Obsah zabezpečenia v aktualizácii zabezpečenia 2022-004 Catalina
V tomto dokumente sa opisuje obsah zabezpečenia v aktualizácii zabezpečenia 2022-004 Catalina.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
Aktualizácia zabezpečenia 2022-004 Catalina
apache
Dostupné pre: macOS Catalina
Dopad: Viacero problémov v súčasti Apache
Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním súčasti apache na verziu 2.4.53.
CVE-2021-44224
CVE-2021-44790
CVE-2022-22719
CVE-2022-22720
CVE-2022-22721
AppKit
Dostupné pre: macOS Catalina
Dopad: Aplikácia so škodlivým kódom môže byť schopná získať prístup k oprávneniam správcu
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.
CVE-2022-22665: Lockheed Martin Red Team
AppleEvents
Dostupné pre: macOS Catalina
Dopad: Vzdialený používateľ môže spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2022-22630: Jeremy Brown v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
AppleGraphicsControl
Dostupné pre: macOS Catalina
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2022-26751: Michael DePlante (@izobashi) (Trend Micro Zero Day Initiative)
AppleScript
Dostupné pre: macOS Catalina
Dopad: Spracovanie binárneho súboru AppleScript so škodlivým kódom spôsobiť neočakávané ukončenie aplikácie alebo odhalenie operačnej pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2022-26697: Qi Sun a Robert Ai (Trend Micro)
AppleScript
Dostupné pre: macOS Catalina
Dopad: Spracovanie binárneho súboru AppleScript so škodlivým kódom spôsobiť neočakávané ukončenie aplikácie alebo odhalenie operačnej pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2022-26698: Qi Sun (Trend Micro)
CoreTypes
Dostupné pre: macOS Catalina
Dopad: Apka so škodlivým kódom môže obísť kontroly modulu Gatekeeper
Popis: Tento problém bol vyriešený vylepšením kontrol, aby sa zabránilo neoprávneným akciám.
CVE-2022-22663: Arsenii Kostromin (0x3c3e)
CVMS
Dostupné pre: macOS Catalina
Dopad: Aplikácia so škodlivým kódom môže byť schopná získať prístup k oprávneniam správcu
Popis: Bol vyriešený problém s inicializáciou pamäte.
CVE-2022-26721: Yonghwi Jin (@jinmo123) (Theori)
CVE-2022-26722: Yonghwi Jin (@jinmo123) (Theori)
DriverKit
Dostupné pre: macOS Catalina
Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2022-26763: Linus Henze zo spoločnosti Pinauten GmbH (pinauten.de)
Graphics Drivers
Dostupné pre: macOS Catalina
Dopad: Lokálny používateľ môže byť schopný čítať pamäť jadra
Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý viedol k odhaleniu pamäte jadra. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2022-22674: Anonymný výskumník
Intel Graphics Driver
Dostupné pre: macOS Catalina
Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2022-26720: Liu Long (Ant Security Light-Year Lab)
Intel Graphics Driver
Dostupné pre: macOS Catalina
Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2022-26770: Liu Long (Ant Security Light-Year Lab)
Intel Graphics Driver
Dostupné pre: macOS Catalina
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2022-26756: Jack Dates zo spoločnosti RET2 Systems, Inc.
Intel Graphics Driver
Dostupné pre: macOS Catalina
Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2022-26769: Antonio Zekic (@antoniozekic)
Intel Graphics Driver
Dostupné pre: macOS Catalina
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2022-26748: Jeonghoon Shin (Theori) v spolupráci s Trend Micro Zero Day Initiative
Kernel
Dostupné pre: macOS Catalina
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) zo STAR Labs (@starlabs_sg)
Kernel
Dostupné pre: macOS Catalina
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2022-26757: Ned Williamson (Google Project Zero)
libresolv
Dostupné pre: macOS Catalina
Dopad: Vzdialený používateľ môže byť schopný spôsobiť odopretie služby
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2022-32790: Max Shavrick (@_mxms) z tímu Google Security Team
libresolv
Dostupné pre: macOS Catalina
Dopad: Útočník môže byť schopný spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2022-26775: Max Shavrick (@_mxms) (Google Security Team)
LibreSSL
Dostupné pre: macOS Catalina
Dopad: Spracovanie certifikátu so škodlivým kódom môže viesť k odmietnutiu služby
Popis: Dochádzalo k problému súvisiacemu s odmietnutím služby, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2022-0778
libxml2
Dostupné pre: macOS Catalina
Dopad: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2022-23308
OpenSSL
Dostupné pre: macOS Catalina
Dopad: Spracovanie certifikátu so škodlivým kódom môže viesť k odmietnutiu služby
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2022-0778
PackageKit
Dostupné pre: macOS Catalina
Dopad: Apka môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-32794: Mickey Jin (@patch1t)
PackageKit
Dostupné pre: macOS Catalina
Dopad: Aplikácia so škodlivým kódom môže byť schopná upravovať chránené časti súborového systému
Popis: Tento problém bol vyriešený vylepšením autorizácie.
CVE-2022-26727: Mickey Jin (@patch1t)
Printing
Dostupné pre: macOS Catalina
Dopad: Aplikácia so škodlivým kódom môže byť schopná obísť nastavenia ochrany súkromia
Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2022-26746: @gorelics
Security
Dostupné pre: macOS Catalina
Dopad: Aplikácia so škodlivým kódom môže byť schopná obísť overenie podpisu
Popis: Dochádzalo k problému s analýzou certifikátov, ktorý bol vyriešený vylepšením kontrol.
CVE-2022-26766: Linus Henze (Pinauten GmbH, pinauten.de)
SMB
Dostupné pre: macOS Catalina
Dopad: Apka môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému so zápisom dát do zakázaných oblastí, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2022-26715: Peter Nguyễn Vũ Hoàng z tímu STAR Labs
SoftwareUpdate
Dostupné pre: macOS Catalina
Dopad: Aplikácia so škodlivým kódom môže byť schopná získať prístup k súborom s obmedzeným prístupom
Popis: Tento problém bol vyriešený vylepšením autorizácie.
CVE-2022-26728: Mickey Jin (@patch1t)
TCC
Dostupné pre: macOS Catalina
Dopad: Aplikácia môže byť schopná zaznamenávať obrazovku používateľa
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2022-26726: Antonio Cheong Yu Xuan (YCISCQ)
Tcl
Dostupné pre: macOS Catalina
Dopad: Apka so škodlivým kódom môže byť schopná pracovať mimo svojho sandboxu
Popis: Tento problém bol vyriešený vylepšením čistenia prostredia.
CVE-2022-26755: Arsenii Kostromin (0x3c3e)
WebKit
Dostupné pre: macOS Catalina
Dopad: Spracovanie e-mailovej správy so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu JavaScript
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.
CVE-2022-22589: Heige z tímu KnownSec 404 (knownsec.com) a Bo Qu zo spoločnosti Palo Alto Networks (paloaltonetworks.com)
Wi-Fi
Dostupné pre: macOS Catalina
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2022-26761: Wang Yu z tímu Cyberserval
zip
Dostupné pre: macOS Catalina
Dopad: Spracovanie súboru so škodlivým kódom môže viesť k odmietnutiu služby
Popis: Dochádzalo k problému s odmietnutím služby, ktorý bol vyriešený vylepšením spracovania stavu.
CVE-2022-0530
zlib
Dostupné pre: macOS Catalina
Dopad: Útočník môže byť schopný spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2018-25032: Tavis Ormandy
zsh
Dostupné pre: macOS Catalina
Dopad: Vzdialený útočník môže byť schopný spôsobiť spustenie ľubovoľného kódu
Popis: Tento problém bol vyriešený aktualizovaním súčasti zsh na verziu 5.8.1.
CVE-2021-45444
Ďalšie poďakovanie
PackageKit
Poďakovanie za pomoc si zaslúži Mickey Jin (@patch1t) zo spoločnosti Trend Micro.
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.