Informazioni sui contenuti di sicurezza dell'aggiornamento di sicurezza 2022-004 per macOS Catalina
In questo documento vengono descritti i contenuti di sicurezza dell'aggiornamento di sicurezza 2022-004 per macOS Catalina.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
Aggiornamento di sicurezza 2022-004 per macOS Catalina
Apache
Disponibile per: macOS Catalina
Impatto: diversi problemi presenti in Apache.
Descrizione: diversi problemi sono stati risolti con l'aggiornamento di Apache alla versione 2.4.53.
CVE-2021-44224
CVE-2021-44790
CVE-2022-22719
CVE-2022-22720
CVE-2022-22721
AppKit
Disponibile per: macOS Catalina
Impatto: un'applicazione dannosa può essere in grado di ottenere privilegi root.
Descrizione: un problema logico è stato risolto attraverso una migliore convalida.
CVE-2022-22665: Red Team di Lockheed Martin
AppleEvents
Disponibile per: macOS Catalina
Impatto: un utente remoto potrebbe causare la chiusura improvvisa di un'app o l'esecuzione di codice arbitrario
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2022-22630: Jeremy Brown in collaborazione con Trend Micro Zero Day Initiative
AppleGraphicsControl
Disponibile per: macOS Catalina
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2022-26751: Michael DePlante (@izobashi) di Trend Micro Zero Day Initiative
AppleScript
Disponibile per: macOS Catalina
Impatto: l'elaborazione di un codice binario AppleScript dannoso può causare la chiusura improvvisa dell'applicazione o la divulgazione della memoria dei processi.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2022-26697: Qi Sun e Robert Ai di Trend Micro
AppleScript
Disponibile per: macOS Catalina
Impatto: l'elaborazione di un codice binario AppleScript dannoso può causare la chiusura improvvisa dell'applicazione o la divulgazione della memoria dei processi.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2022-26698: Qi Sun di Trend Micro
CoreTypes
Disponibile per: macOS Catalina
Impatto: un'applicazione dannosa può riuscire a bypassare i controlli di Gatekeeper.
Descrizione: questo problema è stato risolto attraverso migliori controlli in modo da evitare azioni non autorizzate.
CVE-2022-22663: Arsenii Kostromin (0x3c3e)
CVMS
Disponibile per: macOS Catalina
Impatto: un'applicazione dannosa può essere in grado di ottenere privilegi root.
Descrizione: è stato risolto un problema di inizializzazione della memoria.
CVE-2022-26721: Yonghwi Jin (@jinmo123) di Theori
CVE-2022-26722: Yonghwi Jin (@jinmo123) di Theori
DriverKit
Disponibile per: macOS Catalina
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di accesso non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2022-26763: Linus Henze di Pinauten GmbH (pinauten.de)
Graphics Drivers
Disponibile per: macOS Catalina
Impatto: un utente locale può essere in grado di leggere la memoria del kernel.
Descrizione: si verificava un problema di lettura non nei limiti che causava la divulgazione della memoria del kernel. Il problema è stato risolto attraverso una migliore convalida dell'input.
CVE-2022-22674: un ricercatore anonimo
Intel Graphics Driver
Disponibile per: macOS Catalina
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2022-26720: Liu Long di Ant Security Light-Year Lab
Intel Graphics Driver
Disponibile per: macOS Catalina
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2022-26770: Liu Long di Ant Security Light-Year Lab
Intel Graphics Driver
Disponibile per: macOS Catalina
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2022-26756: Jack Dates di RET2 Systems, Inc
Intel Graphics Driver
Disponibile per: macOS Catalina
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2022-26769: Antonio Zekic (@antoniozekic)
Intel Graphics Driver
Disponibile per: macOS Catalina
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2022-26748: Jeonghoon Shin di Theori in collaborazione con Trend Micro Zero Day Initiative
Kernel
Disponibile per: macOS Catalina
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) di STAR Labs (@starlabs_sg)
Kernel
Disponibile per: macOS Catalina
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2022-26757: Ned Williamson di Google Project Zero
libresolv
Disponibile per: macOS Catalina
Impatto: un utente collegato in remoto potrebbe causare l'interruzione del servizio.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2022-32790: Max Shavrick (@_mxms) del Google Security Team
libresolv
Disponibile per: macOS Catalina
Impatto: un utente malintenzionato può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di overflow dei numeri interi è stato risolto attraverso una migliore convalida dell'input.
CVE-2022-26775: Max Shavrick (@_mxms) del Google Security Team
LibreSSL
Disponibile per: macOS Catalina
Impatto: l'elaborazione di un certificato dannoso può causare l'interruzione del servizio.
Descrizione: un problema di negazione del servizio è stato risolto attraverso una migliore convalida dell'input.
CVE-2022-0778
libxml2
Disponibile per: macOS Catalina
Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2022-23308
OpenSSL
Disponibile per: macOS Catalina
Impatto: l'elaborazione di un certificato dannoso può causare l'interruzione del servizio.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2022-0778
PackageKit
Disponibile per: macOS Catalina
Impatto: un'app potrebbe riuscire ad acquisire privilegi elevati
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-32794: Mickey Jin (@patch1t)
PackageKit
Disponibile per: macOS Catalina
Impatto: un'applicazione dannosa può essere in grado di modificare parti protette del file system.
Descrizione: questo problema è stato risolto attraverso migliori autorizzazioni.
CVE-2022-26727: Mickey Jin (@patch1t)
Printing
Disponibile per: macOS Catalina
Impatto: un'applicazione dannosa può essere in grado di bypassare le preferenze sulla privacy.
Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.
CVE-2022-26746: @gorelics
Security
Disponibile per: macOS Catalina
Impatto: un'app dannosa può essere in grado di bypassare la convalida della firma.
Descrizione: un problema di analisi dei certificati è stato risolto con migliori controlli.
CVE-2022-26766: Linus Henze di Pinauten GmbH (pinauten.de)
SMB
Disponibile per: macOS Catalina
Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2022-26715: Peter Nguyễn Vũ Hoàng di STAR Labs
SoftwareUpdate
Disponibile per: macOS Catalina
Impatto: un'applicazione dannosa può accedere a file con restrizioni.
Descrizione: questo problema è stato risolto attraverso migliori autorizzazioni.
CVE-2022-26728: Mickey Jin (@patch1t)
TCC
Disponibile per: macOS Catalina
Impatto: un'app può essere in grado di acquisire la schermata dell'utente.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2022-26726: Antonio Cheong Yu Xuan di YCISCQ
Tcl
Disponibile per: macOS Catalina
Impatto: un'applicazione dannosa potrebbe essere in grado di uscire dalla sandbox.
Descrizione: il problema è stato risolto attraverso una migliore sanitizzazione dell'ambiente.
CVE-2022-26755: Arsenii Kostromin (0x3c3e)
WebKit
Disponibile per: macOS Catalina
Impatto: l'elaborazione di un messaggio di posta dannoso può causare l'esecuzione di codice javascript arbitrario.
Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.
CVE-2022-22589: Heige del KnownSec 404 Team (knownsec.com) e Bo Qu di Palo Alto Networks (paloaltonetworks.com)
Wi-Fi
Disponibile per: macOS Catalina
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2022-26761: Wang Yu di Cyberserval
zip
Disponibile per: macOS Catalina
Impatto: l'elaborazione di un file dannoso può causare una negazione del servizio.
Descrizione: un problema di negazione del servizio è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-0530
zlib
Disponibile per: macOS Catalina
Impatto: un utente malintenzionato può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2018-25032: Tavis Ormandy
zsh
Disponibile per: macOS Catalina
Impatto: un utente malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto con l'aggiornamento di zsh alla versione 5.8.1.
CVE-2021-45444
Altri riconoscimenti
PackageKit
Ringraziamo Mickey Jin (@patch1t) di Trend Micro per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.