À propos des correctifs de sécurité de la mise à jour de sécurité 2022-003 pour Catalina
Ce document décrit les correctifs de sécurité de la mise à jour de sécurité 2022-003 pour Catalina.
À propos des mises à jour de sécurité Apple
Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Les mises à jour récentes sont répertoriées sur la page Mises à jour de sécurité Apple.
Les documents de sécurité Apple répertorient les vulnérabilités par identifiant CVE dans la mesure du possible.
Pour obtenir des informations supplémentaires en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.
Mise à jour de sécurité 2022-003 pour Catalina
Publié le 14 mars 2022
AppKit
Disponible pour : macOS Catalina
Conséquence : une application malveillante peut être en mesure de bénéficier de privilèges racine
Description : un problème de logique a été résolu par une meilleure validation.
CVE-2022-22665 : Lockheed Martin Red Team
Entrée ajoutée le 25 mai 2022
AppleGraphicsControl
Disponible pour : macOS Catalina
Conséquence : il est possible qu’une application profite de privilèges élevés
Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.
CVE-2022-22631 : Wang Yu de cyberserval
Entrée mise à jour le mercredi 25 mai 2022
AppleScript
Disponible pour : macOS Catalina
Conséquence : une application peut être en mesure de lire la mémoire restreinte.
Description : ce problème a été résolu par la réalisation de meilleures vérifications.
CVE-2022-22648 : Mickey Jin (@patch1t) de Trend Micro
Entrée mise à jour le mercredi 25 mai 2022
AppleScript
Disponible pour : macOS Catalina
Conséquence : le traitement d’un binaire AppleScript malveillant peut entraîner la fermeture inopinée d’une application ou la divulgation du contenu de la mémoire de traitement.
Description : un problème de lecture hors limites a été résolu par une meilleure vérification des limites.
CVE-2022-22627 : Qi Sun et Robert Ai de Trend Micro
CVE-2022-22626 : Mickey Jin (@patch1t) de Trend Micro
AppleScript
Disponible pour : macOS Catalina
Conséquence : le traitement d’un binaire AppleScript malveillant peut entraîner la fermeture inopinée d’une application ou la divulgation du contenu de la mémoire de traitement.
Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.
CVE-2022-22625 : Mickey Jin (@patch1t) de Trend Micro
AppleScript
Disponible pour : macOS Catalina
Conséquence : le traitement d’un fichier malveillant peut entraîner l’exécution arbitraire de code.
Description : un problème de corruption de la mémoire a été résolu par une meilleure validation.
CVE-2022-22597 : Qi Sun et Robert Ai de Trend Micro
BOM
Disponible pour : macOS Catalina
Conséquence : une archive ZIP malveillante est susceptible d’outrepasser les vérifications de Gatekeeper.
Description : ce problème a été résolu par la réalisation de meilleures vérifications.
CVE-2022-22616 : Ferdous Saljooki (@malwarezoo) et Jaron Bradley (@jbradley89) de Jamf Software, Mickey Jin (@patch1t)
CUPS
Disponible pour : macOS Catalina
Conséquence : il est possible qu’une application profite de privilèges élevés
Description : un problème de logique a été résolu par une meilleure gestion des états.
CVE-2022-26691 : Joshua Mason de Mandiant
Entrée ajoutée le 25 mai 2022
Intel Graphics Driver
Disponible pour : macOS Catalina
Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau
Description : un problème de confusion de types a été résolu par une meilleure gestion des états.
CVE-2022-46706 : Wang Yu de cyberserval et Pan ZhenPeng (@Peterpan0927) d’Alibaba Security Pandora Lab
Entrée ajoutée le 8 juin 2023
Intel Graphics Driver
Disponible pour : macOS Catalina
Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau
Description : un problème de confusion de types a été résolu par une meilleure gestion des états.
CVE-2022-22661 : Wang Yu de cyberserval et Pan ZhenPeng (@Peterpan0927) d’Alibaba Security Pandora Lab
Entrée mise à jour le 25 mai 2022, mise à jour le 8 juin 2023
Kernel
Disponible pour : macOS Catalina
Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau
Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.
CVE-2022-22613 : un chercheur anonyme, Alex
Kernel
Disponible pour : macOS Catalina
Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau
Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.
CVE-2022-22615 : un chercheur anonyme
CVE-2022-22614 : un chercheur anonyme
Kernel
Disponible pour : macOS Catalina
Conséquence : un attaquant bénéficiant d’une position privilégiée peut provoquer un déni de service.
Description : un déréférencement de pointeurs null a été résolu par une meilleure validation.
CVE-2022-22638 : derrek (@derrekr6)
Login Window
Disponible pour : macOS Catalina
Conséquence : une personne disposant d’un accès à un Mac peut être en mesure de contourner la fenêtre d’ouverture de session.
Description : ce problème a été résolu par la réalisation de meilleures vérifications.
CVE-2022-22647 : Yuto Ikeda de l’université de Kyushu
Entrée mise à jour le mercredi 25 mai 2022
LoginWindow
Disponible pour : macOS Catalina
Conséquence : un attaquant local peut visualiser le bureau de l’utilisateur précédemment connecté à partir de l’écran de changement rapide d’utilisateur.
Description : un problème d’authentification a été résolu par une meilleure gestion des états.
CVE-2022-22656
MobileAccessoryUpdater
Disponible pour : macOS Catalina
Conséquence : une application malveillante peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau
Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion de cette dernière.
CVE-2022-22672 : Siddharth Aeri (@b1n4r1b01)
Entrée ajoutée le 25 mai 2022
PackageKit
Disponible pour : macOS Catalina
Conséquence : une app malveillante disposant de privilèges racine peut être en mesure de modifier le contenu de fichiers système.
Description : un problème de gestion des liens symboliques a été résolu par une meilleure validation.
CVE-2022-26688 : Mickey Jin (@patch1t) de Trend Micro
Entrée ajoutée le 25 mai 2022
PackageKit
Disponible pour : macOS Catalina
Conséquence : il est possible qu’une application profite de privilèges élevés
Description : un problème de logique a été résolu par une meilleure gestion des états.
CVE-2022-22617 : Mickey Jin (@patch1t)
QuickTime Player
Disponible pour : macOS Catalina
Conséquence : un module est susceptible d’hériter des autorisations de l’application et d’accéder ainsi aux données de l’utilisateur.
Description : ce problème a été résolu par la réalisation de meilleures vérifications.
CVE-2022-22650 : Wojciech Reguła (@_r3ggi) de SecuRing
WebKit
Disponible pour : macOS Catalina
Conséquence : le traitement d’un contenu web malveillant peut entraîner la divulgation d’informations sensibles de l’utilisateur.
Description : un problème de gestion des cookies a été résolu par une meilleure gestion des états.
CVE-2022-22662 : Prakash (@1lastBr3ath) de ThreatNix
Entrée ajoutée le 25 mai 2022
WebKit
Disponible pour : macOS Catalina
Conséquence : le traitement d’un e-mail malveillant peut entraîner l’exécution de code JavaScript arbitraire
Description : un problème de validation a été résolu par un meilleur nettoyage des entrées.
CVE-2022-22589 : Heige de la KnownSec 404 Team (knownsec.com) et Bo Qu de Palo Alto Networks (paloaltonetworks.com)
Entrée ajoutée le 25 mai 2022
WebKit
Disponible pour : macOS Catalina
Conséquence : le traitement d’un contenu web malveillant peut entraîner la divulgation d’informations sensibles de l’utilisateur.
Description : un problème de gestion des cookies a été résolu par une meilleure gestion des états.
WebKit Bugzilla : 232748
CVE-2022-22662 : Prakash (@1lastBr3ath) de ThreatNix
xar
Disponible pour : macOS Catalina
Conséquence : un utilisateur local peut être en mesure d’écrire des fichiers arbitraires.
Description : le traitement des liens symboliques présentait un problème de validation. Ce problème a été résolu par une meilleure validation des liens symboliques.
CVE-2022-22582 : Richard Warren de NCC Group
Remerciements supplémentaires
Intel Graphics Driver
Nous tenons à remercier Jack Dates de RET2 Systems, Inc. et Yinyi Wu (@3ndy1) pour leur aide.
syslog
Nous tenons à remercier Yonghwi Jin (@jinmo123) de Theori pour son aide.
TCC
Nous tenons à remercier Csaba Fitzl (@theevilbit) d’Offensive Security pour son aide.
Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu responsable de problèmes liés à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web tiers ni l’exactitude des informations que ce dernier propose. Contactez le fournisseur pour plus d’informations.