A Catalina 2022-004-es biztonsági frissítésének biztonsági változásjegyzéke
Ez a dokumentum a Catalina 2022-004-es biztonsági frissítésének biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
A Catalina 2022-004-es biztonsági frissítése
apache
A következőhöz érhető el: macOS Catalina
Érintett terület: Az apache több biztonsági rése.
Leírás: Több hibát elhárítottunk az apache 2.4.53-as verziójára való frissítéssel.
CVE-2021-44224
CVE-2021-44790
CVE-2022-22719
CVE-2022-22720
CVE-2022-22721
AppKit
A következőhöz érhető el: macOS Catalina
Érintett terület: A rosszindulatú alkalmazások gyökérszintű jogosultságokat tudtak szerezni.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.
CVE-2022-22665: Lockheed Martin Red Team
AppleEvents
A következőhöz érhető el: macOS Catalina
Érintett terület: Egy távoli támadó váratlan alkalmazásleállást tudott előidézni, illetve tetszőleges programkódot tudott végrehajtani
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.
CVE-2022-22630: Jeremy Brown, a Trend Micro Zero Day Initiative közreműködőjeként
AppleGraphicsControl
A következőhöz érhető el: macOS Catalina
Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
CVE-2022-26751: Michael DePlante (@izobashi; Trend Micro Zero Day Initiative)
AppleScript
A következőhöz érhető el: macOS Catalina
Érintett terület: Az ártó szándékkal létrehozott AppleScript bináris fájlok feldolgozása váratlan alkalmazásleálláshoz vagy a folyamatmemória tartalmának felfedéséhez vezethetett.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2022-26697: Qi Sun és Robert Ai (Trend Micro)
AppleScript
A következőhöz érhető el: macOS Catalina
Érintett terület: Az ártó szándékkal létrehozott AppleScript bináris fájlok feldolgozása váratlan alkalmazásleálláshoz vagy a folyamatmemória tartalmának felfedéséhez vezethetett.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.
CVE-2022-26698: Qi Sun (Trend Micro)
CoreTypes
A következőhöz érhető el: macOS Catalina
Érintett terület: A rosszindulatú alkalmazások meg tudták kerülni a Gatekeeper ellenőrzéseit.
Leírás: Úgy hárítottuk el a problémát, hogy hatékonyabb ellenőrzéseket vezettünk be a jogosulatlan műveletek megakadályozására.
CVE-2022-22663: Arsenii Kostromin (0x3c3e)
CVMS
A következőhöz érhető el: macOS Catalina
Érintett terület: A rosszindulatú alkalmazások gyökérszintű jogosultságokat tudtak szerezni.
Leírás: Elhárítottunk egy memóriainicializálási problémát.
CVE-2022-26721: Yonghwi Jin (@jinmo123; Theori)
CVE-2022-26722: Yonghwi Jin (@jinmo123; Theori)
DriverKit
A következőhöz érhető el: macOS Catalina
Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.
CVE-2022-26763: Linus Henze, Pinauten GmbH (pinauten.de)
Graphics Drivers
A következőhöz érhető el: macOS Catalina
Érintett terület: Előfordult, hogy a helyi felhasználók olvasni tudták a kernelmemóriát.
Leírás: Egy határértéken kívüli olvasási hiba miatt felfedhető volt a kernelmemória tartalma. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.
CVE-2022-22674: egy anonim kutató
Intel Graphics Driver
A következőhöz érhető el: macOS Catalina
Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.
CVE-2022-26720: Liu Long (Ant Security Light-Year Lab)
Intel Graphics Driver
A következőhöz érhető el: macOS Catalina
Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb bemenet-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2022-26770: Liu Long (Ant Security Light-Year Lab)
Intel Graphics Driver
A következőhöz érhető el: macOS Catalina
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.
CVE-2022-26756: Jack Dates, RET2 Systems, Inc
Intel Graphics Driver
A következőhöz érhető el: macOS Catalina
Érintett terület: A rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
CVE-2022-26769: Antonio Zekic (@antoniozekic)
Intel Graphics Driver
A következőhöz érhető el: macOS Catalina
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb bemenet-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.
CVE-2022-26748: Jeonghoon Shin (Theori), a Trend Micro Zero Day Initiative közreműködőjeként
Kernel
A következőhöz érhető el: macOS Catalina
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14, STAR Labs; @starlabs_sg)
Kernel
A következőhöz érhető el: macOS Catalina
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.
CVE-2022-26757: Ned Williamson (Google Project Zero)
libresolv
A következőhöz érhető el: macOS Catalina
Érintett terület: A távoli támadó szolgáltatásmegtagadást tudott előidézni.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2022-32790: Max Shavrick (@_mxms, Google Security Team)
libresolv
A következőhöz érhető el: macOS Catalina
Érintett terület: A támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy egészszám-túlcsordulást okozó problémát.
CVE-2022-26775: Max Shavrick (@_mxms; Google Security Team)
LibreSSL
A következőhöz érhető el: macOS Catalina
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott tanúsítványok feldolgozásakor szolgáltatásmegtagadás lépett fel
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy szolgáltatásmegtagadási hibát.
CVE-2022-0778
libxml2
A következőhöz érhető el: macOS Catalina
Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.
CVE-2022-23308
OpenSSL
A következőhöz érhető el: macOS Catalina
Érintett terület: Az ártó szándékkal létrehozott tanúsítványok feldolgozása szolgáltatásmegtagadást idézhetett elő.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2022-0778
PackageKit
A következőhöz érhető el: macOS Catalina
Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2022-32794: Mickey Jin (@patch1t)
PackageKit
A következőhöz érhető el: macOS Catalina
Érintett terület: A rosszindulatú alkalmazások módosítani tudták a fájlrendszer védett részeit.
Leírás: A jogosultságok megadásának javításával hárítottuk el a problémát.
CVE-2022-26727: Mickey Jin (@patch1t)
Printing
A következőhöz érhető el: macOS Catalina
Érintett terület: A rosszindulatú alkalmazások meg tudták kerülni az adatvédelmi beállításokat.
Leírás: A sebezhető kód eltávolításával hárítottuk el a problémát.
CVE-2022-26746: @gorelics
Security
A következőhöz érhető el: macOS Catalina
Érintett terület: A rosszindulatú alkalmazások meg tudták kerülni az aláírás-érvényesítést.
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy tanúsítványelemzési problémát.
CVE-2022-26766: Linus Henze (Pinauten GmbH; pinauten.de)
SMB
A következőhöz érhető el: macOS Catalina
Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.
CVE-2022-26715: Peter Nguyễn Vũ Hoàng, STAR Labs
SoftwareUpdate
A következőhöz érhető el: macOS Catalina
Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások hozzá tudtak férni korlátozott fájlokhoz.
Leírás: A jogosultságok megadásának javításával hárítottuk el a problémát.
CVE-2022-26728: Mickey Jin (@patch1t)
TCC
A következőhöz érhető el: macOS Catalina
Érintett terület: Előfordult, hogy az alkalmazások rögzíteni tudták a felhasználó képernyőjét.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2022-26726: Antonio Cheong Yu Xuan (YCISCQ)
Tcl
A következőhöz érhető el: macOS Catalina
Érintett terület: A rosszindulatú alkalmazások adott esetben ki tudtak törni a sandboxból.
Leírás: A környezeti tisztítás továbbfejlesztésével elhárítottuk a problémát.
CVE-2022-26755: Arsenii Kostromin (0x3c3e)
WebKit
A következőhöz érhető el: macOS Catalina
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott levelek feldolgozásakor tetszőleges javascript futtatására került sor.
Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.
CVE-2022-22589: Heige (KnownSec 404 Team, knownsec.com) és Bo Qu (Palo Alto Networks, paloaltonetworks.com)
Wi-Fi
A következőhöz érhető el: macOS Catalina
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2022-26761: Wang Yu, Cyberserval
zip
A következőhöz érhető el: macOS Catalina
Érintett terület: Az ártó szándékkal létrehozott fájlok feldolgozása szolgáltatásmegtagadást idézhetett elő.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy szolgáltatásmegtagadási hibát.
CVE-2022-0530
zlib
A következőhöz érhető el: macOS Catalina
Érintett terület: A támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
CVE-2018-25032: Tavis Ormandy
zsh
A következőhöz érhető el: macOS Catalina
Érintett terület: A távoli támadók elő tudták idézni egy tetszőleges kód végrehajtását.
Leírás: A zsh 5.8.1-es verziójára való frissítéssel hárítottuk el a problémát.
CVE-2021-45444
További köszönetnyilvánítás
PackageKit
Köszönjük Mickey Jin (@patch1t, Trend Micro) segítségét.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.