Güvenlik Güncellemesi 2022-003 Catalina'nın güvenlik içeriği hakkında
Bu belgede Güvenlik Güncellemesi 2022-003 Catalina'nın güvenlik içeriği açıklanmaktadır.
Apple güvenlik güncellemeleri hakkında
Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.
Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğu durumlarda CVE Kimliği ile belirtilir.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.
Güvenlik Güncellemesi 2022-003 Catalina
AppKit
İlgili sürüm: macOS Catalina
Etki: Kötü amaçlı bir uygulama kök ayrıcalıkları kazanabilir
Açıklama: Doğrulama işlemi iyileştirilerek bir mantık sorunu giderildi.
CVE-2022-22665: Lockheed Martin Red Team
AppleGraphicsControl
İlgili sürüm: macOS Catalina
Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.
CVE-2022-22631: cyberserval'dan Wang Yu
AppleScript
İlgili sürüm: macOS Catalina
Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir
Açıklama: Denetimler iyileştirilerek bu sorun giderildi.
CVE-2022-22648: Trend Micro'dan Mickey Jin (@patch1t)
AppleScript
İlgili sürüm: macOS Catalina
Etki: Kötü amaçlarla oluşturulmuş bir AppleScript ikili dosyasının işlenmesi uygulamanın beklenmedik şekilde sonlandırılmasına veya işlem belleğinin açığa çıkmasına neden olabilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2022-22627: Trend Micro'dan Qi Sun ve Robert Ai
CVE-2022-22626: Trend Micro'dan Mickey Jin (@patch1t)
AppleScript
İlgili sürüm: macOS Catalina
Etki: Kötü amaçlarla oluşturulmuş bir AppleScript ikili dosyasının işlenmesi uygulamanın beklenmedik şekilde sonlandırılmasına veya işlem belleğinin açığa çıkmasına neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2022-22625: Trend Micro'dan Mickey Jin (@patch1t)
AppleScript
İlgili sürüm: macOS Catalina
Etki: Kötü amaçlarla oluşturulmuş bir dosyanın işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2022-22597: Trend Micro'dan Qi Sun ve Robert Ai
BOM
İlgili sürüm: macOS Catalina
Etki: Kötü amaçlarla oluşturulmuş bir ZIP arşivi Gatekeeper denetimlerini atlayabilir
Açıklama: Denetimler iyileştirilerek bu sorun giderildi.
CVE-2022-22616: Jamf Software'den Ferdous Saljooki (@malwarezoo) ve Jaron Bradley (@jbradley89), Mickey Jin (@patch1t)
CUPS
İlgili sürüm: macOS Catalina
Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2022-26691: Mandiant'tan Joshua Mason
Intel Graphics Driver
İlgili sürüm: macOS Catalina
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Durumun işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.
CVE-2022-46706: cyberserval'dan Wang Yu ve Alibaba Security Pandora Lab'den Pan ZhenPeng (@Peterpan0927)
Intel Graphics Driver
İlgili sürüm: macOS Catalina
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Durumun işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.
CVE-2022-22661: cyberserval'dan Wang Yu ve Alibaba Security Pandora Lab'den Pan ZhenPeng (@Peterpan0927)
Kernel
İlgili sürüm: macOS Catalina
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.
CVE-2022-22613: anonim bir araştırmacı
Kernel
İlgili sürüm: macOS Catalina
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2022-22615: anonim bir araştırmacı
CVE-2022-22614: anonim bir araştırmacı
Kernel
İlgili sürüm: macOS Catalina
Etki: Ayrıcalıklı konumdaki bir saldırgan, servis reddi saldırısı gerçekleştirebilir
Açıklama: Doğrulama işlemi iyileştirilerek null işaretçi dereferansı sorunu giderildi.
CVE-2022-22638: derrek (@derrekr6)
Login Window
İlgili sürüm: macOS Catalina
Etki: Mac'e erişimi olan bir kullanıcı Giriş Penceresini atlayabilir
Açıklama: Denetimler iyileştirilerek bu sorun giderildi.
CVE-2022-22647: Kyushu Üniversitesinden Yuto Ikeda
LoginWindow
İlgili sürüm: macOS Catalina
Etki: Yerel bir saldırgan, hızlı kullanıcı değiştirme ekranından, daha önce oturum açmış olan kullanıcının masaüstünü görebilir
Açıklama: Durum yönetimi iyileştirilerek kimlik doğrulama sorunu giderildi.
CVE-2022-22656
MobileAccessoryUpdater
İlgili sürüm: macOS Catalina
Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2022-22672: Siddharth Aeri (@b1n4r1b01)
PackageKit
İlgili sürüm: macOS Catalina
Etki: Kök ayrıcalıklarına sahip kötü amaçlı bir uygulama, sistem dosyalarının içeriğini değiştirebilir
Açıklama: Doğrulama iyileştirilerek sembolik bağlantıların işlenmesindeki bir sorun giderildi.
CVE-2022-26688: Trend Micro'dan Mickey Jin (@patch1t)
PackageKit
İlgili sürüm: macOS Catalina
Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2022-22617: Mickey Jin (@patch1t)
QuickTime Player
İlgili sürüm: macOS Catalina
Etki: Bir yazılım eki, uygulamanın izinlerini üzerine alabilir veya kullanıcı verilerine erişebilir
Açıklama: Denetimler iyileştirilerek bu sorun giderildi.
CVE-2022-22650: SecuRing'den Wojciech Reguła (@_r3ggi)
WebKit
İlgili sürüm: macOS Catalina
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, gizli kullanıcı bilgilerini açığa çıkarabilir
Açıklama: Durum yönetimi iyileştirilerek bir çerez yönetimi sorunu giderildi.
CVE-2022-22662: Threat Nix'ten Prakash (@1lastBr3ath)
WebKit
İlgili sürüm: macOS Catalina
Etki: Kötü amaçlarla oluşturulmuş bir posta iletisinin işlenmesi rastgele JavaScript yürütülmesine neden olabilir
Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.
CVE-2022-22589: KnownSec 404 Team'den (knownsec.com) Heige ve Palo Alto Networks'ten (paloaltonetworks.com) Bo Qu
WebKit
İlgili sürüm: macOS Catalina
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, gizli kullanıcı bilgilerini açığa çıkarabilir
Açıklama: Durum yönetimi iyileştirilerek bir çerez yönetimi sorunu giderildi.
CVE-2022-22662: Threat Nix'ten Prakash (@1lastBr3ath)
xar
İlgili sürüm: macOS Catalina
Etki: Yerel bir kullanıcı rastgele dosyalara yazabilir
Açıklama: Sembolik bağlantıların işlenmesinde doğrulama sorunu vardı. Sembolik bağlantı doğrulaması iyileştirilerek bu sorun giderildi.
CVE-2022-22582: NCC Group'tan Richard Warren
Ek teşekkür listesi
Intel Graphics Driver
Yardımları için RET2 Systems, Inc. şirketinden Jack Dates'e ve Yinyi Wu'ya (@3ndy1) teşekkür ederiz.
syslog
Theori'den Yonghwi Jin'e (@jinmo123) yardımı için teşekkür ederiz.
TCC
Offensive Security'den Csaba Fitzl'e (@theevilbit) yardımı için teşekkür ederiz.
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.