À propos du contenu de sécurité de la mise à jour de sécurité 2022-003 pour Catalina

Ce document décrit les correctifs de sécurité de la mise à jour de sécurité 2022-003 pour Catalina.

À propos des mises à jour de sécurité Apple

Dans un souci de protection de ses clients, Apple s’abstient de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou des mises à jour ne sont pas offerts. Les mises à jour récentes sont répertoriées à la page Mises à jour de sécurité Apple.

Les documents de sécurité Apple répertorient les vulnérabilités par référence CVE dans la mesure du possible.

Pour obtenir plus d’informations en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.

Mise à jour de sécurité 2022-003 pour Catalina

Date de publication : 14 mars 2022

AppKit

Disponible pour : macOS Catalina

Conséquence : une app malveillante peut être en mesure de bénéficier de privilèges racines.

Description : un problème de logique a été résolu par une meilleure validation.

CVE-2022-22665 : Red Team de Lockheed Martin

Entrée ajoutée le 25 mai 2022

AppleGraphicsControl

Disponible pour : macOS Catalina

Conséquence : une app peut être en mesure d’accéder à des privilèges élevés.

Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.

CVE-2022-22631 : Wang Yu de cyberserval

Entrée mise à jour le 25 mai 2022

AppleScript

Disponible pour : macOS Catalina

Conséquence : une app peut être en mesure de lire la mémoire restreinte

Description : ce problème a été résolu par l’application de meilleures vérifications.

CVE-2022-22648 : Mickey Jin (@patch1t) de Trend Micro

Entrée mise à jour le 25 mai 2022

AppleScript

Disponible pour : macOS Catalina

Conséquence : le traitement d’un binaire AppleScript malveillant peut entraîner l’arrêt inopiné d’applications ou la divulgation du contenu de la mémoire de traitement.

Description : un problème de lecture hors limites a été résolu par une meilleure vérification des limites.

CVE-2022-22627 : Qi Sun et Robert Ai de Trend Micro

CVE-2022-22626 : Mickey Jin (@patch1t) de Trend Micro

AppleScript

Disponible pour : macOS Catalina

Conséquence : le traitement d’un binaire AppleScript malveillant peut entraîner l’arrêt inopiné d’applications ou la divulgation du contenu de la mémoire de traitement.

Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.

CVE-2022-22625 : Mickey Jin (@patch1t) de Trend Micro

AppleScript

Disponible pour : macOS Catalina

Conséquence : le traitement d’un fichier malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème de corruption de la mémoire a été résolu par une meilleure validation.

CVE-2022-22597 : Qi Sun et Robert Ai de Trend Micro

BOM

Disponible pour : macOS Catalina

Conséquence : une archive ZIP malveillante peut être en mesure de contourner les vérifications de Gatekeeper.

Description : ce problème a été résolu par l’application de meilleures vérifications.

CVE-2022-22616 : Ferdous Saljooki (@malwarezoo) et Jaron Bradley (@jbradley89) de Jamf Software, Mickey Jin (@patch1t)

CUPS

Disponible pour : macOS Catalina

Conséquence : une app peut être en mesure d’accéder à des privilèges élevés.

Description : un problème de logique a été résolu par une meilleure gestion des états.

CVE-2022-26691 : Joshua Mason de Mandiant

Entrée ajoutée le 25 mai 2022

Intel Graphics Driver

Disponible pour : macOS Catalina

Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : un problème de confusion liée aux types a été résolu par une meilleure gestion des états.

CVE-2022-46706 : Wang Yu de cyberserval et Pan ZhenPeng (@Peterpan0927) d’Alibaba Security Pandora Lab

Entrée ajoutée le 8 juin 2023

Intel Graphics Driver

Disponible pour : macOS Catalina

Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : un problème de confusion liée aux types a été résolu par une meilleure gestion des états.

CVE-2022-22661 : Wang Yu de cyberserval et Pan ZhenPeng (@Peterpan0927) d’Alibaba Security Pandora Lab

Entrée mise à jour le 25 mai 2022, mise à jour le 8 juin 2023

Kernel

Disponible pour : macOS Catalina

Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.

CVE-2022-22613 : un chercheur anonyme, Alex

Kernel

Disponible pour : macOS Catalina

Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2022-22615 : un chercheur anonyme

CVE-2022-22614 : un chercheur anonyme

Kernel

Disponible pour : macOS Catalina

Conséquence : un attaquant bénéficiant d’une position privilégiée peut provoquer un déni de service.

Description : un déréférencement de pointeurs « null » a été résolu par une meilleure validation.

CVE-2022-22638 : derrek (@derrekr6)

Login Window

Disponible pour : macOS Catalina

Conséquence : une personne ayant un accès à un Mac peut être en mesure de contourner la fenêtre d’ouverture de session.

Description : ce problème a été résolu par l’application de meilleures vérifications.

CVE-2022-22647 : Yuto Ikeda de l’Université de Kyushu

Entrée mise à jour le 25 mai 2022

LoginWindow

Disponible pour : macOS Catalina

Conséquence : un attaquant local peut visualiser le bureau de l’utilisateur précédemment connecté à partir de l’écran de changement rapide d’utilisateur.

Description : un problème d’authentification a été résolu grâce à une meilleure gestion des états.

CVE-2022-22656

MobileAccessoryUpdater

Disponible pour : macOS Catalina

Conséquence : une application malveillante peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion de cette dernière.

CVE-2022-22672 : Siddharth Aeri (@b1n4r1b01)

Entrée ajoutée le 25 mai 2022

PackageKit

Disponible pour : macOS Catalina

Conséquence : une app malveillante possédant des privilèges racine pourrait être en mesure de modifier le contenu des fichiers système.

Description : un problème de gestion des symlinks a été résolu par une meilleure validation.

CVE-2022-26688 : Mickey Jin (@patch1t) de Trend Micro

Entrée ajoutée le 25 mai 2022

PackageKit

Disponible pour : macOS Catalina

Conséquence : une app peut être en mesure d’accéder à des privilèges élevés.

Description : un problème de logique a été résolu par une meilleure gestion des états.

CVE-2022-22617 : Mickey Jin (@patch1t)

QuickTime Player

Disponible pour : macOS Catalina

Conséquence : un module d’extension peut être en mesure d’obtenir des autorisations de l’app et d’accéder aux données de l’utilisateur.

Description : ce problème a été résolu par l’application de meilleures vérifications.

CVE-2022-22650 : Wojciech Reguła (@_r3ggi) de SecuRing

WebKit

Disponible pour : macOS Catalina

Conséquence : le traitement d’un contenu web malveillant peut entraîner la divulgation d’informations sensibles de l’utilisateur.

Description : un problème de gestion des témoins a été résolu par une meilleure gestion des états.

CVE-2022-22662 : Prakash (@1lastBr3ath) de Threat Nix

Entrée ajoutée le 25 mai 2022

WebKit

Disponible pour : macOS Catalina

Conséquence : le traitement d’un courriel malveillant peut entraîner une exécution arbitraire de JavaScript.

Description : un problème de validation a été résolu par un meilleur nettoyage des entrées.

CVE-2022-22589 : Heige de KnownSec 404 (knownsec.com) et Bo Qu de Palo Alto Networks (paloaltonetworks.com)

Entrée ajoutée le 25 mai 2022

WebKit

Disponible pour : macOS Catalina

Conséquence : le traitement d’un contenu web malveillant peut entraîner la divulgation d’informations sensibles de l’utilisateur.

Description : un problème de gestion des témoins a été résolu par une meilleure gestion des états.

WebKit Bugzilla : 232748

CVE-2022-22662 : Prakash (@1lastBr3ath) de Threat Nix

xar

Disponible pour : macOS Catalina

Conséquence : un utilisateur local peut être en mesure d’écrire des fichiers arbitraires.

Description : le traitement des liens symboliques présentait un problème de validation. Ce problème a été résolu par une meilleure validation des liens symboliques.

CVE-2022-22582 : Richard Warren de NCC Group

Remerciements supplémentaires

Intel Graphics Driver

Nous tenons à remercier Jack Dates de RET2 Systems, Inc. et Yinyi Wu (@3ndy1) pour leur aide.

syslog

Nous tenons à remercier Yonghwi Jin (@jinmo123) de Theori pour son aide.

TCC

Nous tenons à remercier Csaba Fitzl (@theevilbit) d’Offensive Security pour son aide.

Les renseignements sur les produits qui ne sont pas fabriqués par Apple ou sur les sites Web indépendants qui ne sont pas gérés ou vérifiés par Apple sont fournis sans recommandation ni approbation de la part d’Apple. Apple se dégage de toute responsabilité quant à la sélection, au bon fonctionnement ou à l’utilisation de sites Web ou de produits de tiers. Apple ne fait aucune déclaration et n’offre aucune garantie quant à l’exactitude ou à la fiabilité de ces sites Web de tiers. Communiquez avec le vendeur pour de plus amples renseignements.

Date de publication: novembre 15, 2023

Ces renseignements étaient-ils utiles?