Om sikkerhedsindholdet i sikkerhedsopdatering 2022-005 Catalina
I dette dokument beskrives sikkerhedsindholdet i sikkerhedsopdatering 2022-005 Catalina.
Om Apple-sikkerhedsopdateringer
Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.
Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.
Sikkerhedsopdatering 2022-005 Catalina
APFS
Fås til: macOS Catalina
Effekt: En app med rodrettigheder kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2022-32832: Tommy Muir (@Muirey03)
AppleMobileFileIntegrity
Fås til: macOS Catalina
Effekt: En app kan muligvis få adgang til rodrettigheder
Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.
CVE-2022-32826: Mickey Jin (@patch1t) fra Trend Micro
AppleScript
Fås til: macOS Catalina
Effekt: Behandling af et skadeligt binært AppleScript-arkiv kan medføre uventet lukning eller afsløring af proceshukommelse
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2022-32797: Mickey Jin (@patch1t), Ye Zhang (@co0py_Cat) fra Baidu Security, Mickey Jin (@patch1t) fra Trend Micro
AppleScript
Fås til: macOS Catalina
Effekt: Behandling af et skadeligt binært AppleScript-arkiv kan medføre uventet lukning eller afsløring af proceshukommelse
Beskrivelse: Et out-of-bounds-læseproblem blev løst ved forbedret inputvalidering.
CVE-2022-32853: Ye Zhang (@co0py_Cat) fra Baidu Security
CVE-2022-32851: Ye Zhang (@co0py_Cat) fra Baidu Security
AppleScript
Fås til: macOS Catalina
Effekt: Behandling af et skadeligt binært AppleScript-arkiv kan medføre uventet lukning eller afsløring af proceshukommelse
Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.
CVE-2022-32831: Ye Zhang (@co0py_Cat) fra Baidu Security
Archive Utility
Fås til: macOS Catalina
Effekt: Et arkiv kan muligvis omgå Gatekeeper
Beskrivelse: Et logikproblem er løst ved forbedret kontrol.
CVE-2022-32910: Ferdous Saljooki (@malwarezoo) fra Jamf Software
Audio
Fås til: macOS Catalina
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et out-of-bounds-skriveproblem blev løst ved forbedret inputvalidering.
CVE-2022-32820: en anonym programmør
Calendar
Fås til: macOS Catalina
Effekt: En app kan muligvis få adgang til følsomme brugeroplysninger
Beskrivelse: Problemet er løst ved forbedret håndtering af buffere.
CVE-2022-32805: Csaba Fitzl (@theevilbit) fra Offensive Security
Calendar
Fås til: macOS Catalina
Effekt: En app kan muligvis få adgang til følsomme brugerdata
Beskrivelse: Et problem med afsløring af oplysninger er løst ved at fjerne den sårbare kode.
CVE-2022-32849: Joshua Jones
CoreText
Fås til: macOS Catalina
Effekt: En fjernbruger kan få adgang til at udføre uventet applukning eller køre vilkårlig kode
Beskrivelse: Problemet blev løst ved forbedrede kontroller af grænser.
CVE-2022-32839: STAR Labs (@starlabs_sg)
FaceTime
Fås til: macOS Catalina
Effekt: En app med rodrettigheder kan muligvis få adgang til en brugers private oplysninger
Beskrivelse: Dette problem blev løst ved at aktivere hardened runtime.
CVE-2022-32781: Wojciech Reguła (@_r3ggi) fra SecuRing
File System Events
Fås til: macOS Catalina
Effekt: En app kan muligvis få adgang til rodrettigheder
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2022-32819: Joshua Mason fra Mandiant
ICU
Fås til: macOS Catalina
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.
CVE-2022-32787: Dohyun Lee (@l33d0hyun) fra SSD Secure Disclosure Labs og DNSLab, Korea Univ.
ImageIO
Fås til: macOS Catalina
Effekt: Behandling af et billede kan føre til DoS-angreb
Beskrivelse: En reference til en null-pointer er rettet gennem forbedret validering.
CVE-2022-32785: Yiğit Can YILMAZ (@yilmazcanyigit)
Intel Graphics Driver
Fås til: macOS Catalina
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2022-32812: Yinyi Wu (@3ndy1), ABC Research s.r.o.
Intel Graphics Driver
Fås til: macOS Catalina
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: En sårbarhed i forbindelse med hukommelsesfejl er blevet rettet gennem forbedret låsning.
CVE-2022-32811: ABC Research s.r.o
Kernel
Fås til: macOS Catalina
Effekt: En app med rodrettigheder kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2022-32815: Xinru Chi fra Pangu Lab
CVE-2022-32813: Xinru Chi fra Pangu Lab
LaunchServices
Fås til: macOS Catalina
Effekt: En app kan muligvis omgå visse indstillinger for fortrolighed
Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.
CVE-2021-30946: @gorelics og Ron Masas fra BreakPoint.sh
libxml2
Fås til: macOS Catalina
Effekt: En app kan forårsage, at der lækkes følsomme brugeroplysninger
Beskrivelse: Et problem med hukommelsesinitialisering er løst via forbedret hukommelseshåndtering.
CVE-2022-32823
PackageKit
Fås til: macOS Catalina
Effekt: En app kan muligvis ændre beskyttede dele af arkivsystemet
Beskrivelse: Et problem i forbindelse med behandlingen af miljøvariabler er løst via forbedret godkendelse.
CVE-2022-32786: Mickey Jin (@patch1t)
PackageKit
Fås til: macOS Catalina
Effekt: En app kan muligvis ændre beskyttede dele af arkivsystemet
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2022-32800: Mickey Jin (@patch1t)
PluginKit
Fås til: macOS Catalina
Effekt: En app kan muligvis læse vilkårlige arkiver
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2022-32838: Mickey Jin (@patch1t) fra Trend Micro
PS Normalizer
Fås til: macOS Catalina
Effekt: Behandling af et skadeligt Postscript-arkiv kan medføre uventet applukning eller afsløring af proceshukommelse
Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.
CVE-2022-32843: Kai Lu fra Zscaler's ThreatLabz
SMB
Fås til: macOS Catalina
Effekt: En app kan muligvis få adgang til ekstra rettigheder
Beskrivelse: Et out-of-bounds-læseproblem blev løst ved forbedret inputvalidering.
CVE-2022-32842: Sreejith Krishnan R (@skr0x1c0)
SMB
Fås til: macOS Catalina
Effekt: En bruger med en privilegeret netværksposition kan afsløre følsomme oplysninger
Beskrivelse: Et out-of-bounds-læseproblem blev løst via forbedret kontrol af grænser.
CVE-2022-32799: Sreejith Krishnan R (@skr0x1c0)
Software Update
Fås til: macOS Catalina
Effekt: En bruger med en privilegeret netværksposition kan spore en brugers aktivitet
Beskrivelse: Dette problem er løst ved at bruge HTTPS under afsendelse af oplysninger over netværket.
CVE-2022-32857: Jeffrey Paul (sneak.berlin)
Spindump
Fås til: macOS Catalina
Effekt: En app kan muligvis overskrive vilkårlige arkiver
Beskrivelse: Problemet er løst ved forbedret filhåndtering.
CVE-2022-32807: Zhipeng Huo (@R3dF09) fra Tencent Security Xuanwu Lab
Spotlight
Fås til: macOS Catalina
Effekt: En app kan muligvis få adgang til ekstra rettigheder
Beskrivelse: Et godkendelsesproblem i håndteringen af symbolske links er løst med forbedret godkendelse af symbolske links.
CVE-2022-26704: Joshua Mason fra Mandiant
TCC
Fås til: macOS Catalina
Effekt: En app kan muligvis få adgang til følsomme brugeroplysninger
Beskrivelse: Et adgangsproblem er løst med forbedringer af sandbox'en.
CVE-2022-32834: Xuxiang Yang (@another1024) fra Tencent Security Xuanwu Lab (xlab.tencent.com), Gordon Long, Thijs Alkemade (@xnyhps) fra Computest Sector 7, Adam Chester fra TrustedSec, Yuebin Sun (@yuebinsun2020) fra Tencent Security Xuanwu Lab (xlab.tencent.com), Zhipeng Huo (@R3dF09) fra Tencent Security Xuanwu Lab (xlab.tencent.com)
Vim
Fås til: macOS Catalina
Effekt: Flere problemer i Vim
Beskrivelse: Flere problemer er løst ved at opdatere Vim.
CVE-2021-4136
CVE-2021-4166
CVE-2021-4173
CVE-2021-4187
CVE-2021-4192
CVE-2021-4193
CVE-2021-46059
CVE-2022-0128
Wi-Fi
Fås til: macOS Catalina
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Der var et out-of-bounds-skriveproblem, som er løst ved forbedret inputvalidering.
CVE-2022-32860: Wang Yu fra Cyberserval
Wi-Fi
Fås til: macOS Catalina
Effekt: En app kan forårsage uventet systemlukning eller skrivning til kernehukommelsen
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2022-32837: Wang Yu fra Cyberserval
Wi-Fi
Fås til: macOS Catalina
Effekt: En fjernbruger kan muligvis få adgang til at udføre uventet systemlukning eller læse fra kernehukommelsen
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2022-32847: Wang Yu fra Cyberserval
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.