เกี่ยวกับเนื้อหาความปลอดภัยของรายการอัปเดตความปลอดภัย 2022-003 Catalina
เอกสารฉบับนี้จะอธิบายเนื้อหาความปลอดภัยของรายการอัปเดตความปลอดภัย 2022-003 Catalina
เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
รายการอัปเดตความปลอดภัย 2022-003 Catalina
AppKit
มีให้สำหรับ: macOS Catalina
ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจสามารถได้รับสิทธิ์ในระดับรูท
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2022-22665: Lockheed Martin Red Team
AppleGraphicsControl
มีให้สำหรับ: macOS Catalina
ผลกระทบ: แอปพลิเคชันอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2022-22631: Wang Yu จาก cyberserval
AppleScript
มีให้สำหรับ: macOS Catalina
ผลกระทบ: แอปพลิเคชันอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2022-22648: Mickey Jin (@patch1t) จาก Trend Micro
AppleScript
มีให้สำหรับ: macOS Catalina
ผลกระทบ: การประมวลผล AppleScript ไบนารี่ที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้แอปพลิเคชันหยุดโดยไม่คาดหมาย หรือเปิดเผยหน่วยความจําของการประมวลผล
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2022-22627: Qi Sun และ Robert Ai จาก Trend Micro
CVE-2022-22626: Mickey Jin (@patch1t) จาก Trend Micro
AppleScript
มีให้สำหรับ: macOS Catalina
ผลกระทบ: การประมวลผล AppleScript ไบนารี่ที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้แอปพลิเคชันหยุดโดยไม่คาดหมาย หรือเปิดเผยหน่วยความจําของการประมวลผล
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2022-22625: Mickey Jin (@patch1t) จาก Trend Micro
AppleScript
มีให้สำหรับ: macOS Catalina
ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2022-22597: Qi Sun และ Robert Ai จาก Trend Micro
BOM
มีให้สำหรับ: macOS Catalina
ผลกระทบ: ไฟล์ ZIP เก็บถาวรที่ออกแบบมาเพื่อประสงค์ร้ายอาจบายพาสการตรวจสอบ Gatekeeper
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2022-22616: Ferdous Saljooki (@malwarezoo) และ Jaron Bradley (@jbradley89) จาก Jamf Software, Mickey Jin (@patch1t)
CUPS
มีให้สำหรับ: macOS Catalina
ผลกระทบ: แอปพลิเคชันอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2022-26691: Joshua Mason จาก Mandiant
Intel Graphics Driver
มีให้สำหรับ: macOS Catalina
ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2022-46706: Wang Yu จาก cyberserval และ Pan ZhenPeng (@Peterpan0927) จาก Alibaba Security Pandora Lab
Intel Graphics Driver
มีให้สำหรับ: macOS Catalina
ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2022-22661: Wang Yu จาก cyberserval และ Pan ZhenPeng (@Peterpan0927) จาก Alibaba Security Pandora Lab
Kernel
มีให้สำหรับ: macOS Catalina
ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยพลการ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2022-22613: นักวิจัยนิรนาม, Alex
Kernel
มีให้สำหรับ: macOS Catalina
ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยพลการ
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2022-22615: นักวิจัยนิรนาม
CVE-2022-22614: นักวิจัยนิรนาม
Kernel
มีให้สำหรับ: macOS Catalina
ผลกระทบ: ผู้โจมตีในตำแหน่งที่มีสิทธิ์อาจสามารถดำเนินการโจมตีโดยการปฏิเสธบริการได้
คำอธิบาย: ช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2022-22638: derrek (@derrekr6)
Login Window
มีให้สำหรับ: macOS Catalina
ผลกระทบ: บุคคลที่มีสิทธิ์เข้าถึง Mac อาจบายพาส Login Window ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2022-22647: Yuto Ikeda จาก Kyushu University
LoginWindow
มีให้สำหรับ: macOS Catalina
ผลกระทบ: ผู้โจมตีในระบบอาจสามารถดูเดสก์ท็อปของผู้ใช้ที่เข้าสู่ระบบก่อนหน้าได้จากหน้าจอการสลับผู้ใช้อย่างเร็ว
คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2022-22656
MobileAccessoryUpdater
มีให้สำหรับ: macOS Catalina
ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยพลการ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2022-22672: Siddharth Aeri (@b1n4r1b01)
PackageKit
มีให้สำหรับ: macOS Catalina
ผลกระทบ: แอปพลิเคชันประสงค์ร้ายที่มีสิทธิ์ในระดับรูทอาจสามารถแก้ไขเนื้อหาของไฟล์ระบบได้
คำอธิบาย: ปัญหาในการจัดการ symlink ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2022-26688: Mickey Jin (@patch1t) จาก Trend Micro
PackageKit
มีให้สำหรับ: macOS Catalina
ผลกระทบ: แอปพลิเคชันอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2022-22617: Mickey Jin (@patch1t)
QuickTime Player
มีให้สำหรับ: macOS Catalina
ผลกระทบ: ปลั๊กอินอาจรับค่าสิทธิ์การอนุญาตของแอปพลิเคชันและเข้าถึงข้อมูลผู้ใช้ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2022-22650: Wojciech Reguła (@_r3ggi) จาก SecuRing
WebKit
มีให้สำหรับ: macOS Catalina
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยข้อมูลสำคัญของผู้ใช้ได้
ปัญหาการจัดการคุกกี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2022-22662: Prakash (@1lastBr3ath) จาก Threat Nix
WebKit
มีให้สำหรับ: macOS Catalina
ผลกระทบ: การประมวลผลข้อความเมลที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการเรียกใช้ JavaScript โดยพลการ
คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น
CVE-2022-22589: Heige จาก KnownSec 404 Team (knownsec.com) และ Bo Qu จาก Palo Alto Networks (paloaltonetworks.com)
WebKit
มีให้สำหรับ: macOS Catalina
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยข้อมูลสำคัญของผู้ใช้ได้
ปัญหาการจัดการคุกกี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2022-22662: Prakash (@1lastBr3ath) จาก Threat Nix
xar
มีให้สำหรับ: macOS Catalina
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถเขียนไฟล์ได้โดยพลการ
คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการ symlinks ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบของ symlinks ให้ดียิ่งขึ้น
CVE-2022-22582: Richard Warren จาก NCC Group
คำขอบคุณพิเศษ
Intel Graphics Driver
เราขอขอบคุณสำหรับความช่วยเหลือจาก Jack Dates จาก RET2 Systems, Inc., Yinyi Wu (@3ndy1)
syslog
เราขอขอบคุณสำหรับความช่วยเหลือจาก Yonghwi Jin (@jinmo123) จาก Theori
TCC
เราขอขอบคุณสำหรับความช่วยเหลือจาก Csaba Fitzl (@theevilbit) จาก Offensive Security
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม