Om sikkerhedsindholdet i sikkerhedsopdatering 2022-004 Catalina
I dette dokument beskrives sikkerhedsindholdet i sikkerhedsopdatering 2022-004 Catalina.
Om Apple-sikkerhedsopdateringer
Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.
Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.
Sikkerhedsopdatering 2022-004 Catalina
apache
Fås til: macOS Catalina
Effekt: Flere problemer i Apache
Beskrivelse: Flere problemer blev løst ved at opdatere Apache til version 2.4.53.
CVE-2021-44224
CVE-2021-44790
CVE-2022-22719
CVE-2022-22720
CVE-2022-22721
AppKit
Fås til: macOS Catalina
Effekt: Et skadeligt program kan muligvis opnå rodrettigheder
Beskrivelse: Et logikproblem er løst via forbedret godkendelse.
CVE-2022-22665: Lockheed Martin Red Team
AppleEvents
Fås til: macOS Catalina
Effekt: En fjernbruger kan få adgang til at udføre uventet applukning eller køre vilkårlig kode
Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.
CVE-2022-22630: Jeremy Brown, der arbejder med Trend Micro Zero Day Initiative
AppleGraphicsControl
Fås til: macOS Catalina
Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2022-26751: Michael DePlante (@izobashi) fra Trend Micros Zero Day Initiative
AppleScript
Fås til: macOS Catalina
Effekt: Behandling af et skadeligt binært AppleScript-arkiv kan medføre uventet programlukning eller afsløring af proceshukommelse
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2022-26697: Qi Sun og Robert Ai fra Trend Micro
AppleScript
Fås til: macOS Catalina
Effekt: Behandling af et skadeligt binært AppleScript-arkiv kan medføre uventet programlukning eller afsløring af proceshukommelse
Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.
CVE-2022-26698: Qi Sun fra Trend Micro
CoreTypes
Fås til: macOS Catalina
Effekt: Et skadeligt program kan omgå Gatekeeper-kontrollerne
Beskrivelse: Problemet er løst ved hjælp af forbedret kontrol for at forhindre uautoriserede handlinger i at blive udført.
CVE-2022-22663: Arsenii Kostromin (0x3c3e)
CVMS
Fås til: macOS Catalina
Effekt: Et skadeligt program kan muligvis opnå rodrettigheder
Beskrivelse: Et problem med hukommelsesinitialisering er blevet løst.
CVE-2022-26721: Yonghwi Jin (@jinmo123) fra Theori
CVE-2022-26722: Yonghwi Jin (@jinmo123) fra Theori
DriverKit
Fås til: macOS Catalina
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Et out-of-bounds-adgangsproblem blev løst via forbedret kontrol af grænser.
CVE-2022-26763: Linus Henze fra Pinauten GmbH (pinauten.de)
Graphics Drivers
Fås til: macOS Catalina
Effekt: En lokal bruger kan læse kernehukommelsen
Beskrivelse: Et out-of-bounds-læseproblem ledte til offentliggørelse af kernehukommelse. Dette er løst via forbedret godkendelse af input.
CVE-2022-22674: en anonym programmør
Intel Graphics Driver
Fås til: macOS Catalina
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.
CVE-2022-26720: Liu Long fra Ant Security Light-Year Lab
Intel Graphics Driver
Fås til: macOS Catalina
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret inputvalidering.
CVE-2022-26770: Liu Long fra Ant Security Light-Year Lab
Intel Graphics Driver
Fås til: macOS Catalina
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et out-of-bounds-skriveproblem blev løst ved forbedret inputvalidering.
CVE-2022-26756: Jack Dates fra RET2 Systems, Inc
Intel Graphics Driver
Fås til: macOS Catalina
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2022-26769: Antonio Zekic (@antoniozekic)
Intel Graphics Driver
Fås til: macOS Catalina
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Et out-of-bounds-skriveproblem er løst via forbedret inputvalidering.
CVE-2022-26748: Jeonghoon Shin fra Theori, der arbejder med Trend Micros Zero Day Initiative
Kernel
Fås til: macOS Catalina
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.
CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) fra STAR Labs (@starlabs_sg)
Kernel
Fås til: macOS Catalina
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.
CVE-2022-26757: Ned Williamson fra Google Project Zero
libresolv
Fås til: macOS Catalina
Effekt: En ekstern bruger kan muligvis forårsage DoS-angreb
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2022-32790: Max Shavrick (@_mxms) fra Googles sikkerhedsteam
libresolv
Fås til: macOS Catalina
Effekt: En hacker kan forårsage uventet programafslutning eller kørsel af vilkårlig kode
Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.
CVE-2022-26775: Max Shavrick (@_mxms) fra Googles sikkerhedsteam
LibreSSL
Fås til: macOS Catalina
Effekt: Behandling af et skadeligt certifikat kan medføre DoS (Denial of Service)
Beskrivelse: Et Denial of Service-problem blev rettet via forbedret inputvalidering.
CVE-2022-0778
libxml2
Fås til: macOS Catalina
Effekt: En ekstern hacker kan muligvis forårsage pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.
CVE-2022-23308
OpenSSL
Fås til: macOS Catalina
Effekt: Behandling af et skadeligt certifikat kan medføre DoS (Denial of Service)
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2022-0778
PackageKit
Fås til: macOS Catalina
Effekt: En app kan muligvis få adgang til ekstra rettigheder
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2022-32794: Mickey Jin (@patch1t)
PackageKit
Fås til: macOS Catalina
Effekt: Et skadeligt program kan muligvis ændre beskyttede dele af arkivsystemet
Beskrivelse: Problemet er løst ved forbedret godkendelse.
CVE-2022-26727: Mickey Jin (@patch1t)
Printing
Fås til: macOS Catalina
Effekt: Et skadeligt program kan muligvis omgå indstillingerne for fortrolighed
Beskrivelse: Problemet blev løst ved at fjerne den sårbare kode.
CVE-2022-26746: @gorelics
Security
Fås til: macOS Catalina
Effekt: Et skadeligt program kan muligvis omgå signaturgodkendelse
Beskrivelse: Et problem med parsing af certifikat er løst ved hjælp af forbedrede kontroller.
CVE-2022-26766: Linus Henze fra Pinauten GmbH (pinauten.de)
SMB
Fås til: macOS Catalina
Effekt: Et program kan få adgang til hævede rettigheder
Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.
CVE-2022-26715: Peter Nguyễn Vũ Hoàng fra STAR Labs
SoftwareUpdate
Fås til: macOS Catalina
Effekt: Et skadeligt program kan muligvis få adgang til begrænsede arkiver
Beskrivelse: Problemet er løst ved forbedret godkendelse.
CVE-2022-26728: Mickey Jin (@patch1t)
TCC
Fås til: macOS Catalina
Effekt: En app kan registrere en brugers skærm
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2022-26726: Antonio Cheong Yu Xuan fra YCISCQ
Tcl
Fås til: macOS Catalina
Effekt: Et skadeligt program kan muligvis frigøre sig fra sin sandbox
Beskrivelse: Problemet blev løst ved forbedret rensning af miljøet.
CVE-2022-26755: Arsenii Kostromin (0x3c3e)
WebKit
Fås til: macOS Catalina
Effekt: Behandling af en skadelig mailbesked kan medføre kørsel af vilkårlig javascript
Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.
CVE-2022-22589: Heige fra KnownSec 404 Team (knownsec.com) og Bo Qu fra Palo Alto Networks (paloaltonetworks.com)
Wi-Fi
Fås til: macOS Catalina
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2022-26761: Wang Yu fra Cyberserval
zip
Fås til: macOS Catalina
Effekt: Behandling af et skadeligt arkiv kan medføre DoS (Denial of Service)
Beskrivelse: Et Denial of Service-problem blev rettet via forbedret statushåndtering.
CVE-2022-0530
zlib
Fås til: macOS Catalina
Effekt: En hacker kan forårsage uventet programafslutning eller kørsel af vilkårlig kode
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2018-25032: Tavis Ormandy
zsh
Fås til: macOS Catalina
Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode
Beskrivelse: Dette problem blev løst ved at opdatere til zsh-version 5.8.1.
CVE-2021-45444
Yderligere anerkendelser
PackageKit
Vi vil gerne takke Mickey Jin (@patch1t) fra Trend Micro for hjælpen.
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.