Informacije o sigurnosnom sadržaju sigurnosnog ažuriranja 2022-004 Catalina

U ovom se dokumentu opisuje sigurnosni sadržaj Sigurnosnog ažuriranja 2022-004 Catalina.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

Sigurnosno ažuriranje 2022-004 Catalina

apache

Dostupno za: macOS Catalina

Učinak: veći broj problema u softveru Apache

Opis: veći broj problema riješen je ažuriranjem softvera Apache na verziju 2.4.53.

CVE-2021-44224

CVE-2021-44790

CVE-2022-22719

CVE-2022-22720

CVE-2022-22721

AppKit

Dostupno za: macOS Catalina

Učinak: neka zlonamjerna aplikacija mogla bi steći korijenske ovlasti

Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.

CVE-2022-22665: Lockheed Martin Red Team

AppleEvents

Dostupno za: macOS Catalina

Učinak: udaljeni korisnik može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2022-22630: Jeremy Brown u suradnji s inicijativom Trend Micro Zero Day

AppleGraphicsControl

Dostupno za: macOS Catalina

Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2022-26751: Michael DePlante (@izobashi) i inicijativa Zero Day (Trend Micro)

AppleScript

Dostupno za: macOS Catalina

Učinak: obradom zlonamjerno sastavljene binarne skripte AppleScript moglo bi doći do neočekivanog zatvaranja aplikacija ili otkrivanja procesne memorije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2022-26697: Qi Sun i Robert Ai (Trend Micro)

AppleScript

Dostupno za: macOS Catalina

Učinak: obradom zlonamjerno sastavljene binarne skripte AppleScript moglo bi doći do neočekivanog zatvaranja aplikacija ili otkrivanja procesne memorije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2022-26698: Qi Sun (Trend Micro)

CoreTypes

Dostupno za: macOS Catalina

Učinak: zlonamjerna aplikacija može zaobići provjere alata Gatekeeper

Opis: problem je riješen poboljšanim provjerama radi sprječavanja neovlaštenih radnji.

CVE-2022-22663: Arsenii Kostromin (0x3c3e)

CVMS

Dostupno za: macOS Catalina

Učinak: neka zlonamjerna aplikacija mogla bi steći korijenske ovlasti

Opis: problem s inicijalizacijom memorije riješen je.

CVE-2022-26721: Yonghwi Jin (@jinmo123) (Theori)

CVE-2022-26722: Yonghwi Jin (@jinmo123) (Theori)

DriverKit

Dostupno za: macOS Catalina

Učinak: neke zlonamjerne aplikacije mogle bi uz sistemske ovlasti izvršiti proizvoljni kod

Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2022-26763: Linus Henze iz tvrtke Pinauten GmbH (pinauten.de)

Graphics Drivers

Dostupno za: macOS Catalina

Učinak: lokalni korisnik mogao bi čitati kernelsku memoriju

Opis: otkriven je problem s prekoračenjem čitanja, koji je doveo do otkrivanja sadržaja kernelske memorije. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2022-22674: anonimni istraživač

Intel Graphics Driver

Dostupno za: macOS Catalina

Učinak: uz kernelske ovlasti zlonamjerne aplikacije mogle su izvršiti proizvoljni kod

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2022-26720: Liu Long (Ant Security Light-Year Lab)

Intel Graphics Driver

Dostupno za: macOS Catalina

Učinak: uz kernelske ovlasti zlonamjerne aplikacije mogle su izvršiti proizvoljni kod

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2022-26770: Liu Long (Ant Security Light-Year Lab)

Intel Graphics Driver

Dostupno za: macOS Catalina

Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2022-26756: Jack Dates iz tvrtke RET2 Systems, Inc

Intel Graphics Driver

Dostupno za: macOS Catalina

Učinak: uz kernelske ovlasti zlonamjerne aplikacije mogle su izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2022-26769: Antonio Zekic (@antoniozekic)

Intel Graphics Driver

Dostupno za: macOS Catalina

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem sa zapisivanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2022-26748: Jeonghoon Shin (Theori) i inicijativa Zero Day (Trend Micro)

Kernel

Dostupno za: macOS Catalina

Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.

CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) (STAR Labs (@starlabs_sg))

Kernel

Dostupno za: macOS Catalina

Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2022-26757: Ned Williamson (Google Project Zero)

libresolv

Dostupno za: macOS Catalina

Učinak: udaljeni korisnik mogao bi uzrokovati odbijanje usluge

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2022-32790: Max Shavrick (@_mxms) (Google Security Team)

libresolv

Dostupno za: macOS Catalina

Učinak: napadači bi mogli izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2022-26775: Max Shavrick (@_mxms) (Googleov tim za sigurnost)

LibreSSL

Dostupno za: macOS Catalina

Učinak: obradom zlonamjernog certifikata moglo je doći do uskraćivanja usluge

Opis: problem uskraćivanja usluge riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2022-0778

libxml2

Dostupno za: macOS Catalina

Učinak: udaljeni napadač mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2022-23308

OpenSSL

Dostupno za: macOS Catalina

Učinak: obradom zlonamjernog certifikata moglo je doći do uskraćivanja usluge

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2022-0778

PackageKit

Dostupno za: macOS Catalina

Učinak: aplikacije bi mogle dobiti veće ovlasti

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2022-32794: Mickey Jin (@patch1t)

PackageKit

Dostupno za: macOS Catalina

Učinak: zlonamjerna aplikacija mogla bi izmijeniti zaštićene dijelove datotečnog sustava

Opis: ovaj je problem riješen poboljšanim pravima.

CVE-2022-26727: Mickey Jin (@patch1t)

Printing

Dostupno za: macOS Catalina

Učinak: zlonamjerna aplikacija mogla bi zaobići postavke privatnosti

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2022-26746: @gorelics

Security

Dostupno za: macOS Catalina

Učinak: zlonamjerne aplikacije mogle bi zaobići provjeru valjanosti potpisa

Opis: problem s raščlanjivanjem certifikata riješen je poboljšanim provjerama.

CVE-2022-26766: Linus Henze (Pinauten GmbH (pinauten.de))

SMB

Dostupno za: macOS Catalina

Učinak: neka bi aplikacija mogla dobiti veće ovlasti

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2022-26715: Peter Nguyễn Vũ Hoàng iz tvrtke STAR Labs

SoftwareUpdate

Dostupno za: macOS Catalina

Učinak: zlonamjerna aplikacija mogla bi pristupiti ograničenim datotekama

Opis: ovaj je problem riješen poboljšanim pravima.

CVE-2022-26728: Mickey Jin (@patch1t)

TCC

Dostupno za: macOS Catalina

Učinak: neke bi aplikacije mogle snimiti zaslon korisnika

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2022-26726: Antonio Cheong Yu Xuan (YCISCQ)

Tcl

Dostupno za: macOS Catalina

Učinak: zlonamjerne aplikacije mogle bi izaći izvan ograničene memorije

Opis: problem je riješen poboljšanom sanacijom okruženja.

CVE-2022-26755: Arsenii Kostromin (0x3c3e)

WebKit

Dostupno za: macOS Catalina

Učinak: obrada zlonamjerno izrađene e-mail poruke može dovesti do pokretanja proizvoljnog javascript koda

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2022-22589: Heige (KnownSec, tim 404 (knownsec.com)) i Bo Qu (Palo Alto Networks (paloaltonetworks.com))

Wi-Fi

Dostupno za: macOS Catalina

Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2022-26761: Wang Yu iz tvrtke Cyberserval

zip

Dostupno za: macOS Catalina

Učinak: obradom zlonamjerne datoteke moglo se izazvati odbijanje usluge

Opis: problem s odbijanjem pružanja usluge riješen je poboljšanim rukovanjem stanjem.

CVE-2022-0530

zlib

Dostupno za: macOS Catalina

Učinak: napadač bi mogao uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2018-25032: Tavis Ormandy

zsh

Dostupno za: macOS Catalina

Učinak: udaljeni napadač mogao bi uzrokovati izvršavanje proizvoljnog koda

Opis: problem je riješen ažuriranjem na zsh verzije 5.8.1.

CVE-2021-45444

Dodatna zahvala

PackageKit

Željeli bismo zahvaliti Mickeyu Jinu (@patch1t) (Trend Micro) na pomoći.