Informacije o sigurnosnom sadržaju Sigurnosnog ažuriranja 2022-003 Catalina
U ovom se dokumentu opisuje sigurnosni sadržaj Sigurnosnog ažuriranja 2022-003 Catalina.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
Sigurnosno ažuriranje 2022-003 Catalina
AppKit
Dostupno za: macOS Catalina
Učinak: neka zlonamjerna aplikacija mogla bi steći korijenske ovlasti
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2022-22665: Lockheed Martin Red Team
AppleGraphicsControl
Dostupno za: macOS Catalina
Učinak: neka bi aplikacija mogla dobiti veće ovlasti
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-22631: Wang Yu (cyberserval)
AppleScript
Dostupno za: macOS Catalina
Učinak: neka bi aplikacija mogla čitati ograničenu memoriju
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-22648: Mickey Jin (@patch1t) (Trend Micro)
AppleScript
Dostupno za: macOS Catalina
Učinak: obradom zlonamjerno sastavljene binarne skripte AppleScript moglo bi doći do neočekivanog zatvaranja aplikacija ili otkrivanja procesne memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-22627: Qi Sun i Robert Ai (Trend Micro)
CVE-2022-22626: Mickey Jin (@patch1t) (Trend Micro)
AppleScript
Dostupno za: macOS Catalina
Učinak: obradom zlonamjerno sastavljene binarne skripte AppleScript moglo bi doći do neočekivanog zatvaranja aplikacija ili otkrivanja procesne memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-22625: Mickey Jin (@patch1t) (Trend Micro)
AppleScript
Dostupno za: macOS Catalina
Učinak: obradom zlonamjerne datoteke može doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2022-22597: Qi Sun i Robert Ai (Trend Micro)
BOM
Dostupno za: macOS Catalina
Učinak: zlonamjerno stvorena ZIP arhiva mogla bi zaobići provjere alata Gatekeeper
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-22616: Ferdous Saljooki (@malwarezoo) i Jaron Bradley (@jbradley89) (Jamf Software), Mickey Jin (@patch1t)
CUPS
Dostupno za: macOS Catalina
Učinak: neka bi aplikacija mogla dobiti veće ovlasti
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-26691: Joshua Mason (Mandiant)
Intel Graphics Driver
Dostupno za: macOS Catalina
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem sa zamjenom vrste riješen je poboljšanim upravljanjem stanjem.
CVE-2022-46706: Wang Yu (Cyberserval) i Pan ZhenPeng (@Peterpan0927) (Alibaba Security Pandora Lab)
Intel Graphics Driver
Dostupno za: macOS Catalina
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem sa zamjenom vrste riješen je poboljšanim upravljanjem stanjem.
CVE-2022-22661: Wang Yu (Cyberserval) i Pan ZhenPeng (@Peterpan0927) (Alibaba Security Pandora Lab)
Kernel
Dostupno za: macOS Catalina
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-22613: anonimni istraživač, Alex
Kernel
Dostupno za: macOS Catalina
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2022-22615: anonimni istraživač
CVE-2022-22614: anonimni istraživač
Kernel
Dostupno za: macOS Catalina
Učinak: napadač s mrežnim ovlastima mogao bi izazvati napad odbijanja usluge
Opis: dereferenca pokazivača s vrijednošću null riješena je poboljšanom provjerom valjanosti.
CVE-2022-22638: derrek (@derrekr6)
Login Window
Dostupno za: macOS Catalina
Učinak: osoba s pristupom Mac računalu mogla bi zaobići prozor za prijavu
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-22647: Yuto Ikeda sa Sveučilišta Kyushu
LoginWindow
Dostupno za: macOS Catalina
Učinak: lokalni napadač mogao bi vidjeti radnu površinu prethodno prijavljenog korisnika sa zaslona za brzu zamjenu korisnika
Opis: problem s provjerom autentičnosti riješen je poboljšanim upravljanjem stanjem.
CVE-2022-22656
MobileAccessoryUpdater
Dostupno za: macOS Catalina
Učinak: uz kernelske ovlasti zlonamjerne aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2022-22672: Siddharth Aeri (@b1n4r1b01)
PackageKit
Dostupno za: macOS Catalina
Učinak: zlonamjerna aplikacija s korijenskim privilegijama možda bi mogla izmjenjivati sadržaj sistemskih datoteka
Opis: problem s obradom sistemskim vezama riješen je poboljšanom provjerom valjanosti.
CVE-2022-26688: Mickey Jin (@patch1t) (Trend Micro)
PackageKit
Dostupno za: macOS Catalina
Učinak: neka bi aplikacija mogla dobiti veće ovlasti
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-22617: Mickey Jin (@patch1t)
QuickTime Player
Dostupno za: macOS Catalina
Učinak: dodatak bi mogao naslijediti dozvole aplikacije i pristupne podatke korisnika
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-22650: Wojciech Reguła (@_r3ggi) (SecuRing)
WebKit
Dostupno za: macOS Catalina
Učinak: obradom zlonamjernog web-sadržaja može doći do otkrivanja osjetljivih korisničkih podataka
Opis: problem s upravljanjem kolačićima riješen je poboljšanim upravljanjem stanjem.
CVE-2022-22662: Prakash (@1lastBr3ath) (Threat Nix)
WebKit
Dostupno za: macOS Catalina
Učinak: obrada zlonamjerno izrađene e-mail poruke može dovesti do pokretanja proizvoljnog javascript koda
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2022-22589: Heige (KnownSec, tim 404 (knownsec.com)) i Bo Qu (Palo Alto Networks (paloaltonetworks.com))
WebKit
Dostupno za: macOS Catalina
Učinak: obradom zlonamjernog web-sadržaja može doći do otkrivanja osjetljivih korisničkih podataka
Opis: problem s upravljanjem kolačićima riješen je poboljšanim upravljanjem stanjem.
CVE-2022-22662: Prakash (@1lastBr3ath) (Threat Nix)
xar
Dostupno za: macOS Catalina
Učinak: lokalni korisnik mogao bi zapisivati proizvoljne datoteke
Opis: postojao je problem s provjerom valjanosti prilikom rukovanja simboličkim vezama. Taj je problem riješen poboljšanom provjerom simboličkih veza.
CVE-2022-22582: Richard Warren (NCC Group)
Dodatna zahvala
Intel Graphics Driver
Željeli bismo zahvaliti na pomoći Jacku Datesu (RET2 Systems, Inc.) i Yinyiju Wuu (@3ndy1).
syslog
Željeli bismo zahvaliti na pomoći Yonghwiju Jinu (@jinmo123) (Theori).
TCC
Na pomoći zahvaljujemo Csabi Fitzlu (@theevilbit) (Offensive Security).
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.