Відомості про оновлення системи безпеки Apple
Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски див. в статті Оновлення системи безпеки Apple.
Документи про безпеку Apple класифікують вразливості за кодами CVE-ID, коли це можливо.
Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.
macOS Big Sur 11.6.6
Дата випуску: 16 травня 2022 року
apache
Цільові продукти: macOS Big Sur.
Вплив: виявлено кілька проблем в Apache.
Опис: проблеми вирішено завдяки оновленню apache до версії 2.4.53.
CVE-2021-44224
CVE-2021-44790
CVE-2022-22719
CVE-2022-22720
CVE-2022-22721
AppKit
Цільові продукти: macOS Big Sur.
Вплив: зловмисна програма може підвищувати рівень привілеїв до кореневого користувача.
Опис: проблему з логікою вирішено завдяки поліпшенню перевірки.
CVE-2022-22665: Lockheed Martin Red Team
AppleAVD
Цільові продукти: macOS Big Sur.
Вплив: програма може виконувати довільний код із привілеями ядра. Компанії Apple відомо, що цією проблемою могли активно користуватися.
Опис: проблему записування за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.
CVE-2022-22675: анонімний дослідник
AppleEvents
Цільові продукти: macOS Big Sur.
Вплив: зловмисник може віддалено спричинити несподіване завершення роботи програми чи виконання довільного коду.
Опис: проблему Use-After-Free вирішено завдяки вдосконаленню керування пам’яттю.
CVE-2022-22630: Джеремі Браун (Jeremy Brown) із Theori в співпраці з Trend Micro Zero Day Initiative
Запис додано 8 червня 2023 р.
AppleGraphicsControl
Цільові продукти: macOS Big Sur.
Вплив: обробка шкідливого зображення може призводити до виконання довільного коду.
Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки поліпшенню перевірки вводу.
CVE-2022-26751: Майкл Депланте (Michael DePlante, @izobashi) з Trend Micro Zero Day Initiative
AppleScript
Цільові продукти: macOS Big Sur.
Вплив: обробка шкідливого бінарного файлу AppleScript може призводити до несподіваного завершення роботи програми або розкриття пам’яті процесу.
Опис: проблему записування за межами виділеної пам’яті усунуто завдяки вдосконаленню перевірки меж.
CVE-2022-26698: Qi Sun з Trend Micro, Ye Zhang (@co0py_Cat) iз Baidu Security
Запис оновлено 6 липня 2022 р.
AppleScript
Цільові продукти: macOS Big Sur.
Вплив: обробка шкідливого бінарного файлу AppleScript може призводити до несподіваного завершення роботи програми або розкриття пам’яті процесу.
Опис: проблему читання за межами виділеної області пам’яті усунено завдяки вдосконаленню перевірки вводу.
CVE-2022-26697: Qi Sun і Robert Ai з Trend Micro
CoreTypes
Цільові продукти: macOS Big Sur.
Вплив: шкідлива програма може обходити перевірки Gatekeeper.
Опис: цю проблему усунено завдяки поліпшенню перевірок для запобігання несанкціонованим діям.
CVE-2022-22663: Arsenii Kostromin (0x3c3e)
CVMS
Цільові продукти: macOS Big Sur.
Вплив: зловмисна програма може підвищувати рівень привілеїв до кореневого користувача.
Опис: проблему з ініціалізацією пам’яті вирішено.
CVE-2022-26721: Йонгві Джин (Yonghwi Jin, @jinmo123) із Theori
CVE-2022-26722: Йонгві Джин (Yonghwi Jin, @jinmo123) із Theori
DriverKit
Цільові продукти: macOS Big Sur.
Вплив: зловмисна програма може виконувати довільний код із системними привілеями.
Опис: проблему доступу за межами виділеної пам’яті усунуто завдяки вдосконаленню перевірки меж.
CVE-2022-26763: Linus Henze з компанії Pinauten GmbH (pinauten.de)
Graphics Drivers
Цільові продукти: macOS Big Sur.
Вплив: локальний користувач може зчитувати пам’ять ядра.
Опис: виникала проблема читання за межами виділеної області, що призводило до витоку пам’яті ядра. Цю проблему вирішено завдяки поліпшенню перевірки вводу.
CVE-2022-22674: анонімний дослідник
Intel Graphics Driver
Цільові продукти: macOS Big Sur.
Вплив: шкідлива програма може виконувати довільний код із привілеями ядра.
Опис: проблему із записуванням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.
CVE-2022-26720: Лю Лун (Liu Long) з Ant Security Light-Year Lab
Intel Graphics Driver
Цільові продукти: macOS Big Sur.
Вплив: шкідлива програма може виконувати довільний код із привілеями ядра.
Опис: проблему читання за межами виділеної пам’яті вирішено завдяки вдосконаленню перевірки вводу.
CVE-2022-26770: Лю Лун (Liu Long) з Ant Security Light-Year Lab
Intel Graphics Driver
Цільові продукти: macOS Big Sur.
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему записування за межами виділеної пам’яті вирішено завдяки вдосконаленню перевірки вводу.
CVE-2022-26756: Jack Dates з RET2 Systems, Inc
Intel Graphics Driver
Цільові продукти: macOS Big Sur.
Вплив: шкідлива програма може виконувати довільний код із привілеями ядра.
Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки поліпшенню перевірки вводу.
CVE-2022-26769: Антоніо Зекіч (Antonio Zekic, @antoniozekic)
Intel Graphics Driver
Цільові продукти: macOS Big Sur.
Вплив: обробка шкідливого вебконтенту може призводити до виконання довільного коду.
Опис: проблему записування за межами виділеної пам’яті усунуто завдяки вдосконаленню перевірки вводу.
CVE-2022-26748: Jeonghoon Shin із Theori, що співпрацює з ініціативою Zero Day компанії Trend Micro
IOMobileFrameBuffer
Цільові продукти: macOS Big Sur.
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему з пошкодженням даних у пам’яті усунено завдяки поліпшенню керування станами.
CVE-2022-26768: анонімний дослідник
Kernel
Цільові продукти: macOS Big Sur.
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки поліпшенню перевірки.
CVE-2022-26714: Пітер Нгуєн Ву Хоанг (Peter Nguyễn Vũ Hoàng, @peternguyen14) зі STAR Labs (@starlabs_sg)
Kernel
Цільові продукти: macOS Big Sur.
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: покращене керування пам’яттю усунуло проблему Use-After-Free.
CVE-2022-26757: Ned Williamson із команди Google Project Zero
LaunchServices
Цільові продукти: macOS Big Sur.
Вплив: програма може обходити певні параметри приватності
Опис: проблему з логікою вирішено завдяки поліпшенню обмежень.
CVE-2021-30946: користувач @gorelics і Рон Масас (Ron Masas) із BreakPoint.sh
Запис додано 8 червня 2023 р.
LaunchServices
Цільові продукти: macOS Big Sur.
Вплив: шкідлива програма може обходити налаштування приватності.
Опис: проблему усунуто завдяки додатковим перевіркам дозволів.
CVE-2022-26767: Wojciech Reguła (@_r3ggi) із SecuRing
LaunchServices
Цільові продукти: macOS Big Sur.
Вплив: певний процес в ізольованому програмному середовищі може обходити обмеження цього середовища.
Опис: проблему з доступом усунуто за допомогою додаткових обмежень ізольованого програмного середовища в сторонніх програмах.
CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or з Microsoft
Запис оновлено 6 липня 2022 р.
Libinfo
Цільові продукти: macOS Big Sur.
Вплив: програма може обходити параметри приватності.
Опис: цю проблему вирішено завдяки вдосконаленню перевірок.
CVE-2022-32882: Zhipeng Huo (@R3dF09) і Yuebin Sun (@yuebinsun2020) з Tencent Security Xuanwu Lab
Запис додано 16 вересня 2022 р.
libresolv
Цільові продукти: macOS Big Sur
Вплив: віддалений користувач може спричинити відмову в обслуговуванні.
Опис: цю проблему вирішено завдяки поліпшенню перевірок.
CVE-2022-32790: Max Shavrick (@_mxms) iз Команди безпеки Google
Запис додано 21 червня 2022 р.
libresolv
Цільові продукти: macOS Big Sur
Вплив: зловмисник може спричинити несподіване завершення роботи програми або виконання довільного коду.
Опис: цю проблему вирішено завдяки поліпшенню перевірок.
CVE-2022-26776: Zubair Ashraf із Crowdstrike, Max Shavrick (@_mxms) з команди Google Security
LibreSSL
Цільові продукти: macOS Big Sur.
Вплив: обробка шкідливого сертифіката може призводити до відмови в обслуговуванні.
Опис: проблему відмови в обслуговуванні вирішено завдяки поліпшенню перевірки вводу.
CVE-2022-0778
libxml2
Цільові продукти: macOS Big Sur.
Вплив: зловмисник може віддалено спричинити несподіване завершення роботи програми або виконання довільного коду.
Опис: проблему Use-After-Free вирішено завдяки вдосконаленню керування пам’яттю.
CVE-2022-23308
OpenSSL
Цільові продукти: macOS Big Sur.
Вплив: обробка шкідливого сертифіката може призводити до відмови в обслуговуванні.
Опис: цю проблему вирішено завдяки поліпшенню перевірок.
CVE-2022-0778
PackageKit
Цільові продукти: macOS Big Sur.
Вплив: програма може отримувати вищий рівень привілеїв.
Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.
CVE-2022-32794: Mickey Jin (@patch1t)
Запис додано 4 жовтня 2022 р.
PackageKit
Цільові продукти: macOS Big Sur.
Вплив: шкідлива програма може змінювати захищені частини файлової системи.
Опис: проблему вирішено за допомогою видалення вразливого коду.
CVE-2022-26712: Mickey Jin (@patch1t)
Printing
Цільові продукти: macOS Big Sur.
Вплив: шкідлива програма може обходити налаштування приватності.
Опис: проблему вирішено шляхом видалення вразливого коду.
CVE-2022-26746: @gorelics
Safari Private Browsing
Цільові продукти: macOS Big Sur
Вплив: зловмисний сайт може відстежувати користувачів у приватному режимі перегляду в Safari.
Опис: проблему з логікою вирішено завдяки поліпшенню керування станами.
CVE-2022-26731: анонімний дослідник
Запис додано 6 липня 2022 р.
Security
Цільові продукти: macOS Big Sur.
Вплив: шкідливий додаток може обійти перевірку підпису
Опис: проблему затвердження сертифікатів усунуто завдяки поліпшенню перевірок.
CVE-2022-26766: Лінус Генце (Linus Henze) з Pinauten GmbH (pinauten.de)
SMB
Цільові продукти: macOS Big Sur.
Вплив: програма може підвищувати рівень привілеїв.
Опис: проблему читання за межами виділеної пам’яті усунуто завдяки вдосконаленню перевірки вводу.
CVE-2022-26718: Пітер Нгуєн Ву Хоанг (Peter Nguyễn Vũ Hoàng) зі STAR Labs
SMB
Цільові продукти: macOS Big Sur.
Вплив: монтування мережевої папки Samba, складеної зі шкідливими намірами, може призводити до виконання довільного коду.
Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки поліпшенню перевірки вводу.
CVE-2022-26723: Felix Poulin-Belanger
SMB
Цільові продукти: macOS Big Sur.
Вплив: програма може підвищувати рівень привілеїв.
Опис: проблему записування за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.
CVE-2022-26715: Peter Nguyễn Vũ Hoàng зі STAR Labs
SoftwareUpdate
Цільові продукти: macOS Big Sur.
Вплив: зловмисна програма може отримувати доступ до файлів з обмеженим доступом.
Опис: проблему вирішено завдяки вдосконаленню дозволів.
CVE-2022-26728: Mickey Jin (@patch1t)
TCC
Цільові продукти: macOS Big Sur.
Вплив: програма може робити знімок екрана користувача
Опис: цю проблему вирішено завдяки поліпшенню перевірок.
CVE-2022-26726: Антоніо Чонг Ю Суан (Antonio Cheong Yu Xuan) з YCISCQ
Запис оновлено 8 червня 2023 р.
Tcl
Цільові продукти: macOS Big Sur.
Вплив: шкідлива програма може виходити за межі ізольованого середовища.
Опис: цю проблему вирішено завдяки поліпшенню очищення середовища.
CVE-2022-26755: Arsenii Kostromin (0x3c3e)
Vim
Цільові продукти: macOS Big Sur.
Вплив: виявлено кілька проблем у Vim.
Опис: кілька проблем вирішено завдяки оновленню Vim.
CVE-2021-4136
CVE-2021-4166
CVE-2021-4173
CVE-2021-4187
CVE-2021-4192
CVE-2021-4193
CVE-2021-46059
CVE-2022-0128
WebKit
Цільові продукти: macOS Big Sur
Вплив: обробка шкідливого поштового повідомлення може призвести до запуску JavaScript.
Опис: проблему з перевіркою усунено завдяки поліпшеній обробці вводу.
CVE-2022-22589: Heige із команди KnownSec 404 Team (knownsec.com) і Bo Qu з Palo Alto Networks (paloaltonetworks.com)
Wi-Fi
Цільові продукти: macOS Big Sur.
Вплив: шкідлива програма може розкривати область пам’яті з обмеженим доступом.
Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки поліпшенню перевірки.
CVE-2022-26745: Scarlet Raine
Запис оновлено 6 липня 2022 р.
Wi-Fi
Цільові продукти: macOS Big Sur.
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему з пошкодженням даних у пам’яті вирішено шляхом поліпшення обробки звернень до пам’яті.
CVE-2022-26761: Wang Yu з Cyberserval
zip
Цільові продукти: macOS Big Sur.
Вплив: обробка шкідливого файлу може призводити до відмови в обслуговуванні.
Опис: проблему відмови в обслуговуванні вирішено завдяки вдосконаленню обробки станів.
CVE-2022-0530
zlib
Цільові продукти: macOS Big Sur.
Вплив: зловмисник може спричинити несподіване завершення роботи програми або виконання довільного коду.
Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки поліпшенню перевірки вводу.
CVE-2018-25032: Тавіс Орманді (Tavis Ormandy)
zsh
Цільові продукти: macOS Big Sur.
Вплив: зловмисник може віддалено спричинити виконання довільного коду.
Опис: цю проблему вирішено завдяки оновленню zsh до версії 5.8.1.
CVE-2021-45444
Додаткова подяка
Bluetooth
Дякуємо за допомогу Яну Горну (Jann Horn) з Project Zero.