Despre conținutul de securitate din Actualizarea de securitate 2022-004 Catalina
Acest document descrie conținutul de securitate din Actualizarea de securitate 2022-004 Catalina.
Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
Actualizarea de securitate 2022-004 Catalina
apache
Disponibilitate pentru: macOS Catalina
Impact: probleme multiple în Apache
Descriere: au fost rezolvate mai multe probleme prin actualizarea apache la versiunea 2.4.53.
CVE-2021-44224
CVE-2021-44790
CVE-2022-22719
CVE-2022-22720
CVE-2022-22721
AppKit
Disponibilitate pentru: macOS Catalina
Impact: o aplicație rău intenționată poate să obțină privilegii de rădăcină
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea validării.
CVE-2022-22665: Lockheed Martin Red Team
AppleEvents
Disponibilitate pentru: macOS Catalina
Impact: un utilizator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2022-22630: Jeremy Brown în colaborare cu Trend Micro Zero Day Initiative
AppleGraphicsControl
Disponibilitate pentru: macOS Catalina
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2022-26751: Michael DePlante (@izobashi) Zero Day Initiative (Trend Micro)
AppleScript
Disponibilitate pentru: macOS Catalina
Impact: procesarea unor date binare AppleScript create cu rea intenție poate cauza închiderea neașteptată a aplicației sau dezvăluirea memoriei de procesare
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2022-26697: Qi Sun și Robert Ai (Trend Micro)
AppleScript
Disponibilitate pentru: macOS Catalina
Impact: procesarea unor date binare AppleScript create cu rea intenție poate cauza închiderea neașteptată a aplicației sau dezvăluirea memoriei de procesare
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2022-26698: Qi Sun (Trend Micro)
CoreTypes
Disponibilitate pentru: macOS Catalina
Impact: o aplicație rău intenționată poate ocoli verificările Gatekeeper
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite pentru a preveni acțiunile neautorizate.
CVE-2022-22663: Arsenii Kostromin (0x3c3e)
CVMS
Disponibilitate pentru: macOS Catalina
Impact: o aplicație rău intenționată poate să obțină privilegii de rădăcină
Descriere: a fost rezolvată o problemă de inițializare a memoriei.
CVE-2022-26721: Yonghwi Jin (@jinmo123) (Theori)
CVE-2022-26722: Yonghwi Jin (@jinmo123) (Theori)
DriverKit
Disponibilitate pentru: macOS Catalina
Impact: o aplicație rău intenționată ar putea executa un cod arbitrar cu privilegii de sistem
Descriere: a fost rezolvată o problemă de acces în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2022-26763: Linus Henze de la Pinauten GmbH (pinauten.de)
Graphics Drivers
Disponibilitate pentru: macOS Catalina
Impact: un utilizator local poate citi memoria kernel
Descriere: a existat o problemă de citire în afara limitelor care conducea la divulgarea conținutului memoriei kernel. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2022-22674: un cercetător anonim
Intel Graphics Driver
Disponibilitate pentru: macOS Catalina
Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar având privilegii de kernel
Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2022-26720: Liu Long (Ant Security Light-Year Lab)
Intel Graphics Driver
Disponibilitate pentru: macOS Catalina
Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar având privilegii de kernel
Descriere: a fost rezolvată o problemă legată de citirea în afara limitelor prin îmbunătățirea validării datelor introduse.
CVE-2022-26770: Liu Long (Ant Security Light-Year Lab)
Intel Graphics Driver
Disponibilitate pentru: macOS Catalina
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.
CVE-2022-26756: Jack Dates de la RET2 Systems, Inc
Intel Graphics Driver
Disponibilitate pentru: macOS Catalina
Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar având privilegii de kernel
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2022-26769: Antonio Zekic (@antoniozekic)
Intel Graphics Driver
Disponibilitate pentru: macOS Catalina
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.
CVE-2022-26748: Jeonghoon Shin (Theori) în colaborare cu Zero Day Initiative (Trend Micro)
Kernel
Disponibilitate pentru: macOS Catalina
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de corupere a memoriei prin îmbunătățirea validării.
CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) (STAR Labs) (@starlabs_sg)
Kernel
Disponibilitate pentru: macOS Catalina
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2022-26757: Ned Williamson (Google Project Zero)
libresolv
Disponibilitate pentru: macOS Catalina
Impact: un utilizator la distanță poate provoca un refuz al serviciului
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2022-32790: Max Shavrick (@_mxms) (Google Security Team)
libresolv
Disponibilitate pentru: macOS Catalina
Impact: un atacator poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.
CVE-2022-26775: Max Shavrick (@_mxms) (Google Security Team)
LibreSSL
Disponibilitate pentru: macOS Catalina
Impact: procesarea unui certificat creat cu rea intenție poate cauza o refuzare a serviciului (DoS)
Descriere: a fost rezolvată o problemă de refuzare a serviciului (DoS) prin îmbunătățirea validării intrărilor.
CVE-2022-0778
libxml2
Disponibilitate pentru: macOS Catalina
Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2022-23308
OpenSSL
Disponibilitate pentru: macOS Catalina
Impact: procesarea unui certificat creat cu rea intenție poate cauza o refuzare a serviciului
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2022-0778
PackageKit
Disponibilitate pentru: macOS Catalina
Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2022-32794: Mickey Jin (@patch1t)
PackageKit
Disponibilitate pentru: macOS Catalina
Impact: este posibil ca o aplicație rea intenționată să poată modifica părțile protejate ale sistemului de fișiere
Descriere: această problemă a fost rezolvată prin îmbunătățirea drepturilor.
CVE-2022-26727: Mickey Jin (@patch1t)
Printing
Disponibilitate pentru: macOS Catalina
Impact: este posibil ca o aplicație rău intenționată să poată ocoli preferințele de confidențialitate
Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.
CVE-2022-26746: @gorelics
Security
Disponibilitate pentru: macOS Catalina
Impact: o aplicație rău intenționată poate să ocolească validarea semnăturii
Descriere: a fost rezolvată o problemă legată de analiza certificatelor prin îmbunătățirea verificărilor.
CVE-2022-26766: Linus Henze (Pinauten GmbH) (pinauten.de)
SMB
Disponibilitate pentru: macOS Catalina
Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat
Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2022-26715: Peter Nguyễn Vũ Hoàng de la STAR Labs
SoftwareUpdate
Disponibilitate pentru: macOS Catalina
Impact: este posibil ca o aplicație rău-intenționată să poată accesa fișierele restricționate
Descriere: această problemă a fost rezolvată prin îmbunătățirea drepturilor.
CVE-2022-26728: Mickey Jin (@patch1t)
TCC
Disponibilitate pentru: macOS Catalina
Impact: o aplicație poate captura ecranul unui utilizator
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2022-26726: Antonio Cheong Yu Xuan (YCISCQ)
Tcl
Disponibilitate pentru: macOS Catalina
Impact: o aplicație rău intenționată poate evada din sandbox
Descriere: această problemă a fost rezolvată printr-o igienizare îmbunătățită a mediului.
CVE-2022-26755: Arsenii Kostromin (0x3c3e)
WebKit
Disponibilitate pentru: macOS Catalina
Impact: procesarea unui mesaj de e-mail creat cu rea intenție poate cauza executarea unui cod javascript arbitrar
Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.
CVE-2022-22589: Heige (KnownSec 404 Team) (knownsec.com) și Bo Qu (Palo Alto Networks) (paloaltonetworks.com)
Wi-Fi
Disponibilitate pentru: macOS Catalina
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de corupere a memoriei prin îmbunătățirea tratării memoriei.
CVE-2022-26761: Wang Yu de la Cyberserval
zip
Disponibilitate pentru: macOS Catalina
Impact: procesarea unui fișier creat cu rea intenție poate cauza o refuzare a serviciului (DoS)
Descriere: a fost rezolvată o problemă de refuzare a serviciului (DoS) prin îmbunătățirea tratării stării.
CVE-2022-0530
zlib
Disponibilitate pentru: macOS Catalina
Impact: un atacator poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2018-25032: Tavis Ormandy
zsh
Disponibilitate pentru: macOS Catalina
Impact: un atacator de la distanță poate cauza executarea unui cod arbitrar
Descriere: această problemă a fost rezolvată prin actualizarea la zsh versiunea 5.8.1.
CVE-2021-45444
Alte mențiuni
PackageKit
Dorim să-i mulțumim lui Mickey Jin (@patch1t) (Trend Micro) pentru asistența acordată.
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.