macOS 10.15.x < Catalina 安全性更新 2022-005 Catalina (HT213343)

critical Nessus Plugin ID 163394

Synopsis

遠端主機缺少可修正多個弱點的 macOS 或 Mac OS X 安全性更新或補充更新

描述

遠端主機執行的 macOS/Mac OS X 版本為早於 Catalina 安全性更新 2022-005 的 0.0.x 版 Catalina。因此,該程式受到多個弱點影響:

- vim 容易受到堆積型緩衝區溢位影響 (CVE-2021-4136)

- vim 容易受到超出邊界讀取弱點影響 (CVE-2021-4166、CVE-2021-4193、CVE-2022-0128)

- vim 容易受到釋放後使用弱點影響 (CVE-2021-4173、CVE-2021-4187、CVE-2021-4192)

- 處理符號連結時存在驗證問題,已透過改善符號連結驗證解決此問題。此問題已在 macOS Monterey 12.4 中修正。應用程式可取得更高權限。
(CVE-2022-26704)

- 已透過啟用增強的執行階段解決 FaceTime 中的一個問題。(CVE-2022-32781)

- 已透過改進驗證解決 ImageIO 中的 Null 指標解除參照問題。(CVE-2022-32785)

- 已透過改進驗證解決 PackageKit 中的環境變數處理問題。
(CVE-2022-32786)

- 已透過改善邊界檢查解決超出邊界寫入問題。
(CVE-2022-32787、CVE-2022-32843)

- 已透過改進檢查解決 AppleScript 中的數個問題。
(CVE-2022-32797、CVE-2022-32800、CVE-2022-32847)

- 已透過改進邊界檢查解決 SMB 中的超出邊界讀取問題。(CVE-2022-32799)

- 已透過改進快取處理解決「行事歷」應用程式中的一個問題。(CVE-2022-32805)

- 已透過改進檔案處理解決 Spindump 中的一個問題。(CVE-2022-32807)

- 已透過改進鎖定解決 Intel 圖形驅動程式中的記憶體損毀弱點。
(CVE-2022-32811)

- 已透過改進記憶體處理解決核心中的問題。(CVE-2022-32812、CVE-2022-32813、CVE-2022-32815、CVE-2022-32832)

- 已透過改進狀態管理解決邏輯問題。(CVE-2022-32819、CVE-2022-32838)

- 已透過改進輸入驗證解決超出邊界寫入問題。(CVE-2022-32820)

- 已透過改進記憶體處理解決 libxml2 中的記憶體初始化問題。(CVE-2022-32823)

- 已透過改進狀態管理解決 AppleMobileFileIntegrity 中的授權問題。(CVE-2022-32826)

- 已透過改進邊界檢查解決超出邊界讀取問題。(CVE-2022-32831)

- 已透過改進沙箱解決存取問題。(CVE-2022-32834)

- 已透過改進邊界檢查解決此問題。(CVE-2022-32839)

- 已透過改進輸入驗證解決超出邊界讀取問題。(CVE-2022-32842、CVE-2022-32851 、CVE-2022-32853)

- 已透過移除有弱點的程式碼解決「行事歷」應用程式中的資訊洩漏問題。
(CVE-2022-32849)

- 已透過使用 HTTPS 在網路上傳送資訊解決此問題。(CVE-2022-32857)

請注意,Nessus 並未測試此問題,而是僅依據作業系統自我報告的版本號碼作出判斷。

解決方案

升級至 macOS 10.15.x < Catalina 安全性更新 2022-005 Catalina 或更新版本

另請參閱

https://support.apple.com/en-us/HT213343

Plugin 詳細資訊

嚴重性: Critical

ID: 163394

檔案名稱: macos_HT213343.nasl

版本: 1.7

類型: local

代理程式: macosx

已發布: 2022/7/22

已更新: 2022/12/15

支持的傳感器: Nessus Agent

風險資訊

VPR

風險因素: High

分數: 7.4

CVSS v2

風險因素: Medium

基本分數: 6.8

時間分數: 5

媒介: AV:N/AC:M/Au:N/C:P/I:P/A:P

時間媒介: E:U/RL:OF/RC:C

CVSS 評分資料來源: CVE-2022-26704

CVSS v3

風險因素: Critical

基本分數: 9.8

時間分數: 8.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: E:U/RL:O/RC:C

CVSS 評分資料來源: CVE-2022-32839

弱點資訊

CPE: cpe:/o:apple:mac_os_x, cpe:/o:apple:macos

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2022/7/20

弱點發布日期: 2021/12/19

參考資訊

CVE: CVE-2021-4136, CVE-2021-4166, CVE-2021-4173, CVE-2021-4187, CVE-2021-4192, CVE-2021-4193, CVE-2022-0128, CVE-2022-26704, CVE-2022-32781, CVE-2022-32785, CVE-2022-32786, CVE-2022-32787, CVE-2022-32797, CVE-2022-32799, CVE-2022-32800, CVE-2022-32805, CVE-2022-32807, CVE-2022-32811, CVE-2022-32812, CVE-2022-32813, CVE-2022-32815, CVE-2022-32819, CVE-2022-32820, CVE-2022-32823, CVE-2022-32826, CVE-2022-32831, CVE-2022-32832, CVE-2022-32834, CVE-2022-32838, CVE-2022-32839, CVE-2022-32842, CVE-2022-32843, CVE-2022-32847, CVE-2022-32849, CVE-2022-32851, CVE-2022-32853, CVE-2022-32857

APPLE-SA: HT213343, APPLE-SA-2022-07-20

IAVA: 2022-A-0294-S, 2022-A-0442-S