À propos du contenu de sécurité de la mise à jour de sécurité 2022-004 pour Catalina
Ce document décrit le contenu de sécurité de la mise à jour de sécurité 2022-004 pour Catalina.
À propos des mises à jour de sécurité Apple
Dans un souci de protection de ses clients, Apple s’abstient de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou des mises à jour ne sont pas offerts. Les mises à jour récentes sont répertoriées à la page Mises à jour de sécurité Apple.
Les documents de sécurité Apple répertorient les vulnérabilités par référence CVE dans la mesure du possible.
Pour obtenir plus d’informations en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.
Mise à jour de sécurité 2022-004 pour Catalina
apache
Disponible pour : macOS Catalina
Conséquence : Apache présentait plusieurs problèmes.
Description : plusieurs problèmes ont été résolus par la mise à jour d’Apache vers la version 2.4.53.
CVE-2021-44224
CVE-2021-44790
CVE-2022-22719
CVE-2022-22720
CVE-2022-22721
AppKit
Disponible pour : macOS Catalina
Conséquence : une app malveillante peut être en mesure de bénéficier de privilèges racines.
Description : un problème de logique a été résolu par une meilleure validation.
CVE-2022-22665 : Red Team de Lockheed Martin
AppleEvents
Disponible pour : macOS Catalina
Conséquence : un utilisateur distant peut provoquer l’arrêt inopiné d’une app ou l’exécution de code arbitraire.
Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.
CVE-2022-22630 : Jeremy Brown en collaboration avec Trend Micro Zero Day Initiative
AppleGraphicsControl
Disponible pour : macOS Catalina
Conséquence : le traitement d’une image malveillante peut entraîner l’exécution arbitraire de code.
Description : un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées.
CVE-2022-26751 : Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative
AppleScript
Disponible pour : macOS Catalina
Conséquence : le traitement d’un binaire AppleScript malveillant peut entraîner l’arrêt inopiné d’applications ou la divulgation du contenu de la mémoire de traitement.
Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.
CVE-2022-26697 : Qi Sun et Robert Ai de Trend Micro
AppleScript
Disponible pour : macOS Catalina
Conséquence : le traitement d’un binaire AppleScript malveillant peut entraîner l’arrêt inopiné d’applications ou la divulgation du contenu de la mémoire de traitement.
Description : un problème de lecture hors limites a été résolu par une meilleure vérification des limites.
CVE-2022-26698 : Qi Sun de Trend Micro
CoreTypes
Disponible pour : macOS Catalina
Conséquence : une app malveillante peut être en mesure de contourner les vérifications de Gatekeeper.
Description : ce problème a été résolu par l’application de meilleures vérifications pour prévenir les actions non autorisées.
CVE-2022-22663 : Arsenii Kostromin (0x3c3e)
CVMS
Disponible pour : macOS Catalina
Conséquence : une app malveillante peut être en mesure de bénéficier de privilèges racines.
Description : un problème d’initialisation de la mémoire a été résolu.
CVE-2022-26721 : Yonghwi Jin (@jinmo123) de Theori
CVE-2022-26722 : Yonghwi Jin (@jinmo123) de Theori
DriverKit
Disponible pour : macOS Catalina
Conséquence : une application malveillante peut être en mesure d’exécuter du code arbitraire avec des privilèges système.
Description : un problème d’accès hors limites a été résolu par une meilleure vérification des limites.
CVE-2022-26763 : Linus Henze de Pinauten GmbH (pinauten.de)
Graphics Drivers
Disponible pour : macOS Catalina
Conséquence : un utilisateur local peut être en mesure de lire la mémoire du noyau.
Description : un problème de lecture hors limites entraînait la divulgation de la mémoire du noyau. Ce problème a été résolu grâce à une meilleure validation des entrées.
CVE-2022-22674 : un chercheur anonyme
Intel Graphics Driver
Disponible pour : macOS Catalina
Conséquence : une app malveillante peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.
CVE-2022-26720 : Liu Long de Ant Security Light-Year Lab
Intel Graphics Driver
Disponible pour : macOS Catalina
Conséquence : une application malveillante peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.
CVE-2022-26770 : Liu Long de Ant Security Light-Year Lab
Intel Graphics Driver
Disponible pour : macOS Catalina
Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : un problème d’écriture hors limites a été résolu par une meilleure validation des entrées.
CVE-2022-26756 : Jack Dates de RET2 Systems, Inc
Intel Graphics Driver
Disponible pour : macOS Catalina
Conséquence : une application malveillante peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées.
CVE-2022-26769 : Antonio Zekic (@antoniozekic)
Intel Graphics Driver
Disponible pour : macOS Catalina
Conséquence : le traitement d’un contenu web malveillant peut entraîner l’exécution arbitraire de code.
Description : un problème d’écriture hors limites a été résolu par une meilleure validation des entrées.
CVE-2022-26748 : Jeonghoon Shin de Theori en collaboration avec Trend Micro Zero Day Initiative
Kernel
Disponible pour : macOS Catalina
Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : un problème de corruption de la mémoire a été résolu par une meilleure validation.
CVE-2022-26714 : Peter Nguyễn Vũ Hoàng (@peternguyen14) de STAR Labs (@starlabs_sg)
Kernel
Disponible pour : macOS Catalina
Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.
CVE-2022-26757 : Ned Williamson de Google Project Zero
libresolv
Disponible pour : macOS Catalina
Conséquence : un utilisateur distant peut être à l’origine d’un déni de service.
Description : ce problème a été résolu par l’application de meilleures vérifications.
CVE-2022-32790 : Max Shavrick (@_mxms) de l’équipe de sécurité de Google
libresolv
Disponible pour : macOS Catalina
Conséquence : un attaquant peut être en mesure de provoquer la fermeture inopinée d’une app ou l’exécution arbitraire de code.
Description : un problème de dépassement d’entiers a été résolu par une meilleure validation des entrées.
CVE-2022-26775 : Max Shavrick (@_mxms) de l’équipe de sécurité de Google
LibreSSL
Disponible pour : macOS Catalina
Conséquence : le traitement d’un certificat malveillant peut conduire à un déni de service.
Description : un problème de déni de service a été résolu par une meilleure validation des entrées.
CVE-2022-0778
libxml2
Disponible pour : macOS Catalina
Conséquence : un attaquant distant peut être en mesure de provoquer la fermeture inopinée d’une app ou l’exécution arbitraire de code.
Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.
CVE-2022-23308
OpenSSL
Disponible pour : macOS Catalina
Conséquence : le traitement d’un certificat malveillant peut entraîner un déni de service.
Description : ce problème a été résolu par l’application de meilleures vérifications.
CVE-2022-0778
PackageKit
Disponible pour : macOS Catalina
Conséquence : une app peut être en mesure d’accéder à des privilèges élevés.
Description : un problème de logique a été résolu par une meilleure gestion des états.
CVE-2022-32794 : Mickey Jin (@patch1t)
PackageKit
Disponible pour : macOS Catalina
Conséquence : une app malveillante peut être en mesure de modifier des sections protégées du système de fichiers.
Description : ce problème a été résolu par l’application d’autorisations améliorées.
CVE-2022-26727 : Mickey Jin (@patch1t)
Printing
Disponible pour : macOS Catalina
Conséquence : une app malveillante peut être en mesure de contourner les préférences de confidentialité.
Description : le problème a été résolu par la suppression du code vulnérable.
CVE-2022-26746 : @gorelics
Security
Disponible pour : macOS Catalina
Conséquence : une app malveillante peut être en mesure de contourner la validation de la signature.
Description : un problème d’analyse de certificat a été résolu grâce à une amélioration des vérifications.
CVE-2022-26766 : Linus Henze de Pinauten GmbH (pinauten.de)
SMB
Disponible pour : macOS Catalina
Conséquence : une app peut être en mesure d’accéder à des privilèges élevés.
Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.
CVE-2022-26715 : Peter Nguyễn Vũ Hoàng de STAR Labs
SoftwareUpdate
Disponible pour : macOS Catalina
Conséquence : une app malveillante peut être en mesure d’accéder à des fichiers restreints.
Description : ce problème a été résolu par l’application d’autorisations améliorées.
CVE-2022-26728 : Mickey Jin (@patch1t)
TCC
Disponible pour : macOS Catalina
Conséquence : une app peut être en mesure d’effectuer une capture de l’écran d’un utilisateur.
Description : ce problème a été résolu par l’application de meilleures vérifications.
CVE-2022-26726 : Antonio Cheong Yu Xuan de YCISCQ
Tcl
Disponible pour : macOS Catalina
Conséquence : une application malveillante peut être en mesure de sortir de son bac à sable.
Description : ce problème a été résolu par une meilleure désinfection de l’environnement.
CVE-2022-26755 : Arsenii Kostromin (0x3c3e)
WebKit
Disponible pour : macOS Catalina
Conséquence : le traitement d’un courriel malveillant peut entraîner une exécution arbitraire de JavaScript.
Description : un problème de validation a été résolu par un meilleur nettoyage des entrées.
CVE-2022-22589 : Heige de KnownSec 404 (knownsec.com) et Bo Qu de Palo Alto Networks (paloaltonetworks.com)
Wi-Fi
Disponible pour : macOS Catalina
Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion de cette dernière.
CVE-2022-26761 : Wang Yu de Cyberserval
zip
Disponible pour : macOS Catalina
Conséquence : le traitement d’un fichier malveillant peut conduire à un déni de service.
Description : un problème de déni de service a été résolu par une meilleure gestion des états.
CVE-2022-0530
zlib
Disponible pour : macOS Catalina
Conséquence : un attaquant peut être en mesure de provoquer la fermeture inopinée d’une app ou l’exécution arbitraire de code.
Description : un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées.
CVE-2018-25032 : Tavis Ormandy
zsh
Disponible pour : macOS Catalina
Conséquence : un attaquant distant peut être en mesure de provoquer l’exécution arbitraire de code.
Description : ce problème a été résolu par l’installation de la version 5.8.1 de zsh.
CVE-2021-45444
Remerciements supplémentaires
PackageKit
Nous tenons à remercier Mickey Jin (@patch1t) de Trend Micro pour son aide.
Les renseignements sur les produits qui ne sont pas fabriqués par Apple ou sur les sites Web indépendants qui ne sont pas gérés ou vérifiés par Apple sont fournis sans recommandation ni approbation de la part d’Apple. Apple se dégage de toute responsabilité quant à la sélection, au bon fonctionnement ou à l’utilisation de sites Web ou de produits de tiers. Apple ne fait aucune déclaration et n’offre aucune garantie quant à l’exactitude ou à la fiabilité de ces sites Web de tiers. Communiquez avec le vendeur pour de plus amples renseignements.