Tietoja suojauspäivitys 2022-004 Catalinan turvallisuussisällöstä
Tässä asiakirjassa kerrotaan suojauspäivitys 2022-004 Catalinan turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
Suojauspäivitys 2022-004 Catalina
apache
Saatavuus: macOS Catalina
Vaikutus: apachessa esiintyi useita ongelmia.
Kuvaus: useita ongelmia ratkaistiin päivittämällä apache versioon 2.4.53.
CVE-2021-44224
CVE-2021-44790
CVE-2022-22719
CVE-2022-22720
CVE-2022-22721
AppKit
Saatavuus: macOS Catalina
Vaikutus: Haittaohjelma saattoi pystyä hankkimaan pääkäyttöoikeudet.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.
CVE-2022-22665: Lockheed Martin Red Team
AppleEvents
Saatavuus: macOS Catalina
Vaikutus: etäkäyttäjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2022-22630: Jeremy Brown yhteistyössä Trend Micro Zero Day Initiativen kanssa
AppleGraphicsControl
Saatavuus: macOS Catalina
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2022-26751: Michael DePlante (@izobashi) – Trend Micro Zero Day Initiative
AppleScript
Saatavuus: macOS Catalina
Vaikutus: vilpillisessä tarkoituksessa tuotettu AppleScript-binääri saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai prosessimuistin paljastumisen.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2022-26697: Qi Sun ja Robert Ai – Trend Micro
AppleScript
Saatavuus: macOS Catalina
Vaikutus: vilpillisessä tarkoituksessa tuotettu AppleScript-binääri saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai prosessimuistin paljastumisen.
Kuvaus: Rajojen ulkopuolisen muistin luku ratkaistiin parantamalla rajojen tarkistusta.
CVE-2022-26698: Qi Sun – Trend Micro
CoreTypes
Saatavuus: macOS Catalina
Vaikutus: Haitallinen ohjelma saattoi ohittaa Gatekeeper-tarkistukset.
Kuvaus: Ongelma on ratkaistu parannetuilla tarkistuksilla luvattomien toimintojen estämiseksi.
CVE-2022-22663: Arsenii Kostromin (0x3c3e)
CVMS
Saatavuus: macOS Catalina
Vaikutus: Haittaohjelma saattoi pystyä hankkimaan pääkäyttöoikeudet.
Kuvaus: muistin alustusongelma on korjattu.
CVE-2022-26721: Yonghwi Jin (@jinmo123) – Theori
CVE-2022-26722: Yonghwi Jin (@jinmo123) – Theori
DriverKit
Saatavuus: macOS Catalina
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2022-26763: Linus Henze (Pinauten GmbH, pinauten.de)
Graphics Drivers
Saatavuus: macOS Catalina
Vaikutus: Paikallinen käyttäjä saattoi pystyä lukemaan kernel-muistia.
Kuvaus: Rajojen ulkopuolisen lukemisen ongelma saattoi johtaa kernel-muistin paljastumiseen. Ongelma on ratkaistu parantamalla annettujen tietojen validointia.
CVE-2022-22674: nimetön tutkija
Intel Graphics Driver
Saatavuus: macOS Catalina
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2022-26720: Liu Long – Ant Security Light-Year Lab
Intel Graphics Driver
Saatavuus: macOS Catalina
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: rajojen ulkopuolisen muistin lukemiseen liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2022-26770: Liu Long – Ant Security Light-Year Lab
Intel Graphics Driver
Saatavuus: macOS Catalina
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2022-26756: Jack Dates (RET2 Systems, Inc)
Intel Graphics Driver
Saatavuus: macOS Catalina
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2022-26769: Antonio Zekic (@antoniozekic)
Intel Graphics Driver
Saatavuus: macOS Catalina
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2022-26748: Jeonghoon Shin (Theori) yhteistyössä Trend Micro Zero Day Initiativen kanssa
Kernel
Saatavuus: macOS Catalina
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma ratkaistiin parantamalla validointia.
CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) – STAR Labs (@starlabs_sg)
Kernel
Saatavuus: macOS Catalina
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2022-26757: Ned Williamson – Google Project Zero
libresolv
Saatavuus: macOS Catalina
Vaikutus: Etäkäyttäjä saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-32790: Max Shavrick (@_mxms, Google Security Team)
libresolv
Saatavuus: macOS Catalina
Vaikutus: hyökkääjä voi saada aikaan ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2022-26775: Max Shavrick (@_mxms) – Google Security Team
LibreSSL
Saatavuus: macOS Catalina
Vaikutus: Haitallisen varmenteen käsittely saattoi johtaa palvelunestoon.
Kuvaus: palvelunesto-ongelma on ratkaistu parantamalla tietojen vahvistamista.
CVE-2022-0778
libxml2
Saatavuus: macOS Catalina
Vaikutus: Etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2022-23308
OpenSSL
Saatavuus: macOS Catalina
Vaikutus: haitallisen varmenteen käsittely saattoi johtaa palvelunestoon.
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-0778
PackageKit
Saatavuus: macOS Catalina
Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2022-32794: Mickey Jin (@patch1t)
PackageKit
Saatavuus: macOS Catalina
Vaikutus: haittaohjelma saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.
Kuvaus: ongelma on ratkaistu parannetuilla oikeuksilla.
CVE-2022-26727: Mickey Jin (@patch1t)
Printing
Saatavuus: macOS Catalina
Vaikutus: Haittaohjelma saattoi pystyä ohittamaan tietosuoja-asetukset.
Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2022-26746: @gorelics
Security
Saatavuus: macOS Catalina
Vaikutus: Haittaohjelma saattoi pystyä ohittamaan allekirjoituksen vahvistuksen.
Kuvaus: varmenteiden jäsennysongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-26766: Linus Henze – Pinauten GmbH (pinauten.de)
SMB
Saatavuus: macOS Catalina
Vaikutus: Appi saattoi pystyä hankkimaan laajennetut käyttöoikeudet.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2022-26715: Peter Nguyễn Vũ Hoàng (STAR Labs)
SoftwareUpdate
Saatavuus: macOS Catalina
Vaikutus: Haitallinen ohjelma saattoi pystyä käyttämään rajoitettuja tiedostoja.
Kuvaus: Ongelma on ratkaistu parannetuilla oikeuksilla.
CVE-2022-26728: Mickey Jin (@patch1t)
TCC
Saatavuus: macOS Catalina
Vaikutus: Sovellus saattoi pystyä ottamaan kuvan käyttäjän näytöstä.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-26726: Antonio Cheong Yu Xuan (YCISCQ)
Tcl
Saatavuus: macOS Catalina
Vaikutus: Haittaohjelma saattoi pystyä poistumaan eristyksestään.
Kuvaus: ongelma on ratkaistu parantamalla ympäristön puhdistamista.
CVE-2022-26755: Arsenii Kostromin (0x3c3e)
WebKit
Saatavuus: macOS Catalina
Vaikutus: Haitallisen Mail-sähköpostiviestin käsitteleminen saattoi johtaa satunnaisen Javascript-koodin suorittamiseen.
Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.
CVE-2022-22589: Heige (KnownSec 404 Team, knownsec.com) ja Bo Qu (Palo Alto Networks, paloaltonetworks.com)
Wi-Fi
Saatavuus: macOS Catalina
Vaikutus: Sovellus saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-26761: Wang Yu (Cyberserval)
zip
Saatavuus: macOS Catalina
Vaikutus: haitallisen tiedoston käsittely saattoi johtaa palvelunestoon.
Kuvaus: palvelunesto-ongelma on ratkaistu parantamalla tilankäsittelyä.
CVE-2022-0530
zlib
Saatavuus: macOS Catalina
Vaikutus: Hyökkääjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2018-25032: Tavis Ormandy
zsh
Saatavuus: macOS Catalina
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen.
Kuvaus: ongelma on korjattu päivittämällä zsh-versioon 5.8.1.
CVE-2021-45444
Kiitokset
PackageKit
Haluamme kiittää Mickey Jinia (@patch1t, Trend Micro) hänen avustaan.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.