Over de beveiligingsinhoud van Beveiligingsupdate 2022-004 Catalina
In dit document wordt de beveiligingsinhoud van Beveiligingsupdate 2022-004 Catalina beschreven.
Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.
Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.
Beveiligingsupdate 2022-004 Catalina
apache
Beschikbaar voor: macOS Catalina
Impact: meerdere problemen in Apache
Beschrijving: meerdere problemen zijn verholpen door Apache bij te werken naar versie 2.4.53.
CVE-2021-44224
CVE-2021-44790
CVE-2022-22719
CVE-2022-22720
CVE-2022-22721
AppKit
Beschikbaar voor: macOS Catalina
Impact: een kwaadaardig programma kan rootbevoegdheden verkrijgen
Beschrijving: een logicaprobleem is verholpen door verbeterde validatie.
CVE-2022-22665: Lockheed Martin Red Team
AppleEvents
Beschikbaar voor: macOS Catalina
Impact: een externe gebruiker kan het onverwacht beëindigen van de app of het uitvoeren van willekeurige code veroorzaken
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2022-22630: Jeremy Brown in samenwerking met Trend Micro Zero Day Initiative
AppleGraphicsControl
Beschikbaar voor: macOS Catalina
Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.
CVE-2022-26751: Michael DePlante (@izobashi) van Trend Micro Zero Day Initiative
AppleScript
Beschikbaar voor: macOS Catalina
Impact: het verwerken van een kwaadwillig vervaardigd binair AppleScript-bestand kan leiden tot het onverwacht beëindigen van het programma of het vrijgeven van procesgeheugen
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2022-26697: Qi Sun en Robert Ai van Trend Micro
AppleScript
Beschikbaar voor: macOS Catalina
Impact: het verwerken van een kwaadwillig vervaardigd binair AppleScript-bestand kan leiden tot het onverwacht beëindigen van het programma of het vrijgeven van procesgeheugen
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2022-26698: Qi Sun van Trend Micro
CoreTypes
Beschikbaar voor: macOS Catalina
Impact: een kwaadaardig programma kan Gatekeeper-controles omzeilen
Beschrijving: dit probleem is verholpen door middel van verbeterde controles om ongeautoriseerde acties te voorkomen.
CVE-2022-22663: Arsenii Kostromin (0x3c3e)
CVMS
Beschikbaar voor: macOS Catalina
Impact: een kwaadaardig programma kan rootbevoegdheden verkrijgen
Beschrijving: een probleem met geheugeninitialisatie is verholpen.
CVE-2022-26721: Yonghwi Jin (@jinmo123) van Theori
CVE-2022-26722: Yonghwi Jin (@jinmo123) van Theori
DriverKit
Beschikbaar voor: macOS Catalina
Impact: een schadelijk programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: een probleem met de toegang buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2022-26763: Linus Henze van Pinauten GmbH (pinauten.de)
Graphics Drivers
Beschikbaar voor: macOS Catalina
Impact: een lokale gebruiker kan het kernelgeheugen lezen
Beschrijving: er was een probleem met het lezen buiten het bereik dat leidde tot de vrijgave van het kernelgeheugen. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-2022-22674: een anonieme onderzoeker
Intel Graphics Driver
Beschikbaar voor: macOS Catalina
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2022-26720: Liu Long van Ant Security Light-Year Lab
Intel Graphics Driver
Beschikbaar voor: macOS Catalina
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2022-26770: Liu Long van Ant Security Light-Year Lab
Intel Graphics Driver
Beschikbaar voor: macOS Catalina
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door verbeterde invoervalidatie.
CVE-2022-26756: Jack Dates van RET2 Systems, Inc
Intel Graphics Driver
Beschikbaar voor: macOS Catalina
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.
CVE-2022-26769: Antonio Zekic (@antoniozekic)
Intel Graphics Driver
Beschikbaar voor: macOS Catalina
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2022-26748: Jeonghoon Shin van Theori in samenwerking met Trend Micro Zero Day Initiative
Kernel
Beschikbaar voor: macOS Catalina
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde validatie.
CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) van STAR Labs (@starlabs_sg)
Kernel
Beschikbaar voor: macOS Catalina
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2022-26757: Ned Williamson van Google Project Zero
libresolv
Beschikbaar voor: macOS Catalina
Impact: een externe gebruiker kan een denial-of-service veroorzaken
Beschrijving: dit probleem is verholpen door middel van verbeterde controles.
CVE-2022-32790: Max Shavrick (@_mxms) van het Google Security Team
libresolv
Beschikbaar voor: macOS Catalina
Impact: een aanvaller kan het onverwacht beëindigen van een programma of het uitvoeren van willekeurige code veroorzaken
Beschrijving: een probleem met overloop van gehele getallen is verholpen door verbeterde invoervalidatie.
CVE-2022-26775: Max Shavrick (@_mxms) van het Google Security Team
LibreSSL
Beschikbaar voor: macOS Catalina
Impact: het verwerken van een kwaadwillig vervaardigd certificaat kan leiden tot een denial of service
Beschrijving: een probleem met denial of service is verholpen door een verbeterde invoervalidatie.
CVE-2022-0778
libxml2
Beschikbaar voor: macOS Catalina
Impact: een externe aanvaller kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code veroorzaken
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2022-23308
OpenSSL
Beschikbaar voor: macOS Catalina
Impact: het verwerken van een kwaadwillig vervaardigd certificaat kan leiden tot een denial of service
Beschrijving: dit probleem is verholpen door middel van verbeterde controles.
CVE-2022-0778
PackageKit
Beschikbaar voor: macOS Catalina
Impact: een app kan toegang krijgen tot verhoogde bevoegdheden
Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.
CVE-2022-32794: Mickey Jin (@patch1t)
PackageKit
Beschikbaar voor: macOS Catalina
Impact: een kwaadaardig programma kan mogelijk beveiligde onderdelen van het bestandssysteem wijzigen
Beschrijving: dit probleem is verholpen door middel van verbeterde rechten.
CVE-2022-26727: Mickey Jin (@patch1t)
Printing
Beschikbaar voor: macOS Catalina
Impact: een kwaadaardig programma kan mogelijk privacyvoorkeuren omzeilen
Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.
CVE-2022-26746: @gorelics
Security
Beschikbaar voor: macOS Catalina
Impact: een schadelijke app kan ondertekeningvalidatie omzeilen
Beschrijving: een probleem met het parseren van certificaten is verholpen door middel van verbeterde controles.
CVE-2022-26766: Linus Henze van Pinauten GmbH (pinauten.de)
SMB
Beschikbaar voor: macOS Catalina
Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden
Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2022-26715: Peter Nguyễn Vũ Hoàng van STAR Labs
SoftwareUpdate
Beschikbaar voor: macOS Catalina
Impact: een kwaadaardig programma kan mogelijk toegang verkrijgen tot beperkte bestanden
Beschrijving: dit probleem is verholpen door middel van verbeterde rechten.
CVE-2022-26728: Mickey Jin (@patch1t)
TCC
Beschikbaar voor: macOS Catalina
Impact: een app kan het scherm van een gebruiker vastleggen
Beschrijving: dit probleem is verholpen door middel van verbeterde controles.
CVE-2022-26726: Antonio Cheong Yu Xuan van YCISCQ
Tcl
Beschikbaar voor: macOS Catalina
Impact: een kwaadwillig programma kan buiten zijn sandbox komen
Beschrijving: dit probleem is verholpen door een verbeterde opschoning van de omgeving.
CVE-2022-26755: Arsenii Kostromin (0x3c3e)
WebKit
Beschikbaar voor: macOS Catalina
Impact: het verwerken van een kwaadwillig vervaardigd e-mailbericht kan leiden het uitvoeren van willekeurige JavaScript-code
Beschrijving: een validatieprobleem is verholpen door verbeterde invoeropschoning.
CVE-2022-22589: Heige van het KnownSec 404 Team (knownsec.com) en Bo Qu van Palo Alto Networks (paloaltonetworks.com)
Wi-Fi
Beschikbaar voor: macOS Catalina
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2022-26761: Wang Yu van Cyberserval
zip
Beschikbaar voor: macOS Catalina
Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot een denial of service
Beschrijving: een denial of service-probleem is verholpen door verbeterde statusverwerking.
CVE-2022-0530
zlib
Beschikbaar voor: macOS Catalina
Impact: een aanvaller kan het onverwacht beëindigen van een programma of het uitvoeren van willekeurige code veroorzaken
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.
CVE-2018-25032: Tavis Ormandy
zsh
Beschikbaar voor: macOS Catalina
Impact: een externe aanvaller kan het uitvoeren van willekeurige code veroorzaken
Beschrijving: dit probleem is verholpen door een update naar zsh-versie 5.8.1.
CVE-2021-45444
Aanvullende erkenning
PackageKit
Met dank aan Mickey Jin (@patch1t) van Trend Micro voor de hulp.
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.