Über den Sicherheitsinhalt von Sicherheitsupdate 2022-004 Catalina
Dieses Dokument beschreibt den Sicherheitsinhalt des Sicherheitsupdates 2022-004 Catalina.
Informationen zu Apple-Sicherheitsupdates
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.
Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.
Weitere Informationen zur Sicherheit findest du auf der Seite Sicherheits- oder Datenschutzschwachstelle melden.
Sicherheitsupdate 2022-004 Catalina
apache
Verfügbar für: macOS Catalina
Auswirkung: Mehrere Probleme in Apache
Beschreibung: Mehrere Probleme wurden durch ein Update von Apache auf Version 2.4.53 behoben.
CVE-2021-44224
CVE-2021-44790
CVE-2022-22719
CVE-2022-22720
CVE-2022-22721
AppKit
Verfügbar für: macOS Catalina
Auswirkung: Ein Schadprogramm kann möglicherweise Root-Rechte erlangen.
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Überprüfung behoben.
CVE-2022-22665: Lockheed Martin Red Team
AppleEvents
Verfügbar für: macOS Catalina
Auswirkung: Remotebenutzer können einen unerwarteten App-Abbruch oder die Ausführung willkürlichen Codes verursachen.
Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-22630: Jeremy Brown in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
AppleGraphicsControl
Verfügbar für: macOS Catalina
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2022-26751: Michael DePlante (@izobashi) von der Zero Day Initiative von Trend Micro
AppleScript
Verfügbar für: macOS Catalina
Auswirkung: Durch Verarbeitung einer in böser Absicht erstellten AppleScript-Binärdatei kann ein Programm unerwartet beendet oder Prozessspeicher offengelegt werden.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2022-26697: Qi Sun und Robert Ai von Trend Micro
AppleScript
Verfügbar für: macOS Catalina
Auswirkung: Durch Verarbeitung einer in böser Absicht erstellten AppleScript-Binärdatei kann ein Programm unerwartet beendet oder Prozessspeicher offengelegt werden.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2022-26698: Qi Sun von Trend Micro
CoreTypes
Verfügbar für: macOS Catalina
Auswirkung: Eine schadhafte Anwendung kann Gatekeeper-Überprüfungen umgehen.
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben, die nicht autorisierte Aktionen verhindern.
CVE-2022-22663: Arsenii Kostromin (0x3c3e)
CVMS
Verfügbar für: macOS Catalina
Auswirkung: Ein Schadprogramm kann möglicherweise Root-Rechte erlangen.
Beschreibung: Ein Problem mit der Speicherinitialisierung wurde behoben.
CVE-2022-26721: Yonghwi Jin (@jinmo123) von Theori
CVE-2022-26722: Yonghwi Jin (@jinmo123) von Theori
DriverKit
Verfügbar für: macOS Catalina
Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen.
Beschreibung: Ein Problem, aufgrund dessen auf Daten außerhalb des zugewiesenen Bereichs zugegriffen werden konnte, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2022-26763: Linus Henze von der Pinauten GmbH (pinauten.de)
Graphics Drivers
Verfügbar für: macOS Catalina
Auswirkung: Ein lokaler Benutzer kann möglicherweise den Kernelspeicher auslesen.
Beschreibung: Es bestand ein Problem, das den Lesezugriff auf Speicher außerhalb des zugewiesenen Bereichs ermöglichte. Dadurch wurden Inhalte des Kernelspeichers offengelegt. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2022-22674: Ein anonymer Forscher
Intel Graphics Driver
Verfügbar für: macOS Catalina
Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2022-26720: Liu Long von Ant Security Light-Year Lab
Intel Graphics Driver
Verfügbar für: macOS Catalina
Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2022-26770: Liu Long von Ant Security Light-Year Lab
Intel Graphics Driver
Verfügbar für: macOS Catalina
Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2022-26756: Jack Dates von RET2 Systems, Inc
Intel Graphics Driver
Verfügbar für: macOS Catalina
Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2022-26769: Antonio Zekic (@antoniozekic)
Intel Graphics Driver
Verfügbar für: macOS Catalina
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2022-26748: Jeonghoon Shin von Theori in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
Kernel
Verfügbar für: macOS Catalina
Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Überprüfung behoben.
CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) von STAR Labs (@starlabs_sg)
Kernel
Verfügbar für: macOS Catalina
Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-26757: Ned Williamson von Google Project Zero
libresolv
Verfügbar für: macOS Catalina
Auswirkung: Ein Remote-Benutzer kann möglicherweise einen Denial-of-Service verursachen.
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2022-32790: Max Shavrick (@_mxms) vom Google Security Team
libresolv
Verfügbar für: macOS Catalina
Auswirkung: Ein Angreifer kann möglicherweise eine unerwartete Beendigung der Anwendung oder die Ausführung von willkürlichem Code verursachen.
Beschreibung: Ein Ganzzahlüberlauf wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2022-26775: Max Shavrick (@_mxms) vom Google Security Team
LibreSSL
Verfügbar für: macOS Catalina
Auswirkung: Die Verarbeitung eines in böswilliger Absicht erstellten Zertifikats kann zu einem Denial-of-Service führen
Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2022-0778
libxml2
Verfügbar für: macOS Catalina
Auswirkung: Ein entfernter Angreifer kann einen unerwarteten Programmabbruch oder die Ausführung willkürlichen Codes verursachen.
Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-23308
OpenSSL
Verfügbar für: macOS Catalina
Auswirkung: Die Verarbeitung eines in böswilliger Absicht erstellten Zertifikats kann zu einem Denial-of-Service führen.
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2022-0778
PackageKit
Verfügbar für: macOS Catalina
Auswirkung: Eine App kann möglicherweise erhöhte Benutzerrechte erlangen.
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2022-32794: Mickey Jin (@patch1t)
PackageKit
Verfügbar für: macOS Catalina
Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann unter Umständen geschützte Bereiche des Dateisystems ändern.
Beschreibung: Dieses Problem wurde durch verbesserte Berechtigungen behoben.
CVE-2022-26727: Mickey Jin (@patch1t)
Printing
Verfügbar für: macOS Catalina
Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann die Datenschutzeinstellungen umgehen.
Beschreibung: Dieses Problem wurde durch Entfernen des angreifbaren Codes behoben.
CVE-2022-26746: @gorelics
Security
Verfügbar für: macOS Catalina
Auswirkung: Eine in böswilliger Absicht erstellte App kann möglicherweise die Überprüfung der Signatur umgehen.
Beschreibung: Ein Problem beim Analysieren von Zertifikaten wurde durch verbesserte Prüfungen behoben.
CVE-2022-26766: Linus Henze von der Pinauten GmbH (pinauten.de)
SMB
Verfügbar für: macOS Catalina
Auswirkung: Eine Anwendung kann möglicherweise erhöhte Benutzerrechte erlangen.
Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2022-26715: Peter Nguyễn Vũ Hoàng von STAR Labs
SoftwareUpdate
Verfügbar für: macOS Catalina
Auswirkung: Ein Schadprogramm kann möglicherweise auf beschränkte Dateien zugreifen.
Beschreibung: Dieses Problem wurde durch verbesserte Berechtigungen behoben.
CVE-2022-26728: Mickey Jin (@patch1t)
TCC
Verfügbar für: macOS Catalina
Auswirkung: Eine App kann möglicherweise den Bildschirm eines Nutzers erfassen.
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2022-26726: Antonio Cheong Yu Xuan von YCISCQ
Tcl
Verfügbar für: macOS Catalina
Auswirkung: Ein Schadprogramm kann die Sandbox umgehen.
Beschreibung: Dieses Problem wurde durch eine verbesserte Umgebungsbereinigung behoben.
CVE-2022-26755: Arsenii Kostromin (0x3c3e)
WebKit
Verfügbar für: macOS Catalina
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten E-Mail-Nachricht kann zum willkürlichen Ausführen von JavaScript führen.
Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.
CVE-2022-22589: Heige von KnownSec 404 Team (knownsec.com) und Bo Qu von Palo Alto Networks (paloaltonetworks.com)
Wi-Fi
Verfügbar für: macOS Catalina
Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-26761: Wang Yu von Cyberserval
zip
Verfügbar für: macOS Catalina
Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten Datei kann zu einem Denial-of-Service führen.
Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Statusverarbeitung behoben.
CVE-2022-0530
zlib
Verfügbar für: macOS Catalina
Auswirkung: Ein Angreifer kann möglicherweise eine unerwartete Beendigung der Anwendung oder die Ausführung von willkürlichem Code verursachen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2018-25032: Tavis Ormandy
zsh
Verfügbar für: macOS Catalina
Auswirkung: Ein entfernter Angreifer kann die Ausführung von willkürlichem Code verursachen.
Beschreibung: Dieses Problem wurde durch ein Update auf zsh-Version 5.8.1 behoben.
CVE-2021-45444
Zusätzliche Danksagung
PackageKit
Wir möchten uns bei Mickey Jin (@patch1t) von Trend Micro für die Unterstützung bedanken.
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.