เกี่ยวกับเนื้อหาด้านความปลอดภัยของรายการอัปเดตความปลอดภัย 2022-004 Catalina

เอกสารฉบับนี้อธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของรายการอัปเดตความปลอดภัย 2022-004 Catalina

เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

รายการอัปเดตความปลอดภัย 2022-004 Catalina

เปิดตัวเมื่อวันที่ 16 พฤษภาคม 2022

apache

มีให้สำหรับ: macOS Catalina

ผลกระทบ: มีปัญหาหลายอย่างใน apache

คำอธิบาย: ปัญหาหลายอย่างได้รับการแก้ไขแล้วโดยการอัปเดต apache ให้เป็นเวอร์ชั่น 2.4.53

CVE-2021-44224

CVE-2021-44790

CVE-2022-22719

CVE-2022-22720

CVE-2022-22721

AppKit

มีให้สำหรับ: macOS Catalina

ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจสามารถได้รับสิทธิ์ในระดับรูท

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2022-22665: Lockheed Martin Red Team

AppleEvents

มีให้สำหรับ: macOS Catalina

ผลกระทบ: ผู้โจมตีระยะไกลอาจเป็นเหตุให้แอปหยุดทำงานโดยไม่คาดคิดหรือมีการใช้โค้ดโดยพลการ

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2022-22630: Jeremy Brown ที่ทำงานร่วมกับ Trend Micro Zero Day Initiative

เพิ่มรายการเมื่อวันที่ 6 มิถุนายน 2023

AppleGraphicsControl

มีให้สำหรับ: macOS Catalina

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยพลการ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2022-26751: Michael DePlante (@izobashi) จาก Trend Micro Zero Day Initiative

AppleScript

มีให้สำหรับ: macOS Catalina

ผลกระทบ: การประมวลผล AppleScript ไบนารี่ที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้แอปพลิเคชันหยุดโดยไม่คาดหมาย หรือเปิดเผยหน่วยความจําของการประมวลผล

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2022-26697: Qi Sun และ Robert Ai จาก Trend Micro

AppleScript

มีให้สำหรับ: macOS Catalina

ผลกระทบ: การประมวลผล AppleScript ไบนารี่ที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้แอปพลิเคชันหยุดโดยไม่คาดหมาย หรือเปิดเผยหน่วยความจําของการประมวลผล

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2022-26698: Qi Sun จาก Trend Micro

CoreTypes

มีให้สำหรับ: macOS Catalina

ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจบายพาสการตรวจสอบ Gatekeeper

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขโดยการปรับปรุงการตรวจสอบเพื่อป้องกันการกระทำที่ไม่ได้รับอนุญาต

CVE-2022-22663: Arsenii Kostromin (0x3c3e)

CVMS

มีให้สำหรับ: macOS Catalina

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถได้รับสิทธิ์ในระดับราก

คำอธิบาย: ปัญหาการเริ่มต้นหน่วยความจำได้รับการแก้ไขแล้ว

CVE-2022-26721: Yonghwi Jin (@jinmo123) จาก Theori

CVE-2022-26722: Yonghwi Jin (@jinmo123) จาก Theori

DriverKit

มีให้สำหรับ: macOS Catalina

ผลกระทบ: แอปพลิเคชันประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

คำอธิบาย: ปัญหาด้านการเข้าถึงนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2022-26763: Linus Henze จาก Pinauten GmbH (pinauten.de)

Graphics Drivers

มีให้สำหรับ: macOS Catalina

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถอ่านหน่วยความจำเคอร์เนลได้

คำอธิบาย: มีปัญหาการอ่านข้อมูลนอกขอบเขตที่นำไปสู่การเปิดเผยหน่วยความจำเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2022-22674: นักวิจัยนิรนาม

Intel Graphics Driver

มีให้สำหรับ: macOS Catalina

ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยพลการ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2022-26720: Liu Long จาก Ant Security Light-Year Lab

Intel Graphics Driver

มีให้สำหรับ: macOS Catalina

ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยพลการ

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2022-26770: Liu Long จาก Ant Security Light-Year Lab

Intel Graphics Driver

มีให้สำหรับ: macOS Catalina

ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยพลการ

คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2022-26756: Jack Dates จาก RET2 Systems, Inc

Intel Graphics Driver

มีให้สำหรับ: macOS Catalina

ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยพลการ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2022-26769: Antonio Zekic (@antoniozekic)

Intel Graphics Driver

มีให้สำหรับ: macOS Catalina

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2022-26748: Jeonghoon Shin จาก Theori ที่ทำงานร่วมกับ Trend Micro Zero Day Initiative

Kernel

มีให้สำหรับ: macOS Catalina

ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยพลการ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) จาก STAR Labs (@starlabs_sg)

Kernel

มีให้สำหรับ: macOS Catalina

ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยพลการ

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2022-26757: Ned Williamson จาก Google Project Zero

libresolv

มีให้สำหรับ: macOS Catalina

ผลกระทบ: ผู้ใช้ระยะไกลอาจสามารถทำให้ระบบเกิดปัญหาการปฏิเสธการให้บริการ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2022-32790: Max Shavrick (@_mxms) จาก Google Security Team

เพิ่มรายการเมื่อวันที่ 21 มิถุนายน 2022

libresolv

มีให้สำหรับ: macOS Catalina

ผลกระทบ: ผู้โจมตีอาจสามารถทำให้แอปพลิเคชันหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาจำนวนเต็มเกินได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2022-26775: Max Shavrick (@_mxms) จาก Google Security Team

LibreSSL

มีให้สำหรับ: macOS Catalina

ผลกระทบ: การประมวลผลใบรับรองที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้

คำอธิบาย: ปัญหาการปฏิเสธบริการได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2022-0778

libxml2

มีให้สำหรับ: macOS Catalina

ผลกระทบ: ผู้โจมตีระยะไกลอาจเป็นเหตุให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสโดยพลการ

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2022-23308

OpenSSL

มีให้สำหรับ: macOS Catalina

ผลกระทบ: การประมวลผลใบรับรองที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2022-0778

PackageKit

มีให้สำหรับ: macOS Catalina

ผลกระทบ: แอปอาจสามารถเข้าถึงสิทธิ์ในระดับที่สูงขึ้นได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2022-32794: Mickey Jin (@patch1t)

เพิ่มรายการเมื่อวันที่ 4 ตุลาคม 2022

PackageKit

มีให้สำหรับ: macOS Catalina

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงสิทธิ์ให้ดียิ่งขึ้น

CVE-2022-26727: Mickey Jin (@patch1t)

Printing

มีให้สำหรับ: macOS Catalina

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจบายพาสการตั้งค่าความเป็นส่วนตัวได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการนำรหัสที่มีความเสี่ยงออก

CVE-2022-26746: @gorelics

Security

มีให้สำหรับ: macOS Catalina

ผลกระทบ: แอปประสงค์ร้ายอาจบายพาสการตรวจสอบลายเซ็นได้

คำอธิบาย: ปัญหาการแยกวิเคราะห์ใบรับรองได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2022-26766: Linus Henze จาก Pinauten GmbH (pinauten.de)

SMB

มีให้สำหรับ: macOS Catalina

ผลกระทบ: แอปพลิเคชันอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2022-26715: Peter Nguyễn Vũ Hoàng จาก STAR Labs

SoftwareUpdate

มีให้สำหรับ: macOS Catalina

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจเข้าถึงไฟล์ที่มีการจำกัดสิทธิ์ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงสิทธิ์ให้ดียิ่งขึ้น

CVE-2022-26728: Mickey Jin (@patch1t)

TCC

มีให้สำหรับ: macOS Catalina

ผลกระทบ: แอปอาจสามารถจับภาพหน้าจอของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2022-26726: Antonio Cheong Yu Xuan จาก YCISCQ

อัปเดตรายการเมื่อวันที่ 6 มิถุนายน 2023

Tcl

มีให้สำหรับ: macOS Catalina

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถแยกตัวออกจาก Sandbox ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลสภาพแวดล้อมให้ดียิ่งขึ้น

CVE-2022-26755: Arsenii Kostromin (0x3c3e)

WebKit

มีให้สำหรับ: macOS Catalina

ผลกระทบ: การประมวลผลข้อความเมลที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการเรียกใช้ JavaScript โดยพลการ

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2022-22589: Heige จาก KnownSec 404 Team (knownsec.com) และ Bo Qu จาก Palo Alto Networks (paloaltonetworks.com)

Wi-Fi

มีให้สำหรับ: macOS Catalina

ผลกระทบ: แอปพลิเคชันอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2022-26761: Wang Yu จาก Cyberserval

zip

มีให้สำหรับ: macOS Catalina

ผลกระทบ: การประมวลผลไฟล์ ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้

คำอธิบาย: ปัญหาการปฏิเสธบริการได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2022-0530

zlib

มีให้สำหรับ: macOS Catalina

ผลกระทบ: ผู้โจมตีอาจสามารถทำให้แอปพลิเคชันหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-25032: Tavis Ormandy

zsh

มีให้สำหรับ: macOS Catalina

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการอัปเดต zsh ให้เป็นเวอร์ชั่น 5.8.1

CVE-2021-45444

คำขอบคุณพิเศษ

PackageKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก Mickey Jin (@patch1t) จาก Trend Micro

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: