macOS 10.15.x < Catalina 安全性更新 2022-003 Catalina (HT213185)
high Nessus Plugin ID 158976
語系:
概要
遠端主機缺少可修正多個弱點的 macOS 或 Mac OS X 安全性更新或補充更新說明
遠端主機執行的 macOS/Mac OS X 版本為 Catalina 安全性更新 2022-003 Catalina 更舊版本。因此,該應用程式受到多個弱點影響:- 應用程式可能取得更高權限。(CVE-2022-22617、CVE-2022-22631)
- 應用程式可能讀取受限制的記憶體 (CVE-2022-22648)
- 處理惡意建構的 AppleScript 二進位檔可能導致應用程式意外終止或處理程序記憶體洩漏 (CVE-2022-22625、CVE-2022-22626、CVE-2022-22627)
- 處理惡意建構的檔案可能導致任意程式碼執行 (CVE-2022-22597)
- 惡意建構的 ZIP 封存可繞過 Gatekeeper 檢查 (CVE-2022-22616)
- 應用程式可以透過核心權限執行任意程式碼 (CVE-2022-22613、CVE-2022-22614、CVE-2022-22615、CVE-2022-22661)
- 有權限的攻擊者可能會發動拒絕服務攻擊 (CVE-2022-22638)
- 具有 Mac 存取權的使用者可能會繞過登入視窗 (CVE-2022-22647)
- 本機攻擊者或可從快速使用者切換畫面檢視先前登入的使用者桌面 (CVE-2022-22656)
- 外掛程式或可繼承應用程式的權限並存取使用者資料 (CVE-2022-22650)
- 處理惡意建構的 Web 內容可能導致敏感使用者資訊洩漏 (CVE-2022-22662)
- 本機使用者或可寫入任意檔案 (CVE-2022-22582)
請注意,Nessus 並未測試此問題,而是僅依據作業系統自我報告的版本號碼。
解決方案
升級至 macOS 10.15.x Catalina 安全性更新 2022-003 或更新版本另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 158976
檔案名稱: macos_HT213185.nasl
版本: 1.7
類型: local
代理程式: macosx
已發布: 2022/3/16
已更新: 2023/3/23
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.7
CVSS v2
風險因素: High
基本分數: 9.3
時間分數: 7.7
媒介: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2022-22661
CVSS v3
風險因素: High
基本分數: 7.8
時間分數: 7.2
媒介: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:F/RL:O/RC:C
弱點資訊
CPE: cpe:/o:apple:mac_os_x, cpe:/o:apple:macos
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2022/3/14
弱點發布日期: 2022/3/14
可惡意利用
Metasploit (macOS Gatekeeper check bypass)
參考資訊
CVE: CVE-2022-22582, CVE-2022-22597, CVE-2022-22613, CVE-2022-22614, CVE-2022-22615, CVE-2022-22616, CVE-2022-22617, CVE-2022-22625, CVE-2022-22626, CVE-2022-22627, CVE-2022-22631, CVE-2022-22638, CVE-2022-22647, CVE-2022-22648, CVE-2022-22650, CVE-2022-22656, CVE-2022-22661, CVE-2022-22662
APPLE-SA: APPLE-SA-2022-03-14-6, HT213185
IAVA: 2022-A-0118-S