Zawartość związana z zabezpieczeniami w uaktualnieniu zabezpieczeń 2022-004 Catalina
W tym dokumencie opisano zawartość związaną z zabezpieczeniami w uaktualnieniu zabezpieczeń 2022-004 Catalina.
Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
Uaktualnienie zabezpieczeń 2022-004 Catalina
apache
Dostępne dla: systemu macOS Catalina
Zagrożenie: liczne błędy na serwerze Apache
Opis: naprawiono liczne błędy przez uaktualnienie serwera Apache do wersji 2.4.53.
CVE-2021-44224
CVE-2021-44790
CVE-2022-22719
CVE-2022-22720
CVE-2022-22721
AppKit
Dostępne dla: systemu macOS Catalina
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie uzyskać uprawnienia użytkownika root.
Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.
CVE-2022-22665: Lockheed Martin Red Team
AppleEvents
Dostępne dla: systemu macOS Catalina
Zagrożenie: użytkownik zdalny może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
CVE-2022-22630: Jeremy Brown w ramach programu Zero Day Initiative firmy Trend Micro
AppleGraphicsControl
Dostępne dla: systemu macOS Catalina
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2022-26751: Michael DePlante (@izobashi) z programu Zero Day Initiative firmy Trend Micro
AppleScript
Dostępne dla: systemu macOS Catalina
Zagrożenie: przetworzenie złośliwie spreparowanego pliku binarnego AppleScript może spowodować nieoczekiwane zakończenie aplikacji lub ujawnienie pamięci procesowej.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2022-26697: Qi Sun i Robert Ai z Trend Micro
AppleScript
Dostępne dla: systemu macOS Catalina
Zagrożenie: przetworzenie złośliwie spreparowanego pliku binarnego AppleScript może spowodować nieoczekiwane zakończenie aplikacji lub ujawnienie pamięci procesowej.
Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2022-26698: Qi Sun z Trend Micro
CoreTypes
Dostępne dla: systemu macOS Catalina
Zagrożenie: złośliwa aplikacja może ominąć kontrolę przeprowadzaną przez funkcję Gatekeeper.
Opis: ten błąd naprawiono przez poprawienie sprawdzania w celu uniemożliwienia wykonywania nieautoryzowanych czynności.
CVE-2022-22663: Arsenii Kostromin (0x3c3e)
CVMS
Dostępne dla: systemu macOS Catalina
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie uzyskać uprawnienia użytkownika root.
Opis: rozwiązano problem z inicjalizacją pamięci.
CVE-2022-26721: Yonghwi Jin (@jinmo123) z Theori
CVE-2022-26722: Yonghwi Jin (@jinmo123) z Theori
DriverKit
Dostępne dla: systemu macOS Catalina
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: usunięto błąd dostępu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2022-26763: Linus Henze z Pinauten GmbH (pinauten.de)
Graphics Drivers
Dostępne dla: systemu macOS Catalina
Zagrożenie: użytkownik lokalny może być w stanie odczytać dane z pamięci jądra.
Opis: występował błąd odczytu spoza zakresu, który mógł doprowadzić do ujawnienia rozkładu pamięci jądra. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2022-22674: anonimowy badacz
Intel Graphics Driver
Dostępne dla: systemu macOS Catalina
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2022-26720: Liu Long z Ant Security Light-Year Lab
Intel Graphics Driver
Dostępne dla: systemu macOS Catalina
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2022-26770: Liu Long z Ant Security Light-Year Lab
Intel Graphics Driver
Dostępne dla: systemu macOS Catalina
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2022-26756: Jack Dates z RET2 Systems, Inc
Intel Graphics Driver
Dostępne dla: systemu macOS Catalina
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2022-26769: Antonio Zekic (@antoniozekic)
Intel Graphics Driver
Dostępne dla: systemu macOS Catalina
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu.
Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2022-26748: Jeonghoon Shin z Theori w ramach programu Zero Day Initiative firmy Trend Micro
Kernel
Dostępne dla: systemu macOS Catalina
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie sprawdzania poprawności.
CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) z STAR Labs (@starlabs_sg)
Kernel
Dostępne dla: systemu macOS Catalina
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
CVE-2022-26757: Ned Williamson z Google Project Zero
libresolv
Dostępne dla: systemu macOS Catalina
Zagrożenie: zdalny użytkownik może doprowadzić do ataku typu „odmowa usługi”
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2022-32790: Max Shavrick (@_mxms) z Google Security Team
libresolv
Dostępne dla: systemu macOS Catalina
Zagrożenie: atakujący może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: naprawiono błąd przekroczenia zakresu liczb całkowitych przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2022-26775: Max Shavrick (@_mxms) z Google Security Team
LibreSSL
Dostępne dla: systemu macOS Catalina
Zagrożenie: przetworzenie złośliwie spreparowanego certyfikatu mogło doprowadzić do ataku typu „odmowa usługi”.
Opis: rozwiązano problem z podatnością na atak typu „odmowa usługi” przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2022-0778
libxml2
Dostępne dla: systemu macOS Catalina
Zagrożenie: osoba atakująca zdalnie może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
CVE-2022-23308
OpenSSL
Dostępne dla: systemu macOS Catalina
Zagrożenie: przetworzenie złośliwie spreparowanego certyfikatu mogło doprowadzić do ataku typu „odmowa usługi”.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2022-0778
PackageKit
Dostępne dla: systemu macOS Catalina
Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2022-32794: Mickey Jin (@patch1t)
PackageKit
Dostępne dla: systemu macOS Catalina
Zagrożenie: złośliwa aplikacja może być w stanie zmodyfikować chronione części systemu plików.
Opis: ten błąd naprawiono przez poprawienie mechanizmu obsługi uprawnień.
CVE-2022-26727: Mickey Jin (@patch1t)
Printing
Dostępne dla: systemu macOS Catalina
Zagrożenie: złośliwa aplikacja może obejść preferencje prywatności.
Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.
CVE-2022-26746: @gorelics
Security
Dostępne dla: systemu macOS Catalina
Zagrożenie: złośliwa aplikacja może obejść sprawdzanie poprawności podpisu.
Opis: naprawiono błąd analizy certyfikatu przez poprawienie procedur sprawdzania.
CVE-2022-26766: Linus Henze z Pinauten GmbH (pinauten.de)
SMB
Dostępne dla: systemu macOS Catalina
Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.
Opis: usunięto błąd zapisu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2022-26715: Peter Nguyễn Vũ Hoàng ze STAR Labs
SoftwareUpdate
Dostępne dla: systemu macOS Catalina
Zagrożenie: złośliwa aplikacja może uzyskać dostęp do plików objętych ograniczeniami.
Opis: ten błąd naprawiono przez poprawienie mechanizmu obsługi uprawnień.
CVE-2022-26728: Mickey Jin (@patch1t)
TCC
Dostępne dla: systemu macOS Catalina
Zagrożenie: aplikacja może być w stanie przechwycić ekran użytkownika.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2022-26726: Antonio Cheong Yu Xuan z YCISCQ
Tcl
Dostępne dla: systemu macOS Catalina
Zagrożenie: złośliwa aplikacja może być w stanie wydostać się ze swojej piaskownicy.
Opis: ten błąd naprawiono przez poprawienie procedury oczyszczania środowiska.
CVE-2022-26755: Arsenii Kostromin (0x3c3e)
WebKit
Dostępne dla: systemu macOS Catalina
Zagrożenie: przetworzenie złośliwie spreparowanej wiadomości pocztowej może doprowadzić do uruchomienia dowolnego skryptu javascript.
Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.
CVE-2022-22589: Heige z KnownSec 404 Team (knownsec.com) i Bo Qu z Palo Alto Networks (paloaltonetworks.com)
Wi-Fi
Dostępne dla: systemu macOS Catalina
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2022-26761: Wang Yu z Cyberserval
zip
Dostępne dla: systemu macOS Catalina
Zagrożenie: przetworzenie złośliwie spreparowanego pliku mogło doprowadzić do ataku typu „odmowa usługi”.
Opis: naprawiono błąd podatności na atak typu „odmowa usługi” przez poprawienie procedury obsługi pamięci.
CVE-2022-0530
zlib
Dostępne dla: systemu macOS Catalina
Zagrożenie: atakujący może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2018-25032: Tavis Ormandy
zsh
Dostępne dla: systemu macOS Catalina
Zagrożenie: osoba atakująca zdalnie może spowodować wykonanie dowolnego kodu.
Opis: ten problem rozwiązano przez uaktualnienie do wersji zsh 5.8.1.
CVE-2021-45444
Dodatkowe podziękowania
PackageKit
Dziękujemy za udzieloną pomoc: Mickey Jin (@patch1t) z Trend Micro.
Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.