cat) iз Baidu Security

Запис оновлено 6 липня 2022 р.

AppleScript

Цільові продукти: macOS Big Sur.

Вплив: обробка шкідливого бінарного файлу AppleScript може призводити до несподіваного завершення роботи програми або розкриття пам’яті процесу.

Опис: проблему читання за межами виділеної області пам’яті усунено завдяки вдосконаленню перевірки вводу.

CVE-2022-26697: Qi Sun і Robert Ai з Trend Micro

CoreTypes

Цільові продукти: macOS Big Sur.

Вплив: шкідлива програма може обходити перевірки Gatekeeper.

Опис: цю проблему усунено завдяки поліпшенню перевірок для запобігання несанкціонованим діям.

CVE-2022-22663: Arsenii Kostromin (0x3c3e)

CVMS

Цільові продукти: macOS Big Sur.

Вплив: зловмисна програма може підвищувати рівень привілеїв до кореневого користувача.

Опис: проблему з ініціалізацією пам’яті вирішено.

CVE-2022-26721: Йонгві Джин (Yonghwi Jin, @jinmo123) із Theori

CVE-2022-26722: Йонгві Джин (Yonghwi Jin, @jinmo123) із Theori

DriverKit

Цільові продукти: macOS Big Sur.

Вплив: зловмисна програма може виконувати довільний код із системними привілеями.

Опис: проблему доступу за межами виділеної пам’яті усунуто завдяки вдосконаленню перевірки меж.

CVE-2022-26763: Linus Henze з компанії Pinauten GmbH (pinauten.de)

Graphics Drivers

Цільові продукти: macOS Big Sur.

Вплив: локальний користувач може зчитувати пам’ять ядра.

Опис: виникала проблема читання за межами виділеної області, що призводило до витоку пам’яті ядра. Цю проблему вирішено завдяки поліпшенню перевірки вводу.

CVE-2022-22674: анонімний дослідник

Intel Graphics Driver

Цільові продукти: macOS Big Sur.

Вплив: шкідлива програма може виконувати довільний код із привілеями ядра.

Опис: проблему із записуванням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.

CVE-2022-26720: Лю Лун (Liu Long) з Ant Security Light-Year Lab

Intel Graphics Driver

Цільові продукти: macOS Big Sur.

Вплив: шкідлива програма може виконувати довільний код із привілеями ядра.

Опис: проблему читання за межами виділеної пам’яті вирішено завдяки вдосконаленню перевірки вводу.

CVE-2022-26770: Лю Лун (Liu Long) з Ant Security Light-Year Lab

Intel Graphics Driver

Цільові продукти: macOS Big Sur.

Вплив: програма може виконувати довільний код із привілеями ядра.

Опис: проблему записування за межами виділеної пам’яті вирішено завдяки вдосконаленню перевірки вводу.

CVE-2022-26756: Jack Dates з RET2 Systems, Inc

Intel Graphics Driver

Цільові продукти: macOS Big Sur.

Вплив: шкідлива програма може виконувати довільний код із привілеями ядра.

Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки поліпшенню перевірки вводу.

CVE-2022-26769: Антоніо Зекіч (Antonio Zekic, @antoniozekic)

Intel Graphics Driver

Цільові продукти: macOS Big Sur.

Вплив: обробка шкідливого вебконтенту може призводити до виконання довільного коду.

Опис: проблему записування за межами виділеної пам’яті усунуто завдяки вдосконаленню перевірки вводу.

CVE-2022-26748: Jeonghoon Shin із Theori, що співпрацює з ініціативою Zero Day компанії Trend Micro

IOMobileFrameBuffer

Цільові продукти: macOS Big Sur.

Вплив: програма може виконувати довільний код із привілеями ядра.

Опис: проблему з пошкодженням даних у пам’яті усунено завдяки поліпшенню керування станами.

CVE-2022-26768: анонімний дослідник

Kernel

Цільові продукти: macOS Big Sur.

Вплив: програма може виконувати довільний код із привілеями ядра.

Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки поліпшенню перевірки.

CVE-2022-26714: Пітер Нгуєн Ву Хоанг (Peter Nguyễn Vũ Hoàng, @peternguyen14) зі STAR Labs (@starlabs_sg)

Kernel

Цільові продукти: macOS Big Sur.

Вплив: програма може виконувати довільний код із привілеями ядра.

Опис: покращене керування пам’яттю усунуло проблему Use-After-Free.

CVE-2022-26757: Ned Williamson із команди Google Project Zero

LaunchServices

Цільові продукти: macOS Big Sur.

Вплив: програма може обходити певні параметри приватності

Опис: проблему з логікою вирішено завдяки поліпшенню обмежень.

CVE-2021-30946: користувач @gorelics і Рон Масас (Ron Masas) із BreakPoint.sh

Запис додано 8 червня 2023 р.

LaunchServices

Цільові продукти: macOS Big Sur.

Вплив: шкідлива програма може обходити налаштування приватності.

Опис: проблему усунуто завдяки додатковим перевіркам дозволів.

CVE-2022-26767: Wojciech Reguła (@_r3ggi) із SecuRing

LaunchServices

Цільові продукти: macOS Big Sur.

Вплив: певний процес в ізольованому програмному середовищі може обходити обмеження цього середовища.

Опис: проблему з доступом усунуто за допомогою додаткових обмежень ізольованого програмного середовища в сторонніх програмах.

CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or з Microsoft

Запис оновлено 6 липня 2022 р.

Libinfo

Цільові продукти: macOS Big Sur.

Вплив: програма може обходити параметри приватності.

Опис: цю проблему вирішено завдяки вдосконаленню перевірок.

CVE-2022-32882: Zhipeng Huo (@R3dF09) і Yuebin Sun (@yuebinsun2020) з Tencent Security Xuanwu Lab

Запис додано 16 вересня 2022 р.

libresolv

Цільові продукти: macOS Big Sur

Вплив: віддалений користувач може спричинити відмову в обслуговуванні.

Опис: цю проблему вирішено завдяки поліпшенню перевірок.

CVE-2022-32790: Max Shavrick (@_mxms) iз Команди безпеки Google

Запис додано 21 червня 2022 р.

libresolv

Цільові продукти: macOS Big Sur

Вплив: зловмисник може спричинити несподіване завершення роботи програми або виконання довільного коду.

Опис: цю проблему вирішено завдяки поліпшенню перевірок.

CVE-2022-26776: Zubair Ashraf із Crowdstrike, Max Shavrick (@_mxms) з команди Google Security

LibreSSL

Цільові продукти: macOS Big Sur.

Вплив: обробка шкідливого сертифіката може призводити до відмови в обслуговуванні.

Опис: проблему відмови в обслуговуванні вирішено завдяки поліпшенню перевірки вводу.

CVE-2022-0778

libxml2

Цільові продукти: macOS Big Sur.

Вплив: зловмисник може віддалено спричинити несподіване завершення роботи програми або виконання довільного коду.

Опис: проблему Use-After-Free вирішено завдяки вдосконаленню керування пам’яттю.

CVE-2022-23308

OpenSSL

Цільові продукти: macOS Big Sur.

Вплив: обробка шкідливого сертифіката може призводити до відмови в обслуговуванні.

Опис: цю проблему вирішено завдяки поліпшенню перевірок.

CVE-2022-0778

PackageKit

Цільові продукти: macOS Big Sur.

Вплив: програма може отримувати вищий рівень привілеїв.

Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.

CVE-2022-32794: Mickey Jin (@patch1t)

Запис додано 4 жовтня 2022 р.

PackageKit

Цільові продукти: macOS Big Sur.

Вплив: шкідлива програма може змінювати захищені частини файлової системи.

Опис: проблему вирішено за допомогою видалення вразливого коду.

CVE-2022-26712: Mickey Jin (@patch1t)

Printing

Цільові продукти: macOS Big Sur.

Вплив: шкідлива програма може обходити налаштування приватності.

Опис: проблему вирішено шляхом видалення вразливого коду.

CVE-2022-26746: @gorelics

Safari Private Browsing

Цільові продукти: macOS Big Sur

Вплив: зловмисний сайт може відстежувати користувачів у приватному режимі перегляду в Safari.

Опис: проблему з логікою вирішено завдяки поліпшенню керування станами.

CVE-2022-26731: анонімний дослідник

Запис додано 6 липня 2022 р.

Security

Цільові продукти: macOS Big Sur.

Вплив: шкідливий додаток може обійти перевірку підпису

Опис: проблему затвердження сертифікатів усунуто завдяки поліпшенню перевірок.

CVE-2022-26766: Лінус Генце (Linus Henze) з Pinauten GmbH (pinauten.de)

SMB

Цільові продукти: macOS Big Sur.

Вплив: програма може підвищувати рівень привілеїв.

Опис: проблему читання за межами виділеної пам’яті усунуто завдяки вдосконаленню перевірки вводу.

CVE-2022-26718: Пітер Нгуєн Ву Хоанг (Peter Nguyễn Vũ Hoàng) зі STAR Labs

SMB

Цільові продукти: macOS Big Sur.

Вплив: монтування мережевої папки Samba, складеної зі шкідливими намірами, може призводити до виконання довільного коду.

Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки поліпшенню перевірки вводу.

CVE-2022-26723: Felix Poulin-Belanger

SMB

Цільові продукти: macOS Big Sur.

Вплив: програма може підвищувати рівень привілеїв.

Опис: проблему записування за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.

CVE-2022-26715: Peter Nguyễn Vũ Hoàng зі STAR Labs

SoftwareUpdate

Цільові продукти: macOS Big Sur.

Вплив: зловмисна програма може отримувати доступ до файлів з обмеженим доступом.

Опис: проблему вирішено завдяки вдосконаленню дозволів.

CVE-2022-26728: Mickey Jin (@patch1t)

TCC

Цільові продукти: macOS Big Sur.

Вплив: програма може робити знімок екрана користувача

Опис: цю проблему вирішено завдяки поліпшенню перевірок.

CVE-2022-26726: Антоніо Чонг Ю Суан (Antonio Cheong Yu Xuan) з YCISCQ

Запис оновлено 8 червня 2023 р.

Tcl

Цільові продукти: macOS Big Sur.

Вплив: шкідлива програма може виходити за межі ізольованого середовища.

Опис: цю проблему вирішено завдяки поліпшенню очищення середовища.

CVE-2022-26755: Arsenii Kostromin (0x3c3e)

Vim

Цільові продукти: macOS Big Sur.

Вплив: виявлено кілька проблем у Vim.

Опис: кілька проблем вирішено завдяки оновленню Vim.

CVE-2021-4136

CVE-2021-4166

CVE-2021-4173

CVE-2021-4187

CVE-2021-4192

CVE-2021-4193

CVE-2021-46059

CVE-2022-0128

WebKit

Цільові продукти: macOS Big Sur

Вплив: обробка шкідливого поштового повідомлення може призвести до запуску JavaScript.

Опис: проблему з перевіркою усунено завдяки поліпшеній обробці вводу.

CVE-2022-22589: Heige із команди KnownSec 404 Team (knownsec.com) і Bo Qu з Palo Alto Networks (paloaltonetworks.com)

Wi-Fi

Цільові продукти: macOS Big Sur.

Вплив: шкідлива програма може розкривати область пам’яті з обмеженим доступом.

Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки поліпшенню перевірки.

CVE-2022-26745: Scarlet Raine

Запис оновлено 6 липня 2022 р.

Wi-Fi

Цільові продукти: macOS Big Sur.

Вплив: програма може виконувати довільний код із привілеями ядра.

Опис: проблему з пошкодженням даних у пам’яті вирішено шляхом поліпшення обробки звернень до пам’яті.

CVE-2022-26761: Wang Yu з Cyberserval

zip

Цільові продукти: macOS Big Sur.

Вплив: обробка шкідливого файлу може призводити до відмови в обслуговуванні.

Опис: проблему відмови в обслуговуванні вирішено завдяки вдосконаленню обробки станів.

CVE-2022-0530

zlib

Цільові продукти: macOS Big Sur.

Вплив: зловмисник може спричинити несподіване завершення роботи програми або виконання довільного коду.

Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки поліпшенню перевірки вводу.

CVE-2018-25032: Тавіс Орманді (Tavis Ormandy)

zsh

Цільові продукти: macOS Big Sur.

Вплив: зловмисник може віддалено спричинити виконання довільного коду.

Опис: цю проблему вирішено завдяки оновленню zsh до версії 5.8.1.

CVE-2021-45444

Додаткова подяка

Bluetooth

Дякуємо за допомогу Яну Горну (Jann Horn) з Project Zero.

Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.

Дата опублікування: