Obsah zabezpečenia v aktualizácii zabezpečenia 2022-003 Catalina
V tomto dokumente sa opisuje obsah zabezpečenia v aktualizácii zabezpečenia 2022-003 Catalina.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
Aktualizácia zabezpečenia 2022-003 Catalina
AppKit
Dostupné pre: macOS Catalina
Dopad: Aplikácia so škodlivým kódom môže byť schopná získať prístup k oprávneniam správcu
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.
CVE-2022-22665: Lockheed Martin Red Team
AppleGraphicsControl
Dostupné pre: macOS Catalina
Dopad: Apka môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému so zápisom dát do zakázaných oblastí, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2022-22631: Wang Yu z tímu Cyberserval
AppleScript
Dostupné pre: macOS Catalina
Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2022-22648: Mickey Jin (@patch1t) zo spoločnosti Trend Micro
AppleScript
Dostupné pre: macOS Catalina
Dopad: Spracovanie binárneho súboru AppleScript so škodlivým kódom spôsobiť neočakávané ukončenie aplikácie alebo odhalenie operačnej pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2022-22627: Qi Sun a Robert Ai zo spoločnosti Trend Micro
CVE-2022-22626: Mickey Jin (@patch1t) zo spoločnosti Trend Micro
AppleScript
Dostupné pre: macOS Catalina
Dopad: Spracovanie binárneho súboru AppleScript so škodlivým kódom spôsobiť neočakávané ukončenie aplikácie alebo odhalenie operačnej pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2022-22625: Mickey Jin (@patch1t) zo spoločnosti Trend Micro
AppleScript
Dostupné pre: macOS Catalina
Dopad: Spracovanie súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2022-22597: Qi Sun a Robert Ai zo spoločnosti Trend Micro
BOM
Dostupné pre: macOS Catalina
Dopad: Súbor ZIP so škodlivým kódom môže obísť kontroly funkcie Gatekeeper
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2022-22616: Ferdous Saljooki (@malwarezoo) a Jaron Bradley (@jbradley89) zo spoločnosti Jamf Software, Mickey Jin (@patch1t)
CUPS
Dostupné pre: macOS Catalina
Dopad: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-26691: Joshua Mason zo spoločnosti Mandiant
Intel Graphics Driver
Dostupné pre: macOS Catalina
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania stavu.
CVE-2022-46706: Wang Yu (cyberserval) a Pan ZhenPeng (@Peterpan0927, Alibaba Security Pandora Lab)
Intel Graphics Driver
Dostupné pre: macOS Catalina
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania stavu.
CVE-2022-22661: Wang Yu (cyberserval) a Pan ZhenPeng (@Peterpan0927, Alibaba Security Pandora Lab)
Kernel
Dostupné pre: macOS Catalina
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému so zápisom dát do zakázaných oblastí, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2022-22613: Anonymný výskumník, Alex
Kernel
Dostupné pre: macOS Catalina
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2022-22615: Anonymný výskumník
CVE-2022-22614: Anonymný výskumník
Kernel
Dostupné pre: macOS Catalina
Dopad: Útočník s oprávneniami môže byť schopný vykonať útok zameraný na odmietnutie služby
Popis: Dochádzalo k problému s dereferenciou smerníka s hodnotou NULL, ktorý bol vyriešený vylepšením overovania.
CVE-2022-22638: derrek (@derrekr6)
Login Window
Dostupné pre: macOS Catalina
Dopad: Osoba s prístupom k Macu môže byť schopná obísť prihlasovacie okno
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2022-22647: Yuto Ikeda z Kyushu University
LoginWindow
Dostupné pre: macOS Catalina
Dopad: Lokálny útočník môže byť schopný zobraziť plochu predtým prihláseného používateľa prostredníctvom obrazovky rýchleho prepínania používateľov
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-22656
MobileAccessoryUpdater
Dostupné pre: macOS Catalina
Dopad: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2022-22672: Siddharth Aeri (@b1n4r1b01)
PackageKit
Dostupné pre: macOS Catalina
Dopad: Škodlivá apka s oprávneniami správcu môže byť schopná upravovať obsah systémových súborov
Popis: Pri spracúvaní symbolických odkazov dochádzalo k problému, ktorý bol vyriešený vylepšením overovania.
CVE-2022-26688: Mickey Jin (@patch1t) zo spoločnosti Trend Micro
PackageKit
Dostupné pre: macOS Catalina
Dopad: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-22617: Mickey Jin (@patch1t)
QuickTime Player
Dostupné pre: macOS Catalina
Dopad: Plugin môže byť schopný prevziať povolenia aplikácie a získať prístup k dátam používateľa
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2022-22650: Wojciech Reguła (@_r3ggi) z tímu SecuRing
WebKit
Dostupné pre: macOS Catalina
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k odhaleniu citlivých používateľských informácií
Popis: Dochádzalo k problému so správou súborov cookie, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-22662: Prakash (@1lastBr3ath) (Threat Nix)
WebKit
Dostupné pre: macOS Catalina
Dopad: Spracovanie e-mailovej správy so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu JavaScript
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.
CVE-2022-22589: Heige z tímu KnownSec 404 (knownsec.com) a Bo Qu zo spoločnosti Palo Alto Networks (paloaltonetworks.com)
WebKit
Dostupné pre: macOS Catalina
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k odhaleniu citlivých používateľských informácií
Popis: Dochádzalo k problému so správou súborov cookie, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-22662: Prakash (@1lastBr3ath) (Threat Nix)
xar
Dostupné pre: macOS Catalina
Dopad: Lokálny používateľ môže byť schopný zapisovať ľubovoľné súbory
Popis: Pri spracovávaní symbolických odkazov dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania symbolických odkazov.
CVE-2022-22582: Richard Warren zo spoločnosti NCC Group
Ďalšie poďakovanie
Intel Graphics Driver
Poďakovanie za pomoc si zaslúžia Jack Dates zo spoločnosti RET2 Systems, Inc. a Yinyi Wu (@3ndy1).
syslog
Poďakovanie za pomoc si zaslúži Yonghwi Jin (@jinmo123) (Theori).
TCC
Poďakovanie za pomoc si zaslúži Csaba Fitzl (@theevilbit) z tímu Offensive Security.
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.