Über den Sicherheitsinhalt von Sicherheitsupdate 2022-003 Catalina

Dieses Dokument beschreibt den Sicherheitsinhalt von Sicherheitsupdate 2022-003 Catalina.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit findest du auf der Seite Sicherheits- oder Datenschutzschwachstelle melden.

Sicherheitsupdate 2022-003 Catalina

Veröffentlicht am 14. März 2022

AppKit

Verfügbar für: macOS Catalina

Auswirkung: Ein Schadprogramm kann möglicherweise Root-Rechte erlangen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Überprüfung behoben.

CVE-2022-22665: Lockheed Martin Red Team

Eintrag hinzugefügt am 25. Mai 2022

AppleGraphicsControl

Verfügbar für: macOS Catalina

Auswirkung: Eine Anwendung kann möglicherweise erhöhte Benutzerrechte erlangen.

Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2022-22631: Wang Yu von cyberserval

Eintrag am 25. Mai 2022 aktualisiert

AppleScript

Verfügbar für: macOS Catalina

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2022-22648: Mickey Jin (@patch1t) von Trend Micro

Eintrag am 25. Mai 2022 aktualisiert

AppleScript

Verfügbar für: macOS Catalina

Auswirkung: Durch Verarbeitung einer in böser Absicht erstellten AppleScript-Binärdatei kann ein Programm unerwartet beendet oder Prozessspeicher offengelegt werden.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2022-22627: Qi Sun und Robert Ai von Trend Micro

CVE-2022-22626: Mickey Jin (@patch1t) von Trend Micro

AppleScript

Verfügbar für: macOS Catalina

Auswirkung: Durch Verarbeitung einer in böser Absicht erstellten AppleScript-Binärdatei kann ein Programm unerwartet beendet oder Prozessspeicher offengelegt werden.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2022-22625: Mickey Jin (@patch1t) von Trend Micro

AppleScript

Verfügbar für: macOS Catalina

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Überprüfung behoben.

CVE-2022-22597: Qi Sun und Robert Ai von Trend Micro

BOM

Verfügbar für: macOS Catalina

Auswirkungen: Ein in böser Absicht erstelltes ZIP-Archiv kann die Gatekeeper-Prüfungen umgehen

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2022-22616: Ferdous Saljooki (@malwarezoo) und Jaron Bradley (@jbradley89) von Jamf Software, Mickey Jin (@patch1t)

CUPS

Verfügbar für: macOS Catalina

Auswirkung: Eine Anwendung kann möglicherweise erhöhte Benutzerrechte erlangen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-26691: Joshua Mason von Mandiant

Eintrag hinzugefügt am 25. Mai 2022

Intel Graphics Driver

Verfügbar für: macOS Catalina

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Typenverwechslungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-46706: Wang Yu von cyberserval und Pan ZhenPeng (@Peterpan0927) von Alibaba Security Pandora Lab

Eintrag am 8. Juni 2023 hinzugefügt

Intel Graphics Driver

Verfügbar für: macOS Catalina

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Typenverwechslungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-22661: Wang Yu von cyberserval und Pan ZhenPeng (@Peterpan0927) von Alibaba Security Pandora Lab

Eintrag aktualisiert am 25. Mai 2022 und am 8. Juni 2023

Kernel

Verfügbar für: macOS Catalina

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2022-22613: Ein anonymer Forscher, Alex

Kernel

Verfügbar für: macOS Catalina

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-22615: Ein anonymer Forscher

CVE-2022-22614: Ein anonymer Forscher

Kernel

Verfügbar für: macOS Catalina

Auswirkung: Ein Angreifer in einer privilegierten Position kann einen Denial-of-Service-Angriff verursachen.

Beschreibung: Ein Problem mit einem Rückverweis auf einen Nullzeiger wurde durch eine verbesserte Überprüfung behoben.

CVE-2022-22638: derrek (@derrekr6)

Login Window

Verfügbar für: macOS Catalina

Auswirkungen: Eine Person, die Zugriff auf einen Mac hat, kann das Anmeldefenster umgehen

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2022-22647: Yuto Ikeda von der Universität Kyushu

Eintrag am 25. Mai 2022 aktualisiert

LoginWindow

Verfügbar für: macOS Catalina

Auswirkung: Ein lokaler Angreifer kann auf dem Bildschirm für schnellen Benutzerwechsel möglicherweise den Schreibtisch eines zuvor angemeldeten Benutzers sehen.

Beschreibung: Ein Authentifizierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-22656

MobileAccessoryUpdater

Verfügbar für: macOS Catalina

Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-22672: Siddharth Aeri (@b1n4r1b01)

Eintrag hinzugefügt am 25. Mai 2022

PackageKit

Verfügbar für: macOS Catalina

Auswirkung: Eine schadhafte App mit Root-Rechten kann möglicherweise den Inhalt von Systemdateien ändern.

Beschreibung: Ein Problem bei der Verarbeitung von Symlinks wurde durch eine verbesserte Überprüfung behoben.

CVE-2022-26688: Mickey Jin (@patch1t) von Trend Micro

Eintrag hinzugefügt am 25. Mai 2022

PackageKit

Verfügbar für: macOS Catalina

Auswirkung: Eine Anwendung kann möglicherweise erhöhte Benutzerrechte erlangen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-22617: Mickey Jin (@patch1t)

QuickTime Player

Verfügbar für: macOS Catalina

Auswirkungen: Ein Plug-In kann möglicherweise die Berechtigungen der Anwendung erben und auf Benutzerdaten zugreifen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2022-22650: Wojciech Reguła (@_r3ggi) von SecuRing

WebKit

Verfügbar für: macOS Catalina

Auswirkung: Bei der Verarbeitung von in böser Absicht erstellten Webinhalten können vertrauliche Nutzerdaten offengelegt werden.

Beschreibung: Ein Cookie-Verwaltungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-22662: Prakash (@1lastBr3ath) von Threat Nix

Eintrag hinzugefügt am 25. Mai 2022

WebKit

Verfügbar für: macOS Catalina

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten E-Mail-Nachricht kann zum willkürlichen Ausführen von JavaScript führen.

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2022-22589: Heige von KnownSec 404 Team (knownsec.com) und Bo Qu von Palo Alto Networks (paloaltonetworks.com)

Eintrag hinzugefügt am 25. Mai 2022

WebKit

Verfügbar für: macOS Catalina

Auswirkung: Bei der Verarbeitung von in böser Absicht erstellten Webinhalten können vertrauliche Nutzerdaten offengelegt werden.

Beschreibung: Ein Cookie-Verwaltungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

WebKit Bugzilla: 232748

CVE-2022-22662: Prakash (@1lastBr3ath) von Threat Nix

xar

Verfügbar für: macOS Catalina

Auswirkung: Ein lokaler Benutzer kann möglicherweise willkürliche Dateien schreiben.

Beschreibung: Bei der Verarbeitung von Symlinks bestand ein Überprüfungsproblem. Dieses Problem wurde durch eine verbesserte Überprüfung der Symlinks behoben.

CVE-2022-22582: Richard Warren von der NCC-Gruppe

Zusätzliche Danksagung

Intel Graphics Driver

Wir möchten uns bei Jack Dates von RET2 Systems, Inc. und Yinyi Wu (@3ndy1) für die Unterstützung bedanken.

syslog

Wir möchten uns bei Yonghwi Jin (@jinmo123) von Theori für die Unterstützung bedanken.

TCC

Wir möchten uns bei Csaba Fitzl (@theevilbit) von Offensive Security für die Unterstützung bedanken.

Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.

Veröffentlichungsdatum: