關於安全性更新 2022-005 Catalina 的安全性內容
本文說明安全性更新 2022-005 Catalina 的安全性內容。
關於 Apple 安全性更新
為保障客戶的安全,Apple 在進行調查並提供修補程式或版本之前,不會揭露、討論或確認安全性問題。最新版本列於「Apple 安全性更新」頁面上。
Apple 安全性文件會盡可能以 CVE-ID 參照安全漏洞。
如需安全性的詳細資訊,請參閱 Apple 產品安全性頁面。
安全性更新 2022-005 Catalina
APFS
適用於:macOS Catalina
影響:具有根權限的 App 可能得以利用核心權限執行任意程式碼
說明:改進記憶體處理機制後,已解決此問題。
CVE-2022-32832:Tommy Muir(@Muirey03)
AppleMobileFileIntegrity
適用於:macOS Catalina
影響:App 可能得以取得根權限
說明:改進狀態管理機制後,已解決授權的問題。
CVE-2022-32826:Trend Micro 的 Mickey Jin(@patch1t)
AppleScript
適用於:macOS Catalina
影響:處理惡意製作的二進位 AppleScript 可能導致程序記憶體意外終止或內容洩漏
說明:改進檢查機制後,已解決此問題。
CVE-2022-32797:Mickey Jin(@patch1t)、Baidu Security 的 Ye Zhang(@co0py_Cat)、Trend Micro 的 Mickey Jin(@patch1t)
AppleScript
適用於:macOS Catalina
影響:處理惡意製作的二進位 AppleScript 可能導致程序記憶體意外終止或內容洩漏
說明:改進輸入驗證機制後,已解決超出界限的讀取問題。
CVE-2022-32853:Baidu Security 的 Ye Zhang(@co0py_Cat)
CVE-2022-32851:Baidu Security 的 Ye Zhang(@co0py_Cat)
AppleScript
適用於:macOS Catalina
影響:處理惡意製作的二進位 AppleScript 可能導致程序記憶體意外終止或內容洩漏
說明:改進界限檢查機制後,已解決超出界限的讀取問題。
CVE-2022-32831:Baidu Security 的 Ye Zhang(@co0py_Cat)
Archive Utility
適用於:macOS Catalina
影響:封存檔或許可以規避「門禁」
說明:改進檢查機制後,已解決邏輯問題。
CVE-2022-32910:Jamf Software 的 Ferdous Saljooki(@malwarezoo)
Audio
適用於:macOS Catalina
影響:App 可能得以利用核心權限執行任意程式碼
說明:改進輸入驗證機制後,已解決超出界限的寫入問題。
CVE-2022-32820:匿名研究員
Calendar
適用於:macOS Catalina
影響:App 可能得以存取敏感的使用者資訊
說明:改進快取的處理機制後,已解決此問題。
CVE-2022-32805:Offensive Security 的 Csaba Fitzl(@theevilbit)
Calendar
適用於:macOS Catalina
影響:App 可能得以存取使用者的敏感資料
說明:移除易受攻擊的程式碼後,已解決資訊外洩問題。
CVE-2022-32849:Joshua Jones
CoreText
適用於:macOS Catalina
影響:遠端使用者可能導致 App 意外終止或執行任意程式碼
說明:改進界限檢查機制後,已解決此問題。
CVE-2022-32839:STAR Labs(@starlabs_sg)
FaceTime
適用於:macOS Catalina
影響:具有根權限的 App 可能得以存取私人資訊
說明:啟用強化執行時間後,已解決此問題。
CVE-2022-32781:SecuRing 的 Wojciech Reguła(@_r3ggi)
File System Events
適用於:macOS Catalina
影響:App 可能得以取得根權限
說明:改進狀態管理機制後,已解決邏輯問題。
CVE-2022-32819:Mandiant 的 Joshua Mason
ICU
適用於:macOS Catalina
影響:處理惡意製作的網頁內容可能導致執行任意程式碼
說明:改進界限檢查機制後,已解決超出界限的寫入問題。
CVE-2022-32787:Korea Univ. 所屬 SSD Secure Disclosure Labs & DNSLab 的 Dohyun Lee(@l33d0hyun)
ImageIO
適用於:macOS Catalina
影響:處理影像可能導致阻斷服務
說明:改進驗證機制後,已解決 null 指標取值的問題。
CVE-2022-32785:Yiğit Can YILMAZ(@yilmazcanyigit)
Intel Graphics Driver
適用於:macOS Catalina
影響:App 可能得以利用核心權限執行任意程式碼
說明:改進記憶體處理機制後,已解決此問題。
CVE-2022-32812:Yinyi Wu(@3ndy1)、ABC Research s.r.o.
Intel Graphics Driver
適用於:macOS Catalina
影響:App 可能得以利用核心權限執行任意程式碼
說明:改進鎖定機制後,已解決記憶體損毀漏洞問題。
CVE-2022-32811:ABC Research s.r.o
Kernel
適用於:macOS Catalina
影響:具有根權限的 App 可能得以利用核心權限執行任意程式碼
說明:改進記憶體處理機制後,已解決此問題。
CVE-2022-32815:Pangu Lab 的 Xinru Chi
CVE-2022-32813:Pangu Lab 的 Xinru Chi
LaunchServices
適用於:macOS Catalina
影響:App 或許可以規避某些「隱私權」偏好設定
說明:改進限制機制後,已解決邏輯問題。
CVE-2021-30946:@gorelics 和 BreakPoint.sh 的 Ron Masas
libxml2
適用於:macOS Catalina
影響:App 可能得以洩漏敏感的使用者資訊
說明:改進記憶體處理機制後,已解決記憶體初始化問題。
CVE-2022-32823
PackageKit
適用於:macOS Catalina
影響:App 可能得以修改檔案系統的受保護部分
說明:改進驗證機制後,已解決處理環境變數時的問題。
CVE-2022-32786:Mickey Jin(@patch1t)
PackageKit
適用於:macOS Catalina
影響:App 可能得以修改檔案系統的受保護部分
說明:改進檢查機制後,已解決此問題。
CVE-2022-32800:Mickey Jin(@patch1t)
PluginKit
適用於:macOS Catalina
影響:App 可能得以讀取任意檔案
說明:改進狀態管理機制後,已解決邏輯問題。
CVE-2022-32838:Trend Micro 的 Mickey Jin(@patch1t)
PS Normalizer
適用於:macOS Catalina
影響:處理惡意製作的 Postscript 檔案可能導致 App 意外終止或程序記憶體內容洩漏
說明:改進界限檢查機制後,已解決超出界限的寫入問題。
CVE-2022-32843:Zscaler 所屬 ThreatLabz 的 Kai Lu
SMB
適用於:macOS Catalina
影響:App 可能得以取得更高的權限
說明:改進輸入驗證機制後,已解決超出界限的讀取問題。
CVE-2022-32842:Sreejith Krishnan R(@skr0x1c0)
SMB
適用於:macOS Catalina
影響:具有網路特殊權限的使用者可能得以洩漏敏感資訊
說明:改進界限檢查機制後,已解決超出界限的讀取問題。
CVE-2022-32799:Sreejith Krishnan R(@skr0x1c0)
Software Update
適用於:macOS Catalina
影響:具有網路特殊權限的使用者可以追蹤使用者的活動
說明:使用 HTTPS 在網路上傳送資訊後,已解決此問題。
CVE-2022-32857:Jeffrey Paul(sneak.berlin)
Spindump
適用於:macOS Catalina
影響:App 可能得以覆寫任意檔案
說明:改進檔案處理機制後,已解決此問題。
CVE-2022-32807:Tencent Security Xuanwu Lab 的 Zhipeng Huo(@R3dF09)
Spotlight
適用於:macOS Catalina
影響:App 可能得以取得更高的權限
說明:改進符號連結的驗證機制後,已解決處理符號連結時的驗證問題。
CVE-2022-26704:Mandiant 的 Joshua Mason
TCC
適用於:macOS Catalina
影響:App 可能得以存取敏感的使用者資訊
說明:改進沙箱後,已解決存取問題。
CVE-2022-32834:Tencent Security Xuanwu Lab(xlab.tencent.com)的 Xuxiang Yang(@another1024)、Gordon Long、Computest Sector 7 的 Thijs Alkemade(@xnyhps)、TrustedSec 的 Adam Chester、Tencent Security Xuanwu Lab(xlab.tencent.com)的 Yuebin Sun(@yuebinsun2020)、Tencent Security Xuanwu Lab(xlab.tencent.com)的 Zhipeng Huo(@R3dF09)
Vim
適用於:macOS Catalina
影響:Vim 存在多個問題
說明:更新 Vim 後,已解決多個問題。
CVE-2021-4136
CVE-2021-4166
CVE-2021-4173
CVE-2021-4187
CVE-2021-4192
CVE-2021-4193
CVE-2021-46059
CVE-2022-0128
Wi-Fi
適用於:macOS Catalina
影響:App 可能得以利用核心權限執行任意程式碼
說明:改進輸入驗證機制後,已解決超出界限的寫入問題。
CVE-2022-32860:Cyberserval 的 Wang Yu
Wi-Fi
適用於:macOS Catalina
影響:App 可能得以導致系統意外終止或寫入核心記憶體
說明:改進檢查機制後,已解決此問題。
CVE-2022-32837:Cyberserval 的 Wang Yu
Wi-Fi
適用於:macOS Catalina
影響:遠端使用者可能得以導致系統意外終止或核心記憶體損毀
說明:改進檢查機制後,已解決此問題。
CVE-2022-32847:Cyberserval 的 Wang Yu
對於非 Apple 製造之產品相關資訊,或是非 Apple 控制或測試之獨立網站,不得解釋 Apple 為其推薦或背書。Apple 對於第三方網站或產品的選擇、效能或使用,概不負責。Apple 對於第三方網站的準確性或可靠性不做任何保證。如需其他資訊,請聯絡廠商。