关于安全性更新 2022-004 Catalina 的安全性内容

本文介绍了安全性更新 2022-004 Catalina 的安全性内容。

关于 Apple 安全性更新

为保护我们的客户，在没有进行调查并推出修补程序或发行版本之前，Apple 不会透露、讨论或确认安全性问题。“Apple 安全性更新”页面上列出了近期发布的版本。

Apple 安全性文稿会尽可能以 CVE-ID 来引用安全漏洞。

如果需要了解有关安全性的更多信息，请参阅“Apple 产品安全性”页面。

安全性更新 2022-004 Catalina

apache

适用于：macOS Catalina

影响：apache 中存在多个问题

描述：已通过将 apache 更新至版本 2.4.53 解决多个问题。

CVE-2021-44224

CVE-2021-44790

CVE-2022-22719

CVE-2022-22720

CVE-2022-22721

AppKit

适用于：macOS Catalina

影响：恶意应用程序或许能够获得根权限

描述：已通过改进验证解决逻辑问题。

CVE-2022-22665：Lockheed Martin Red Team

AppleEvents

适用于：macOS Catalina

影响：远程用户可能会导致 App 意外终止或任意代码执行

描述：已通过改进内存管理解决“释放后使用”问题。

CVE-2022-22630：Jeremy Brown 与 Trend Micro Zero Day Initiative 合作发现

AppleGraphicsControl

适用于：macOS Catalina

影响：处理恶意制作的图像可能会导致任意代码执行

描述：已通过改进输入验证解决内存损坏问题。

CVE-2022-26751：Trend Micro Zero Day Initiative 的 Michael DePlante (@izobashi)

AppleScript

适用于：macOS Catalina

影响：处理恶意制作的 AppleScript 二进制文件可能会导致应用程序意外终止或进程内存泄露

描述：已通过改进输入验证解决越界读取问题。

CVE-2022-26697：Trend Micro 的 Qi Sun 和 Robert Ai

AppleScript

适用于：macOS Catalina

影响：处理恶意制作的 AppleScript 二进制文件可能会导致应用程序意外终止或进程内存泄露

描述：已通过改进边界检查解决越界读取问题。

CVE-2022-26698：Trend Micro 的 Qi Sun

CoreTypes

适用于：macOS Catalina

影响：恶意应用程序可能绕过门禁检查

描述：通过改进检查解决了这个问题，从而避免出现未授权的操作。

CVE-2022-22663：Arsenii Kostromin (0x3c3e)

CVMS

适用于：macOS Catalina

影响：某个恶意应用程序可能会获得根权限

描述：已解决内存初始化问题。

CVE-2022-26721：Theori 的 Yonghwi Jin (@jinmo123)

CVE-2022-26722：Theori 的 Yonghwi Jin (@jinmo123)

DriverKit

适用于：macOS Catalina

影响：恶意应用程序或许能够以系统权限执行任意代码

描述：已通过改进边界检查解决越界访问问题。

CVE-2022-26763：Pinauten GmbH (pinauten.de) 的 Linus Henze

Graphics Drivers

适用于：macOS Catalina

影响：本地用户或许能够读取内核内存

描述：存在导致内核内存泄露的越界读取问题。已通过改进输入验证解决这个问题。

CVE-2022-22674：一位匿名研究人员

Intel Graphics Driver

适用于：macOS Catalina

影响：恶意应用程序或许能够以内核权限执行任意代码

描述：已通过改进边界检查解决越界写入问题。

CVE-2022-26720：蚂蚁集团光年安全实验室的 Liu Long

Intel Graphics Driver

适用于：macOS Catalina

影响：恶意应用程序或许能够以内核权限执行任意代码

描述：已通过改进输入验证解决越界读取问题。

CVE-2022-26770：蚂蚁集团光年安全实验室的 Liu Long

Intel Graphics Driver

适用于：macOS Catalina

影响：应用程序或许能够以内核权限执行任意代码

描述：已通过改进输入验证解决越界写入问题。

CVE-2022-26756：RET2 Systems, Inc 的 Jack Dates

Intel Graphics Driver

适用于：macOS Catalina

影响：恶意应用程序或许能够以内核权限执行任意代码

描述：已通过改进输入验证解决内存损坏问题。

CVE-2022-26769：Antonio Zekic (@antoniozekic)

Intel Graphics Driver

适用于：macOS Catalina

影响：处理恶意制作的网页内容可能会导致任意代码执行

描述：已通过改进输入验证解决越界写入问题。

CVE-2022-26748：Theori 的 Jeonghoon Shin 与 Trend Micro Zero Day Initiative 合作发现

Kernel

适用于：macOS Catalina

影响：应用程序或许能够以内核权限执行任意代码

描述：已通过改进验证解决内存损坏问题。

CVE-2022-26714：STAR Labs (@starlabs_sg) 的 Peter Nguyễn Vũ Hoàng (@peternguyen14)

Kernel

适用于：macOS Catalina

影响：应用程序或许能够以内核权限执行任意代码

描述：已通过改进内存管理解决“释放后使用”问题。

CVE-2022-26757：Google Project Zero 的 Ned Williamson

libresolv

适用于：macOS Catalina

影响：远程用户或许能够导致服务遭拒

描述：已通过改进检查解决这个问题。

CVE-2022-32790：Google Security Team 的 Max Shavrick (@_mxms)

libresolv

适用于：macOS Catalina

影响：攻击者或许能够导致应用程序意外终止或任意代码执行

描述：已通过改进输入验证解决整数溢出问题。

CVE-2022-26775：Google Security Team 的 Max Shavrick (@_mxms)

LibreSSL

适用于：macOS Catalina

影响：处理恶意制作的证书可能会导致服务遭拒

描述：已通过改进输入验证解决服务遭拒问题。

CVE-2022-0778

libxml2

适用于：macOS Catalina

影响：远程攻击者可能会导致应用程序意外终止或任意代码执行

描述：已通过改进内存管理解决“释放后使用”问题。

CVE-2022-23308

OpenSSL

适用于：macOS Catalina

影响：处理恶意制作的证书可能会导致服务遭拒

描述：已通过改进检查解决这个问题。

CVE-2022-0778

PackageKit

适用于：macOS Catalina

影响：App 或许能够获取提升的权限

描述：已通过改进状态管理解决逻辑问题。

CVE-2022-32794：Mickey Jin (@patch1t)

PackageKit

适用于：macOS Catalina

影响：恶意应用程序或许能够修改文件系统的受保护部分

描述：已通过改进授权解决这个问题。

CVE-2022-26727：Mickey Jin (@patch1t)

Printing

适用于：macOS Catalina

影响：恶意应用程序或许能够绕过“隐私”偏好设置

描述：已通过移除易受攻击的代码解决这个问题。

CVE-2022-26746：@gorelics

Security

适用于：macOS Catalina

影响：恶意 App 或许能够绕过签名验证

描述：已通过改进检查解决证书解析问题。

CVE-2022-26766：Pinauten GmbH (pinauten.de) 的 Linus Henze

SMB

适用于：macOS Catalina

影响：应用程序或许能够获取提升的权限

描述：已通过改进边界检查解决越界写入问题。

CVE-2022-26715：STAR Labs 的 Peter Nguyễn Vũ Hoàng

SoftwareUpdate

适用于：macOS Catalina

影响：恶意应用程序或许能够访问受限制的文件

描述：已通过改进授权解决这个问题。

CVE-2022-26728：Mickey Jin (@patch1t)

TCC

适用于：macOS Catalina

影响：App 或许能够捕捉用户的屏幕

描述：已通过改进检查解决这个问题。

CVE-2022-26726：YCISCQ 的 Antonio Cheong Yu Xuan

Tcl

适用于：macOS Catalina

影响：恶意应用程序或许能够突破沙盒

描述：已通过改进环境清理解决这个问题。

CVE-2022-26755：Arsenii Kostromin (0x3c3e)

WebKit

适用于：macOS Catalina

影响：处理恶意制作的邮件可能会导致运行任意 javascript

描述：已通过改进输入清理解决验证问题。

CVE-2022-22589：KnownSec 404 Team (knownsec.com) 的 Heige 以及 Palo Alto Networks (paloaltonetworks.com) 的 Bo Qu

Wi-Fi

适用于：macOS Catalina

影响：某个应用程序或许能够以内核权限执行任意代码

描述：已通过改进内存处理解决内存损坏问题。

CVE-2022-26761：Cyberserval 的 Wang Yu

zip

适用于：macOS Catalina

影响：处理恶意制作的文件可能会导致服务遭拒

描述：已通过改进状态处理解决服务遭拒问题。

CVE-2022-0530

zlib

适用于：macOS Catalina

影响：攻击者或许能够导致应用程序意外终止或任意代码执行

描述：已通过改进输入验证解决内存损坏问题。

CVE-2018-25032：Tavis Ormandy

zsh

适用于：macOS Catalina

影响：远程攻击者或许能够导致任意代码执行

描述：已通过更新到 zsh 版本 5.8.1 解决这个问题。

CVE-2021-45444

特别鸣谢

PackageKit

由衷感谢 Trend Micro 的 Mickey Jin (@patch1t) 为我们提供的协助。