Відомості про оновлення системи безпеки Apple
Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски див. в статті Оновлення системи безпеки Apple.
Документи про безпеку Apple класифікують вразливості за кодами CVE-ID, коли це можливо.
Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.
macOS Big Sur 11.7
Дата випуску: 12 вересня 2022 р.
AppleMobileFileIntegrity
Цільові продукти: macOS Big Sur.
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з перевіркою підпису коду вирішено завдяки поліпшенню перевірок.
CVE-2022-42789: Кох М. Накагава (Koh M. Nakagawa) з FFRI Security, Inc.
Запис додано 27 жовтня 2022 р.
ATS
Цільові продукти: macOS Big Sur.
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з доступом вирішено завдяки додатковим обмеженням ізольованого програмного середовища.
CVE-2022-32904: Міккі Джин (Mickey Jin, @patch1t)
Запис додано 27 жовтня 2022 р.
ATS
Цільові продукти: macOS Big Sur.
Вплив: програма може обходити параметри приватності.
Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.
CVE-2022-32902: Міккі Джин (Mickey Jin, @patch1t)
Calendar
Цільові продукти: macOS Big Sur.
Вплив: програма може отримувати доступ до конфіденційних даних про геопозицію.
Опис: проблему вирішено завдяки вдосконаленню обмежень доступу.
CVE-2022-42819: анонімний дослідник
Запис додано 27 жовтня 2022 р.
Contacts
Цільові продукти: macOS Big Sur.
Вплив: програма може обходити параметри приватності.
Опис: цю проблему вирішено завдяки вдосконаленню перевірок.
CVE-2022-32854: Хольгер Фурманнек (Holger Fuhrmannek) з Deutsche Telekom Security
GarageBand
Цільові продукти: macOS Big Sur.
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з конфігурацією вирішено шляхом додаткових обмежень.
CVE-2022-32877: Войцех Регула (Wojciech Reguła, @_r3ggi) із SecuRing
Запис додано 27 жовтня 2022 р.
ImageIO
Цільові продукти: macOS Big Sur.
Вплив: обробка зображення може призвести до відмови в обслуговуванні.
Опис: проблему відмови в обслуговуванні вирішено завдяки вдосконаленню перевірки.
CVE-2022-1622
Запис додано 27 жовтня 2022 р.
Image Processing
Цільові продукти: macOS Big Sur.
Вплив: програма в ізольованому середовищі може визначити, яка програма зараз використовує камеру.
Опис: проблему вирішено шляхом додаткових обмежень щодо спостережуваності станів програми.
CVE-2022-32913: Йігіт Кан Йилмаз (Yiğit Can YILMAZ, @yilmazcanyigit)
Запис додано 27 жовтня 2022 р.
iMovie
Цільові продукти: macOS Big Sur.
Вплив: користувач може переглядати конфіденційну інформацію про користувача.
Опис: цю проблему вирішено за рахунок обмеження часу роботи програми.
CVE-2022-32896: Войцех Регула (Wojciech Reguła, @_r3ggi)
Kernel
Цільові продукти: macOS Big Sur.
Вплив: підключення до шкідливого сервера NFS може призвести до виконання довільного коду з привілеями ядра.
Опис: проблему вирішено завдяки вдосконаленню перевірки меж.
CVE-2022-46701: Felix Poulin-Belanger
Запис додано 11 травня 2023 р.
Kernel
Цільові продукти: macOS Big Sur.
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: покращене керування пам’яттю усунуло проблему Use-After-Free.
CVE-2022-32914: користувач Zweig із Kunlun Lab
Запис додано 27 жовтня 2022 р.
Kernel
Цільові продукти: macOS Big Sur.
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2022-32866: Лінус Генце (Linus Henze) з Pinauten GmbH (pinauten.de)
CVE-2022-32911: користувач Zweig із Kunlun Lab
CVE-2022-32924: Ієн Бір (Ian Beer) із Google Project Zero
Запис оновлено 27 жовтня 2022 р.
Kernel
Цільові продукти: macOS Big Sur.
Вплив: програма може розкривати дані з пам’яті ядра.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2022-32864: Лінус Генце (Linus Henze) з Pinauten GmbH (pinauten.de)
Kernel
Цільові продукти: macOS Big Sur.
Вплив: програма може виконувати довільний код із привілеями ядра. Компанії Apple відомо, що цією проблемою могли активно користуватися.
Опис: проблему записування за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.
CVE-2022-32894: анонімний дослідник
Kernel
Цільові продукти: macOS Big Sur.
Вплив: програма може виконувати довільний код із привілеями ядра. Компанії Apple відомо, що цією проблемою могли активно користуватися.
Опис: проблему вирішено завдяки вдосконаленню перевірки меж.
CVE-2022-32917: анонімний дослідник
Maps
Цільові продукти: macOS Big Sur
Вплив: програма може отримувати доступ до конфіденційних даних про геопозицію.
Опис: проблему з логікою вирішено завдяки поліпшенню обмежень.
CVE-2022-32883: Рон Масас з breakpointhq.com
Запис оновлено 27 жовтня 2022 р.
MediaLibrary
Цільові продукти: macOS Big Sur.
Вплив: користувач може підвищувати рівень привілеїв.
Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки поліпшенню перевірки вводу.
CVE-2022-32908: анонімний дослідник
ncurses
Цільові продукти: macOS Big Sur.
Вплив: користувач може спричинити несподіване завершення роботи програми або виконання довільного коду.
Опис: проблему переповнення буфера вирішено завдяки вдосконаленню перевірки меж.
CVE-2021-39537
Запис додано 27 жовтня 2022 р.
PackageKit
Цільові продукти: macOS Big Sur.
Вплив: програма може отримувати вищий рівень привілеїв.
Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.
CVE-2022-32900: Міккі Джин (Mickey Jin, @patch1t)
Sandbox
Цільові продукти: macOS Big Sur.
Вплив: програма може змінювати захищені частини файлової системи.
Опис: проблему з логікою вирішено завдяки поліпшенню обмежень.
CVE-2022-32881: Чаба Фіцль (Csaba Fitzl, @theevilbit) з Offensive Security
Запис додано 27 жовтня 2022 р.
Security
Цільові продукти: macOS Big Sur.
Вплив: програма може обходити перевірки підпису коду.
Опис: проблему з перевіркою підпису коду вирішено завдяки поліпшенню перевірок.
CVE-2022-42793: Лінус Генце (Linus Henze) з Pinauten GmbH (pinauten.de)
Запис додано 27 жовтня 2022 р.
Sidecar
Цільові продукти: macOS Big Sur
Вплив: користувач може переглядати обмежений вміст із замкненого екрана.
Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.
CVE-2022-42790: Ом Котаваде (Om Kothawade) із Zaprico Digital
Запис додано 27 жовтня 2022 р.
SMB
Цільові продукти: macOS Big Sur.
Вплив: віддалений користувач може спричинити виконання коду в ядрі.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2022-32934: Фелікс Пулен-Беланжер (Felix Poulin-Belanger)
Запис додано 27 жовтня 2022 р.
Vim
Цільові продукти: macOS Big Sur.
Вплив: обробка шкідливого файлу може викликати відмову в обслуговуванні або розкрити вміст пам’яті.
Опис: цю проблему вирішено завдяки вдосконаленню перевірок.
CVE-2022-1720
CVE-2022-2000
CVE-2022-2042
CVE-2022-2124
CVE-2022-2125
CVE-2022-2126
Запис додано 27 жовтня 2022 р.
Weather
Цільові продукти: macOS Big Sur
Вплив: програма може отримувати доступ до конфіденційних даних про геопозицію.
Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.
CVE-2022-32875: анонімний дослідник
Запис додано 27 жовтня 2022 р.
WebKit
Цільові продукти: macOS Big Sur
Вплив: обробка шкідливого вебконтенту може призводити до виконання довільного коду.
Опис: проблему записування за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.
WebKit Bugzilla: 242047
CVE-2022-32888: користувач P1umer (@p1umer)
Запис додано 27 жовтня 2022 р.
Додаткова подяка
apache
Дякуємо за допомогу Tricia Lee з Enterprise Service Center.
Запис додано 11 травня 2023 р.
Identity Services
Дякуємо за допомогу Джошуа Джонсу (Joshua Jones).