- Über den Sicherheitsinhalt von...
Dieses Dokument beschreibt den Sicherheitsinhalt des Sicherheitsupdates 2022-003 Catalina.
Zum Schutz unserer Kunden veröffentlicht, diskutiert oder bestätigt Apple keine Sicherheitsprobleme, bis eine Untersuchung stattgefunden hat und Patches oder Versionen verfügbar sind. Die neuesten Versionen sind auf der Seite Apple Sicherheitsaktualisierungen aufgeführt.
In den Sicherheitsdokumenten von Apple werden die Schwachstellen, wenn möglich, mit der CVE-ID angegeben.
Weitere Informationen zur Sicherheit finden Sie auf der Seite zur Sicherheit von Apple-Produkten.
Freigegeben am 14. März 2022
AppKit
Verfügbar für: macOS Catalina
Auswirkungen: Eine bösartige Anwendung kann möglicherweise Root-Rechte erlangen
Beschreibung: Ein logisches Problem wurde mit verbesserter Validierung behoben.
CVE-2022-22665: Lockheed Martin Red Team
Eintrag hinzugefügt am 25. Mai 2022
AppleGraphicsControl
Verfügbar für: macOS Catalina
Auswirkungen: Eine Anwendung kann möglicherweise erhöhte Rechte erlangen
Beschreibung: Ein Out-of-Bounds-Write-Problem wurde mit verbesserter Bound-Checking-Funktion behoben.
CVE-2022-22631: Wang Yu von cyberserval
Eintrag aktualisiert am 25. Mai 2022
AppleScript
Verfügbar für: macOS Catalina
Auswirkungen: Eine Anwendung kann möglicherweise eingeschränkten Speicher lesen
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2022-22648: Mickey Jin (@patch1t) von Trend Micro
Eintrag aktualisiert am 25. Mai 2022
AppleScript
Verfügbar für: macOS Catalina
Auswirkungen: Die Verarbeitung einer in böser Absicht erstellten AppleScript-Binärdatei kann zur unerwarteten Beendigung der Anwendung oder zur Offenlegung des Prozessspeichers führen
Beschreibung: Ein Out-of-bounds-Read wurde mit verbesserter Bound-Checking-Methode behoben.
CVE-2022-22627: Qi Sun und Robert Ai von Trend Micro
CVE-2022-22626: Mickey Jin (@patch1t) von Trend Micro
AppleScript
Verfügbar für: macOS Catalina
Auswirkungen: Die Verarbeitung einer in böser Absicht erstellten AppleScript-Binärdatei kann zu einer unerwarteten Beendigung der Anwendung oder zur Offenlegung des Prozessspeichers führen
Beschreibung: Ein Out-of-bounds-Read wurde durch eine verbesserte Eingabevalidierung behoben.
CVE-2022-22625: Mickey Jin (@patch1t) von Trend Micro
AppleScript
Verfügbar für: macOS Catalina
Auswirkungen: Die Verarbeitung einer in böser Absicht erstellten Datei kann zur Ausführung von beliebigem Code führen
Beschreibung: Ein Speicherkorruptionsproblem wurde mit verbesserter Validierung behoben.
CVE-2022-22597: Qi Sun und Robert Ai von Trend Micro
BOM
Verfügbar für: macOS Catalina
Auswirkungen: Ein in böser Absicht erstelltes ZIP-Archiv kann die Gatekeeper-Prüfungen umgehen
Beschreibung: Dieses Problem wurde mit verbesserten Prüfungen behoben.
CVE-2022-22616: Ferdous Saljooki (@malwarezoo) und Jaron Bradley (@jbradley89) von Jamf Software, Mickey Jin (@patch1t)
CUPS
Verfügbar für: macOS Catalina
Auswirkungen: Eine Anwendung kann möglicherweise erhöhte Privilegien erlangen
Beschreibung: Ein logisches Problem wurde mit verbesserter Zustandsverwaltung behoben.
CVE-2022-26691: Joshua Mason von Mandiant
Eintrag hinzugefügt am 25. Mai 2022
Intel-Grafiktreiber
Verfügbar für: macOS Catalina
Auswirkungen: Eine Anwendung könnte in der Lage sein, beliebigen Code mit Kernel-Rechten auszuführen
Beschreibung: Ein Typverwechslungsproblem wurde durch verbesserte Zustandsbehandlung behoben.
CVE-2022-22661: ein anonymer Forscher, Pan ZhenPeng (@Peterpan0927) von Alibaba Security Pandora Lab
Eintrag aktualisiert am 25. Mai 2022
Kernel
Verfügbar für: macOS Catalina
Auswirkungen: Eine Anwendung kann möglicherweise beliebigen Code mit Kernel-Rechten ausführen
Beschreibung: Ein Out-of-Bounds-Write-Problem wurde mit verbesserter Bound-Checking-Methode behoben.
CVE-2022-22613: ein anonymer Forscher, Alex
Kernel
Verfügbar für: macOS Catalina
Auswirkungen: Eine Anwendung könnte in der Lage sein, beliebigen Code mit den Rechten des Kernels auszuführen
Beschreibung: Ein "Use after free"-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-22615: ein anonymer Forscher
CVE-2022-22614: ein anonymer Forscher
Kernel
Verfügbar für: macOS Catalina
Auswirkungen: Ein Angreifer, der sich in einer privilegierten Position befindet, kann möglicherweise einen Denial-of-Service-Angriff durchführen
Beschreibung: Eine Null-Zeiger-Dereferenz wurde mit verbesserter Validierung adressiert.
CVE-2022-22638: derrek (@derrekr6)
Anmeldefenster
Verfügbar für: macOS Catalina
Auswirkungen: Eine Person mit Zugriff auf einen Mac kann möglicherweise das Anmeldefenster umgehen
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2022-22647: Yuto Ikeda von der Kyushu Universität
Eintrag aktualisiert am 25. Mai 2022
LoginWindow
Verfügbar für: macOS Catalina
Auswirkungen: Ein lokaler Angreifer könnte in der Lage sein, den Desktop des zuvor angemeldeten Benutzers über den Bildschirm für den schnellen Benutzerwechsel zu sehen
Beschreibung: Ein Authentifizierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2022-22656
MobileAccessoryUpdater
Verfügbar für: macOS Catalina
Auswirkungen: Eine bösartige Anwendung kann möglicherweise beliebigen Code mit Kernel-Rechten ausf�hren
Beschreibung: Ein Speicherkorruptionsproblem wurde durch verbesserte Speicherbehandlung behoben.
CVE-2022-22672: Siddharth Aeri (@b1n4r1b01)
Eintrag hinzugefügt am 25. Mai 2022
PackageKit
Verfügbar für: macOS Catalina
Auswirkungen: Eine bösartige Anwendung mit Root-Rechten kann möglicherweise den Inhalt von Systemdateien verändern
Beschreibung: Ein Problem in der Handhabung von Symlinks wurde mit verbesserter Validierung behoben.
CVE-2022-26688: Mickey Jin (@patch1t) von Trend Micro
Eintrag hinzugefügt am 25. Mai 2022
PackageKit
Verfügbar für: macOS Catalina
Auswirkungen: Eine Anwendung kann möglicherweise erhöhte Rechte erlangen
Beschreibung: Ein logisches Problem wurde mit verbesserter Zustandsverwaltung behoben.
CVE-2022-22617: Mickey Jin (@patch1t)
QuickTime-Player
Verfügbar für: macOS Catalina
Auswirkungen: Ein Plug-in kann möglicherweise die Berechtigungen der Anwendung erben und auf Benutzerdaten zugreifen
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2022-22650: Wojciech Reguła (@_r3ggi) von SecuRing
WebKit
Verfügbar für: macOS Catalina
Auswirkungen: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann sensible Benutzerinformationen offenlegen
Beschreibung: Ein Problem mit der Cookie-Verwaltung wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2022-22662: Prakash (@1lastBr3ath) von Threat Nix
Eintrag hinzugefügt am 25. Mai 2022
WebKit
Verfügbar für: macOS Catalina
Auswirkungen: Die Verarbeitung einer in böser Absicht erstellten E-Mail-Nachricht kann zur Ausführung von beliebigem Javascript führen
Beschreibung: Ein Validierungsproblem wurde mit verbesserter Eingabensanitisierung behoben.
CVE-2022-22589: Heige vom KnownSec 404 Team (knownsec.com) und Bo Qu von Palo Alto Networks (paloaltonetworks.com)
Eintrag hinzugefügt Mai 25, 2022
WebKit
Verfügbar für: macOS Catalina
Auswirkungen: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann sensible Benutzerinformationen offenlegen
Beschreibung: Ein Problem bei der Cookie-Verwaltung wurde durch eine verbesserte Zustandsverwaltung behoben.
WebKit Bugzilla: 232748 CVE-2022-22662: Prakash (@1lastBr3ath) von Threat Nix
xar
Verfügbar für: macOS Catalina
Auswirkungen: Ein lokaler Benutzer könnte in der Lage sein, beliebige Dateien zu schreiben
Beschreibung: Es gab ein Validierungsproblem bei der Behandlung von Symlinks. Dieses Problem wurde mit einer verbesserten Validierung von Symlinks behoben.
CVE-2022-22582: Richard Warren von der NCC Group
Intel-Grafiktreiber
Wir möchten uns bei Jack Dates von RET2 Systems, Inc. und Yinyi Wu (@3ndy1) für ihre Unterstützung bedanken.
syslog
Wir möchten uns bei Yonghwi Jin (@jinmo123) von Theori für ihre Unterstützung bedanken.
TCC
Wir möchten uns bei Csaba Fitzl (@theevilbit) von Offensive Security für seine Unterstützung bedanken.
Informationen über Produkte, die nicht von Apple hergestellt werden, oder unabhängige Websites, die nicht von Apple kontrolliert oder getestet werden, werden ohne Empfehlung oder Befürwortung bereitgestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Verwendung von Websites oder Produkten Dritter. Apple gibt keine Zusicherungen hinsichtlich der Genauigkeit oder Zuverlässigkeit von Websites Dritter ab. Wenden Sie sich für weitere Informationen an den jeweiligen Anbieter.
Veröffentlichungsdatum: Mai 25, 2022
Über Apple Sicherheitsupdates
Zum Schutz unserer Kunden veröffentlicht, diskutiert oder bestätigt Apple keine Sicherheitsprobleme, bis eine Untersuchung stattgefunden hat und Patches oder Versionen verfügbar sind. Die neuesten Versionen sind auf der Seite Apple Sicherheitsaktualisierungen aufgeführt.
In den Sicherheitsdokumenten von Apple werden die Schwachstellen, wenn möglich, mit der CVE-ID angegeben.
Weitere Informationen zur Sicherheit finden Sie auf der Seite zur Sicherheit von Apple-Produkten.
Sicherheitsaktualisierung 2022-003 Catalina
Freigegeben am 14. März 2022
AppKit
Verfügbar für: macOS Catalina
Auswirkungen: Eine bösartige Anwendung kann möglicherweise Root-Rechte erlangen
Beschreibung: Ein logisches Problem wurde mit verbesserter Validierung behoben.
CVE-2022-22665: Lockheed Martin Red Team
Eintrag hinzugefügt am 25. Mai 2022
AppleGraphicsControl
Verfügbar für: macOS Catalina
Auswirkungen: Eine Anwendung kann möglicherweise erhöhte Rechte erlangen
Beschreibung: Ein Out-of-Bounds-Write-Problem wurde mit verbesserter Bound-Checking-Funktion behoben.
CVE-2022-22631: Wang Yu von cyberserval
Eintrag aktualisiert am 25. Mai 2022
AppleScript
Verfügbar für: macOS Catalina
Auswirkungen: Eine Anwendung kann möglicherweise eingeschränkten Speicher lesen
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2022-22648: Mickey Jin (@patch1t) von Trend Micro
Eintrag aktualisiert am 25. Mai 2022
AppleScript
Verfügbar für: macOS Catalina
Auswirkungen: Die Verarbeitung einer in böser Absicht erstellten AppleScript-Binärdatei kann zur unerwarteten Beendigung der Anwendung oder zur Offenlegung des Prozessspeichers führen
Beschreibung: Ein Out-of-bounds-Read wurde mit verbesserter Bound-Checking-Methode behoben.
CVE-2022-22627: Qi Sun und Robert Ai von Trend Micro
CVE-2022-22626: Mickey Jin (@patch1t) von Trend Micro
AppleScript
Verfügbar für: macOS Catalina
Auswirkungen: Die Verarbeitung einer in böser Absicht erstellten AppleScript-Binärdatei kann zu einer unerwarteten Beendigung der Anwendung oder zur Offenlegung des Prozessspeichers führen
Beschreibung: Ein Out-of-bounds-Read wurde durch eine verbesserte Eingabevalidierung behoben.
CVE-2022-22625: Mickey Jin (@patch1t) von Trend Micro
AppleScript
Verfügbar für: macOS Catalina
Auswirkungen: Die Verarbeitung einer in böser Absicht erstellten Datei kann zur Ausführung von beliebigem Code führen
Beschreibung: Ein Speicherkorruptionsproblem wurde mit verbesserter Validierung behoben.
CVE-2022-22597: Qi Sun und Robert Ai von Trend Micro
BOM
Verfügbar für: macOS Catalina
Auswirkungen: Ein in böser Absicht erstelltes ZIP-Archiv kann die Gatekeeper-Prüfungen umgehen
Beschreibung: Dieses Problem wurde mit verbesserten Prüfungen behoben.
CVE-2022-22616: Ferdous Saljooki (@malwarezoo) und Jaron Bradley (@jbradley89) von Jamf Software, Mickey Jin (@patch1t)
CUPS
Verfügbar für: macOS Catalina
Auswirkungen: Eine Anwendung kann möglicherweise erhöhte Privilegien erlangen
Beschreibung: Ein logisches Problem wurde mit verbesserter Zustandsverwaltung behoben.
CVE-2022-26691: Joshua Mason von Mandiant
Eintrag hinzugefügt am 25. Mai 2022
Intel-Grafiktreiber
Verfügbar für: macOS Catalina
Auswirkungen: Eine Anwendung könnte in der Lage sein, beliebigen Code mit Kernel-Rechten auszuführen
Beschreibung: Ein Typverwechslungsproblem wurde durch verbesserte Zustandsbehandlung behoben.
CVE-2022-22661: ein anonymer Forscher, Pan ZhenPeng (@Peterpan0927) von Alibaba Security Pandora Lab
Eintrag aktualisiert am 25. Mai 2022
Kernel
Verfügbar für: macOS Catalina
Auswirkungen: Eine Anwendung kann möglicherweise beliebigen Code mit Kernel-Rechten ausführen
Beschreibung: Ein Out-of-Bounds-Write-Problem wurde mit verbesserter Bound-Checking-Methode behoben.
CVE-2022-22613: ein anonymer Forscher, Alex
Kernel
Verfügbar für: macOS Catalina
Auswirkungen: Eine Anwendung könnte in der Lage sein, beliebigen Code mit den Rechten des Kernels auszuführen
Beschreibung: Ein "Use after free"-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-22615: ein anonymer Forscher
CVE-2022-22614: ein anonymer Forscher
Kernel
Verfügbar für: macOS Catalina
Auswirkungen: Ein Angreifer, der sich in einer privilegierten Position befindet, kann möglicherweise einen Denial-of-Service-Angriff durchführen
Beschreibung: Eine Null-Zeiger-Dereferenz wurde mit verbesserter Validierung adressiert.
CVE-2022-22638: derrek (@derrekr6)
Anmeldefenster
Verfügbar für: macOS Catalina
Auswirkungen: Eine Person mit Zugriff auf einen Mac kann möglicherweise das Anmeldefenster umgehen
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2022-22647: Yuto Ikeda von der Kyushu Universität
Eintrag aktualisiert am 25. Mai 2022
LoginWindow
Verfügbar für: macOS Catalina
Auswirkungen: Ein lokaler Angreifer könnte in der Lage sein, den Desktop des zuvor angemeldeten Benutzers über den Bildschirm für den schnellen Benutzerwechsel zu sehen
Beschreibung: Ein Authentifizierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2022-22656
MobileAccessoryUpdater
Verfügbar für: macOS Catalina
Auswirkungen: Eine bösartige Anwendung kann möglicherweise beliebigen Code mit Kernel-Rechten ausf�hren
Beschreibung: Ein Speicherkorruptionsproblem wurde durch verbesserte Speicherbehandlung behoben.
CVE-2022-22672: Siddharth Aeri (@b1n4r1b01)
Eintrag hinzugefügt am 25. Mai 2022
PackageKit
Verfügbar für: macOS Catalina
Auswirkungen: Eine bösartige Anwendung mit Root-Rechten kann möglicherweise den Inhalt von Systemdateien verändern
Beschreibung: Ein Problem in der Handhabung von Symlinks wurde mit verbesserter Validierung behoben.
CVE-2022-26688: Mickey Jin (@patch1t) von Trend Micro
Eintrag hinzugefügt am 25. Mai 2022
PackageKit
Verfügbar für: macOS Catalina
Auswirkungen: Eine Anwendung kann möglicherweise erhöhte Rechte erlangen
Beschreibung: Ein logisches Problem wurde mit verbesserter Zustandsverwaltung behoben.
CVE-2022-22617: Mickey Jin (@patch1t)
QuickTime-Player
Verfügbar für: macOS Catalina
Auswirkungen: Ein Plug-in kann möglicherweise die Berechtigungen der Anwendung erben und auf Benutzerdaten zugreifen
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2022-22650: Wojciech Reguła (@_r3ggi) von SecuRing
WebKit
Verfügbar für: macOS Catalina
Auswirkungen: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann sensible Benutzerinformationen offenlegen
Beschreibung: Ein Problem mit der Cookie-Verwaltung wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2022-22662: Prakash (@1lastBr3ath) von Threat Nix
Eintrag hinzugefügt am 25. Mai 2022
WebKit
Verfügbar für: macOS Catalina
Auswirkungen: Die Verarbeitung einer in böser Absicht erstellten E-Mail-Nachricht kann zur Ausführung von beliebigem Javascript führen
Beschreibung: Ein Validierungsproblem wurde mit verbesserter Eingabensanitisierung behoben.
CVE-2022-22589: Heige vom KnownSec 404 Team (knownsec.com) und Bo Qu von Palo Alto Networks (paloaltonetworks.com)
Eintrag hinzugefügt Mai 25, 2022
WebKit
Verfügbar für: macOS Catalina
Auswirkungen: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann sensible Benutzerinformationen offenlegen
Beschreibung: Ein Problem bei der Cookie-Verwaltung wurde durch eine verbesserte Zustandsverwaltung behoben.
WebKit Bugzilla: 232748 CVE-2022-22662: Prakash (@1lastBr3ath) von Threat Nix
xar
Verfügbar für: macOS Catalina
Auswirkungen: Ein lokaler Benutzer könnte in der Lage sein, beliebige Dateien zu schreiben
Beschreibung: Es gab ein Validierungsproblem bei der Behandlung von Symlinks. Dieses Problem wurde mit einer verbesserten Validierung von Symlinks behoben.
CVE-2022-22582: Richard Warren von der NCC Group
Zusätzliche Erkennung
Intel-Grafiktreiber
Wir möchten uns bei Jack Dates von RET2 Systems, Inc. und Yinyi Wu (@3ndy1) für ihre Unterstützung bedanken.
syslog
Wir möchten uns bei Yonghwi Jin (@jinmo123) von Theori für ihre Unterstützung bedanken.
TCC
Wir möchten uns bei Csaba Fitzl (@theevilbit) von Offensive Security für seine Unterstützung bedanken.
Informationen über Produkte, die nicht von Apple hergestellt werden, oder unabhängige Websites, die nicht von Apple kontrolliert oder getestet werden, werden ohne Empfehlung oder Befürwortung bereitgestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Verwendung von Websites oder Produkten Dritter. Apple gibt keine Zusicherungen hinsichtlich der Genauigkeit oder Zuverlässigkeit von Websites Dritter ab. Wenden Sie sich für weitere Informationen an den jeweiligen Anbieter.
Veröffentlichungsdatum: Mai 25, 2022
Dieses Dokument beschreibt den Sicherheitsinhalt des Sicherheitsupdates 2022-003 Catalina.
Über Apple Sicherheitsupdates
Zum Schutz unserer Kunden...
Dieses Dokument beschreibt den Sicherheitsinhalt des Sicherheitsupdates 2021-003 Mojave.
Über Apple Sicherheitsupdates
Zum Schutz unserer Kunden v...
Dieses Dokument beschreibt den Sicherheitsinhalt von Safari 14.0.3.
Über Apple Sicherheitsupdates
Zum Schutz unserer Kunden veröffentlicht, disku...