Zawartość związana z zabezpieczeniami w uaktualnieniu zabezpieczeń 2022-005 Catalina

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w uaktualnieniu zabezpieczeń 2022-005 Catalina.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

Uaktualnienie zabezpieczeń 2022-005 Catalina

Wydano 20 lipca 2022 r.

APFS

Dostępne dla: systemu macOS Catalina

Zagrożenie: aplikacja z uprawnieniami użytkownika root może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2022-32832: Tommy Muir (@Muirey03)

AppleMobileFileIntegrity

Dostępne dla: systemu macOS Catalina

Zagrożenie: aplikacja może być w stanie uzyskać uprawnienia użytkownika root.

Opis: naprawiono błąd dotyczący autoryzacji przez poprawienie mechanizmu zarządzania stanem.

CVE-2022-32826: Mickey Jin (@patch1t) z Trend Micro

AppleScript

Dostępne dla: systemu macOS Catalina

Zagrożenie: przetworzenie złośliwie spreparowanego pliku binarnego AppleScript może spowodować nieoczekiwane zakończenie działania lub ujawnienie pamięci procesowej.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2022-32797: Mickey Jin (@patch1t), Ye Zhang (@co0py_Cat) z Baidu Security, Mickey Jin (@patch1t) z Trend Micro

AppleScript

Dostępne dla: systemu macOS Catalina

Zagrożenie: przetworzenie złośliwie spreparowanego pliku binarnego AppleScript może spowodować nieoczekiwane zakończenie działania lub ujawnienie pamięci procesowej.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2022-32853: Ye Zhang(@co0py_Cat) z Baidu Security

CVE-2022-32851: Ye Zhang (@co0py_Cat) z Baidu Security

AppleScript

Dostępne dla: systemu macOS Catalina

Zagrożenie: przetworzenie złośliwie spreparowanego pliku binarnego AppleScript może spowodować nieoczekiwane zakończenie działania lub ujawnienie pamięci procesowej.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2022-32831: Ye Zhang (@co0py_Cat) z Baidu Security

Archive Utility

Dostępne dla: systemu macOS Catalina

Zagrożenie: archiwum może być zdolne do obejścia zabezpieczenia Gatekeeper.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2022-32910: Ferdous Saljooki (@malwarezoo) z Jamf Software

Wpis dodano 4 października 2022 r.

Audio

Dostępne dla: systemu macOS Catalina

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2022-32820: anonimowy badacz

Calendar

Dostępne dla: systemu macOS Catalina

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych informacji użytkownika.

Opis: ten problem rozwiązano przez poprawienie obsługi pamięci podręcznych.

CVE-2022-32805: Csaba Fitzl (@theevilbit) z Offensive Security

Calendar

Dostępne dla: systemu macOS Catalina

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: usunięto błąd powodujący ujawnianie informacji przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2022-32849: Joshua Jones

CoreText

Dostępne dla: systemu macOS Catalina

Zagrożenie: użytkownik zdalny może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.

CVE-2022-32839: STAR Labs (@starlabs_sg)

FaceTime

Dostępne dla: systemu macOS Catalina

Zagrożenie: aplikacja z uprawnieniami administratora może uzyskać dostęp do prywatnych informacji.

Opis: ten problem naprawiono przez włączenie wzmocnionego środowiska wykonawczego.

CVE-2022-32781: Wojciech Reguła (@_r3ggi) z SecuRing

File System Events

Dostępne dla: systemu macOS Catalina

Zagrożenie: aplikacja może być w stanie uzyskać uprawnienia użytkownika root.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2022-32819: Joshua Mason z Mandiant

ICU

Dostępne dla: systemu macOS Catalina

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2022-32787: Dohyun Lee (@l33d0hyun) z SSD Secure Disclosure Labs i DNSLab, Korea Univ.

ImageIO

Dostępne dla: systemu macOS Catalina

Zagrożenie: przetworzenie obrazu może doprowadzić do ataku typu „odmowa usługi”.

Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury sprawdzania poprawności.

CVE-2022-32785: Yiğit Can YILMAZ (@yilmazcanyigit)

Intel Graphics Driver

Dostępne dla: systemu macOS Catalina

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2022-32812: Yinyi Wu (@3ndy1), ABC Research s.r.o.

Intel Graphics Driver

Dostępne dla: systemu macOS Catalina

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie mechanizmu blokowania.

CVE-2022-32811: ABC Research s.r.o

Kernel

Dostępne dla: systemu macOS Catalina

Zagrożenie: aplikacja z uprawnieniami użytkownika root może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2022-32815: Xinru Chi z Pangu Lab

CVE-2022-32813: Xinru Chi z Pangu Lab

LaunchServices

Dostępne dla: systemu macOS Catalina

Zagrożenie: aplikacja może być w stanie ominąć niektóre preferencje dotyczące prywatności.

Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.

CVE-2021-30946: @gorelics i Ron Masas z BreakPoint.sh

Wpis dodano 6 czerwca 2023 r.

libxml2

Dostępne dla: systemu macOS Catalina

Zagrożenie: aplikacja może być w stanie ujawnić poufne informacje użytkownika.

Opis: naprawiono błąd inicjowania pamięci przez poprawienie procedury obsługi pamięci.

CVE-2022-32823

PackageKit

Dostępne dla: systemu macOS Catalina

Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.

Opis: naprawiono błąd w obsłudze zmiennych środowiskowych poprzez poprawienie weryfikacji.

CVE-2022-32786: Mickey Jin (@patch1t)

PackageKit

Dostępne dla: systemu macOS Catalina

Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2022-32800: Mickey Jin (@patch1t)

PluginKit

Dostępne dla: systemu macOS Catalina

Zagrożenie: aplikacja może być w stanie odczytywać arbitralnie wybrane pliki.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2022-32838: Mickey Jin (@patch1t) z Trend Micro

PS Normalizer

Dostępne dla: systemu macOS Catalina

Zagrożenie: przetworzenie złośliwie spreparowanego pliku Postscript może spowodować nieoczekiwane zakończenie działania lub ujawnienie pamięci procesowej.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2022-32843: Kai Lu z Zscaler’s ThreatLabz

SMB

Dostępne dla: systemu macOS Catalina

Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2022-32842: Sreejith Krishnan R (@skr0x1c0)

SMB

Dostępne dla: systemu macOS Catalina

Zagrożenie: użytkownik z uprzywilejowanym dostępem do sieci może być w stanie ujawnić poufne informacje.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2022-32799: Sreejith Krishnan R (@skr0x1c0)

Software Update

Dostępne dla: systemu macOS Catalina

Zagrożenie: użytkownik z uprzywilejowanym dostępem do sieci może śledzić działania użytkownika.

Opis: ten problem naprawiono przez wprowadzenie wysyłania informacji przez sieć za pomocą protokołu HTTPS.

CVE-2022-32857: Jeffrey Paul (sneak.berlin)

Spindump

Dostępne dla: systemu macOS Catalina

Zagrożenie: aplikacja może być w stanie nadpisywać arbitralnie wybrane pliki.

Opis: ten błąd naprawiono przez poprawienie procedury obsługi plików.

CVE-2022-32807: Zhipeng Huo (@R3dF09) z Tencent Security Xuanwu Lab

Spotlight

Dostępne dla: systemu macOS Catalina

Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.

Opis: poprawiono mechanizm sprawdzania poprawności łączy symbolicznych w celu naprawienia błędu sprawdzania poprawności w obsłudze łączy symbolicznych.

CVE-2022-26704: Joshua Mason z Mandiant

TCC

Dostępne dla: systemu macOS Catalina

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych informacji użytkownika.

Opis: problem z dostępem rozwiązano przez ulepszenie piaskownicy.

CVE-2022-32834: Xuxiang Yang (@another1024) z Tencent Security Xuanwu Lab (xlab.tencent.com), Gordon Long, Thijs Alkemade (@xnyhps) z Computest Sector 7, Adam Chester z TrustedSec, Yuebin Sun (@yuebinsun2020) z Tencent Security Xuanwu Lab (xlab.tencent.com), Zhipeng Huo (@R3dF09) z Tencent Security Xuanwu Lab (xlab.tencent.com)

Wpis dodano 16 września 2022 r., uaktualniono 6 czerwca 2023 r.

Vim

Dostępne dla: systemu macOS Catalina

Zagrożenie: liczne błędy w aplikacji Vim.

Opis: naprawiono liczne błędy przez uaktualnienie oprogramowania Vim.

CVE-2021-4136

CVE-2021-4166

CVE-2021-4173

CVE-2021-4187

CVE-2021-4192

CVE-2021-4193

CVE-2021-46059

CVE-2022-0128

Wi-Fi

Dostępne dla: systemu macOS Catalina

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2022-32860: Wang Yu z Cyberserval

Wpis dodano 6 czerwca 2023 r.

Wi-Fi

Dostępne dla: systemu macOS Catalina

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub zapisanie pamięci jądra.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2022-32837: Wang Yu z Cyberserval

Wpis dodano 16 września 2022 r.

Wi-Fi

Dostępne dla: systemu macOS Catalina

Zagrożenie: użytkownik zdalny może być w stanie spowodować nieoczekiwane zamknięcie systemu lub uszkodzenie zawartości pamięci jądra.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2022-32847: Wang Yu z Cyberserval

Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.

Data publikacji: 31 października 2023 г.