macOS 10.15.x < Catalina セキュリティ更新 2022-005 Catalina (HT213343)

critical Nessus プラグイン ID 163394

概要

リモートホストに、複数の脆弱性を修正する macOS または Mac OS X のセキュリティ更新プログラム、または追加アップデートがありません。

説明

リモートホストは、Catalina セキュリティ更新 2022-005 Catalina より前の 0.0.x である macOS / Mac OS X のバージョンを実行しています。したがって、以下の複数の脆弱性による影響を受けます。

- vimはヒープベースのバッファオーバーフローに対して脆弱です (CVE-2021-4136)

- vim は領域外読み取りに対して脆弱です (CVE-2021-4166, CVE-2021-4193, CVE-2022-0128)

- vim はメモリ解放後使用 (Use After Free) に対して脆弱です (CVE-2021-4173, CVE-2021-4187, CVE-2021-4192)

- シンボリックリンクの処理に検証の問題があり、シンボリックリンクの検証を改善することで対処されました。この問題は macOS Monterey 12.4で修正されています。アプリが昇格された権限を取得する可能性があります。
(CVE-2022-26704)

- 強化されたランタイムを有効にすることで、FaceTime の問題に対処しました。(CVE-2022-32781)

- ImageIO の null ポインターデリファレンスは、検証を改善することで対処されました。(CVE-2022-32785)

- PackageKit の環境変数の処理の問題は、検証を改善することで解決されました。
(CVE-2022-32786)

- 境界チェックを改善することで、領域外書き込みの問題に対処しました。
(CVE-2022-32787、CVE-2022-32843)

- AppleScript のいくつかの問題が、改善されたチェックで対処されました。
(CVE-2022-32797、CVE-2022-32800、CVE-2022-32847)

- 境界チェックを改善することで、SMB の領域外読み取りの問題に対処しました。(CVE-2022-32799)

- Calendar アプリの問題が、キャッシュの処理を改善することで解決されました。(CVE-2022-32805)

- ファイル処理を改善することで、Spindump の問題に対処しました。(CVE-2022-32807)

- Intel グラフィックスドライバーのメモリ破損の脆弱性は、ロッキングを改善することで対処されました。
(CVE-2022-32811)

- カーネルの問題は、メモリ処理を改善することで解決されました。(CVE-2022-32812、CVE-2022-32813、CVE-2022-32815、CVE-2022-32832)

- 状態管理を改善することで、ロジックの問題に対処しました。(CVE-2022-32819、CVE-2022-32838)

- 領域外書き込みの問題は、入力検証の改善により対応されました。(CVE-2022-32820)

- libxml2 のメモリ初期化の問題が、メモリ処理を改善することで対処されました。(CVE-2022-32823)

- AppleMobileFileIntegrity の認証問題は、状態管理を改善することで解決されました。(CVE-2022-32826)

- 境界チェックを改善することで、領域外読み取りに対処しました。(CVE-2022-32831)

- サンドボックスの改善により、アクセスの問題が解決されました。(CVE-2022-32834)

- 境界チェックを改善することで、この問題に対処しました。(CVE-2022-32839)

- AppleScript の領域外読み取りの問題は、入力検証の改善により対応されました。(CVE-2022-32842、CVE-2022-32851、CVE-2022-32853)

- Calendar アプリでの情報漏洩の問題は、脆弱なコードを削除することで解決されました。
(CVE-2022-32849)

- この問題は、ネットワーク経由で情報を送信する際に HTTPS を使用することで解決されました。(CVE-2022-32857)

Nessus はこれらの問題をテストしておらず、代わりにオペレーティングシステムが自己報告するバージョン番号にのみ頼っています。

ソリューション

Upgrade to macOS 10.15.x < Catalinaセキュリティ更新 2022-005 Catalina以降

関連情報

https://support.apple.com/en-us/HT213343

プラグインの詳細

深刻度: Critical

ID: 163394

ファイル名: macos_HT213343.nasl

バージョン: 1.6

タイプ: local

エージェント: macosx

公開日: 2022/7/22

更新日: 2022/11/21

サポートされているセンサー: Nessus Agent

リスク情報

VPR

リスクファクター: High

スコア: 7.4

CVSS v2

リスクファクター: Medium

Base Score: 6.8

Temporal Score: 5

ベクトル: AV:N/AC:M/Au:N/C:P/I:P/A:P

現状ベクトル: E:U/RL:OF/RC:C

CVSS スコアのソース: CVE-2022-26704

CVSS v3

リスクファクター: Critical

Base Score: 9.8

Temporal Score: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: E:U/RL:O/RC:C

CVSS スコアのソース: CVE-2022-32839

脆弱性情報

CPE: cpe:/o:apple:mac_os_x, cpe:/o:apple:macos

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2022/7/20

脆弱性公開日: 2021/12/19

参照情報

CVE: CVE-2021-4136, CVE-2021-4166, CVE-2021-4173, CVE-2021-4187, CVE-2021-4192, CVE-2021-4193, CVE-2022-0128, CVE-2022-26704, CVE-2022-32781, CVE-2022-32785, CVE-2022-32786, CVE-2022-32787, CVE-2022-32797, CVE-2022-32799, CVE-2022-32800, CVE-2022-32805, CVE-2022-32807, CVE-2022-32811, CVE-2022-32812, CVE-2022-32813, CVE-2022-32815, CVE-2022-32819, CVE-2022-32820, CVE-2022-32823, CVE-2022-32826, CVE-2022-32831, CVE-2022-32832, CVE-2022-32834, CVE-2022-32838, CVE-2022-32839, CVE-2022-32842, CVE-2022-32843, CVE-2022-32847, CVE-2022-32849, CVE-2022-32851, CVE-2022-32853, CVE-2022-32857

APPLE-SA: HT213343, APPLE-SA-2022-07-20

IAVA: 2022-A-0294-S, 2022-A-0442