Om sikkerhetsinnholdet i sikkerhetsoppdatering 2022-004 Catalina
I dette dokumentet beskrives sikkerhetsinnholdet i sikkerhetsoppdatering 2022-004 Catalina.
Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
Sikkerhetsoppdatering 2022-004 Catalina
apache
Tilgjengelig for: macOS Catalina
Virkning: Flere problemer i Apache
Beskrivelse: Flere problemer ble løst ved å oppdatere Apache til versjon 2.4.53.
CVE-2021-44224
CVE-2021-44790
CVE-2022-22719
CVE-2022-22720
CVE-2022-22721
AppKit
Tilgjengelig for: macOS Catalina
Virkning: Et skadelig program kan bli i stand til å få rotrettigheter
Beskrivelse: Et logisk problem ble løst gjennom forbedret validering.
CVE-2022-22665: Lockheed Martin Red Team
AppleEvents
Tilgjengelig for: macOS Catalina
Virkning: En ekstern bruker kan forårsake uventet avslutning av en app eller utføring av vilkårlig kode
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2022-22630: Jeremy Brown i samarbeid med Trend Micro Zero Day Initiative
AppleGraphicsControl
Tilgjengelig for: macOS Catalina
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2022-26751: Michael DePlante (@izobashi) fra Trend Micro Zero Day Initiative
AppleScript
Tilgjengelig for: macOS Catalina
Virkning: Behandling av en skadelig AppleScript-binærfil kan føre til uventet programavslutning eller deling av behandlingsminne
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2022-26697: Qi Sun og Robert Ai fra Trend Micro
AppleScript
Tilgjengelig for: macOS Catalina
Virkning: Behandling av en skadelig AppleScript-binærfil kan føre til uventet programavslutning eller deling av behandlingsminne
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2022-26698: Qi Sun fra Trend Micro
CoreTypes
Tilgjengelig for: macOS Catalina
Virkning: Et skadelig program kan omgå Gatekeeper-kontroller
Beskrivelse: Problemet ble løst med forbedrede kontroller for å forhindre uautoriserte handlinger.
CVE-2022-22663: Arsenii Kostromin (0x3c3e)
CVMS
Tilgjengelig for: macOS Catalina
Virkning: Et skadelig program kan bli i stand til å få rotrettigheter
Beskrivelse: Et problem med initialisering av minne ble løst.
CVE-2022-26721: Yonghwi Jin (@jinmo123) fra Theori
CVE-2022-26722: Yonghwi Jin (@jinmo123) fra Theori
DriverKit
Tilgjengelig for: macOS Catalina
Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med systemrettigheter
Beskrivelse: Et problem med tilgang utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.
CVE-2022-26763: Linus Henze fra Pinauten GmbH (pinauten.de)
Graphics Drivers
Tilgjengelig for: macOS Catalina
Virkning: En lokal bruker kan være i stand til å lese kjerneminnet
Beskrivelse: Et problem med lesing utenfor området førte til avdekking av kjerneminnet. Dette ble løst gjennom forbedret validering av inndata.
CVE-2022-22674: en anonym forsker
Intel Graphics Driver
Tilgjengelig for: macOS Catalina
Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2022-26720: Liu Long fra Ant Security Light-Year Lab
Intel Graphics Driver
Tilgjengelig for: macOS Catalina
Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med lesing utenfor bufferen ble løst gjennom forbedret validering av inndata.
CVE-2022-26770: Liu Long fra Ant Security Light-Year Lab
Intel Graphics Driver
Tilgjengelig for: macOS Catalina
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.
CVE-2022-26756: Jack Dates fra RET2 Systems, Inc
Intel Graphics Driver
Tilgjengelig for: macOS Catalina
Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret validering av inndata.
CVE-2022-26769: Antonio Zekic (@antoniozekic)
Intel Graphics Driver
Tilgjengelig for: macOS Catalina
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.
CVE-2022-26748: Jeonghoon Shin fra Theori i samarbeid med Trend Micro Zero Day Initiative
Kernel
Tilgjengelig for: macOS Catalina
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.
CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) fra STAR Labs (@starlabs_sg)
Kernel
Tilgjengelig for: macOS Catalina
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2022-26757: Ned Williamson fra Google Project Zero
libresolv
Tilgjengelig for: macOS Catalina
Virkning: En ekstern bruker kan forårsake tjenestenekt
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2022-32790: Max Shavrick (@_mxms) fra Google Security Team
libresolv
Tilgjengelig for: macOS Catalina
Virkning: En angriper kan være i stand til å forårsake at et program avsluttes uventet eller at vilkårlig kode utføres
Beskrivelse: En heltallsoverskridelse ble løst med forbedret validering av inndata.
CVE-2022-26775: Max Shavrick (@_mxms) fra Google Security Team
LibreSSL
Tilgjengelig for: macOS Catalina
Virkning: Behandling av et skadelig sertifikat kan føre til tjenestenekt
Beskrivelse: Et problem med tjenestenekt ble løst gjennom forbedret validering av inndata.
CVE-2022-0778
libxml2
Tilgjengelig for: macOS Catalina
Virkning: En ekstern angriper kan være i stand til å forårsake uventet avslutning av et program eller kjøring av vilkårlig kode
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2022-23308
OpenSSL
Tilgjengelig for: macOS Catalina
Virkning: Behandling av et skadelig sertifikat kan føre til tjenestenekt
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2022-0778
PackageKit
Tilgjengelig for: macOS Catalina
Virkning: Et program kan være i stand til å få opphøyde rettigheter
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2022-32794: Mickey Jin (@patch1t)
PackageKit
Tilgjengelig for: macOS Catalina
Virkning: Et skadelig program kan endre beskyttede deler av filsystemet
Beskrivelse: Problemet ble løst gjennom forbedret rettighetstildeling.
CVE-2022-26727: Mickey Jin (@patch1t)
Printing
Tilgjengelig for: macOS Catalina
Virkning: Et skadelig program kan omgå personverninnstillinger
Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.
CVE-2022-26746: @gorelics
Security
Tilgjengelig for: macOS Catalina
Virkning: Et skadelig program kan være i stand til å omgå signaturvalidering
Beskrivelse: Et problem med analyse av sertifikater ble løst gjennom forbedrede kontroller.
CVE-2022-26766: Linus Henze fra Pinauten GmbH (pinauten.de)
SMB
Tilgjengelig for: macOS Catalina
Virkning: Et program kan være i stand til å få utvidede rettigheter
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2022-26715: Peter Nguyễn Vũ Hoàng fra STAR Labs
SoftwareUpdate
Tilgjengelig for: macOS Catalina
Virkning: Et skadelig program kan få tilgang til begrensede filer
Beskrivelse: Problemet ble løst gjennom forbedret rettighetstildeling.
CVE-2022-26728: Mickey Jin (@patch1t)
TCC
Tilgjengelig for: macOS Catalina
Virkning: Et program kan være i stand til å ta bilde av en brukers skjerm
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2022-26726: Antonio Cheong Yu Xuan fra YCISCQ
Tcl
Tilgjengelig for: macOS Catalina
Virkning: Et skadelig program kan kanskje bryte ut av sandkassen sin
Beskrivelse: Problemet ble løst gjennom forbedret miljørensing.
CVE-2022-26755: Arsenii Kostromin (0x3c3e)
WebKit
Tilgjengelig for: macOS Catalina
Virkning: Behandling av en skadelig e-postmelding kan føre til kjøring av vilkårlige javascript
Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.
CVE-2022-22589: Heige fra KnownSec 404-teamet (knownsec.com) og Bo Qu fra Palo Alto Networks (paloaltonetworks.com)
Wi-Fi
Tilgjengelig for: macOS Catalina
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret minnehåndtering.
CVE-2022-26761: Wang Yu fra Cyberserval
zip
Tilgjengelig for: macOS Catalina
Virkning: Behandling av en skadelig fil kan føre til tjenestenekt
Beskrivelse: Et problem med tjenestenekt ble løst gjennom forbedret tilstandshåndtering.
CVE-2022-0530
zlib
Tilgjengelig for: macOS Catalina
Virkning: En angriper kan være i stand til å forårsake at et program avsluttes uventet eller at vilkårlig kode utføres
Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret validering av inndata.
CVE-2018-25032: Tavis Ormandy
zsh
Tilgjengelig for: macOS Catalina
Virkning: En ekstern angriper kan være i stand kjøre vilkårlig kode
Beskrivelse: Problemet ble løst ved å oppdatere zsh til versjon 5.8.1.
CVE-2021-45444
Ytterligere anerkjennelser
PackageKit
Vi vil gjerne takke Mickey Jin (@patch1t) fra Trend Micro for hjelpen.
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.