Om säkerhetsinnehållet i Säkerhetsuppdatering 2022-003 Catalina
I det här dokument beskrivs säkerhetsinnehållet i Säkerhetsuppdatering 2022-003 Catalina.
Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet.
Säkerhetsuppdatering 2022-003 Catalina
AppKit
Tillgängligt för: macOS Catalina
Effekt: En skadlig app kan tillskansa sig rotbehörighet
Beskrivning: ett logikproblem åtgärdades med hjälp av förbättrad validering.
CVE-2022-22665: Lockheed Martin Red Team
AppleGraphicsControl
Tillgängligt för: macOS Catalina
Effekt: En app kan få högre behörighet
Beskrivning: ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2022-22631: Wang Yu på Cyberserval
AppleScript
Tillgängligt för: macOS Catalina
Effekt: En app utan rättigheter kan läsa det begränsade minnet
Beskrivning: problemet åtgärdades med förbättrade kontroller.
CVE-2022-22648: Mickey Jin (@patch1t) på Trend Micro
AppleScript
Tillgängligt för: macOS Catalina
Effekt: bearbetning av en AppleScript-binärfil med skadligt innehåll kan leda till oväntat appavslut eller till att processminnet avslöjas
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2022-22627: Qi Sun och Robert Ai från Trend Micro
CVE-2022-22626: Mickey Jin (@patch1t) från Trend Micro
AppleScript
Tillgängligt för: macOS Catalina
Effekt: bearbetning av en AppleScript-binärfil med skadligt innehåll kan leda till oväntat appavslut eller till att processminnet avslöjas
Beskrivning: ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2022-22625: Mickey Jin (@patch1t) från Trend Micro
AppleScript
Tillgängligt för: macOS Catalina
Effekt: Bearbetning av en fil med skadligt innehåll kan leda till körning av opålitlig kod
Beskrivning: Ett minnesfel åtgärdades med hjälp av förbättrad validering.
CVE-2022-22597: Qi Sun och Robert Ai från Trend Micro
BOM
Tillgängligt för: macOS Catalina
Effekt: Ett ZIP-arkiv med skadligt innehåll kan kringgå Gatekeeper-kontroller
Beskrivning: problemet åtgärdades med förbättrade kontroller.
CVE-2022-22616: Ferdous Saljooki (@malwarezoo) och Jaron Bradley (@jbradley89) från Jamf Software, Mickey Jin (@patch1t)
CUPS
Tillgängligt för: macOS Catalina
Effekt: En app kan få högre behörighet
Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2022-26691: Joshua Mason på Mandiant
Intel Graphics Driver
Tillgängligt för: macOS Catalina
Effekt: en app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad lägeshantering.
CVE-2022-46706: Wang Yu på cyberserval och Pan ZhenPeng (@Peterpan0927) på Alibaba Security Pandora Lab
Intel Graphics Driver
Tillgängligt för: macOS Catalina
Effekt: en app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad lägeshantering.
CVE-2022-22661: Wang Yu på cyberserval och Pan ZhenPeng (@Peterpan0927) på Alibaba Security Pandora Lab
Kernel
Tillgängligt för: macOS Catalina
Effekt: en app kan köra opålitlig kod med kernelbehörighet
Beskrivning: ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2022-22613: en anonym forskare, Alex
Kernel
Tillgängligt för: macOS Catalina
Effekt: en app kan köra opålitlig kod med kernelbehörighet
Beskrivning: ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.
CVE-2022-22615: en anonym forskare
CVE-2022-22614: en anonym forskare
Kernel
Tillgängligt för: macOS Catalina
Effekt: En angripare i en privilegierad position kan orsaka ett dos-angrepp
Beskrivning: En nullpekarreferens åtgärdades med förbättrad validering.
CVE-2022-22638: derrek (@derrekr6)
Login Window
Tillgängligt för: macOS Catalina
Effekt: En person med fysisk åtkomst till en Mac-dator kan kringgå inloggningsfönstret
Beskrivning: problemet åtgärdades med förbättrade kontroller.
CVE-2022-22647: Yuto Ikeda vid Kyushu University
LoginWindow
Tillgängligt för: macOS Catalina
Effekt: En lokal angripare kan visa föregående inloggad användares skrivbord från skärmen för snabbt användarbyte
Beskrivning: Ett problem med autentisering åtgärdades genom förbättrad tillståndshantering.
CVE-2022-22656
MobileAccessoryUpdater
Tillgängligt för: macOS Catalina
Effekt: en skadlig app kan köra opålitlig kod med kernelbehörighet
Beskrivning: ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2022-22672: Siddharth Aeri (@b1n4r1b01)
PackageKit
Tillgängligt för: macOS Catalina
Effekt: en skadlig app med rotbehörigheter kan ändra innehållet i systemfiler
Beskrivning: ett problem med hantering av symlänkar åtgärdades med förbättrad validering.
CVE-2022-26688: Mickey Jin (@patch1t) på Trend Micro
PackageKit
Tillgängligt för: macOS Catalina
Effekt: En app kan få högre behörighet
Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2022-22617: Mickey Jin (@patch1t)
QuickTime Player
Tillgängligt för: macOS Catalina
Effekt: ett insticksprogram kanske kan ärva programmets behörigheter och komma åt användardata
Beskrivning: problemet åtgärdades med förbättrade kontroller.
CVE-2022-22650: Wojciech Reguła (@_r3ggi) från SecuRing
WebKit
Tillgängligt för: macOS Catalina
Effekt: Bearbetning av skadligt webbinnehåll kan avslöja känslig användarinformation
Beskrivning: Ett problem med cookiehantering åtgärdades genom förbättrad tillståndshantering.
CVE-2022-22662: Prakash (@1lastBr3ath) från Threat Nix
WebKit
Tillgängligt för: macOS Catalina
Effekt: bearbetning av ett uppsåtligt skadligt e-postmeddelande kan leda till körning av godtyckligt javascript
Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.
CVE-2022-22589: Heige på KnownSec 404 Team (knownsec.com) och Bo Qu på Palo Alto Networks (paloaltonetworks.com)
WebKit
Tillgängligt för: macOS Catalina
Effekt: Bearbetning av skadligt webbinnehåll kan avslöja känslig användarinformation
Beskrivning: Ett problem med cookiehantering åtgärdades genom förbättrad tillståndshantering.
CVE-2022-22662: Prakash (@1lastBr3ath) från Threat Nix
xar
Tillgängligt för: macOS Catalina
Effekt: En lokal användare kan skriva opålitliga filer
Beskrivning: Ett valideringsproblem förekom i hanteringen av symlänkar. Problemet åtgärdades genom förbättrad validering av symlänkar.
CVE-2022-22582: Richard Warren från NCC Group
Ytterligare tack
Intel Graphics Driver
Vi vill tacka Jack Dates från RET2 Systems, Inc., Yinyi Wu (@3ndy1) för hjälpen.
syslog
Vi vill tacka Yonghwi Jin (@jinmo123) från Theori för hjälpen.
TCC
Vi vill tacka Csaba Fitzl (@theevilbit) på Offensive Security för hjälpen.
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.