CVE-2022-26766

Опубликовано: 26 мая 2022

Источник: nvd

CVSS3: 5.5

CVSS2: 4.3

EPSS Низкий

Уязвимость обхода проверки подписи через вредоносное приложение в продуктах Apple

Описание

В уязвимости, связанной с парсингом сертификатов, злоумышленник способен обойти проверку подписи с использованием вредоносного приложения. Проблема решается за счет улучшенных проверок сертификатов.

Затронутые версии ПО

Уязвимость исправлена в следующих версиях:

iOS 15.5
iPadOS 15.5
tvOS 15.5
watchOS 8.6
macOS Big Sur 11.6.6
macOS Monterey 12.4
Security Update 2022-004 Catalina

Тип уязвимости

Обход проверки подписи

Ссылки

https://support.apple.com/en-us/HT213253
Vendor Advisory
https://support.apple.com/en-us/HT213254
Vendor Advisory
https://support.apple.com/en-us/HT213255
Vendor Advisory
https://support.apple.com/en-us/HT213256
Vendor Advisory
https://support.apple.com/en-us/HT213257
Vendor Advisory
https://support.apple.com/en-us/HT213258
Vendor Advisory
https://support.apple.com/en-us/HT213253
Vendor Advisory
https://support.apple.com/en-us/HT213254
Vendor Advisory
https://support.apple.com/en-us/HT213255
Vendor Advisory
https://support.apple.com/en-us/HT213256
Vendor Advisory
https://support.apple.com/en-us/HT213257
Vendor Advisory
https://support.apple.com/en-us/HT213258
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:o:apple:ipados:*:*:*:*:*:*:*:*

Версия до 15.5 (исключая)

cpe:2.3:o:apple:iphone_os:*:*:*:*:*:*:*:*

Версия до 15.5 (исключая)

cpe:2.3:o:apple:mac_os_x:*:*:*:*:*:*:*:*

Версия до 10.15.7 (исключая)

cpe:2.3:o:apple:mac_os_x:10.15.7:-:*:*:*:*:*:*

cpe:2.3:o:apple:mac_os_x:10.15.7:security_update_2020-001:*:*:*:*:*:*

cpe:2.3:o:apple:mac_os_x:10.15.7:security_update_2021-001:*:*:*:*:*:*

cpe:2.3:o:apple:mac_os_x:10.15.7:security_update_2021-002:*:*:*:*:*:*

cpe:2.3:o:apple:mac_os_x:10.15.7:security_update_2021-003:*:*:*:*:*:*

cpe:2.3:o:apple:mac_os_x:10.15.7:security_update_2021-004:*:*:*:*:*:*

cpe:2.3:o:apple:mac_os_x:10.15.7:security_update_2021-005:*:*:*:*:*:*

cpe:2.3:o:apple:mac_os_x:10.15.7:security_update_2021-006:*:*:*:*:*:*

cpe:2.3:o:apple:mac_os_x:10.15.7:security_update_2021-007:*:*:*:*:*:*

cpe:2.3:o:apple:mac_os_x:10.15.7:security_update_2021-008:*:*:*:*:*:*

cpe:2.3:o:apple:mac_os_x:10.15.7:security_update_2022-001:*:*:*:*:*:*

cpe:2.3:o:apple:mac_os_x:10.15.7:security_update_2022-002:*:*:*:*:*:*

cpe:2.3:o:apple:mac_os_x:10.15.7:security_update_2022-003:*:*:*:*:*:*

cpe:2.3:o:apple:macos:*:*:*:*:*:*:*:*

Версия от 11.0 (включая) до 11.6.6 (исключая)

cpe:2.3:o:apple:macos:*:*:*:*:*:*:*:*

Версия от 12.0 (включая) до 12.4 (исключая)

cpe:2.3:o:apple:tvos:*:*:*:*:*:*:*:*

Версия до 15.5 (исключая)

cpe:2.3:o:apple:watchos:*:*:*:*:*:*:*:*

Версия до 8.6 (исключая)

EPSS

Процентиль: 84%

0.02232

Низкий

5.5 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-295

Связанные уязвимости

GHSA-cjx9-rgqh-q7cc

CVSS3: 5.5

github

больше 3 лет назад

A certificate parsing issue was addressed with improved checks. This issue is fixed in tvOS 15.5, iOS 15.5 and iPadOS 15.5, Security Update 2022-004 Catalina, watchOS 8.6, macOS Big Sur 11.6.6, macOS Monterey 12.4. A malicious app may be able to bypass signature validation.

BDU:2023-06312

CVSS3: 5.5

fstec

больше 3 лет назад

Уязвимость компонента Security операционных систем tvOS, iOS, iPadOS, watchOS, macOS, позволяющая нарушителю обойти проверку подписи

EPSS

Процентиль: 84%

0.02232

Низкий

5.5 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-295