Om sikkerhedsindholdet i sikkerhedsopdatering 2022-005 Catalina

I dette dokument beskrives sikkerhedsindholdet i sikkerhedsopdatering 2022-005 Catalina.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

Sikkerhedsopdatering 2022-005 Catalina

Udgivet 20. juli 2022

APFS

Fås til: macOS Catalina

Effekt: En app med rodrettigheder kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2022-32832: Tommy Muir (@Muirey03)

AppleMobileFileIntegrity

Fås til: macOS Catalina

Effekt: En app kan muligvis få adgang til rodrettigheder

Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.

CVE-2022-32826: Mickey Jin (@patch1t) fra Trend Micro

AppleScript

Fås til: macOS Catalina

Effekt: Behandling af et skadeligt binært AppleScript-arkiv kan medføre uventet lukning eller afsløring af proceshukommelse

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2022-32797: Mickey Jin (@patch1t), Ye Zhang (@co0py_Cat) fra Baidu Security, Mickey Jin (@patch1t) fra Trend Micro

AppleScript

Fås til: macOS Catalina

Effekt: Behandling af et skadeligt binært AppleScript-arkiv kan medføre uventet lukning eller afsløring af proceshukommelse

Beskrivelse: Et out-of-bounds-læseproblem blev løst ved forbedret inputvalidering.

CVE-2022-32853: Ye Zhang (@co0py_Cat) fra Baidu Security

CVE-2022-32851: Ye Zhang (@co0py_Cat) fra Baidu Security

AppleScript

Fås til: macOS Catalina

Effekt: Behandling af et skadeligt binært AppleScript-arkiv kan medføre uventet lukning eller afsløring af proceshukommelse

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2022-32831: Ye Zhang (@co0py_Cat) fra Baidu Security

Archive Utility

Fås til: macOS Catalina

Effekt: Et arkiv kan muligvis omgå Gatekeeper

Beskrivelse: Et logikproblem er løst ved forbedret kontrol.

CVE-2022-32910: Ferdous Saljooki (@malwarezoo) fra Jamf Software

Post tilføjet 4. oktober 2022

Audio

Fås til: macOS Catalina

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et out-of-bounds-skriveproblem blev løst ved forbedret inputvalidering.

CVE-2022-32820: en anonym programmør

Calendar

Fås til: macOS Catalina

Effekt: En app kan muligvis få adgang til følsomme brugeroplysninger

Beskrivelse: Problemet er løst ved forbedret håndtering af buffere.

CVE-2022-32805: Csaba Fitzl (@theevilbit) fra Offensive Security

Calendar

Fås til: macOS Catalina

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et problem med afsløring af oplysninger er løst ved at fjerne den sårbare kode.

CVE-2022-32849: Joshua Jones

CoreText

Fås til: macOS Catalina

Effekt: En fjernbruger kan få adgang til at udføre uventet applukning eller køre vilkårlig kode

Beskrivelse: Problemet blev løst ved forbedrede kontroller af grænser.

CVE-2022-32839: STAR Labs (@starlabs_sg)

FaceTime

Fås til: macOS Catalina

Effekt: En app med rodrettigheder kan muligvis få adgang til en brugers private oplysninger

Beskrivelse: Dette problem blev løst ved at aktivere hardened runtime.

CVE-2022-32781: Wojciech Reguła (@_r3ggi) fra SecuRing

File System Events

Fås til: macOS Catalina

Effekt: En app kan muligvis få adgang til rodrettigheder

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2022-32819: Joshua Mason fra Mandiant

ICU

Fås til: macOS Catalina

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.

CVE-2022-32787: Dohyun Lee (@l33d0hyun) fra SSD Secure Disclosure Labs og DNSLab, Korea Univ.

ImageIO

Fås til: macOS Catalina

Effekt: Behandling af et billede kan føre til DoS-angreb

Beskrivelse: En reference til en null-pointer er rettet gennem forbedret validering.

CVE-2022-32785: Yiğit Can YILMAZ (@yilmazcanyigit)

Intel Graphics Driver

Fås til: macOS Catalina

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2022-32812: Yinyi Wu (@3ndy1), ABC Research s.r.o.

Intel Graphics Driver

Fås til: macOS Catalina

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: En sårbarhed i forbindelse med hukommelsesfejl er blevet rettet gennem forbedret låsning.

CVE-2022-32811: ABC Research s.r.o

Kernel

Fås til: macOS Catalina

Effekt: En app med rodrettigheder kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2022-32815: Xinru Chi fra Pangu Lab

CVE-2022-32813: Xinru Chi fra Pangu Lab

LaunchServices

Fås til: macOS Catalina

Effekt: En app kan muligvis omgå visse indstillinger for fortrolighed

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2021-30946: @gorelics og Ron Masas fra BreakPoint.sh

Post tilføjet 6. juni 2023

libxml2

Fås til: macOS Catalina

Effekt: En app kan forårsage, at der lækkes følsomme brugeroplysninger

Beskrivelse: Et problem med hukommelsesinitialisering er løst via forbedret hukommelseshåndtering.

CVE-2022-32823

PackageKit

Fås til: macOS Catalina

Effekt: En app kan muligvis ændre beskyttede dele af arkivsystemet

Beskrivelse: Et problem i forbindelse med behandlingen af miljøvariabler er løst via forbedret godkendelse.

CVE-2022-32786: Mickey Jin (@patch1t)

PackageKit

Fås til: macOS Catalina

Effekt: En app kan muligvis ændre beskyttede dele af arkivsystemet

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2022-32800: Mickey Jin (@patch1t)

PluginKit

Fås til: macOS Catalina

Effekt: En app kan muligvis læse vilkårlige arkiver

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2022-32838: Mickey Jin (@patch1t) fra Trend Micro

PS Normalizer

Fås til: macOS Catalina

Effekt: Behandling af et skadeligt Postscript-arkiv kan medføre uventet applukning eller afsløring af proceshukommelse

Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.

CVE-2022-32843: Kai Lu fra Zscaler's ThreatLabz

SMB

Fås til: macOS Catalina

Effekt: En app kan muligvis få adgang til ekstra rettigheder

Beskrivelse: Et out-of-bounds-læseproblem blev løst ved forbedret inputvalidering.

CVE-2022-32842: Sreejith Krishnan R (@skr0x1c0)

SMB

Fås til: macOS Catalina

Effekt: En bruger med en privilegeret netværksposition kan afsløre følsomme oplysninger

Beskrivelse: Et out-of-bounds-læseproblem blev løst via forbedret kontrol af grænser.

CVE-2022-32799: Sreejith Krishnan R (@skr0x1c0)

Software Update

Fås til: macOS Catalina

Effekt: En bruger med en privilegeret netværksposition kan spore en brugers aktivitet

Beskrivelse: Dette problem er løst ved at bruge HTTPS under afsendelse af oplysninger over netværket.

CVE-2022-32857: Jeffrey Paul (sneak.berlin)

Spindump

Fås til: macOS Catalina

Effekt: En app kan muligvis overskrive vilkårlige arkiver

Beskrivelse: Problemet er løst ved forbedret filhåndtering.

CVE-2022-32807: Zhipeng Huo (@R3dF09) fra Tencent Security Xuanwu Lab

Spotlight

Fås til: macOS Catalina

Effekt: En app kan muligvis få adgang til ekstra rettigheder

Beskrivelse: Et godkendelsesproblem i håndteringen af symbolske links er løst med forbedret godkendelse af symbolske links.

CVE-2022-26704: Joshua Mason fra Mandiant

TCC

Fås til: macOS Catalina

Effekt: En app kan muligvis få adgang til følsomme brugeroplysninger

Beskrivelse: Et adgangsproblem er løst med forbedringer af sandbox'en.

CVE-2022-32834: Xuxiang Yang (@another1024) fra Tencent Security Xuanwu Lab (xlab.tencent.com), Gordon Long, Thijs Alkemade (@xnyhps) fra Computest Sector 7, Adam Chester fra TrustedSec, Yuebin Sun (@yuebinsun2020) fra Tencent Security Xuanwu Lab (xlab.tencent.com), Zhipeng Huo (@R3dF09) fra Tencent Security Xuanwu Lab (xlab.tencent.com)

Post opdateret 16. september 2022, opdateret 6. juni 2023

Vim

Fås til: macOS Catalina

Effekt: Flere problemer i Vim

Beskrivelse: Flere problemer er løst ved at opdatere Vim.

CVE-2021-4136

CVE-2021-4166

CVE-2021-4173

CVE-2021-4187

CVE-2021-4192

CVE-2021-4193

CVE-2021-46059

CVE-2022-0128

Wi-Fi

Fås til: macOS Catalina

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Der var et out-of-bounds-skriveproblem, som er løst ved forbedret inputvalidering.

CVE-2022-32860: Wang Yu fra Cyberserval

Post tilføjet 6. juni 2023

Wi-Fi

Fås til: macOS Catalina

Effekt: En app kan forårsage uventet systemlukning eller skrivning til kernehukommelsen

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2022-32837: Wang Yu fra Cyberserval

Post tilføjet 16. september 2022

Wi-Fi

Fås til: macOS Catalina

Effekt: En fjernbruger kan muligvis få adgang til at udføre uventet systemlukning eller læse fra kernehukommelsen

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2022-32847: Wang Yu fra Cyberserval

Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.

Udgivelsesdato: