Sobre o conteúdo de segurança do macOS Ventura 13

Este documento descreve o conteúdo de segurança do macOS Ventura 13.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

Para obter mais informações sobre segurança, consulte a página sobre segurança de produtos Apple.

macOS Ventura 13

Lançamento: 24 de outubro de 2022

Accelerate Framework

Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)

Impacto: processar uma imagem criada com códigos maliciosos pode levar à execução arbitrária de códigos

Descrição: um problema de consumo de memória foi resolvido por meio de melhorias no processamento da memória.

CVE-2022-42795: ryuzaki

APFS

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema de acesso foi resolvido por meio de melhorias nas restrições de acesso.

CVE-2022-48577: Csaba Fitzl (@theevilbit) da Offensive Security

Entrada adicionada em 21 de dezembro de 2023

Apple Neural Engine

Impacto: um app pode causar vazamento de estados confidenciais do kernel

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2022-32858: Mohamed Ghannam (@_simo36)

Apple Neural Engine

Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2022-32898: Mohamed Ghannam (@_simo36)

CVE-2022-32899: Mohamed Ghannam (@_simo36)

CVE-2022-46721: Mohamed Ghannam (@_simo36)

CVE-2022-47915: Mohamed Ghannam (@_simo36)

CVE-2022-47965: Mohamed Ghannam (@_simo36)

CVE-2022-32889: Mohamed Ghannam (@_simo36)

Entrada atualizada em 21 de dezembro de 2023

AppleAVD

Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel

Descrição: esse problema foi resolvido por meio de melhorias nas verificações.

CVE-2022-32907: Yinyi Wu, ABC Research s.r.o, Natalie Silvanovich do Google Project Zero, Tommaso Bianco (@cutesmilee__), Antonio Zekic (@antoniozekic) e John Aakerblom (@jaakerblom)

Entrada adicionada em 16 de março de 2023

AppleAVD

Impacto: um app pode ser capaz de causar uma negação de serviço

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2022-32827: Antonio Zekic (@antoniozekic), Natalie Silvanovich do Google Project Zero e um pesquisador anônimo

AppleMobileFileIntegrity

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema de configuração foi resolvido por meio de restrições adicionais.

CVE-2022-32877: Wojciech Reguła (@_r3ggi) da SecuRing

Entrada adicionada em 16 de março de 2023

AppleMobileFileIntegrity

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema na validação da assinatura de códigos foi resolvido por meio de melhorias nas verificações.

CVE-2022-42789: Koh M. Nakagawa da FFRI Security, Inc.

AppleMobileFileIntegrity

Impacto: um app pode conseguir modificar áreas protegidas do sistema de arquivos

Descrição: esse problema foi resolvido com a remoção de outros direitos.

CVE-2022-42825: Mickey Jin (@patch1t)

Assets

Impacto: um app pode conseguir modificar áreas protegidas do sistema de arquivos

Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.

CVE-2022-46722: Mickey Jin (@patch1t)

Entrada adicionada em 1º de agosto de 2023

ATS

Impacto: um app pode conseguir ignorar as preferências de Privacidade

Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2022-32902: Mickey Jin (@patch1t)

ATS

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema de acesso foi resolvido por meio de outras restrições.

CVE-2022-32904: Mickey Jin (@patch1t)

ATS

Impacto: um processo em área restrita pode contornar restrições dessa área

Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.

CVE-2022-32890: Mickey Jin (@patch1t)

Audio

Impacto: um app pode obter privilégios elevados

Descrição: o problema foi resolvido por meio da remoção do código vulnerável.

CVE-2022-42796: Mickey Jin (@patch1t)

Entrada atualizada em 16 de março de 2023

Audio

Impacto: processar um arquivo de áudio criado com códigos maliciosos pode levar à divulgação de informações do usuário

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2022-42798: pesquisador anônimo em parceria com a Zero Day Initiative da Trend Micro

Entrada adicionada em 27 de outubro de 2022

AVEVideoEncoder

Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel

Descrição: o problema foi resolvido por meio de melhorias nas verificações de limites.

CVE-2022-32940: ABC Research s.r.o.

Beta Access Utility

Impacto: um app pode conseguir modificar áreas protegidas do sistema de arquivos

Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2022-42816: Mickey Jin (@patch1t)

Entrada adicionada em 21 de dezembro de 2023

BOM

Impacto: um app pode ignorar as verificações do Gatekeeper

Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.

CVE-2022-42821: Jonathan Bar Or da Microsoft

Entrada adicionada em 13 de dezembro de 2022

Boot Camp

Impacto: um app pode modificar áreas protegidas do sistema de arquivos

Descrição: esse problema foi resolvido por meio de melhorias nas verificações para impedir ações não autorizadas.

CVE-2022-42860: Mickey Jin (@patch1t) da Trend Micro

Entrada adicionada em 16 de março de 2023

Calendar

Impacto: um app pode conseguir ler informações confidenciais de localização

Descrição: um problema de acesso foi resolvido por meio de melhorias nas restrições de acesso.

CVE-2022-42819: pesquisador anônimo

CFNetwork

Impacto: processar um certificado criado com códigos maliciosos pode levar à execução arbitrária de códigos

Descrição: ocorria um problema de validação do certificado durante o processamento do WKWebView. Esse problema foi resolvido por meio de melhorias na validação.

CVE-2022-42813: Jonathan Zhang da Open Computing Facility (ocf.berkeley.edu)

ColorSync

Impacto: processar uma imagem criada com códigos maliciosos pode levar à execução arbitrária de códigos

Descrição: havia um problema de memória corrompida no processamento de perfis ICC. Esse problema foi resolvido por meio de melhorias na validação de entradas.

CVE-2022-26730: David Hoyt da Hoyt LLC

Core Bluetooth

Impacto: um app pode ser capaz de gravar áudio com AirPods emparelhados

Descrição: um problema de acesso foi resolvido com mais restrições para a área restrita em apps de terceiros.

CVE-2022-32945: Guilherme Rambo, da Best Buddy Apps (rambo.codes)

Entrada adicionada em 9 de novembro de 2022

CoreMedia

Impacto: uma extensão de câmera pode continuar recebendo vídeo depois que o app ativado foi fechado

Descrição: um problema no acesso do app aos dados da câmera foi resolvido por meio de melhorias na lógica.

CVE-2022-42838: Halle Winkler (@hallewinkler) da Politepix

Entrada adicionada em 22 de dezembro de 2022

CoreServices

Impacto: um app pode conseguir sair de sua área restrita

Descrição: um problema de acesso foi resolvido por meio de outras restrições.

CVE-2022-48683: Thijs Alkemade da Computest Sector 7, Wojciech Reguła (@_r3ggi) da SecuRing e Arsenii Kostromin

Entrada adicionada em 29 de maio de 2024

CoreTypes

Impacto: um aplicativo malicioso pode ignorar as verificações do Gatekeeper

Descrição: esse problema foi resolvido por meio de melhorias nas verificações para impedir ações não autorizadas.

CVE-2022-22663: Arsenii Kostromin (0x3c3e)

Entrada adicionada em 16 de março de 2023

Crash Reporter

Impacto: um usuário com acesso físico a um dispositivo iOS pode ser capaz de ler registros de diagnóstico anteriores

Descrição: esse problema foi resolvido por meio de melhorias na proteção de dados.

CVE-2022-32867: Kshitij Kuma e Jai Musunuri da Crowdstrike

curl

Impacto: diversos problemas no curl

Descrição: diversos problemas foram resolvidos por meio da atualização do curl para a versão 7.84.0.

CVE-2022-32205

CVE-2022-32206

CVE-2022-32207

CVE-2022-32208

Directory Utility

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.

CVE-2022-42814: Sergii Kryvoblotskyi da MacPaw Inc.

DriverKit

Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2022-32865: Linus Henze da Pinauten GmbH (pinauten.de)

DriverKit

Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel

Descrição: um problema de confusão de tipos foi resolvido por meio de melhorias nas verificações.

CVE-2022-32915: Tommy Muir (@Muirey03)

Exchange

Impacto: um usuário em uma posição de rede privilegiada pode ser capaz de interceptar credenciais de e-mail

Descrição: um problema de lógica foi resolvido por meio de melhorias nas restrições.

CVE-2022-32928: Jiří Vinopal (@vinopaljiri) da Check Point Research

Entrada atualizada em 16 de março de 2023

FaceTime

Impacto: um usuário pode enviar áudio e vídeo em chamadas do FaceTime sem saber que o fez

Descrição: esse problema foi resolvido por meio de melhorias nas verificações.

CVE-2022-22643: Sonali Luthar, da Universidade da Virgínia, Michael Liao, da Universidade de Illinois em Urbana-Champaign, Rohan Pahwa, da Universidade Rutgers, e Bao Nguyen, da Universidade da Flórida

Entrada adicionada em 16 de março de 2023

FaceTime

Impacto: um usuário pode visualizar conteúdo restrito pela tela de bloqueio

Descrição: um problema na tela bloqueada foi resolvido por meio de melhorias no gerenciamento de estado.

CVE-2022-32935: Bistrit Dahal

Entrada adicionada em 27 de outubro de 2022

Find My

Impacto: um aplicativo malicioso pode ler informações de localização confidenciais

Descrição: havia um problema de permissões. Esse problema foi resolvido por meio de melhorias na validação de permissões.

CVE-2022-42788: Csaba Fitzl (@theevilbit) da Offensive Security, Wojciech Reguła da SecuRing (wojciechregula.blog)

Find My

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: o problema foi resolvido por meio de melhorias no gerenciamento dos caches.

CVE-2022-48504: Csaba Fitzl (@theevilbit) da Offensive Security

Entrada adicionada em 21 de dezembro de 2023

Finder

Impacto: o processamento de um arquivo DMG criado com códigos maliciosos pode levar à execução arbitrária de códigos com privilégios do sistema

Descrição: esse problema foi resolvido por meio de melhorias na validação de links simbólicos.

CVE-2022-32905: Ron Masas (breakpoint.sh) da BreakPoint Technologies LTD

GPU Drivers

Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.

CVE-2022-42833: Pan ZhenPeng (@Peterpan0927)

Entrada adicionada em 22 de dezembro de 2022

GPU Drivers

Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2022-32947: Asahi Lina (@LinaAsahi)

Grapher

Impacto: processar um arquivo gcx criado com códigos maliciosos pode causar o encerramento inesperado de apps ou a execução de códigos arbitrários

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2022-42809: Yutao Wang (@Jack) e Yu Zhou (@yuzhou6666)

Heimdal

Impacto: um usuário pode ser capaz de causar o encerramento inesperado do app ou a execução arbitrária de códigos

Descrição: esse problema foi resolvido por meio de melhorias nas verificações.

CVE-2022-3437: Evgeny Legerov da Intevydis

Entrada adicionada em 25 de outubro de 2022

iCloud Photo Library

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema de divulgação de informações foi resolvido por meio da remoção do código vulnerável.

CVE-2022-32849: Joshua Jones

Entrada adicionada em 9 de novembro de 2022

Image Processing

Impacto: um app no modo sandbox pode ser capaz de identificar qual aplicativo está usando a câmera no momento

Descrição: o problema foi resolvido com restrições adicionais à capacidade de observação dos estados do app.

CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)

ImageIO

Impacto: o processamento de uma imagem pode levar a uma negação de serviço

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.

CVE-2022-32809: Mickey Jin (@patch1t)

Entrada adicionada em 1º de agosto de 2023

ImageIO

Impacto: o processamento de uma imagem pode levar a uma negação de serviço

Descrição: um problema de negação de serviço foi resolvido por meio de melhorias na validação.

CVE-2022-1622

Intel Graphics Driver

Impacto: um app pode divulgar a memória do kernel

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.

CVE-2022-32936: Antonio Zekic (@antoniozekic)

IOHIDFamily

Impacto: um app remoto pode causar o encerramento inesperado de apps ou a execução arbitrária de códigos

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2022-42820: Peter Pan ZhenPeng do STAR Labs

IOKit

Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel

Descrição: uma condição de corrida foi resolvida por meio de melhorias no bloqueio.

CVE-2022-42806: Tingting Yin da Tsinghua University

Kernel

Impacto: um app pode divulgar a memória do kernel

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2022-32864: Linus Henze da Pinauten GmbH (pinauten.de)

Kernel

Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2022-32866: Linus Henze da Pinauten GmbH (pinauten.de)

CVE-2022-32911: Zweig do Kunlun Lab

CVE-2022-32924: Ian Beer do Google Project Zero

Kernel

Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2022-32914: Zweig do Kunlun Lab

Kernel

Impacto: um usuário remoto pode causar a execução de códigos do kernel

Descrição: um problema de gravação fora dos limites foi resolvido por meio de melhorias na verificação de limites.

CVE-2022-42808: Zweig do Kunlun Lab

Kernel

Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2022-32944: Tim Michaud (@TimGMichaud) da Moveworks.ai

Entrada adicionada em 27 de outubro de 2022

Kernel

Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel

Descrição: uma condição de corrida foi resolvida por meio de melhorias no bloqueio.

CVE-2022-42803: Xinru Chi do Pangu Lab, John Aakerblom (@jaakerblom)

Entrada adicionada em 27 de outubro de 2022

Kernel

Impacto: um app com privilégios raiz pode executar códigos arbitrários com privilégios de kernel

Descrição: o problema foi resolvido por meio de melhorias nas verificações de limites.

CVE-2022-32926: Tim Michaud (@TimGMichaud) da Moveworks.ai

Entrada adicionada em 27 de outubro de 2022

Kernel

Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel

Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.

CVE-2022-42801: Ian Beer do Google Project Zero

Entrada adicionada em 27 de outubro de 2022

Kernel

Impacto: um app pode causar o encerramento inesperado do sistema ou possivelmente executar códigos com privilégios de kernel

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2022-46712: Tommy Muir (@Muirey03)

Entrada adicionada em 20 de fevereiro de 2023

Mail

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: esse problema foi resolvido por meio de melhorias na proteção de dados.

CVE-2022-42815: Csaba Fitzl (@theevilbit) da Offensive Security

Mail

Impacto: um app pode acessar anexos da pasta do Mail por meio de um diretório temporário usado durante a compactação

Descrição: um problema de acesso foi resolvido por meio de melhorias nas restrições de acesso.

CVE-2022-42834: Wojciech Reguła (@_r3ggi) da SecuRing

Entrada adicionada em 1º de maio de 2023

Maps

Impacto: um app pode conseguir ler informações confidenciais de localização

Descrição: esse problema foi resolvido por meio de melhorias na restrição de informações confidenciais.

CVE-2022-46707: Csaba Fitzl (@theevilbit) da Offensive Security

Entrada adicionada em 1º de agosto de 2023

Maps

Impacto: um app pode conseguir ler informações confidenciais de localização

Descrição: um problema de lógica foi resolvido por meio de melhorias nas restrições.

CVE-2022-32883: Ron Masas do breakpointhq.com

MediaLibrary

Impacto: um usuário pode elevar privilégios

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.

CVE-2022-32908: pesquisador anônimo

Model I/O

Impacto: processar um arquivo USD criado com códigos maliciosos pode divulgar o conteúdo da memória

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2022-42810: Xingwei Lin (@xwlin_roy) e Yinyi Wu do Ant Security Light-Year Lab

Entrada adicionada em 27 de outubro de 2022

ncurses

Impacto: um usuário pode ser capaz de causar o encerramento inesperado do app ou a execução arbitrária de códigos

Descrição: um estouro de buffer foi resolvido por meio de melhorias na verificação de limites.

CVE-2021-39537

ncurses

Impacto: processar um arquivo criado com códigos maliciosos pode levar a uma negação de serviço ou uma possível divulgação de conteúdo da memória

Descrição: um problema de negação de serviço foi resolvido por meio de melhorias na validação.

CVE-2022-29458

Notes

Impacto: um usuário em uma posição de rede privilegiada pode ser capaz de rastrear a atividade do usuário

Descrição: esse problema foi resolvido por meio de melhorias na proteção de dados.

CVE-2022-42818: Gustav Hansen da WithSecure

Notifications

Impacto: um usuário com acesso físico a um dispositivo pode conseguir acessar os contatos pela tela bloqueada

Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2022-32879: Ubeydullah Sümer

PackageKit

Impacto: um app pode modificar áreas protegidas do sistema de arquivos

Descrição: uma condição de corrida foi resolvida por meio de melhorias no gerenciamento de estados.

CVE-2022-32895: Mickey Jin (@patch1t) da Trend Micro, Mickey Jin (@patch1t)

PackageKit

Impacto: um app pode modificar áreas protegidas do sistema de arquivos

Descrição: uma condição de corrida foi resolvida por meio de validação adicional.

CVE-2022-46713: Mickey Jin (@patch1t) da Trend Micro

Entrada adicionada em 20 de fevereiro de 2023

Photos

Impacto: um usuário pode adicionar acidentalmente um participante a um Álbum Compartilhado pressionando a tecla Delete

Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2022-42807: Ezekiel Elin

Entrada adicionada em 1º de maio de 2023 e atualizada em 1º de agosto de 2023

Photos

Impacto: um app pode conseguir ignorar as preferências de Privacidade

Descrição: esse problema foi resolvido por meio de melhorias na proteção de dados.

CVE-2022-32918: Ashwani Rajput da Nagarro Software Pvt. Ltd, Srijan Shivam Mishra da The Hack Report, Jugal Goradia da Aastha Technologies, Evan Ricafort (evanricafort.com) da Invalid Web Security, Shesha Sai C (linkedin.com/in/shesha-sai-c-18585b125) e Amod Raghunath Patwardhan da Pune, Índia

Entrada atualizada em 16 de março de 2023

ppp

Impacto: um app com privilégios raiz pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2022-42829: pesquisador anônimo

ppp

Impacto: um app com privilégios raiz pode executar códigos arbitrários com privilégios de kernel

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2022-42830: pesquisador anônimo

ppp

Impacto: um app com privilégios raiz pode executar códigos arbitrários com privilégios de kernel

Descrição: uma condição de corrida foi resolvida por meio de melhorias no bloqueio.

CVE-2022-42831: pesquisador anônimo

CVE-2022-42832: pesquisador anônimo

ppp

Impacto: um estouro de buffer pode causar a execução arbitrária de códigos

Descrição: o problema foi resolvido por meio de melhorias nas verificações de limites.

CVE-2022-32941: pesquisador anônimo

Entrada adicionada em 27 de outubro de 2022

Ruby

Impacto: um usuário remoto pode ser capaz de causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

Descrição: um problema de corrupção de memória foi resolvido atualizando o Ruby para a versão 2.6.10.

CVE-2022-28739

Sandbox

Impacto: um app pode modificar áreas protegidas do sistema de arquivos

Descrição: um problema de lógica foi resolvido por meio de melhorias nas restrições.

CVE-2022-32881: Csaba Fitzl (@theevilbit) da Offensive Security

Sandbox

Impacto: um app com privilégios raiz pode conseguir acessar informações privadas

Descrição: esse problema foi resolvido por meio de melhorias na proteção de dados.

CVE-2022-32862: Rohit Chatterjee da University of Illinois Urbana-Champaign

CVE-2022-32931: pesquisador anônimo

Entrada atualizada em 16 de março de 2023 e atualizada em 21 de dezembro de 2023

Sandbox

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema de acesso foi resolvido por meio de outras restrições.

CVE-2022-42811: Justin Bui (@slyd0g) da Snowflake

Security

Impacto: um app pode ser capaz de ignorar as verificações de assinatura de código

Descrição: um problema na validação da assinatura de códigos foi resolvido por meio de melhorias nas verificações.

CVE-2022-42793: Linus Henze da Pinauten GmbH (pinauten.de)

Shortcuts

Impacto: um atalho poderia ser capaz de visualizar o álbum de fotos ocultas sem autenticação

Descrição: um problema de lógica foi resolvido por meio de melhorias nas restrições.

CVE-2022-32876: pesquisador anônimo

Entrada adicionada em 1º de agosto de 2023

Shortcuts

Impacto: um atalho pode ser capaz de verificar a existência de um caminho arbitrário no sistema de arquivos

Descrição: um problema de análise no processamento de caminhos de diretório foi resolvido por meio de melhorias na validação de caminhos.

CVE-2022-32938: Cristian Dinca da Tudor Vianu National High School of Computer Science of. Romania

Sidecar

Impacto: um usuário pode visualizar conteúdo restrito pela tela de bloqueio

Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2022-42790: Om kothawade da Zaprico Digital

Siri

Impacto: um usuário com acesso físico a um dispositivo pode ser capaz de usar a Siri para obter algumas informações do histórico de chamadas

Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2022-32870: Andrew Goldberg da The McCombs School of Business, The University of Texas at Austin (linkedin.com/in/andrew-goldberg-/)

SMB

Impacto: um usuário remoto pode conseguir causar a execução de códigos do kernel

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2022-32934: Felix Poulin-Belanger

Software Update

Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel

Descrição: uma condição de corrida foi resolvida por meio de melhorias no gerenciamento de estados.

CVE-2022-42791: Mickey Jin (@patch1t) da Trend Micro

SQLite

Impacto: um usuário remoto podia causar uma negação de serviço

Descrição: esse problema foi resolvido por meio de melhorias nas verificações.

CVE-2021-36690

System Settings

Impacto: um app pode conseguir modificar áreas protegidas do sistema de arquivos

Descrição: esse problema foi resolvido por meio de melhorias na proteção de dados.

CVE-2022-48505: Adam Chester da TrustedSec e Thijs Alkemade (@xnyhps) da Computest Sector 7

Entrada adicionada em 26 de junho de 2023

TCC

Impacto: um app pode ser capaz de causar uma recusa de serviço a clientes do Endpoint Security

Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2022-26699: Csaba Fitzl (@theevilbit) da Offensive Security

Entrada adicionada em 1º de agosto de 2023

Vim

Impacto: vários problemas no Vim

Descrição: diversos problemas foram resolvidos com a atualização do Vim.

CVE-2022-0261

CVE-2022-0318

CVE-2022-0319

CVE-2022-0351

CVE-2022-0359

CVE-2022-0361

CVE-2022-0368

CVE-2022-0392

CVE-2022-0554

CVE-2022-0572

CVE-2022-0629

CVE-2022-0685

CVE-2022-0696

CVE-2022-0714

CVE-2022-0729

CVE-2022-0943

CVE-2022-1381

CVE-2022-1420

CVE-2022-1725

CVE-2022-1616

CVE-2022-1619

CVE-2022-1620

CVE-2022-1621

CVE-2022-1629

CVE-2022-1674

CVE-2022-1733

CVE-2022-1735

CVE-2022-1769

CVE-2022-1927

CVE-2022-1942

CVE-2022-1968

CVE-2022-1851

CVE-2022-1897

CVE-2022-1898

CVE-2022-1720

CVE-2022-2000

CVE-2022-2042

CVE-2022-2124

CVE-2022-2125

CVE-2022-2126

VPN

Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2022-42828: pesquisador anônimo

Entrada adicionada em 1º de agosto de 2023

Weather

Impacto: um app pode conseguir ler informações confidenciais de localização

Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2022-32875: pesquisador anônimo

WebKit

Impacto: processar conteúdo da web criado com códigos maliciosos pode levar à execução arbitrária de códigos

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

WebKit Bugzilla: 246669

CVE-2022-42826: Francisco Alonso (@revskills)

Entrada adicionada em 22 de dezembro de 2022

WebKit

Impacto: processar conteúdo da web criado com códigos maliciosos pode levar à execução arbitrária de códigos

Descrição: um problema de estouro de buffer foi resolvido por meio de melhorias no processamento da memória.

WebKit Bugzilla: 241969

CVE-2022-32886: P1umer (@p1umer), afang (@afang5472), xmzyshypnc (@xmzyshypnc1)

WebKit

Impacto: processar conteúdo da web criado com códigos maliciosos pode levar à execução arbitrária de códigos

Descrição: um problema de gravação fora dos limites foi resolvido por meio de melhorias na verificação de limites.

WebKit Bugzilla: 242047

CVE-2022-32888: P1umer (@p1umer)

WebKit

Impacto: processar conteúdo da web criado com códigos maliciosos pode levar à execução arbitrária de códigos

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na verificação de limites.

WebKit Bugzilla: 242762

CVE-2022-32912: Jeonghoon Shin (@singi21a) da Theori trabalhando com a Trend Micro Zero Day Initiative

WebKit

Impacto: acessar um site malicioso pode levar à falsificação da interface de usuário

Descrição: o problema foi resolvido por meio de melhorias no processamento da interface do usuário.

WebKit Bugzilla: 243693

CVE-2022-42799: Jihwan Kim (@gPayl0ad), Dohyun Lee (@l33d0hyun)

WebKit

Impacto: processar conteúdo da web criado com códigos maliciosos pode levar à execução arbitrária de códigos

Descrição: um problema de confusão de tipos foi resolvido por meio de melhorias no processamento da memória.

WebKit Bugzilla: 244622

CVE-2022-42823: Dohyun Lee (@l33d0hyun) do SSD Labs

WebKit

Impacto: processar conteúdo da web criado com códigos maliciosos pode divulgar informações confidenciais do usuário

Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.

WebKit Bugzilla: 245058

CVE-2022-42824: Abdulrahman Alqabandi da Microsoft Browser Vulnerability Research, Ryan Shin do IAAI SecLab na Korea University, Dohyun Lee (@l33d0hyun) do DNSLab na Korea University

WebKit

Impacto: o processamento de conteúdo da web criado com códigos maliciosos pode divulgar estados internos do app

Descrição: um problema de correção no JIT foi resolvido por meio de melhorias nas verificações.

WebKit Bugzilla: 242964

CVE-2022-32923: Wonyoung Jung (@nonetype_pwn) do KAIST Hacking Lab

Entrada adicionada em 27 de outubro de 2022

WebKit PDF

Impacto: processar conteúdo da web criado com códigos maliciosos pode levar à execução arbitrária de códigos

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

WebKit Bugzilla: 242781

CVE-2022-32922: Yonghwi Jin (@jinmo123) na Theori trabalhando com a Trend Micro Zero Day Initiative

WebKit Sandboxing

Impacto: um processo em área restrita pode contornar restrições dessa área

Descrição: um problema de acesso foi resolvido por meio de melhorias na área restrita.

WebKit Bugzilla: 243181

CVE-2022-32892: @18楼梦想改造家 e @jq0904 do DBAppSecurity's WeBin lab

WebKit Storage

Impacto: um app pode conseguir ignorar as preferências de Privacidade

Descrição: o problema foi resolvido por meio de melhorias no gerenciamento dos caches.

CVE-2022-32833: Csaba Fitzl (@theevilbit) da Offensive Security, Jeff Johnson

Entrada adicionada em 22 de dezembro de 2022

Wi-Fi

Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2022-46709: Wang Yu da Cyberserval

Entrada adicionada em 16 de março de 2023

zlib

Impacto: um usuário pode causar o encerramento inesperado do app ou a execução arbitrária de códigos

Descrição: esse problema foi resolvido por meio de melhorias nas verificações.

CVE-2022-37434: Evgeny Legerov

CVE-2022-42800: Evgeny Legerov

Entrada adicionada em 27 de outubro de 2022

Outros reconhecimentos

AirPort

Gostaríamos de agradecer a Joseph Salazar Acuña e Renato Llamoca da Intrado-Life & Safety/Globant pela ajuda.

apache

Gostaríamos de agradecer a Tricia Lee do Enterprise Service Center pela ajuda.

Entrada adicionada em 16 de março de 2023

AppleCredentialManager

Gostaríamos de agradecer a @jonathandata1 pela ajuda.

ATS

Gostaríamos de agradecer a Mickey Jin (@patch1t) pela ajuda.

Entrada adicionada em 1º de agosto de 2023

FaceTime

Gostaríamos de agradecer a um pesquisador anônimo pela ajuda.

FileVault

Gostaríamos de agradecer a Timothy Perfitt da Twocanoes Software pela ajuda.

Find My

Gostaríamos de agradecer a um pesquisador anônimo pela ajuda.

Identity Services

Gostaríamos de agradecer a Joshua Jones pela ajuda.

IOAcceleratorFamily

Gostaríamos de agradecer a Antonio Zekic (@antoniozekic) pela ajuda.

IOGPUFamily

Gostaríamos de agradecer a Wang Yu, da cyberserval, pela ajuda.

Entrada adicionada em 9 de novembro de 2022

Kernel

Gostaríamos de agradecer a Peter Nguyen da STAR Labs, Tim Michaud (@TimGMichaud) da Moveworks.ai, Tingting Yin da Tsinghua University e Min Zheng do Ant Group, Tommy Muir (@Muirey03) e um pesquisador anônimo pela ajuda.

Login Window

Gostaríamos de agradecer a Simon Tang (simontang.dev) pela ajuda.

Entrada adicionada em 9 de novembro de 2022

Mail

Gostaríamos de agradecer a Taavi Eomäe da Zone Media OÜ e a um pesquisador anônimo pela ajuda.

Entrada atualizada em 21 de dezembro de 2023

Mail Drafts

Gostaríamos de agradecer a um pesquisador anônimo pela ajuda.

Networking

Gostaríamos de agradecer a Tim Michaud (@TimGMichaud) da Zoom Video Communications pela ajuda.

Photo Booth

Gostaríamos de agradecer a Prashanth Kannan da Dremio pela ajuda.

Quick Look

Gostaríamos de agradecer a Hilary “It’s off by a Pixel” Street pela ajuda.

Safari

Gostaríamos de agradecer a Scott Hatfield do Sub-Zero Group pela ajuda.

Entrada adicionada em 16 de março de 2023

Sandbox

Gostaríamos de agradecer a Csaba Fitzl (@theevilbit) da Offensive Security pela ajuda.

SecurityAgent

Gostaríamos de agradecer à Equipe de Segurança Netservice de Toekomst e a um pesquisador anônimo pela ajuda

Entrada adicionada em 21 de dezembro de 2023

smbx

Gostaríamos de agradecer a HD Moore do runZero Asset Inventory pela ajuda.

System

Gostaríamos de agradecer a Mickey Jin (@patch1t) da Trend Micro pela ajuda.

System Settings

Gostaríamos de agradecer a Bjorn Hellenbrand pela ajuda.

UIKit

Gostaríamos de agradecer a Aleczander Ewing pela ajuda.

WebKit

Gostaríamos de agradecer a Maddie Stone do Google Project Zero, Narendra Bhati (@imnarendrabhati) da Suma Soft Pvt. Ltd. e um pesquisador anônimo pela ajuda.

WebRTC

Gostaríamos de agradecer a um pesquisador anônimo pela ajuda.

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: 19 de agosto de 2024