Om sikkerhetsinnholdet i sikkerhetsoppdatering 2022-004 Catalina

I dette dokumentet beskrives sikkerhetsinnholdet i sikkerhetsoppdatering 2022-004 Catalina.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.

Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.

For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.

Sikkerhetsoppdatering 2022-004 Catalina

apache

Tilgjengelig for: macOS Catalina

Virkning: Flere problemer i Apache

Beskrivelse: Flere problemer ble løst ved å oppdatere Apache til versjon 2.4.53.

CVE-2021-44224

CVE-2021-44790

CVE-2022-22719

CVE-2022-22720

CVE-2022-22721

AppKit

Tilgjengelig for: macOS Catalina

Virkning: Et skadelig program kan bli i stand til å få rotrettigheter

Beskrivelse: Et logisk problem ble løst gjennom forbedret validering.

CVE-2022-22665: Lockheed Martin Red Team

AppleEvents

Tilgjengelig for: macOS Catalina

Virkning: En ekstern bruker kan forårsake uventet avslutning av en app eller utføring av vilkårlig kode

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2022-22630: Jeremy Brown i samarbeid med Trend Micro Zero Day Initiative

AppleGraphicsControl

Tilgjengelig for: macOS Catalina

Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2022-26751: Michael DePlante (@izobashi) fra Trend Micro Zero Day Initiative

AppleScript

Tilgjengelig for: macOS Catalina

Virkning: Behandling av en skadelig AppleScript-binærfil kan føre til uventet programavslutning eller deling av behandlingsminne

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2022-26697: Qi Sun og Robert Ai fra Trend Micro

AppleScript

Tilgjengelig for: macOS Catalina

Virkning: Behandling av en skadelig AppleScript-binærfil kan føre til uventet programavslutning eller deling av behandlingsminne

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2022-26698: Qi Sun fra Trend Micro

CoreTypes

Tilgjengelig for: macOS Catalina

Virkning: Et skadelig program kan omgå Gatekeeper-kontroller

Beskrivelse: Problemet ble løst med forbedrede kontroller for å forhindre uautoriserte handlinger.

CVE-2022-22663: Arsenii Kostromin (0x3c3e)

CVMS

Tilgjengelig for: macOS Catalina

Virkning: Et skadelig program kan bli i stand til å få rotrettigheter

Beskrivelse: Et problem med initialisering av minne ble løst.

CVE-2022-26721: Yonghwi Jin (@jinmo123) fra Theori

CVE-2022-26722: Yonghwi Jin (@jinmo123) fra Theori

DriverKit

Tilgjengelig for: macOS Catalina

Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med systemrettigheter

Beskrivelse: Et problem med tilgang utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.

CVE-2022-26763: Linus Henze fra Pinauten GmbH (pinauten.de)

Graphics Drivers

Tilgjengelig for: macOS Catalina

Virkning: En lokal bruker kan være i stand til å lese kjerneminnet

Beskrivelse: Et problem med lesing utenfor området førte til avdekking av kjerneminnet. Dette ble løst gjennom forbedret validering av inndata.

CVE-2022-22674: en anonym forsker

Intel Graphics Driver

Tilgjengelig for: macOS Catalina

Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2022-26720: Liu Long fra Ant Security Light-Year Lab

Intel Graphics Driver

Tilgjengelig for: macOS Catalina

Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med lesing utenfor bufferen ble løst gjennom forbedret validering av inndata.

CVE-2022-26770: Liu Long fra Ant Security Light-Year Lab

Intel Graphics Driver

Tilgjengelig for: macOS Catalina

Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.

CVE-2022-26756: Jack Dates fra RET2 Systems, Inc

Intel Graphics Driver

Tilgjengelig for: macOS Catalina

Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret validering av inndata.

CVE-2022-26769: Antonio Zekic (@antoniozekic)

Intel Graphics Driver

Tilgjengelig for: macOS Catalina

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.

CVE-2022-26748: Jeonghoon Shin fra Theori i samarbeid med Trend Micro Zero Day Initiative

Kernel

Tilgjengelig for: macOS Catalina

Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.

CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) fra STAR Labs (@starlabs_sg)

Kernel

Tilgjengelig for: macOS Catalina

Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2022-26757: Ned Williamson fra Google Project Zero

libresolv

Tilgjengelig for: macOS Catalina

Virkning: En ekstern bruker kan forårsake tjenestenekt

Beskrivelse: Problemet ble løst gjennom bedre kontroller.

CVE-2022-32790: Max Shavrick (@_mxms) fra Google Security Team

libresolv

Tilgjengelig for: macOS Catalina

Virkning: En angriper kan være i stand til å forårsake at et program avsluttes uventet eller at vilkårlig kode utføres

Beskrivelse: En heltallsoverskridelse ble løst med forbedret validering av inndata.

CVE-2022-26775: Max Shavrick (@_mxms) fra Google Security Team

LibreSSL

Tilgjengelig for: macOS Catalina

Virkning: Behandling av et skadelig sertifikat kan føre til tjenestenekt

Beskrivelse: Et problem med tjenestenekt ble løst gjennom forbedret validering av inndata.

CVE-2022-0778

libxml2

Tilgjengelig for: macOS Catalina

Virkning: En ekstern angriper kan være i stand til å forårsake uventet avslutning av et program eller kjøring av vilkårlig kode

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2022-23308

OpenSSL

Tilgjengelig for: macOS Catalina

Virkning: Behandling av et skadelig sertifikat kan føre til tjenestenekt

Beskrivelse: Problemet ble løst gjennom bedre kontroller.

CVE-2022-0778

PackageKit

Tilgjengelig for: macOS Catalina

Virkning: Et program kan være i stand til å få opphøyde rettigheter

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

CVE-2022-32794: Mickey Jin (@patch1t)

PackageKit

Tilgjengelig for: macOS Catalina

Virkning: Et skadelig program kan endre beskyttede deler av filsystemet

Beskrivelse: Problemet ble løst gjennom forbedret rettighetstildeling.

CVE-2022-26727: Mickey Jin (@patch1t)

Printing

Tilgjengelig for: macOS Catalina

Virkning: Et skadelig program kan omgå personverninnstillinger

Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.

CVE-2022-26746: @gorelics

Security

Tilgjengelig for: macOS Catalina

Virkning: Et skadelig program kan være i stand til å omgå signaturvalidering

Beskrivelse: Et problem med analyse av sertifikater ble løst gjennom forbedrede kontroller.

CVE-2022-26766: Linus Henze fra Pinauten GmbH (pinauten.de)

SMB

Tilgjengelig for: macOS Catalina

Virkning: Et program kan være i stand til å få utvidede rettigheter

Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2022-26715: Peter Nguyễn Vũ Hoàng fra STAR Labs

SoftwareUpdate

Tilgjengelig for: macOS Catalina

Virkning: Et skadelig program kan få tilgang til begrensede filer

Beskrivelse: Problemet ble løst gjennom forbedret rettighetstildeling.

CVE-2022-26728: Mickey Jin (@patch1t)

TCC

Tilgjengelig for: macOS Catalina

Virkning: Et program kan være i stand til å ta bilde av en brukers skjerm

Beskrivelse: Problemet ble løst gjennom bedre kontroller.

CVE-2022-26726: Antonio Cheong Yu Xuan fra YCISCQ

Tcl

Tilgjengelig for: macOS Catalina

Virkning: Et skadelig program kan kanskje bryte ut av sandkassen sin

Beskrivelse: Problemet ble løst gjennom forbedret miljørensing.

CVE-2022-26755: Arsenii Kostromin (0x3c3e)

WebKit

Tilgjengelig for: macOS Catalina

Virkning: Behandling av en skadelig e-postmelding kan føre til kjøring av vilkårlige javascript

Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.

CVE-2022-22589: Heige fra KnownSec 404-teamet (knownsec.com) og Bo Qu fra Palo Alto Networks (paloaltonetworks.com)

Wi-Fi

Tilgjengelig for: macOS Catalina

Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret minnehåndtering.

CVE-2022-26761: Wang Yu fra Cyberserval

zip

Tilgjengelig for: macOS Catalina

Virkning: Behandling av en skadelig fil kan føre til tjenestenekt

Beskrivelse: Et problem med tjenestenekt ble løst gjennom forbedret tilstandshåndtering.

CVE-2022-0530

zlib

Tilgjengelig for: macOS Catalina

Virkning: En angriper kan være i stand til å forårsake at et program avsluttes uventet eller at vilkårlig kode utføres

Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret validering av inndata.

CVE-2018-25032: Tavis Ormandy

zsh

Tilgjengelig for: macOS Catalina

Virkning: En ekstern angriper kan være i stand kjøre vilkårlig kode

Beskrivelse: Problemet ble løst ved å oppdatere zsh til versjon 5.8.1.

CVE-2021-45444

Ytterligere anerkjennelser

PackageKit

Vi vil gjerne takke Mickey Jin (@patch1t) fra Trend Micro for hjelpen.