Despre conținutul de securitate din macOS Ventura 13
Acest document descrie conținutul de securitate din macOS Ventura 13.
Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
macOS Ventura 13
Lansare: 24 octombrie 2022
Accelerate Framework
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de consumare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2022-42795: ryuzaki
APFS
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru acces.
CVE-2022-48577: Csaba Fitzl (@theevilbit) (Offensive Security)
Intrare adăugată la 21 decembrie 2023
Apple Neural Engine
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație poate scurge informații sensibile privind starea kernelului
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2022-32858: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2022-32898: Mohamed Ghannam (@_simo36)
CVE-2022-32899: Mohamed Ghannam (@_simo36)
CVE-2022-46721: Mohamed Ghannam (@_simo36)
CVE-2022-47915: Mohamed Ghannam (@_simo36)
CVE-2022-47965: Mohamed Ghannam (@_simo36)
CVE-2022-32889: Mohamed Ghannam (@_simo36)
Intrare actualizată la 21 decembrie 2023
AppleAVD
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2022-32907: Yinyi Wu, ABC Research s.r.o, Natalie Silvanovich de la Google Project Zero, Tommaso Bianco (@cutesmilee__), Antonio Zekic (@antoniozekic) și John Aakerblom (@jaakerblom)
Adăugare intrare: 16 martie 2023
AppleAVD
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație poate provoca o refuzare a serviciului
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2022-32827: Antonio Zekic (@antoniozekic), Natalie Silvanovich (Google Project Zero) și un cercetător anonim
AppleMobileFileIntegrity
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: o problemă de configurare a fost rezolvată prin restricții suplimentare.
CVE-2022-32877: Wojciech Reguła (@_r3ggi) (SecuRing)
Adăugare intrare: 16 martie 2023
AppleMobileFileIntegrity
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: a fost rezolvată o problemă la validarea semnăturii codului prin verificări îmbunătățite.
CVE-2022-42789: Koh M. Nakagawa (FFRI Security, Inc.)
AppleMobileFileIntegrity
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: această problemă a fost rezolvată prin eliminarea drepturilor suplimentare.
CVE-2022-42825: Mickey Jin (@patch1t)
Assets
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.
CVE-2022-46722: Mickey Jin (@patch1t)
Intrare adăugată pe 1 august 2023
ATS
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație poate să ocolească preferințele de confidențialitate
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2022-32902: Mickey Jin (@patch1t)
ATS
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru sandbox.
CVE-2022-32904: Mickey Jin (@patch1t)
ATS
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.
CVE-2022-32890: Mickey Jin (@patch1t)
Audio
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat
Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.
CVE-2022-42796: Mickey Jin (@patch1t)
Actualizare intrare: 16 martie 2023
Audio
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: analizarea unui fișier audio creat cu rea intenție poate cauza divulgarea informațiilor despre utilizator
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2022-42798: anonim, în colaborare cu Trend Micro Zero Day Initiative
Adăugare intrare: 27 octombrie 2022
AVEVideoEncoder
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.
CVE-2022-32940: ABC Research s.r.o.
Beta Access Utility
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2022-42816: Mickey Jin (@patch1t)
Intrare adăugată la 21 decembrie 2023
BOM
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație poate ocoli verificările Gatekeeper
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.
CVE-2022-42821: Jonathan Bar Or de la Microsoft
Adăugare intrare: 13 decembrie 2022
Boot Camp
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite pentru a preveni acțiunile neautorizate.
CVE-2022-42860: Mickey Jin (@patch1t) (Trend Micro)
Adăugare intrare: 16 martie 2023
Calendar
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație poate citi informații de localizare sensibile
Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru acces.
CVE-2022-42819: un cercetător anonim
CFNetwork
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: procesarea unui certificat creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a existat o problemă de validare a certificatelor la tratarea WKWebView. Această problemă a fost rezolvată prin îmbunătățirea validării.
CVE-2022-42813: Jonathan Zhang (Open Computing Facility) (ocf.berkeley.edu)
ColorSync
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a existat o problemă de alterare a memoriei la procesarea profilurilor ICC. Această problemă a fost rezolvată prin îmbunătățirea validării datelor de intrare.
CVE-2022-26730: David Hoyt (Hoyt LLC)
Core Bluetooth
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație poate fi capabilă să înregistreze audio folosind căști AirPods asociate
Descriere: o problemă legată de acces a fost rezolvată cu restricții suplimentare la nivel de sandbox aplicate aplicațiilor terțe.
CVE-2022-32945: Guilherme Rambo de la Best Buddy Apps (rambo.codes)
Adăugare intrare: 9 noiembrie 2022
CoreMedia
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o extensie pentru cameră poate continua să primească imagini video după ce aplicația care a activat-o a fost închisă
Descriere: a fost rezolvată o problemă legată de accesul aplicației la datele camerei printr-o logică îmbunătățită.
CVE-2022-42838: Halle Winkler (@hallewinkler) (Politepix)
Adăugare intrare: 22 decembrie 2022
CoreServices
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație poate evada din sandbox
Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru sandbox.
CVE-2022-48683: Thijs Alkemade din cadrul Computest Sector 7, Wojciech Reguła (@_r3ggi) din cadrul SecuRing, și Arsenii Kostromin
Intrare adăugată pe 29 mai 2024
CoreTypes
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație rău intenționată poate ocoli verificările Gatekeeper
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite pentru a preveni acțiunile neautorizate.
CVE-2022-22663: Arsenii Kostromin (0x3c3e)
Adăugare intrare: 16 martie 2023
Crash Reporter
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: un utilizator cu acces fizic la un dispozitiv iOS poate fi capabil să citească jurnalele de diagnosticare anterioare
Descriere: această problemă a fost rezolvată prin protecția îmbunătățită a datelor.
CVE-2022-32867: Kshitij Kumar și Jai Musunuri (Crowdstrike)
curl
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: mai multe probleme în curl
Descriere: au fost rezolvate mai multe probleme prin actualizarea curl la versiunea 7.84.0.
CVE-2022-32205
CVE-2022-32206
CVE-2022-32207
CVE-2022-32208
Directory Utility
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.
CVE-2022-42814: Sergii Kryvoblotskyi (MacPaw Inc.)
DriverKit
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2022-32865: Linus Henze (Pinauten GmbH) (pinauten.de)
DriverKit
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea verificărilor.
CVE-2022-32915: Tommy Muir (@Muirey03)
Exchange
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: un utilizator cu o poziție privilegiată în rețea poate intercepta acreditări pentru e-mail
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.
CVE-2022-32928: Jiří Vinopal (@vinopaljiri) (Check Point Research)
Actualizare intrare: 16 martie 2023
FaceTime
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: un utilizator poate trimite conținut audio și video în apeluri FaceTime fără a ști că a făcut acest lucru
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2022-22643: Sonali Luthar (University of Virginia), Michael Liao (University of Illinois, Urbana-Champaign), Rohan Pahwa (Rutgers University) și Bao Nguyen (University of Florida)
Adăugare intrare: 16 martie 2023
FaceTime
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: un utilizator poate vizualiza conținut restricționat din ecranul de blocare
Descriere: a fost rezolvată o problemă legată de ecranul de blocare prin gestionarea îmbunătățită a stării.
CVE-2022-32935: Bistrit Dahal
Adăugare intrare: 27 octombrie 2022
Find My
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație rău intenționată poate citi informații de localizare sensibile
Descriere: a existat o problemă de permisiune. Această problemă a fost rezolvată prin îmbunătățirea validării permisiunilor.
CVE-2022-42788: Csaba Fitzl (@theevilbit) (Offensive Security), Wojciech Reguła (SecuRing) (wojciechregula.blog)
Find My
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: problema a fost remediată printr-o manipulare îmbunătățită a cache-urilor.
CVE-2022-48504: Csaba Fitzl (@theevilbit) (Offensive Security)
Intrare adăugată la 21 decembrie 2023
Finder
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: procesarea unui fișier DMG creat cu rea intenție poate duce la executarea unui cod arbitrar cu privilegii de sistem
Descriere: această problemă a fost rezolvată prin îmbunătățirea validării linkurilor simbolice.
CVE-2022-32905: Ron Masas (breakpoint.sh) (BreakPoint Technologies LTD)
GPU Drivers
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2022-42833: Pan ZhenPeng (@Peterpan0927)
Adăugare intrare: 22 decembrie 2022
GPU Drivers
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2022-32947: Asahi Lina (@LinaAsahi)
Grapher
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: procesarea unui fișier gcx creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2022-42809: Yutao Wang (@Jack) și Yu Zhou (@yuzhou6666)
Heimdal
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: un utilizator poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2022-3437: Evgeny Legerov (Intevydis)
Adăugare intrare: 25 octombrie 2022
iCloud Photo Library
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: O aplicație ar putea să acceseze date sensibile despre utilizatori
Descriere: o problemă de divulgare a informațiilor a fost rezolvată prin eliminarea codului vulnerabil.
CVE-2022-32849: Joshua Jones
Adăugare intrare: 9 noiembrie 2022
Image Processing
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație din sandbox poate fi capabilă să determine ce aplicație utilizează în prezent camera
Descriere: problema a fost rezolvată prin restricții suplimentare privind observabilitatea stărilor aplicațiilor.
CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)
ImageIO
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: procesarea unei imagini poate duce la refuzul serviciului
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2022-32809: Mickey Jin (@patch1t)
Intrare adăugată pe 1 august 2023
ImageIO
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: procesarea unei imagini poate duce la refuzul serviciului
Descriere: a fost rezolvată o problemă de refuzare a serviciului prin îmbunătățirea validării.
CVE-2022-1622
Intel Graphics Driver
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație poate să divulge conținutul memoriei kernel
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2022-32936: Antonio Zekic (@antoniozekic)
IOHIDFamily
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație poate cauza închiderea neașteptată a aplicației sau executarea arbitrară a codului
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2022-42820: Peter Pan ZhenPeng (STAR Labs)
IOKit
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea blocării.
CVE-2022-42806: Tingting Yin (Tsinghua University)
Kernel
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație poate să divulge conținutul memoriei kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2022-32864: Linus Henze (Pinauten GmbH) (pinauten.de)
Kernel
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2022-32866: Linus Henze de la Pinauten GmbH (pinauten.de)
CVE-2022-32911: Zweig (Kunlun Lab)
CVE-2022-32924: Ian Beer (Google Project Zero)
Kernel
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2022-32914: Zweig de la Kunlun Lab
Kernel
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: un utilizator la distanță poate cauza executarea codului kernel
Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2022-42808: Zweig (Kunlun Lab)
Kernel
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2022-32944: Tim Michaud (@TimGMichaud) de la Moveworks.ai
Adăugare intrare: 27 octombrie 2022
Kernel
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea blocării.
CVE-2022-42803: Xinru Chi (Pangu Lab), John Aakerblom (@jaakerblom)
Adăugare intrare: 27 octombrie 2022
Kernel
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație cu privilegii de root poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.
CVE-2022-32926: Tim Michaud (@TimGMichaud) (Moveworks.ai)
Adăugare intrare: 27 octombrie 2022
Kernel
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.
CVE-2022-42801: Ian Beer de la Google Project Zero
Adăugare intrare: 27 octombrie 2022
Kernel
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație poate provoca o închidere neașteptată a sistemului sau poate executa cod cu privilegii de kernel
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2022-46712: Tommy Muir (@Muirey03)
Adăugare intrare: 20 februarie 2023
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: această problemă a fost rezolvată prin protecția îmbunătățită a datelor.
CVE-2022-42815: Csaba Fitzl (@theevilbit) de la Offensive Security
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație poate accesa atașamentele folderelor de mesaje primite printr-un director temporar utilizat în timpul comprimării
Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru acces.
CVE-2022-42834: Wojciech Reguła (@_r3ggi) (SecuRing)
Adăugare intrare: 1 mai 2023
Maps
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație poate citi informații de localizare sensibile
Descriere: această problemă a fost rezolvată prin îmbunătățirea restricțiilor în jurul informațiilor sensibile.
CVE-2022-46707: Csaba Fitzl (@theevilbit) de la Offensive Security
Intrare adăugată pe 1 august 2023
Maps
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație poate citi informații de localizare sensibile
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.
CVE-2022-32883: Ron Masas (breakpointhq.com)
MediaLibrary
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: un utilizator poate să acorde privilegii superioare
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2022-32908: un cercetător anonim
Model I/O
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: procesarea unui fișier USD creat cu rea intenție poate dezvălui conținutul memoriei
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2022-42810: Xingwei Lin (@xwlin_roy) și Yinyi Wu (Ant Security Light-Year Lab)
Adăugare intrare: 27 octombrie 2022
ncurses
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: un utilizator poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.
CVE-2021-39537
ncurses
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: procesarea unui fișier creat cu rea intenție ar putea provoca o refuzare a serviciului sau ar putea dezvălui conținutul memoriei
Descriere: a fost rezolvată o problemă de refuzare a serviciului prin îmbunătățirea validării.
CVE-2022-29458
Observații
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: un utilizator cu poziție privilegiată în rețea poate urmări activitatea utilizatorului
Descriere: această problemă a fost rezolvată prin protecția îmbunătățită a datelor.
CVE-2022-42818: Gustav Hansen (WithSecure)
Notificationsi
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: un utilizator cu acces fizic la un dispozitiv poate accesa contacte din ecranul de blocare
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2022-32879: Ubeydullah Sümer
PackageKit
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: a fost tratată o condiție de rulare prin îmbunătățirea tratării stării.
CVE-2022-32895: Mickey Jin (@patch1t) (Trend Micro), Mickey Jin (@patch1t)
PackageKit
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: a fost rezolvată o condiție de rulare prin validare suplimentară.
CVE-2022-46713: Mickey Jin (@patch1t) (Trend Micro)
Adăugare intrare: 20 februarie 2023
Photos
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: un utilizator poate adăuga din greșeală un participant la un album partajat apăsând tasta Șterge
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2022-42807: Ezekiel Elin
Adăugare intrare: 1 mai 2023, actualizată la data de 1 august 2023
Photos
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație poate să ocolească preferințele de confidențialitate
Descriere: această problemă a fost rezolvată prin protecția îmbunătățită a datelor.
CVE-2022-32918: Ashwani Rajput (Nagarro Software Pvt. Ltd), Srijan Shivam Mishra (The Hack Report), Jugal Goradia (Aastha Technologies), Evan Ricafort (evanricafort.com) (Invalid Web Security), Shesha Sai C (linkedin.com/in/shesha-sai-c-18585b125) și Amod Raghunath Patwardhan (Pune, India)
Actualizare intrare: 16 martie 2023
ppp
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație cu privilegii de root poate să execute cod arbitrar cu privilegii de kernel
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2022-42829: un cercetător anonim
ppp
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație cu privilegii de root poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2022-42830: un cercetător anonim
ppp
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație cu privilegii de root poate să execute cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea blocării.
CVE-2022-42831: un cercetător anonim
CVE-2022-42832: un cercetător anonim
ppp
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: depășirea memoriei tampon poate avea ca rezutlat executarea de cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.
CVE-2022-32941: un cercetător anonim
Adăugare intrare: 27 octombrie 2022
Ruby
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: un utilizator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de corupere a memoriei prin actualizarea Ruby la versiunea 2.6.10.
CVE-2022-28739
Sandbox
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.
CVE-2022-32881: Csaba Fitzl (@theevilbit) de la Offensive Security
Sandbox
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație cu privilegii de rădăcină poate accesa informații private
Descriere: această problemă a fost rezolvată prin protecția îmbunătățită a datelor.
CVE-2022-32862: Rohit Chatterjee de la Universitatea Illinois Urbana-Champaign
CVE-2022-32931: un cercetător anonim
Intrare actualizată la 16 martie 2023, actualizată la 21 decembrie 2023
Sandbox
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru sandbox.
CVE-2022-42811: Justin Bui (@slyd0g) (Snowflake)
Securitate
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație poate ocoli verificări de semnare a codului
Descriere: a fost rezolvată o problemă la validarea semnăturii codului prin verificări îmbunătățite.
CVE-2022-42793: Linus Henze (Pinauten GmbH) (pinauten.de)
Shortcuts
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o scurtătură poate fi capabilă să vizualizeze albumul de poze ascunse fără autentificare
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.
CVE-2022-32876: un cercetător anonim
Intrare adăugată pe 1 august 2023
Shortcuts
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o scurtătură poate fi capabilă să verifice existența unei căi arbitrare în sistemul de fișiere
Descriere: o problemă de autorizare la gestionarea căilor directoarelor a fost rezolvată prin îmbunătățirea validării căilor.
CVE-2022-32938: Cristian Dinca (Tudor Vianu National High School of Computer Science of România
Sidecar
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: un utilizator poate vizualiza conținut restricționat din ecranul de blocare
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2022-42790: Om kothawade (Zaprico Digital)
Siri
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: un utilizator cu acces fizic la un dispozitiv ar putea folosi Siri pentru a obține anumite informații despre istoricul apelurilor
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2022-32870: Andrew Goldberg (The McCombs School of Business, The University of Texas, Austin) (linkedin.com/in/andrew-goldberg-/)
SMB
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: un utilizator la distanță poate cauza executarea codului kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2022-32934: Felix Poulin-Belanger
Software Update
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: a fost tratată o condiție de rulare prin îmbunătățirea tratării stării.
CVE-2022-42791: Mickey Jin (@patch1t) (Trend Micro)
SQLite
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: un utilizator la distanță poate provoca un refuz al serviciului
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2021-36690
System Settings
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: această problemă a fost rezolvată prin protecția îmbunătățită a datelor.
CVE-2022-48505: Adam Chester (TrustedSec) și Thijs Alkemade (@xnyhps) (Computest Sector 7)
Intrare adăugată la data de 26 iunie 2023
TCC
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație poate cauza o refuzare a serviciului clienților Endpoint Security
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2022-26699: Csaba Fitzl (@theevilbit) de la Offensive Security
Intrare adăugată pe 1 august 2023
Vim
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: probleme multiple în Vim
Descriere: mai multe probleme au fost rezolvate prin actualizarea Vim.
CVE-2022-0261
CVE-2022-0318
CVE-2022-0319
CVE-2022-0351
CVE-2022-0359
CVE-2022-0361
CVE-2022-0368
CVE-2022-0392
CVE-2022-0554
CVE-2022-0572
CVE-2022-0629
CVE-2022-0685
CVE-2022-0696
CVE-2022-0714
CVE-2022-0729
CVE-2022-0943
CVE-2022-1381
CVE-2022-1420
CVE-2022-1725
CVE-2022-1616
CVE-2022-1619
CVE-2022-1620
CVE-2022-1621
CVE-2022-1629
CVE-2022-1674
CVE-2022-1733
CVE-2022-1735
CVE-2022-1769
CVE-2022-1927
CVE-2022-1942
CVE-2022-1968
CVE-2022-1851
CVE-2022-1897
CVE-2022-1898
CVE-2022-1720
CVE-2022-2000
CVE-2022-2042
CVE-2022-2124
CVE-2022-2125
CVE-2022-2126
VPN
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2022-42828: un cercetător anonim
Intrare adăugată pe 1 august 2023
Weather
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație poate citi informații de localizare sensibile
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2022-32875: un cercetător anonim
WebKit
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
WebKit Bugzilla: 246669
CVE-2022-42826: Francisco Alonso (@revskills)
Intrare adăugată pe 22 decembrie 2022
WebKit
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de depășire a memoriei-tampon prin îmbunătățirea tratării memoriei.
WebKit Bugzilla: 241969
CVE-2022-32886: P1umer (@p1umer), afang (@afang5472), xmzyshypnc (@xmzyshypnc1)
WebKit
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.
WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)
WebKit
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a) în colaborare cu Zero Day Initiative (Trend Micro)
WebKit
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: accesarea unui site web rău intenționat poate cauza falsificarea interfeței cu utilizatorul
Descriere: problema a fost remediată prin îmbunătățirea gestionării interfeței cu utilizatorul.
WebKit Bugzilla: 243693
CVE-2022-42799: Jihwan Kim (@gPayl0ad), Dohyun Lee (@l33d0hyun)
WebKit
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea tratării memoriei.
WebKit Bugzilla: 244622
CVE-2022-42823: Dohyun Lee (@l33d0hyun) (SSD Labs)
WebKit
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: procesarea conținutului unui site web rău intenționat poate dezvălui informații sensibile ale utilizatorului
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
WebKit Bugzilla: 245058
CVE-2022-42824: Abdulrahman Alqabandi (Microsoft Browser Vulnerability Research), Ryan Shin (IAAI SecLab, Korea University), Dohyun Lee (@l33d0hyun) (DNSLab, Korea University)
WebKit
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: procesarea conținutului unui site web creat cu rea intenție poate dezvălui stările interne ale aplicației
Descriere: a fost rezolvată o problemă de corectitudine în JIT prin îmbunătățirea verificărilor.
WebKit Bugzilla: 242964
CVE-2022-32923: Wonyoung Jung (@nonetype_pwn) de la KAIST Hacking Lab
Adăugare intrare: 27 octombrie 2022
WebKit PDF
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
WebKit Bugzilla: 242781
CVE-2022-32922: Yonghwi Jin (@jinmo123) (Theori) în colaborare cu Zero Day Initiative (Trend Micro)
WebKit Sandboxing
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului
Descriere: o problemă de acces a fost rezolvată prin aducerea de îmbunătățiri la sandbox.
WebKit Bugzilla: 243181
CVE-2022-32892: @18楼梦想改造家 și @jq0904 (DBAppSecurity's WeBin lab)
WebKit Storage
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație poate să ocolească preferințele de confidențialitate
Descriere: problema a fost remediată printr-o manipulare îmbunătățită a cache-urilor.
CVE-2022-32833: Csaba Fitzl (@theevilbit) (Offensive Security), Jeff Johnson
Adăugare intrare: 22 decembrie 2022
Wi-Fi
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2022-46709: Wang Yu de la Cyberserval
Adăugare intrare: 16 martie 2023
zlib
Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)
Impact: un utilizator poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2022-37434: Evgeny Legerov
CVE-2022-42800: Evgeny Legerov
Adăugare intrare: 27 octombrie 2022
Alte mențiuni
AirPort
Dorim să le mulțumim lui Joseph Salazar Acuña și lui Renato Llamoca (Intrado-Life & Safety/Globant) pentru asistența acordată.
apache
Dorim să îi mulțumim lui Tricia Lee (Enterprise Service Center) pentru asistență.
Adăugare intrare: 16 martie 2023
AppleCredentialManager
Dorim să îi mulțumim lui @jonathandata1 pentru asistența acordată.
ATS
Dorim să-i mulțumim lui Mickey Jin (@patch1t) pentru asistența acordată.
Intrare adăugată pe 1 august 2023
FaceTime
Dorim să îi mulțumim unui cercetător anonim pentru asistență.
FileVault
Dorim să îi mulțumim lui Timothy Perfitt (Twocanoes Software) pentru asistența acordată.
Find My
Dorim să îi mulțumim unui cercetător anonim pentru asistență.
Identity Services
Dorim să îi mulțumim lui Joshua Jones pentru asistență.
IOAcceleratorFamily
Dorim să îi mulțumim lui Antonio Zekic (@antoniozekic) pentru asistența acordată.
IOGPUFamily
Dorim să îi mulțumim lui Wang Yu (cyberserval) pentru asistența acordată.
Adăugare intrare: 9 noiembrie 2022
Kernel
Dorim să le mulțumim lui Peter Nguyen (STAR Labs), lui Tim Michaud (@TimGMichaud) (Moveworks.ai), lui Tingting Yin (Tsinghua University), lui Min Zheng (Ant Group), lui Tommy Muir (@Muirey03) și unui cercetător anonim pentru asistența acordată.
Login Window
Dorim să îi mulțumim lui Simon Tang (simontang.dev) pentru asistența acordată.
Adăugare intrare: 9 noiembrie 2022
Dorim să îi mulțumim lui Taavi Eomäe de la Zone Media OÜ și unui cercetător anonim pentru asistență.
Intrare actualizată la 21 decembrie 2023
Mail Drafts
Dorim să îi mulțumim unui cercetător anonim pentru asistență.
Networking
Dorim să îi mulțumim lui Tim Michaud (@TimGMichaud) (Zoom Video Communications) pentru asistența acordată.
Photo Booth
Dorim să îi mulțumim lui Prashanth Kannan (Dremio) pentru asistența acordată.
Quick Look
Dorim să îi mulțumim lui Hilary „It’s off by a Pixel” Street pentru asistența acordată.
Safari
Dorim să îi mulțumim lui Scott Hatfield (Sub-Zero Group) pentru asistența acordată.
Adăugare intrare: 16 martie 2023
Sandbox
Dorim să îi mulțumim lui Csaba Fitzl (@theevilbit) (Offensive Security) pentru asistență.
SecurityAgent
Dorim să mulțumim Security Team Netservice de Toekomst și unui cercetător anonim pentru asistență.
Intrare adăugată la 21 decembrie 2023
smbx
Dorim să îi mulțumim lui HD Moore (runZero Asset Inventory) pentru asistența acordată.
System
Dorim să-i mulțumim lui Mickey Jin (@patch1t) (Trend Micro) pentru asistența acordată.
System Settings
Dorim să îi mulțumim lui Bjorn Hellenbrand pentru asistența acordată.
UIKit
Dorim să îi mulțumim lui Aleczander Ewing pentru asistența acordată.
WebKit
Dorim să le mulțumim lui Maddie Stone (Google Project Zero), lui Narendra Bhati (@imnarendrabhati) (Suma Soft Pvt. Ltd.) și unui cercetător anonim pentru asistența acordată.
WebRTC
Dorim să îi mulțumim unui cercetător anonim pentru asistență.
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.