Güvenlik Güncellemesi 2022-004 Catalina'nın güvenlik içeriği hakkında

Bu belgede Güvenlik Güncellemesi 2022-004 Catalina'nın güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğu durumlarda CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

Güvenlik Güncellemesi 2022-004 Catalina

apache

İlgili sürüm: macOS Catalina

Etki: Apache'de birden fazla sorun

Açıklama: Apache, 2.4.53 sürümüne güncellenerek birden fazla sorun giderildi.

CVE-2021-44224

CVE-2021-44790

CVE-2022-22719

CVE-2022-22720

CVE-2022-22721

AppKit

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlı bir uygulama kök ayrıcalıkları kazanabilir

Açıklama: Doğrulama işlemi iyileştirilerek bir mantık sorunu giderildi.

CVE-2022-22665: Lockheed Martin Red Team

AppleEvents

İlgili sürüm: macOS Catalina

Etki: Uzaktaki bir kullanıcı, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2022-22630: Jeremy Brown (Trend Micro'nun Zero Day Initiative programıyla)

AppleGraphicsControl

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2022-26751: Michael DePlante (@izobashi) (Trend Micro'nun Zero Day Initiative programıyla)

AppleScript

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlarla oluşturulmuş bir AppleScript ikili dosyasının işlenmesi uygulamanın beklenmedik şekilde sonlandırılmasına veya işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2022-26697: Trend Micro'dan Qi Sun ve Robert Ai

AppleScript

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlarla oluşturulmuş bir AppleScript ikili dosyasının işlenmesi uygulamanın beklenmedik şekilde sonlandırılmasına veya işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2022-26698: Trend Micro'dan ve Qi Sun

CoreTypes

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlı bir uygulama Gatekeeper denetimlerini atlayabilir

Açıklama: Yetkisiz işlemlerin önlenmesine yönelik denetimler iyileştirilerek bu sorun giderildi.

CVE-2022-22663: Arsenii Kostromin (0x3c3e)

CVMS

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlı bir uygulama kök ayrıcalıkları kazanabilir

Açıklama: Bir bellek ilklendirme sorunu giderildi.

CVE-2022-26721: Theori'den Yonghwi Jin (@jinmo123)

CVE-2022-26722: Theori'den Yonghwi Jin (@jinmo123)

DriverKit

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Sınır denetimi iyileştirilerek bir sınırların dışında erişim sorunu giderildi.

CVE-2022-26763: Pinauten GmbH'den (pinauten.de) Linus Henze

Graphics Drivers

İlgili sürüm: macOS Catalina

Etki: Yerel bir kullanıcı çekirdek belleğini okuyabilir

Açıklama: Çekirdek belleğinin açığa çıkmasına neden olan bir sınırların dışında okuma sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2022-22674: anonim bir araştırmacı

Intel Graphics Driver

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2022-26720: Ant Security Light-Year Lab'den Liu Long

Intel Graphics Driver

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2022-26770: Ant Security Light-Year Lab'den Liu Long

Intel Graphics Driver

İlgili sürüm: macOS Catalina

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir sınırların dışında yazma sorunu giderildi.

CVE-2022-26756: RET2 Systems, Inc. şirketinden Jack Dates

Intel Graphics Driver

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2022-26769: Antonio Zekic (@antoniozekic)

Intel Graphics Driver

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir sınırların dışında yazma sorunu giderildi.

CVE-2022-26748: Theori'den Jeonghoon Shin (Trend Micro'nun Zero Day Initiative programıyla)

Kernel

İlgili sürüm: macOS Catalina

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2022-26714: STAR Labs'den (@starlabs_sg) Peter Nguyễn Vũ Hoàng (@peternguyen14)

Kernel

İlgili sürüm: macOS Catalina

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2022-26757: Google Project Zero'dan Ned Williamson

libresolv

İlgili sürüm: macOS Catalina

Etki: Uzaktaki bir kullanıcı, servis reddine neden olabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2022-32790: Google Security Team'den Max Shavrick (@_mxms)

libresolv

İlgili sürüm: macOS Catalina

Etki: Bir saldırgan, uygulamanın beklenmedik bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir tam sayı taşması sorunu giderildi.

CVE-2022-26775: Google Security Team'den Max Shavrick (@_mxms)

LibreSSL

İlgili sürüm: macOS Catalina

Etki: Kötü amaçla oluşturulmuş bir sertifika servis reddine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir servis reddi sorunu giderildi.

CVE-2022-0778

libxml2

İlgili sürüm: macOS Catalina

Etki: Uzaktaki bir saldırgan uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2022-23308

OpenSSL

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlarla oluşturulmuş bir sertifikanın işlenmesi servis reddine yol açabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2022-0778

PackageKit

İlgili sürüm: macOS Catalina

Etki: Bir uygulama yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2022-32794: Mickey Jin (@patch1t)

PackageKit

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlı bir uygulama, dosya sisteminin korumalı bölümlerini değiştirebilir

Açıklama: Yetkiler iyileştirilerek bu sorun giderildi.

CVE-2022-26727: Mickey Jin (@patch1t)

Printing

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlı bir uygulama, Gizlilik tercihlerini atlayabilir

Açıklama: Savunmasız kod kaldırılarak bu sorun giderildi.

CVE-2022-26746: @gorelics

Security

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlı bir uygulama imza doğrulamasını atlayabilir

Açıklama: Denetimler iyileştirilerek bir sertifika ayrıştırma sorunu giderildi.

CVE-2022-26766: Pinauten GmbH'den (pinauten.de) Linus Henze

SMB

İlgili sürüm: macOS Catalina

Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2022-26715: STAR Labs'den Peter Nguyễn Vũ Hoàng

SoftwareUpdate

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlı bir uygulama, sınırlanmış dosyalara erişebilir

Açıklama: Yetkiler iyileştirilerek bu sorun giderildi.

CVE-2022-26728: Mickey Jin (@patch1t)

TCC

İlgili sürüm: macOS Catalina

Etki: Bir uygulama kullanıcının ekranın görüntüsünü alabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2022-26726: YCISCQ'dan Antonio Cheong Yu Xuan

Tcl

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlı bir uygulama, korumalı alanını ihlal edebilir

Açıklama: Ortam temizliği iyileştirilerek bu sorun giderildi.

CVE-2022-26755: Arsenii Kostromin (0x3c3e)

WebKit

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlarla oluşturulmuş bir posta iletisinin işlenmesi rastgele JavaScript yürütülmesine neden olabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2022-22589: KnownSec 404 Team'den (knownsec.com) Heige ve Palo Alto Networks'ten (paloaltonetworks.com) Bo Qu

Wi-Fi

İlgili sürüm: macOS Catalina

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2022-26761: Cyberserval'dan Wang Yu

zip

İlgili sürüm: macOS Catalina

Etki: Kötü amaçlarla oluşturulmuş bir dosyasının işlenmesi servis reddine yol açabilir

Açıklama: Durumun işlenmesi iyileştirilerek bir servis reddi sorunu giderildi.

CVE-2022-0530

zlib

İlgili sürüm: macOS Catalina

Etki: Bir saldırgan, uygulamanın beklenmedik bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2018-25032: Tavis Ormandy

zsh

İlgili sürüm: macOS Catalina

Etki: Uzaktaki bir saldırgan rastgele kod yürütülmesine neden olabilir

Açıklama: zhs, 5.8.1 sürümüne güncellenerek bu sorun giderildi.

CVE-2021-45444

Ek teşekkür listesi

PackageKit

Trend Micro'dan Mickey Jin'e (@patch1t) yardımı için teşekkür ederiz.