เกี่ยวกับเนื้อหาความปลอดภัยของรายการอัปเดตความปลอดภัย 2022-005 Catalina
เอกสารนี้จะอธิบายเนื้อหาความปลอดภัยของรายการอัปเดตความปลอดภัย 2022-005 Catalina
เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
รายการอัปเดตความปลอดภัย 2022-005 Catalina
APFS
มีให้สำหรับ: macOS Catalina
ผลกระทบ: แอปที่มีสิทธิ์ระดับรูทอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2022-32832: Tommy Muir (@Muirey03)
AppleMobileFileIntegrity
มีให้สำหรับ: macOS Catalina
ผลกระทบ: แอปอาจสามารถเข้าถึงสิทธิ์ในระดับรูทได้
คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2022-32826: Mickey Jin (@patch1t) จาก Trend Micro
AppleScript
มีให้สำหรับ: macOS Catalina
ผลกระทบ: การประมวลผล AppleScript ไบนารี่ที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้มีการหยุดทำงานโดยไม่คาดคิด หรือเปิดเผยหน่วยความจําของการประมวลผล
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2022-32797: Mickey Jin (@patch1t), Ye Zhang (@co0py_Cat) จาก Baidu Security, Mickey Jin (@patch1t) จาก Trend Micro
AppleScript
มีให้สำหรับ: macOS Catalina
ผลกระทบ: การประมวลผล AppleScript ไบนารี่ที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้มีการหยุดทำงานโดยไม่คาดคิด หรือเปิดเผยหน่วยความจําของการประมวลผล
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2022-32853: Ye Zhang (@co0py_Cat) จาก Baidu Security
CVE-2022-32851: Ye Zhang (@co0py_Cat) จาก Baidu Security
AppleScript
มีให้สำหรับ: macOS Catalina
ผลกระทบ: การประมวลผล AppleScript ไบนารี่ที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้มีการหยุดทำงานโดยไม่คาดคิด หรือเปิดเผยหน่วยความจําของการประมวลผล
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2022-32831: Ye Zhang (@co0py_Cat) จาก Baidu Security
Archive Utility
มีให้สำหรับ: macOS Catalina
ผลกระทบ: การเก็บถาวรอาจบายพาส Gatekeeper ได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2022-32910: Ferdous Saljooki (@malwarezoo) จาก Jamf Software
Audio
มีให้สำหรับ: macOS Catalina
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2022-32820: นักวิจัยที่ไม่เปิดเผยชื่อ
Calendar
มีให้สำหรับ: macOS Catalina
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการแคช
CVE-2022-32805: Csaba Fitzl (@theevilbit) จาก Offensive Security
Calendar
มีให้สำหรับ: macOS Catalina
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหาการเปิดเผยข้อมูลได้รับการแก้ไขแล้วโดยการลบโค้ดที่มีความเสี่ยง
CVE-2022-32849: Joshua Jones
CoreText
มีให้สำหรับ: macOS Catalina
ผลกระทบ: ผู้โจมตีระยะไกลอาจเป็นเหตุให้แอปหยุดทำงานโดยไม่คาดคิดหรือมีการใช้โค้ดโดยพลการ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ดียิ่งขึ้น
CVE-2022-32839: STAR Labs (@starlabs_sg)
FaceTime
มีให้สำหรับ: macOS Catalina
ผลกระทบ: แอปที่มีสิทธิ์ระดับรูทอาจสามารถเข้าถึงข้อมูลส่วนบุคคลได้
อธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการเปิดใช้งานรันไทม์ที่ยากขึ้น
CVE-2022-32781: Wojciech Reguła (@_r3ggi) จาก SecuRing
File System Events
มีให้สำหรับ: macOS Catalina
ผลกระทบ: แอปอาจสามารถเข้าถึงสิทธิ์ในระดับรูทได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2022-32819: Joshua Mason จาก Mandiant
ICU
มีให้สำหรับ: macOS Catalina
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2022-32787: Dohyun Lee (@l33d0hyun) จาก SSD Secure Disclosure Labs & DNSLab, Korea Univ.
ImageIO
มีให้สำหรับ: macOS Catalina
ผลกระทบ: การประมวลผลภาพอาจส่งผลให้เกิดปัญหาการปฏิเสธการให้บริการ
คำอธิบาย: ช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2022-32785: Yiğit Can YILMAZ (@yilmazcanyigit)
Intel Graphics Driver
มีให้สำหรับ: macOS Catalina
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2022-32812: Yinyi Wu (@3ndy1), ABC Research s.r.o.
Intel Graphics Driver
มีให้สำหรับ: macOS Catalina
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ช่องโหว่ด้านหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการล็อคให้ดียิ่งขึ้น
CVE-2022-32811: ABC Research s.r.o
Kernel
มีให้สำหรับ: macOS Catalina
ผลกระทบ: แอปที่มีสิทธิ์ระดับรูทอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2022-32815: Xinru Chi จาก Pangu Lab
CVE-2022-32813: Xinru Chi จาก Pangu Lab
LaunchServices
มีให้สำหรับ: macOS Catalina
ผลกระทบ: แอปอาจบายพาสการตั้งค่าความเป็นส่วนตัวบางรายการได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น
CVE-2021-30946: @gorelics และ Ron Masas จาก BreakPoint.sh
libxml2
มีให้สำหรับ: macOS Catalina
ผลกระทบ: แอปอาจทำให้ข้อมูลที่ละเอียดอ่อนของผู้ใช้รั่วไหลได้
คำอธิบาย: ปัญหาการเริ่มต้นหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2022-32823
PackageKit
มีให้สำหรับ: macOS Catalina
ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้
คำอธิบาย: ปัญหาในการจัดการตัวแปรสภาพแวดล้อมได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2022-32786: Mickey Jin (@patch1t)
PackageKit
มีให้สำหรับ: macOS Catalina
ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2022-32800: Mickey Jin (@patch1t)
PluginKit
มีให้สำหรับ: macOS Catalina
ผลกระทบ: แอปอาจอ่านไฟล์ได้โดยพลการ
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2022-32838: Mickey Jin (@patch1t) จาก Trend Micro
PS Normalizer
มีให้สำหรับ: macOS Catalina
ผลกระทบ: การประมวลผลไฟล์ Postscript ที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้แอปหยุดทำงานโดยไม่คาดคิด หรือเปิดเผยหน่วยความจําของการประมวลผล
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2022-32843: Kai Lu จาก ThreatLabz ของ Zscaler
SMB
มีให้สำหรับ: macOS Catalina
ผลกระทบ: แอปอาจสามารถเข้าถึงสิทธิ์ในระดับที่สูงขึ้นได้
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2022-32842: Sreejith Krishnan R (@skr0x1c0)
SMB
มีให้สำหรับ: macOS Catalina
ผลกระทบ: ผู้ใช้ในตำแหน่งเครือข่ายที่มีสิทธิ์อาจทำให้ข้อมูลที่ละเอียดอ่อนรั่วไหลได้
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2022-32799: Sreejith Krishnan R (@skr0x1c0)
Software Update
มีให้สำหรับ: macOS Catalina
ผลกระทบ: ผู้ใช้ในตำแหน่งเครือข่ายที่มีสิทธิ์สามารถติดตามกิจกรรมของผู้ใช้ได้
คำอธิบาย: ปัญหาได้รับการแก้ไขโดยการใช้ HTTPS เมื่อส่งข้อมูลผ่านเครือข่าย
CVE-2022-32857: Jeffrey Paul (sneak.berlin)
Spindump
มีให้สำหรับ: macOS Catalina
ผลกระทบ: แอปอาจเขียนทับไฟล์ได้โดยพลการ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการไฟล์
CVE-2022-32807: Zhipeng Huo (@R3dF09) จาก Tencent Security Xuanwu Lab
Spotlight
มีให้สำหรับ: macOS Catalina
ผลกระทบ: แอปอาจสามารถเข้าถึงสิทธิ์ในระดับที่สูงขึ้นได้
คำอธิบาย: ปัญหาการตรวจสอบในการจัดการ symlinks ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ symlinks ให้ดียิ่งขึ้น
CVE-2022-26704: Joshua Mason จาก Mandiant
TCC
มีให้สำหรับ: macOS Catalina
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหาการเข้าถึงได้รับการแก้ไขแล้วด้วยการปรับปรุง Sandbox ให้ดียิ่งขึ้น
CVE-2022-32834: Xuxiang Yang (@another1024) จาก Tencent Security Xuanwu Lab (xlab.tencent.com), Gordon Long, Thijs Alkemade (@xnyhps) จาก Computest Sector 7, Adam Chester จาก TrustedSec, Yuebin Sun (@yuebinsun2020) จาก Tencent Security Xuanwu Lab (xlab.tencent.com), Zhipeng Huo (@R3dF09) จาก Tencent Security Xuanwu Lab (xlab.tencent.com)
Vim
มีให้สำหรับ: macOS Catalina
ผลกระทบ: มีปัญหาหลายประการใน Vim
คำอธิบาย: ปัญหาหลายประการได้รับการแก้ไขแล้วโดยการอัปเดต Vim
CVE-2021-4136
CVE-2021-4166
CVE-2021-4173
CVE-2021-4187
CVE-2021-4192
CVE-2021-4193
CVE-2021-46059
CVE-2022-0128
Wi-Fi
มีให้สำหรับ: macOS Catalina
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2022-32860: Wang Yu จาก Cyberserval
Wi-Fi
มีให้สำหรับ: macOS Catalina
ผลกระทบ: แอปอาจทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรือมีการเขียนข้อมูลหน่วยความจำเคอร์เนล
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2022-32837: Wang Yu จาก Cyberserval
Wi-Fi
มีให้สำหรับ: macOS Catalina
ผลกระทบ: ผู้ใช้ระยะไกลอาจทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรือสร้างความเสียหายให้กับหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2022-32847: Wang Yu จาก Cyberserval
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม