Obsah zabezpečenia v aktualizácii zabezpečenia 2022-005 Catalina
V tomto dokumente sa opisuje obsah zabezpečenia v aktualizácii zabezpečenia 2022-005 Catalina.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
Aktualizácia zabezpečenia 2022-005 Catalina
APFS
Dostupné pre: macOS Catalina
Dopad: Apka s oprávneniami používateľa root môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2022-32832: Tommy Muir (@Muirey03)
AppleMobileFileIntegrity
Dostupné pre: macOS Catalina
Dopad: Apka môže byť schopná získať oprávnenia používateľa root
Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-32826: Mickey Jin (@patch1t) zo spoločnosti Trend Micro
AppleScript
Dostupné pre: macOS Catalina
Dopad: Spracovanie binárneho súboru AppleScript so škodlivým kódom môže spôsobiť neočakávané ukončenie alebo odhalenie operačnej pamäte
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2022-32797: Mickey Jin (@patch1t), Ye Zhang (@co0py_Cat) z tímu Baidu Security, Mickey Jin (@patch1t) zo spoločnosti Trend Micro
AppleScript
Dostupné pre: macOS Catalina
Dopad: Spracovanie binárneho súboru AppleScript so škodlivým kódom môže spôsobiť neočakávané ukončenie alebo odhalenie operačnej pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2022-32853: Ye Zhang (@co0py_Cat) z tímu Baidu Security
CVE-2022-32851: Ye Zhang (@co0py_Cat) z tímu Baidu Security
AppleScript
Dostupné pre: macOS Catalina
Dopad: Spracovanie binárneho súboru AppleScript so škodlivým kódom môže spôsobiť neočakávané ukončenie alebo odhalenie operačnej pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2022-32831: Ye Zhang (@co0py_Cat) z tímu Baidu Security
Archive Utility
Dostupné pre: macOS Catalina
Dopad: Archív môže byť schopný obísť funkciu Gatekeeper
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
CVE-2022-32910: Ferdous Saljooki (@malwarezoo, Jamf Software)
Audio
Dostupné pre: macOS Catalina
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2022-32820: Anonymný výskumník
Calendar
Dostupné pre: macOS Catalina
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským informáciám
Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.
CVE-2022-32805: Csaba Fitzl (@theevilbit) zo spoločnosti Offensive Security
Calendar
Dostupné pre: macOS Catalina
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Dochádzalo k problému súvisiacemu s únikom informácií, ktorý bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2022-32849: Joshua Jones
CoreText
Dostupné pre: macOS Catalina
Dopad: Vzdialený používateľ môže spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.
CVE-2022-32839: STAR Labs (@starlabs_sg)
FaceTime
Dostupné pre: macOS Catalina
Dopad: Apka s oprávneniami používateľa root môže byť schopná získať prístup k súkromným informáciám
Popis: Tento problém bol vyriešený zapnutím zabezpečeného chodu apky.
CVE-2022-32781: Wojciech Reguła (@_r3ggi) z tímu SecuRing
File System Events
Dostupné pre: macOS Catalina
Dopad: Apka môže byť schopná získať oprávnenia používateľa root
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-32819: Joshua Mason zo spoločnosti Mandiant
ICU
Dostupné pre: macOS Catalina
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2022-32787: Dohyun Lee (@l33d0hyun) z tímu SSD Secure Disclosure Labs a DNSLab na Kórejskej univerzite
ImageIO
Dostupné pre: macOS Catalina
Dopad: Spracovanie obrázka môže viesť k odopretiu služby
Popis: Dochádzalo k problému s dereferenciou smerníka s hodnotou NULL, ktorý bol vyriešený vylepšením overovania.
CVE-2022-32785: Yiğit Can YILMAZ (@yilmazcanyigit)
Intel Graphics Driver
Dostupné pre: macOS Catalina
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2022-32812: Yinyi Wu (@3ndy1), ABC Research s.r.o.
Intel Graphics Driver
Dostupné pre: macOS Catalina
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Nedostatočne zabezpečené miesto súvisiace s poškodením pamäte bolo odstránené vylepšením zamykania.
CVE-2022-32811: ABC Research s.r.o.
Kernel
Dostupné pre: macOS Catalina
Dopad: Apka s oprávneniami používateľa root môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2022-32815: Xinru Chi z tímu Pangu Lab
CVE-2022-32813: Xinru Chi z tímu Pangu Lab
LaunchServices
Dostupné pre: macOS Catalina
Dopad: Apka môže byť schopná obísť určité nastavenia súkromia
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2021-30946: @gorelics a Ron Masas z tímu BreakPoint.sh
libxml2
Dostupné pre: macOS Catalina
Dopad: Apka môže byť schopná spôsobiť únik citlivých používateľských informácií
Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2022-32823
PackageKit
Dostupné pre: macOS Catalina
Dopad: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Pri spracúvaní premenných prostredia dochádzalo k problému, ktorý bol vyriešený vylepšením overovania.
CVE-2022-32786: Mickey Jin (@patch1t)
PackageKit
Dostupné pre: macOS Catalina
Dopad: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2022-32800: Mickey Jin (@patch1t)
PluginKit
Dostupné pre: macOS Catalina
Dopad: Apka môže byť schopná čítať ľubovoľné súbory
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-32838: Mickey Jin (@patch1t) zo spoločnosti Trend Micro
PS Normalizer
Dostupné pre: macOS Catalina
Dopad: Spracovanie súboru PostScript so škodlivým kódom môže spôsobiť neočakávané ukončenie apky alebo odhalenie operačnej pamäte
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2022-32843: Kai Lu z tímu Zscaler's ThreatLabz
SMB
Dostupné pre: macOS Catalina
Dopad: Apka môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2022-32842: Sreejith Krishnan R (@skr0x1c0)
SMB
Dostupné pre: macOS Catalina
Dopad: Používateľ s oprávneniami v sieti môže byť schopný spôsobiť únik citlivých informácií
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2022-32799: Sreejith Krishnan R (@skr0x1c0)
Software Update
Dostupné pre: macOS Catalina
Dopad: Používateľ s oprávneniami v sieti môže sledovať aktivitu iného používateľa
Popis: Tento problém bol vyriešený použitím zabezpečenia HTTPS pri odosielaní informácií v sieti.
CVE-2022-32857: Jeffrey Paul (sneak.berlin)
Spindump
Dostupné pre: macOS Catalina
Dopad: Apka môže byť schopná prepisovať ľubovoľné súbory
Popis: Tento problém bol vyriešený vylepšením spracovania súborov.
CVE-2022-32807: Zhipeng Huo (@R3dF09) z tímu Security Xuanwu Lab spoločnosti Tencent
Spotlight
Dostupné pre: macOS Catalina
Dopad: Apka môže byť schopná získať oprávnenia vyššej úrovne
Popis: Pri spracovávaní symbolických odkazov dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením overovania symbolických odkazov.
CVE-2022-26704: Joshua Mason zo spoločnosti Mandiant
TCC
Dostupné pre: macOS Catalina
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským informáciám
Popis: Problém s prístupom bol vyriešený vylepšením sandboxu.
CVE-2022-32834: Xuxiang Yang (@another1024, Tencent Security Xuanwu Lab, xlab.tencent.com), Gordon Long, Thijs Alkemade (@xnyhps, Computest Sector 7), Adam Chester (TrustedSec), Yuebin Sun (@yuebinsun2020, Tencent Security Xuanwu Lab, xlab.tencent.com), Zhipeng Huo (@R3dF09, Tencent Security Xuanwu Lab, xlab.tencent.com)
Vim
Dostupné pre: macOS Catalina
Dopad: Viacero problémov týkajúcich sa softvéru Vim
Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizáciou softvéru Vim.
CVE-2021-4136
CVE-2021-4166
CVE-2021-4173
CVE-2021-4187
CVE-2021-4192
CVE-2021-4193
CVE-2021-46059
CVE-2022-0128
Wi-Fi
Dostupné pre: macOS Catalina
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2022-32860: Wang Yu (Cyberserval)
Wi-Fi
Dostupné pre: macOS Catalina
Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo zapisovať do pamäte jadra
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2022-32837: Wang Yu z tímu Cyberserval
Wi-Fi
Dostupné pre: macOS Catalina
Dopad: Vzdialený používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2022-32847: Wang Yu z tímu Cyberserval
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.