אודות תוכן האבטחה של עדכון האבטחה ‎2022-004 Catalina

מסמך זה מתאר את תוכן האבטחה של עדכון האבטחה ‎2022-004 Catalina.

מידע על עדכוני אבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. הגרסאות העדכניות רשומות בדף עדכוני אבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.

למידע נוסף בנושא אבטחה, עיינו בדף אבטחת מוצרי Apple.

עדכון האבטחה ‎2022-004 Catalina

apache

זמין עבור: macOS Catalina

השפעה: מספר בעיות ב-apache

תיאור: מספר בעיות טופלו באמצעות עדכון apache לגרסה 2.4.53.

CVE-2021-44224

CVE-2021-44790

CVE-2022-22719

CVE-2022-22720

CVE-2022-22721

AppKit‏

זמין עבור: macOS Catalina

השפעה: ייתכן שאפליקציה זדונית תצליח לקבל הרשאות בסיס

תיאור: בעיית לוגיקה טופלה באמצעות אימות משופר.

CVE-2022-22665‏: Lockheed Martin Red Team

AppleEvents

זמין עבור: macOS Catalina

השפעה: משתמש מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2022-22630:‏ ג'רמי בראון יחד עם Zero Day Initiative של Trend Micro

AppleGraphicsControl

זמין עבור: macOS Catalina

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי

תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.

CVE-2022-26751: מייקל דה פלנטה (‎@izobashi) מ-Trend Micro Zero Day Initiative

AppleScript

זמין עבור: macOS Catalina

השפעה: עיבוד של AppleScript בינארי בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של יישום או לחשיפת זיכרון התהליך

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2022-26697: קי סאן ורוברט איי מ-Trend Micro

AppleScript

זמין עבור: macOS Catalina

השפעה: עיבוד של AppleScript בינארי בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של יישום או לחשיפת זיכרון התהליך

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2022-26698: קי סאן מ-Trend Micro

CoreTypes

זמין עבור: macOS Catalina

השפעה: אפליקציה זדונית עלולה להצליח לעקוף את הבדיקות של Gatekeeper

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות למניעת פעולות לא מורשות.

CVE-2022-22663: ארסני קוסטרומין (0x3c3e)

CVMS

זמין עבור: macOS Catalina

השפעה: ייתכן שאפליקציה זדונית תצליח לקבל הרשאות בסיס

תיאור: בעיית אתחול זיכרון טופלה.

CVE-2022-26721: יונגווי ג'ין (‎@jinmo123) מ-Theori

CVE-2022-26722: יונגווי ג'ין (‎@jinmo123) מ-Theori

DriverKit

זמין עבור: macOS Catalina

השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת

תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2022-26763: לינוס הנצה מ-Pinauten GmbH‏ (pinauten.de)

Graphics Drivers

זמין עבור: macOS Catalina

השפעה: משתמש מקומי עלול להצליח לקרוא זיכרון ליבה

תיאור: הייתה בעיה של קריאה מחוץ לתחום שהובילה לחשיפת זיכרון ליבה. הבעיה טופלה באמצעות אימות קלט משופר.

CVE-2022-22674: חוקר אנונימי

Intel Graphics Driver

זמין עבור: macOS Catalina

השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2022-26720: ליו לונג מ-Ant Security Light-Year Lab

Intel Graphics Driver

זמין עבור: macOS Catalina

השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2022-26770: ליו לונג מ-Ant Security Light-Year Lab

Intel Graphics Driver

זמין עבור: macOS Catalina

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2022-26756: ג'ק דייטס מ-RET2 Systems, Inc

Intel Graphics Driver

זמין עבור: macOS Catalina

השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.

CVE-2022-26769: אנטוניו זקיץ' (‎@antoniozekic)

Intel Graphics Driver

זמין עבור: macOS Catalina

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2022-26748: ג'אונגהון שין מ-Theori בשיתוף עם Trend Micro Zero Day Initiative

Kernel

זמין עבור: macOS Catalina

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית השחתת זיכרון טופלה באמצעות שיפור האימות.

CVE-2022-26714: פיטר נויין וו הואנג (‎@peternguyen14) מ-STAR Labs‏ (‎@starlabs_sg)

Kernel

זמין עבור: macOS Catalina

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2022-26757: נד וויליאמסון מ-Google Project Zero

libresolv

זמין עבור: macOS Catalina

השפעה: משתמש מרוחק עלול להצליח לגרום למניעת שירות

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2022-32790: מקס שווריק (‎@_mxms) מ-Google Security Team

libresolv

זמין עבור: macOS Catalina

השפעה: תוקף עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר.

CVE-2022-26775: מקס שווריק (‎@_mxms) מ-Google Security Team

LibreSSL

זמין עבור: macOS Catalina

השפעה: עיבוד אישור בעל מבנה זדוני עלול להוביל למניעת שירות

תיאור: בעיית מניעת שירות טופלה באמצעות אימות קלט משופר.

CVE-2022-0778

libxml2

זמין עבור: macOS Catalina

השפעה: תוקף מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2022-23308

OpenSSL

זמין עבור: macOS Catalina

השפעה: עיבוד אישור בעל מבנה זדוני עלול להוביל למניעת שירות

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2022-0778

PackageKit

זמין עבור: macOS Catalina

השפעה: יישום עלול להצליח לקבל הרשאות ברמה גבוהה יותר

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

CVE-2022-32794: מיקי ג'ין (‎@patch1t)

PackageKit

זמין עבור: macOS Catalina

השפעה: אפליקציה זדונית עלולה להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: בעיה זו טופלה באמצעות זכאויות משופרות.

CVE-2022-26727: מיקי ג'ין (‎@patch1t)

Printing

זמין עבור: macOS Catalina

השפעה: יישום זדוני עלול להצליח לעקוף את העדפות הפרטיות

תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.

CVE-2022-26746: ‏‎@gorelics

Security

זמין עבור: macOS Catalina

השפעה: יישום זדוני עלול להצליח לעקוף אימות חתימה

תיאור: בעיה בניתוח אישורים טופלה באמצעות בדיקות משופרות.

CVE-2022-26766: לינוס הנצה מ-Pinauten GmbH‏ (pinauten.de)

SMB

זמין עבור: macOS Catalina

השפעה: יישום עלול לקבל הרשאות ברמה גבוהה יותר

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2022-26715: פיטר נויין וו הואנג מ-STAR Labs

SoftwareUpdate

זמין עבור: macOS Catalina

השפעה: יישום זדוני עלול להצליח לגשת לקבצים מוגבלים

תיאור: בעיה זו טופלה באמצעות זכאויות משופרות.

CVE-2022-26728: מיקי ג'ין (‎@patch1t)

TCC

זמין עבור: macOS Catalina

השפעה: יישום עלול להצליח לצלם מסך של משתמש

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2022-26726: אנטוניו צ'אונג יו שואן YCISCQ

Tcl

זמין עבור: macOS Catalina

השפעה: יישום זדוני עלול להצליח לצאת מתוך ארגז החול

תיאור: בעיה זו טופלה באמצעות סניטציה משופרת של הסביבה.

CVE-2022-26755: ארסני קוסטרומין (0x3c3e)

WebKit

זמין עבור: macOS Catalina

השפעה: עיבוד הודעת דואר בעלת מבנה זדוני עלול להוביל להפעלת javascript שרירותי

תיאור: בעיית אימות טופלה באמצעות סניטציה משופרת של קלט.

CVE-2022-22589: הייג' מ-KnownSec 404 Team‏ (knownsec.com) ובו קו מ-Paolo Alto Networks‏ (paloaltonetworks.com)

Wi-Fi

זמין עבור: macOS Catalina

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2022-26761: וואנג יו מ-Cyberserval

zip

זמין עבור: macOS Catalina

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל למניעת שירות

תיאור: בעיית מניעת שירות טופלה באמצעות טיפול משופר במצב.

CVE-2022-0530

zlib‏

זמין עבור: macOS Catalina

השפעה: תוקף עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.

CVE-2018-25032: טאוויס אורמנדי

zsh

זמין עבור: macOS Catalina

השפעה: תוקף מרוחק עלול להצליח להפעיל קוד שרירותי

תיאור: בעיה זו טופלה באמצעות עדכון ל-zsh בגרסה 5.8.1.

CVE-2021-45444

תודות נוספות

PackageKit

אנחנו מבקשים להודות למיקי ג'ין (‎@patch1t) מ-Trend Micro על הסיוע.