אודות תוכן האבטחה של עדכון האבטחה 2022-005 Catalina
מסמך זה מתאר את תוכן האבטחה של עדכון האבטחה 2022-005 Catalina.
מידע על עדכוני אבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. הגרסאות העדכניות רשומות בדף עדכוני אבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.
למידע נוסף בנושא אבטחה, עיינו בדף אבטחת מוצרי Apple.
עדכון האבטחה 2022-005 Catalina
APFS
זמין עבור: macOS Catalina
השפעה: יישום עם הרשאות בסיס עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2022-32832: טומי מוייר (@Muirey03)
AppleMobileFileIntegrity
זמין עבור: macOS Catalina
השפעה: יישום עלול להצליח לקבל הרשאות בסיס
תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.
CVE-2022-32826: מיקי ג'ין (@patch1t) מ-Trend Micro
AppleScript
זמין עבור: macOS Catalina
השפעה: עיבוד קובץ בינארי של AppleScript בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי או לחשיפת זיכרון התהליך
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2022-32797: מיקי ג'ין (@patch1t), יה ז'אנג (@co0py_Cat) מ-Baidu Security, מיקי ג'ין (@patch1t) מ-Trend Micro
AppleScript
זמין עבור: macOS Catalina
השפעה: עיבוד קובץ בינארי של AppleScript בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי או לחשיפת זיכרון התהליך
תיאור: בעיית קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2022-32853: יה ז'אנג (@co0py_Cat) מ-Baidu Security
CVE-2022-32851: יה ז'אנג (@co0py_Cat) מ-Baidu Security
AppleScript
זמין עבור: macOS Catalina
השפעה: עיבוד קובץ בינארי של AppleScript בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי או לחשיפת זיכרון התהליך
תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2022-32831: יה ז'אנג (@co0py_Cat) מ-Baidu Security
Archive Utility
זמין עבור: macOS Catalina
השפעה: ארכיון עלול להצליח לעקוף את Gatekeeper
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2022-32910: פרדוס סלג'וקי (@malwarezoo) מ-Jamf Software
Audio
זמין עבור: macOS Catalina
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2022-32820: חוקר אנונימי
Calendar
זמין עבור: macOS Catalina
השפעה: יישום עלול להצליח לגשת למידע רגיש אודות המשתמש
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרונות מטמון.
CVE-2022-32805: סאבה פיצל (@theevilbit) מ-Offensive Security
Calendar
זמין עבור: macOS Catalina
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיה של חשיפת מידע טופלה על-ידי הסרת הקוד הפגיע.
CVE-2022-32849: ג'ושוע ג'ונס
CoreText
זמין עבור: macOS Catalina
השפעה: משתמש מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.
CVE-2022-32839: STAR Labs (@starlabs_sg)
FaceTime
זמין עבור: macOS Catalina
השפעה: יישום עם הרשאות בסיס עלול להצליח לקבל גישה למידע פרטי
תיאור: בעיה זו טופלה על ידי הפעלת מצב Hardened Runtime (סביבת זמן ריצה מוגנת).
CVE-2022-32781: וויצ'ך רגולה (@_r3ggi) מ-SecuRing
File System Events
זמין עבור: macOS Catalina
השפעה: יישום עלול להצליח לקבל הרשאות בסיס
תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.
CVE-2022-32819: ג'ושוע מייסון מ-Mandiant
ICU
זמין עבור: macOS Catalina
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2022-32787: דוהיון לי (@l33d0hyun) מ-SSD Secure Disclosure Labs & DNSLab, אוניברסיטת קוריאה
ImageIO
זמין עבור: macOS Catalina
השפעה: עיבוד תמונה עלול לגרום למניעת שירות
תיאור: ביטול הפניה לערך מצביע Null טופל באמצעות שיפור האימות.
CVE-2022-32785: ייגיט ג'ן ילמז (@yilmazcanyigit)
Intel Graphics Driver
זמין עבור: macOS Catalina
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2022-32812: יין-יי וו (@3ndy1), ABC Research s.r.o.
Intel Graphics Driver
זמין עבור: macOS Catalina
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: נקודת תורפה של השחתת זיכרון טופלה באמצעות נעילה משופרת.
CVE-2022-32811: ABC Research s.r.o
Kernel
זמין עבור: macOS Catalina
השפעה: יישום עם הרשאות בסיס עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2022-32815: שינרו צ'י מ-Pangu Lab
CVE-2022-32813: שינרו צ'י מ-Pangu Lab
LaunchServices
זמין עבור: macOS Catalina
השפעה: יישום עלול להצליח לעקוף העדפות פרטיות מסוימות
תיאור: בעיה לוגית טופלה באמצעות הגבלות משופרות.
CVE-2021-30946: @gorelics ורון מאסאס מ-BreakPoint.sh
libxml2
זמין עבור: macOS Catalina
השפעה: יישום עלול להצליח להדליף מידע רגיש אודות המשתמש
תיאור: בעיית אתחול זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2022-32823
PackageKit
זמין עבור: macOS Catalina
השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: בעיה בטיפול במשתני סביבה טופלה באמצעות אימות משופר.
CVE-2022-32786: מיקי ג'ין (@patch1t)
PackageKit
זמין עבור: macOS Catalina
השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2022-32800: מיקי ג'ין (@patch1t)
PluginKit
זמין עבור: macOS Catalina
השפעה: יישום עלול להצליח לקרוא קבצים שרירותיים
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
CVE-2022-32838: מיקי ג'ין (@patch1t) מ-Trend Micro
PS Normalizer
זמין עבור: macOS Catalina
השפעה: עיבוד של קובץ Postscript בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של יישום או לחשיפת זיכרון התהליך
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2022-32843: קאי לו מ-Zscaler's ThreatLabz
SMB
זמין עבור: macOS Catalina
השפעה: יישום עלול להצליח לקבל הרשאות ברמה גבוהה יותר
תיאור: בעיית קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2022-32842: סריג'ית' קרישנאן ר' (@skr0x1c0)
SMB
זמין עבור: macOS Catalina
השפעה: משתמש במיקום מורשה ברשת עלול להצליח להדליף מידע רגיש
תיאור: בעיית קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2022-32799: סריג'ית' קרישנאן ר' (@skr0x1c0)
Software Update
זמין עבור: macOS Catalina
השפעה: משתמש שהשיג הרשאות רשת יכול לעקוב אחר פעילות של משתמשים
תיאור: הבעיה טופלה באמצעות שימוש ב-HTTPS בעת שליחת מידע ברשת.
CVE-2022-32857: ג'פרי פול (sneak.berlin)
Spindump
זמין עבור: macOS Catalina
השפעה: יישום עלול להצליח למחוק קבצים שרירותיים
תיאור: בעיה זו טופלה באמצעות טיפול משופר בקבצים.
CVE-2022-32807: זיפנג הו (@R3dF09) מ-Tencent Security Xuanwu Lab
Spotlight
זמין עבור: macOS Catalina
השפעה: יישום עלול להצליח לקבל הרשאות ברמה גבוהה יותר
תיאור: בעיית אימות בטיפול בקישורים סימבוליים טופלה באמצעות אימות משופר של קישורים סימבוליים.
CVE-2022-26704: ג'ושוע מייסון מ-Mandiant
TCC
זמין עבור: macOS Catalina
השפעה: יישום עלול להצליח לגשת למידע רגיש אודות המשתמש
תיאור: בעיית גישה טופלה באמצעות שיפורים בארגז החול.
CVE-2022-32834: שושיאנג יאנג (@another1024) מ-Tencent Security Xuanwu Lab (xlab.tencent.com), גורדון לונג, תייס אלקמאדה (@xnyhps) מ-Computest Sector 7, אדם צ'סטר מ-TrustedSec, יואבין סון (@yuebinsun2020) מ-Tencent Security Xuanwu Lab (xlab.tencent.com), ז'יפנג הואו (@R3dF09) מ-Tencent Security Xuanwu Lab (xlab.tencent.com)
Vim
זמין עבור: macOS Catalina
השפעה: מספר בעיות ב-Vim
תיאור: מספר בעיות טופלו באמצעות עדכון Vim.
CVE-2021-4136
CVE-2021-4166
CVE-2021-4173
CVE-2021-4187
CVE-2021-4192
CVE-2021-4193
CVE-2021-46059
CVE-2022-0128
Wi-Fi
זמין עבור: macOS Catalina
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2022-32860: וואנג יו מ-Cyberserval
Wi-Fi
זמין עבור: macOS Catalina
השפעה: יישום עלול להצליח להביא לסיום בלתי צפוי של המערכת או לכתוב זיכרון ליבה
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2022-32837: וואנג יו מ-Cyberserval
Wi-Fi
זמין עבור: macOS Catalina
השפעה: משתמש מרוחק עלול להצליח לגרום לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2022-32847: וואנג יו מ-Cyberserval
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.