検出

macOS 10.15.x < Catalina セキュリティ更新 2022-005 Catalina (HT213343)

critical Nessus プラグイン ID 163394

Language:

概要

リモートホストに、複数の脆弱性を修正する macOS または Mac OS X のセキュリティ更新プログラム、または追加アップデートがありません。

説明

リモートホストは、Catalina セキュリティ更新 2022-005 Catalina より前の 0.0.x である macOS / Mac OS X のバージョンを実行しています。したがって、以下の複数の脆弱性による影響を受けます。

 - vimはヒープベースのバッファオーバーフローに対して脆弱です (CVE-2021-4136)

 - vim は領域外読み取りに対して脆弱です (CVE-2021-4166, CVE-2021-4193, CVE-2022-0128)

 - vim はメモリ解放後使用 (Use After Free) に対して脆弱です (CVE-2021-4173, CVE-2021-4187, CVE-2021-4192)

 - シンボリックリンクの処理に検証の問題があり、シンボリックリンクの検証を改善することで対処されました。この問題は macOS Monterey 12.4で修正されています。アプリが昇格された権限を取得する可能性があります。
 (CVE-2022-26704)

 - 強化されたランタイムを有効にすることで、FaceTime の問題に対処しました。(CVE-2022-32781)

 - ImageIO の null ポインターデリファレンスは、検証を改善することで対処されました。(CVE-2022-32785)

 - PackageKit の環境変数の処理の問題は、検証を改善することで解決されました。
 (CVE-2022-32786)

 - 境界チェックを改善することで、領域外書き込みの問題に対処しました。
 (CVE-2022-32787、CVE-2022-32843)

 - AppleScript のいくつかの問題が、改善されたチェックで対処されました。
 (CVE-2022-32797、CVE-2022-32800、CVE-2022-32847)

 - 境界チェックを改善することで、SMB の領域外読み取りの問題に対処しました。(CVE-2022-32799)

 - Calendar アプリの問題が、キャッシュの処理を改善することで解決されました。(CVE-2022-32805)

 - ファイル処理を改善することで、Spindump の問題に対処しました。(CVE-2022-32807)

 - Intel グラフィックスドライバーのメモリ破損の脆弱性は、ロッキングを改善することで対処されました。
 (CVE-2022-32811)

 - カーネルの問題は、メモリ処理を改善することで解決されました。(CVE-2022-32812、CVE-2022-32813、CVE-2022-32815、CVE-2022-32832)

 - 状態管理を改善することで、ロジックの問題に対処しました。(CVE-2022-32819、CVE-2022-32838)

 - 領域外書き込みの問題は、入力検証の改善により対応されました。(CVE-2022-32820)

 - libxml2 のメモリ初期化の問題が、メモリ処理を改善することで対処されました。(CVE-2022-32823)

 - AppleMobileFileIntegrity の認証問題は、状態管理を改善することで解決されました。(CVE-2022-32826)

 - 境界チェックを改善することで、領域外読み取りに対処しました。(CVE-2022-32831)

 - サンドボックスの改善により、アクセスの問題が解決されました。(CVE-2022-32834)

 - 境界チェックを改善することで、この問題に対処しました。(CVE-2022-32839)

 - AppleScript の領域外読み取りの問題は、入力検証の改善により対応されました。(CVE-2022-32842、CVE-2022-32851、CVE-2022-32853)

 - Calendar アプリでの情報漏洩の問題は、脆弱なコードを削除することで解決されました。
 (CVE-2022-32849)

 - この問題は、ネットワーク経由で情報を送信する際に HTTPS を使用することで解決されました。(CVE-2022-32857)

Nessus はこれらの問題をテストしておらず、代わりにオペレーティングシステムが自己報告するバージョン番号にのみ頼っています。

ソリューション

Upgrade to macOS 10.15.x < Catalinaセキュリティ更新 2022-005 Catalina以降

参考資料

https://support.apple.com/en-us/HT213343

プラグインの詳細

深刻度: Critical

ID: 163394

ファイル名: macos_HT213343.nasl

バージョン: 1.8

タイプ: local

エージェント: macosx

公開日: 2022/7/22

更新日: 2023/10/17

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Medium

基本値: 6.8

現状値: 5.3

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2022-26704

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS スコアのソース: CVE-2022-32839

脆弱性情報

CPE: cpe:/o:apple:mac_os_x, cpe:/o:apple:macos

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2022/7/20

脆弱性公開日: 2021/12/19

参照情報

CVE: CVE-2021-4136, CVE-2021-4166, CVE-2021-4173, CVE-2021-4187, CVE-2021-4192, CVE-2021-4193, CVE-2022-0128, CVE-2022-26704, CVE-2022-32781, CVE-2022-32785, CVE-2022-32786, CVE-2022-32787, CVE-2022-32797, CVE-2022-32799, CVE-2022-32800, CVE-2022-32805, CVE-2022-32807, CVE-2022-32811, CVE-2022-32812, CVE-2022-32813, CVE-2022-32815, CVE-2022-32819, CVE-2022-32820, CVE-2022-32823, CVE-2022-32826, CVE-2022-32831, CVE-2022-32832, CVE-2022-32834, CVE-2022-32838, CVE-2022-32839, CVE-2022-32842, CVE-2022-32843, CVE-2022-32847, CVE-2022-32849, CVE-2022-32851, CVE-2022-32853, CVE-2022-32857

APPLE-SA: APPLE-SA-2022-07-20, HT213343

IAVA: 2022-A-0294-S, 2022-A-0442-S