Informacije o sigurnosnom sadržaju sigurnosnog ažuriranja 2022-005 Catalina
U ovom se dokumentu opisuje sigurnosni sadržaj Sigurnosnog ažuriranja 2022-005 Catalina.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
Sigurnosno ažuriranje 2022-005 Catalina
APFS
Dostupno za: macOS Catalina
Učinak: aplikacija s korijenskim ovlastima mogla bi izvršiti proizvoljni kod s kernelskim ovlastima
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32832: Tommy Muir (@Muirey03)
AppleMobileFileIntegrity
Dostupno za: macOS Catalina
Učinak: aplikacije bi mogle dobiti korijenske ovlasti
Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.
CVE-2022-32826: Mickey Jin (@patch1t) (Trend Micro)
AppleScript
Dostupno za: macOS Catalina
Učinak: obradom zlonamjerno sastavljene binarne skripte AppleScript moglo bi doći do neočekivanog zatvaranja ili otkrivanja procesne memorije
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-32797: Mickey Jin (@patch1t), Ye Zhang (@co0py_Cat) (Baidu Security), Mickey Jin (@patch1t) (Trend Micro)
AppleScript
Dostupno za: macOS Catalina
Učinak: obradom zlonamjerno sastavljene binarne skripte AppleScript moglo bi doći do neočekivanog zatvaranja ili otkrivanja procesne memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-32853: Ye Zhang (@co0py_Cat) (Baidu Security)
CVE-2022-32851: Ye Zhang (@co0py_Cat) (Baidu Security)
AppleScript
Dostupno za: macOS Catalina
Učinak: obradom zlonamjerno sastavljene binarne skripte AppleScript moglo bi doći do neočekivanog zatvaranja ili otkrivanja procesne memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-32831: Ye Zhang (@co0py_Cat) (Baidu Security)
Archive Utility
Dostupno za: macOS Catalina
Učinak: arhiva bi mogla zaobići alat Gatekeeper
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2022-32910: Ferdous Saljooki (@malwarezoo) (Jamf Software)
Audio
Dostupno za: macOS Catalina
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem sa zapisivanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-32820: anonimni istraživač
Calendar
Dostupno za: macOS Catalina
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem je riješen poboljšanim rukovanjem predmemorijama.
CVE-2022-32805: Csaba Fitzl (@theevilbit) (Offensive Security)
Calendar
Dostupno za: macOS Catalina
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem s otkrivanjem informacija riješen je uklanjanjem koda sa slabim točkama.
CVE-2022-32849: Joshua Jones
CoreText
Dostupno za: macOS Catalina
Učinak: udaljeni korisnik može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2022-32839: STAR Labs (@starlabs_sg)
FaceTime
Dostupno za: macOS Catalina
Utjecaj: aplikacija s korijenskim ovlastima mogla bi pristupiti privatnim podacima
Opis: ovaj problem riješen je omogućavanjem dodatnog osiguranja pokretanja.
CVE-2022-32781: Wojciech Reguła (@_r3ggi) (SecuRing)
File System Events
Dostupno za: macOS Catalina
Učinak: aplikacije bi mogle dobiti korijenske ovlasti
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-32819: Joshua Mason (Mandiant)
ICU
Dostupno za: macOS Catalina
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-32787: Dohyun Lee (@l33d0hyun) (SSD Secure Disclosure Labs) & DNSLab, Korejsko sveučilište
ImageIO
Dostupno za: macOS Catalina
Učinak: obrada slike mogla bi dovesti do prekida usluge
Opis: dereferenca pokazivača s vrijednošću null riješena je poboljšanom provjerom valjanosti.
CVE-2022-32785: Yiğit Can YILMAZ (@yilmazcanyigit)
Intel Graphics Driver
Dostupno za: macOS Catalina
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32812: Yinyi Wu (@3ndy1), ABC Research s.r.o.
Intel Graphics Driver
Dostupno za: macOS Catalina
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: slaba točka zbog oštećenja memorije riješena je poboljšanim zaključavanjem.
CVE-2022-32811: ABC Research s.r.o
Kernel
Dostupno za: macOS Catalina
Učinak: aplikacija s korijenskim ovlastima mogla bi izvršiti proizvoljni kod s kernelskim ovlastima
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32815: Xinru Chi (Pangu Lab)
CVE-2022-32813: Xinru Chi (Pangu Lab)
LaunchServices
Dostupno za: macOS Catalina
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2021-30946: @gorelics i Ron Masas (BreakPoint.sh)
libxml2
Dostupno za: macOS Catalina
Učinak: aplikacija bi mogla otkriti osjetljive korisničke podatke
Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2022-32823
PackageKit
Dostupno za: macOS Catalina
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: problem s rukovanjem varijablama okruženja riješen je poboljšanom provjerom valjanosti.
CVE-2022-32786: Mickey Jin (@patch1t)
PackageKit
Dostupno za: macOS Catalina
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-32800: Mickey Jin (@patch1t)
PluginKit
Dostupno za: macOS Catalina
Učinak: aplikacija bi mogla čitati proizvoljne datoteke
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-32838: Mickey Jin (@patch1t) (Trend Micro)
PS Normalizer
Dostupno za: macOS Catalina
Učinak: obradom zlonamjerno sastavljene PostScript datoteke moglo bi doći do neočekivanog zatvaranja aplikacije ili otkrivanja procesne memorije
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-32843: Kai Lu (Zscaler's ThreatLabz)
SMB
Dostupno za: macOS Catalina
Učinak: aplikacije bi mogle dobiti veće ovlasti
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-32842: Sreejith Krishnan R (@skr0x1c0)
SMB
Dostupno za: macOS Catalina
Učinak: korisnik na povlaštenom mrežnom položaju mogao bi otkriti povjerljive podatke
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-32799: Sreejith Krishnan R (@skr0x1c0)
Software Update
Dostupno za: macOS Catalina
Učinak: korisnik s povlaštenim mrežnim položajem mogao bi pratiti aktivnosti korisnika
Opis: problem je riješen upotrebom HTTPS-a prilikom slanja podataka preko mreže.
CVE-2022-32857: Jeffrey Paul (sneak.berlin)
Spindump
Dostupno za: macOS Catalina
Učinak: aplikacija bi mogla prebrisati proizvoljne datoteke
Opis: ovaj je problem riješen poboljšanim rukovanjem datotekom.
CVE-2022-32807: Zhipeng Huo (@R3dF09) (Tencent Security Xuanwu Lab)
Spotlight
Dostupno za: macOS Catalina
Učinak: aplikacije bi mogle dobiti veće ovlasti
Opis: problem s provjerom valjanosti u rukovanju simboličkim vezama riješen je poboljšanom provjerom valjanosti simboličkih veza.
CVE-2022-26704: Joshua Mason (Mandiant)
TCC
Dostupno za: macOS Catalina
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem s pristupom riješen je poboljšanjima ograničene memorije.
CVE-2022-32834: Xuxiang Yang (@another1024) iz sigurnosnog odjela Xuanwu Lab tvrtke Tencent (xlab.tencent.com), Gordon Long, Thijs Alkemade (@xnyhps) iz odjela Sector 7 tvrtke Computest, Adam Chester iz organizacije TrustedSec, Yuebin Sun (@yuebinsun2020) iz sigurnosnog odjela Xuanwu Lab tvrtke Tencent (xlab.tencent.com), Zhipeng Huo (@R3dF09) iz sigurnosnog odjela Xuanwu Lab tvrtke Tencent (xlab.tencent.com)
Vim
Dostupno za: macOS Catalina
Učinak: veći broj problema u programu Vim
Opis: veći broj problema riješen je ažuriranjem programa Vim.
CVE-2021-4136
CVE-2021-4166
CVE-2021-4173
CVE-2021-4187
CVE-2021-4192
CVE-2021-4193
CVE-2021-46059
CVE-2022-0128
Wi-Fi
Dostupno za: macOS Catalina
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-32860: Wang Yu (Cyberserval)
Wi-Fi
Dostupno za: macOS Catalina
Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava ili zapisivati kernelsku memoriju
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-32837: Wang Yu (Cyberserval)
Wi-Fi
Dostupno za: macOS Catalina
Učinak: udaljeni korisnik može uzrokovati neočekivani pad sustava ili oštetiti kernelsku memoriju
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-32847: Wang Yu (Cyberserval)
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.