Informace o bezpečnostním obsahu macOS Big Sur 11.7
Tento dokument popisuje bezpečnostní obsah macOS Big Sur 11.7.
Informace o bezpečnostních aktualizacích Apple
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.
Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.
Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.
macOS Big Sur 11.7
AppleMobileFileIntegrity
K dispozici pro: macOS Big Sur
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém v ověřování podpisů kódu byl vyřešen vylepšením kontrol.
CVE-2022-42789: Koh M. Nakagawa ze společnosti FFRI Security, Inc.
ATS
K dispozici pro: macOS Big Sur
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém s přístupem byl vyřešen přidáním dalších omezení sandboxu.
CVE-2022-32904: Mickey Jin (@patch1t)
ATS
K dispozici pro: macOS Big Sur
Dopad: Aplikaci se může podařit obejít předvolby soukromí.
Popis: Problém v logice byl vyřešen vylepšením správy stavu.
CVE-2022-32902: Mickey Jin (@patch1t)
Calendar
K dispozici pro: macOS Big Sur
Dopad: Aplikaci se může podařit číst citlivé polohové informace.
Popis: Problém s přístupem byl vyřešen vylepšením přístupových omezení.
CVE-2022-42819: anonymní výzkumník
Contacts
K dispozici pro: macOS Big Sur
Dopad: Aplikaci se může podařit obejít předvolby soukromí.
Popis: Problém byl vyřešen vylepšením kontrol.
CVE-2022-32854: Holger Fuhrmannek ze společnosti Deutsche Telekom Security
GarageBand
K dispozici pro: macOS Big Sur
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém s konfigurací byl vyřešen přidáním dalších omezení.
CVE-2022-32877: Wojciech Reguła (@_r3ggi) ze společnosti SecuRing
ImageIO
K dispozici pro: macOS Big Sur
Dopad: Zpracování obrázku může vést k odepření služby.
Popis: Problém s odmítnutím služby byl vyřešen vylepšením ověřování.
CVE-2022-1622
Image Processing
K dispozici pro: macOS Big Sur
Dopad: Aplikaci v sandboxu se může podařit zjistit, která aplikace momentálně používá kameru.
Popis: Problém byl vyřešen přidáním dalších omezení k viditelnosti stavů aplikací.
CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)
iMovie
K dispozici pro: macOS Big Sur
Dopad: Uživateli se může podařit zobrazit citlivé uživatelské údaje.
Popis: Tento problém byl vyřešen povolením nastavení Hardened Runtime.
CVE-2022-32896: Wojciech Reguła (@_r3ggi)
Kernel
K dispozici pro: macOS Big Sur
Dopad: Připojení ke škodlivému NFS serveru může vést ke spuštění libovolného kódu s oprávněními k jádru.
Popis: Problém byl vyřešen vylepšením kontroly rozsahu.
CVE-2022-46701: Felix Poulin-Belanger
Kernel
K dispozici pro: macOS Big Sur
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními jádra.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
CVE-2022-32914: Zweig z týmu Kunlun Lab
Kernel
K dispozici pro: macOS Big Sur
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními jádra.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2022-32866: Linus Henze ze společnosti Pinauten GmbH (pinauten.de)
CVE-2022-32911: Zweig z týmu Kunlun Lab
CVE-2022-32924: Ian Beer z týmu Google Project Zero
Kernel
K dispozici pro: macOS Big Sur
Dopad: Aplikaci se může podařit odhalit obsah paměti jádra.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2022-32864: Linus Henze ze společnosti Pinauten GmbH (pinauten.de)
Kernel
K dispozici pro: macOS Big Sur
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru. Apple má informace o tom, že tento problém mohl být aktivně zneužit.
Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením kontroly rozsahu.
CVE-2022-32894: anonymní výzkumník
Kernel
K dispozici pro: macOS Big Sur
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru. Apple má informace o tom, že tento problém mohl být aktivně zneužit.
Popis: Problém byl vyřešen vylepšením kontroly rozsahu.
CVE-2022-32917: anonymní výzkumník
Maps
K dispozici pro: macOS Big Sur
Dopad: Aplikaci se může podařit číst citlivé polohové informace.
Popis: Problém v logice byl vyřešen vylepšením omezení.
CVE-2022-32883: Ron Masas z týmu breakpointhq.com
MediaLibrary
K dispozici pro: macOS Big Sur
Dopad: Uživateli se může podařit navýšit oprávnění.
Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.
CVE-2022-32908: anonymní výzkumník
ncurses
K dispozici pro: macOS Big Sur
Dopad: Uživateli se může podařit způsobit nečekané ukončení aplikace nebo spustit libovolný kód.
Popis: Problém s přetečením zásobníku byl vyřešen vylepšením kontroly rozsahu.
CVE-2021-39537
PackageKit
K dispozici pro: macOS Big Sur
Dopad: Aplikaci se může podařit navýšit si oprávnění.
Popis: Problém v logice byl vyřešen vylepšením správy stavu.
CVE-2022-32900: Mickey Jin (@patch1t)
Sandbox
K dispozici pro: macOS Big Sur
Dopad: Aplikaci se může podařit upravit chráněné části souborového systému.
Popis: Problém v logice byl vyřešen vylepšením omezení.
CVE-2022-32881: Csaba Fitzl (@theevilbit) ze společnosti Offensive Security
Security
K dispozici pro: macOS Big Sur
Dopad: Aplikaci se může podařit obejít kontroly podpisu kódu.
Popis: Problém v ověřování podpisů kódu byl vyřešen vylepšením kontrol.
CVE-2022-42793: Linus Henze ze společnosti Pinauten GmbH (pinauten.de)
Sidecar
K dispozici pro: macOS Big Sur
Dopad: Uživateli se může podařit zobrazit omezený obsah na zamčené obrazovce.
Popis: Problém v logice byl vyřešen vylepšením správy stavu.
CVE-2022-42790: Om kothawade ze společnosti Zaprico Digital
SMB
K dispozici pro: macOS Big Sur
Dopad: Vzdálenému uživateli se může podařit spustit kód na úrovni jádra.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2022-32934: Felix Poulin-Belanger
Vim
K dispozici pro: macOS Big Sur
Dopad: Zpracování škodlivého souboru může vést k odmítnutí služby nebo k potenciálnímu odhalení obsahu paměti.
Popis: Problém byl vyřešen vylepšením kontrol.
CVE-2022-1720
CVE-2022-2000
CVE-2022-2042
CVE-2022-2124
CVE-2022-2125
CVE-2022-2126
Weather
K dispozici pro: macOS Big Sur
Dopad: Aplikaci se může podařit číst citlivé polohové informace.
Popis: Problém v logice byl vyřešen vylepšením správy stavu.
CVE-2022-32875: anonymní výzkumník
WebKit
K dispozici pro: macOS Big Sur
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.
Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením kontroly rozsahu.
CVE-2022-32888: P1umer (@p1umer)
Další poděkování
apache
Poděkování za pomoc zaslouží Tricia Lee z týmu Enterprise Service Center.
Identity Services
Poděkování za pomoc zaslouží Joshua Jones.
Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.