Informace o bezpečnostním obsahu macOS Ventura 13
Tento dokument popisuje bezpečnostní obsah macOS Ventura 13.
Informace o bezpečnostních aktualizacích Apple
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.
Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.
Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.
macOS Ventura 13
Vydáno 24. října 2022
Accelerate Framework
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Zpracování škodlivého obrázku může vést ke spuštění libovolného kódu.
Popis: Problém se spotřebou paměti byl vyřešen vylepšením správy paměti.
CVE-2022-42795: ryuzaki
APFS
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém s přístupem byl vyřešen vylepšením přístupových omezení.
CVE-2022-48577: Csaba Fitzl (@theevilbit) ze společnosti Offensive Security
Záznam přidán 21. prosince 2023
Apple Neural Engine
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit odhalit citlivé informace o stavu jádra.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2022-32858: Mohamed Ghannam (@_simo36)
Apple Neural Engine
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2022-32898: Mohamed Ghannam (@_simo36)
CVE-2022-32899: Mohamed Ghannam (@_simo36)
CVE-2022-46721: Mohamed Ghannam (@_simo36)
CVE-2022-47915: Mohamed Ghannam (@_simo36)
CVE-2022-47965: Mohamed Ghannam (@_simo36)
CVE-2022-32889: Mohamed Ghannam (@_simo36)
Záznam aktualizován 21. prosince 2023
AppleAVD
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém byl vyřešen vylepšením kontrol.
CVE-2022-32907: Yinyi Wu, ABC Research s.r.o, Natalie Silvanovich z Google Project Zero, Tommaso Bianco (@cutesmilee__), Antonio Zekic (@antoniozekic) a John Aakerblom (@jaakerblom)
Záznam přidán 16. března 2023
AppleAVD
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit způsobit odmítnutí služby.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy stavu.
CVE-2022-32827: Antonio Zekic (@antoniozekic), Natalie Silvanovich z Google Project Zero a anonymní výzkumník
AppleMobileFileIntegrity
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém s konfigurací byl vyřešen přidáním dalších omezení.
CVE-2022-32877: Wojciech Reguła (@_r3ggi) ze společnosti SecuRing
Záznam přidán 16. března 2023
AppleMobileFileIntegrity
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém v ověřování podpisů kódu byl vyřešen vylepšením kontrol.
CVE-2022-42789: Koh M. Nakagawa ze společnosti FFRI Security, Inc.
AppleMobileFileIntegrity
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit upravit chráněné části souborového systému.
Popis: Problém byl vyřešen odebráním dodatečných oprávnění.
CVE-2022-42825: Mickey Jin (@patch1t)
Assets
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit upravit chráněné části souborového systému.
Popis: Problém v logice byl vyřešen vylepšením kontrol.
CVE-2022-46722: Mickey Jin (@patch1t)
Záznam přidán 1. srpna 2023
ATS
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit obejít předvolby soukromí.
Popis: Problém v logice byl vyřešen vylepšením správy stavu.
CVE-2022-32902: Mickey Jin (@patch1t)
ATS
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém s přístupem byl vyřešen přidáním dalších omezení sandboxu.
CVE-2022-32904: Mickey Jin (@patch1t)
ATS
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Procesu běžícímu v sandboxu se může podařit obejít omezení sandboxu.
Popis: Problém v logice byl vyřešen vylepšením kontrol.
CVE-2022-32890: Mickey Jin (@patch1t)
Audio
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit navýšit si oprávnění.
Popis: Problém byl vyřešen odebráním zranitelného kódu.
CVE-2022-42796: Mickey Jin (@patch1t)
Záznam aktualizován 16. března 2023
Audio
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Parsování škodlivého zvukového souboru může vést k odhalení uživatelských informací.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2022-42798: Anonymní výzkumník ve spolupráci se Zero Day Initiative společnosti Trend Micro
Záznam přidán 27. října 2022
AVEVideoEncoder
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém byl vyřešen vylepšením kontroly rozsahu.
CVE-2022-32940: ABC Research s.r.o.
Beta Access Utility
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit upravit chráněné části souborového systému.
Popis: Problém v logice byl vyřešen vylepšením správy stavu.
CVE-2022-42816: Mickey Jin (@patch1t)
Záznam přidán 21. prosince 2023
BOM
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikace může obejít kontroly Gatekeepera.
Popis: Problém v logice byl vyřešen vylepšením kontrol.
CVE-2022-42821: Jonathan Bar Or ze společnosti Microsoft
Záznam přidán 13. prosince 2022
Boot Camp
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit upravit chráněné části souborového systému.
Popis: Problém byl vyřešen vylepšením kontrol, aby se zabránilo neautorizovaným akcím.
CVE-2022-42860: Mickey Jin (@patch1t) ze společnosti Trend Micro
Záznam přidán 16. března 2023
Calendar
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit číst citlivé polohové informace.
Popis: Problém s přístupem byl vyřešen vylepšením přístupových omezení.
CVE-2022-42819: anonymní výzkumník
CFNetwork
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Zpracování škodlivého certifikátu může vést ke spuštění libovolného kódu.
Popis: Ve zpracování objektu WKWebView existoval problém s ověřováním certifikátů. Problém byl vyřešen vylepšením ověřování.
CVE-2022-42813: Jonathan Zhang z týmu Open Computing Facility (ocf.berkeley.edu)
ColorSync
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Zpracování škodlivého obrázku může vést ke spuštění libovolného kódu.
Popis: Ve zpracování ICC profilů existoval problém s poškozením paměti. Problém byl vyřešen vylepšením ověřování vstupů.
CVE-2022-26730: David Hoyt ze společnosti Hoyt LLC
Core Bluetooth
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit nahrávat zvuk ze spárovaných AirPodů.
Popis: Problém s přístupem byl vyřešen přidáním dalších omezení sandboxu pro aplikace jiných vývojářů.
CVE-2022-32945: Guilherme Rambo z týmu Best Buddy Apps (rambo.codes)
Záznam přidán 9. listopadu 2022
CoreMedia
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Rozšíření kamery může nadále přijímat video i po zavření aplikace, která ho aktivovala.
Popis: Problém s přístupem aplikací k datům kamery byl vyřešen vylepšením logiky.
CVE-2022-42838: Halle Winkler (@hallewinkler) ze společnosti Politepix
Záznam přidán 22. prosince 2022
CoreServices
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit uniknout ze sandboxu.
Popis: Problém s přístupem byl vyřešen přidáním dalších omezení sandboxu.
CVE-2022-48683: Thijs Alkemade z týmu Computest Sector 7, Wojciech Reguła (@_r3ggi) z týmu SecuRing a Arsenii Kostromin
Záznam přidán 29. května 2024
CoreTypes
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Škodlivá aplikace může obejít kontroly funkce Gatekeeper.
Popis: Problém byl vyřešen vylepšením kontrol, aby se zabránilo neautorizovaným akcím.
CVE-2022-22663: Arsenii Kostromin (0x3c3e)
Záznam přidán 16. března 2023
Crash Reporter
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Uživateli s fyzickým přístupem k iOS zařízení se může podařit číst starší diagnostické protokoly.
Popis: Problém byl vyřešen vylepšením ochrany dat.
CVE-2022-32867: Kshitij Kumar a Jai Musunuri ze společnosti Crowdstrike
curl
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Několik problémů v knihovně curl.
Popis: Několik problémů bylo vyřešeno aktualizováním curl na verzi 7.84.0.
CVE-2022-32205
CVE-2022-32206
CVE-2022-32207
CVE-2022-32208
Directory Utility
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém v logice byl vyřešen vylepšením kontrol.
CVE-2022-42814: Sergii Kryvoblotskyi ze společnosti MacPaw Inc.
DriverKit
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2022-32865: Linus Henze ze společnosti Pinauten GmbH (pinauten.de)
DriverKit
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém se záměnou typů byl vyřešen vylepšením kontrol.
CVE-2022-32915: Tommy Muir (@Muirey03)
Exchange
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Uživateli s vysokými oprávněními v síti se může podařit zachytit přihlašovací údaje k e-mailu.
Popis: Problém v logice byl vyřešen vylepšením omezení.
CVE-2022-32928: Jiří Vinopal (@vinopaljiri) ze společnosti Check Point Research
Záznam aktualizován 16. března 2023
FaceTime
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Uživatel může ve skupinových FaceTime hovorech odesílat zvuk a video, aniž by si toho byl vědom.
Popis: Problém byl vyřešen vylepšením kontrol.
CVE-2022-22643: Sonali Luthar z Virginijské univerzity, Michael Liao z Univerzity Illinois v Urbana-Champaign, Rohan Pahwa z Rutgersovy univerzity a Bao Nguyen z Floridské univerzity
Záznam přidán 16. března 2023
FaceTime
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Uživateli se může podařit zobrazit omezený obsah na zamčené obrazovce.
Popis: Problém se zamčenou obrazovkou byl vyřešen vylepšením správy stavu.
CVE-2022-32935: Bistrit Dahal
Záznam přidán 27. října 2022
Find My
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Škodlivé aplikaci se může podařit číst citlivé polohové informace.
Popis: Existoval problém s oprávněními. Problém byl vyřešen lepším ověřováním oprávnění.
CVE-2022-42788: Csaba Fitzl (@theevilbit) ze společnosti Offensive Security, Wojciech Reguła ze společnosti SecuRing (wojciechregula.blog)
Find My
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém byl vyřešen vylepšením zpracování mezipamětí.
CVE-2022-48504: Csaba Fitzl (@theevilbit) ze společnosti Offensive Security
Záznam přidán 21. prosince 2023
Finder
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Zpracování škodlivého DMG souboru může vést ke spuštění libovolného kódu se systémovými oprávněními.
Popis: Problém byl vyřešen vylepšením ověřování symbolických odkazů.
CVE-2022-32905: Ron Masas (breakpoint.sh) ze společnosti BreakPoint Technologies LTD
GPU Drivers
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením ověřování vstupů.
CVE-2022-42833: Pan ZhenPeng (@Peterpan0927)
Záznam přidán 22. prosince 2022
GPU Drivers
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2022-32947: Asahi Lina (@LinaAsahi)
Grapher
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Zpracování škodlivého gcx souboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2022-42809: Yutao Wang (@Jack) a Yu Zhou (@yuzhou6666)
Heimdal
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Uživateli se může podařit způsobit nečekané ukončení aplikace nebo spustit libovolný kód.
Popis: Problém byl vyřešen vylepšením kontrol.
CVE-2022-3437: Evgeny Legerov ze společnosti Intevydis
Záznam přidán 25. října 2022
iCloud Photo Library
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém s odhalením informací byl vyřešen odstraněním škodlivého kódu.
CVE-2022-32849: Joshua Jones
Záznam přidán 9. listopadu 2022
Image Processing
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci v sandboxu se může podařit zjistit, která aplikace momentálně používá kameru.
Popis: Problém byl vyřešen přidáním dalších omezení k viditelnosti stavů aplikací.
CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)
ImageIO
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Zpracování obrázku může vést k odmítnutí služby.
Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením ověřování vstupů.
CVE-2022-32809: Mickey Jin (@patch1t)
Záznam přidán 1. srpna 2023
ImageIO
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Zpracování obrázku může vést k odmítnutí služby.
Popis: Problém s odmítnutím služby byl vyřešen vylepšením ověřování.
CVE-2022-1622
Intel Graphics Driver
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit odhalit obsah paměti jádra.
Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením ověřování vstupů.
CVE-2022-32936: Antonio Zekic (@antoniozekic)
IOHIDFamily
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikace může způsobit nečekané ukončení aplikace nebo spuštění libovolného kódu.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy stavu.
CVE-2022-42820: Peter Pan ZhenPeng z týmu STAR Labs
IOKit
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém se souběhem byl vyřešen vylepšením zamykání.
CVE-2022-42806: Tingting Yin z univerzity Tsinghua
Kernel
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit odhalit obsah paměti jádra.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2022-32864: Linus Henze ze společnosti Pinauten GmbH (pinauten.de)
Kernel
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2022-32866: Linus Henze ze společnosti Pinauten GmbH (pinauten.de)
CVE-2022-32911: Zweig z týmu Kunlun Lab
CVE-2022-32924: Ian Beer z týmu Google Project Zero
Kernel
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
CVE-2022-32914: Zweig z týmu Kunlun Lab
Kernel
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Vzdálenému uživateli se může podařit spustit kód na úrovni jádra.
Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením kontroly rozsahu.
CVE-2022-42808: Zweig z týmu Kunlun Lab
Kernel
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy stavu.
CVE-2022-32944: Tim Michaud (@TimGMichaud) z Moveworks.ai
Záznam přidán 27. října 2022
Kernel
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém se souběhem byl vyřešen vylepšením zamykání.
CVE-2022-42803: Xinru Chi z Pangu Lab, John Aakerblom (@jaakerblom)
Záznam přidán 27. října 2022
Kernel
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci s kořenovými oprávněními se může podařit spustit libovolný kód s oprávněními jádra
Popis: Problém byl vyřešen vylepšením kontroly rozsahu.
CVE-2022-32926: Tim Michaud (@TimGMichaud) z Moveworks.ai
Záznam přidán 27. října 2022
Kernel
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém v logice byl vyřešen vylepšením kontrol.
CVE-2022-42801: Ian Beer z týmu Google Project Zero
Záznam přidán 27. října 2022
Kernel
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit způsobit neočekávané ukončení systému nebo potenciálně spustit kód s oprávněními jádra.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
CVE-2022-46712: Tommy Muir (@Muirey03)
Záznam přidán 20. února 2023
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém byl vyřešen vylepšením ochrany dat.
CVE-2022-42815: Csaba Fitzl (@theevilbit) ze společnosti Offensive Security
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikace může získat přístup ke složce s přílohami e-mailů prostřednictvím dočasné složky používané při dekompresi.
Popis: Problém s přístupem byl vyřešen vylepšením přístupových omezení.
CVE-2022-42834: Wojciech Reguła (@_r3ggi) ze společnosti SecuRing
Záznam přidán 1. května 2023
Maps
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit číst citlivé polohové informace.
Popis: Problém byl vyřešen vylepšením omezení v souvislosti s citlivými údaji.
CVE-2022-46707: Csaba Fitzl (@theevilbit) ze společnosti Offensive Security
Záznam přidán 1. srpna 2023
Maps
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit číst citlivé polohové informace.
Popis: Problém v logice byl vyřešen vylepšením omezení.
CVE-2022-32883: Ron Masas z týmu breakpointhq.com
MediaLibrary
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Uživatel může dosáhnout zvýšení oprávnění.
Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.
CVE-2022-32908: anonymní výzkumník
Model I/O
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Zpracování škodlivého USD souboru může odhalit obsah paměti.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2022-42810: Xingwei Lin (@xwlin_roy) a Yinyi Wu z týmu Ant Security Light-Year Lab
Záznam přidán 27. října 2022
ncurses
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Uživateli se může podařit způsobit nečekané ukončení aplikace nebo spustit libovolný kód.
Popis: Problém s přetečením vyrovnávací paměti byl vyřešen vylepšením kontroly rozsahu.
CVE-2021-39537
ncurses
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Zpracování škodlivého souboru může vést k odmítnutí služby nebo k potenciálnímu odhalení obsahu paměti.
Popis: Problém s odmítnutím služby byl vyřešen vylepšením ověřování.
CVE-2022-29458
Notes
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Uživateli s vysokými oprávněními v síti se může podařit sledovat aktivitu uživatelů.
Popis: Problém byl vyřešen vylepšením ochrany dat.
CVE-2022-42818: Gustav Hansen ze společnosti WithSecure
Notifications
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Uživateli s fyzickým přístupem k zařízení se může podařit dostat se ze zamknuté obrazovky ke kontaktům.
Popis: Problém v logice byl vyřešen vylepšením správy stavu.
CVE-2022-32879: Ubeydullah Sümer
PackageKit
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit upravit chráněné části souborového systému.
Popis: Problém se souběhem byl vyřešen vylepšením zpracování stavů.
CVE-2022-32895: Mickey Jin (@patch1t) ze společnosti Trend Micro, Mickey Jin (@patch1t)
PackageKit
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit upravit chráněné části souborového systému.
Popis: Problém se souběhem byl vyřešen dodatečným ověřováním.
CVE-2022-46713: Mickey Jin (@patch1t) ze společnosti Trend Micro
Záznam přidán 20. února 2023
Photos
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Uživatel může náhodně přidat účastníka do sdíleného alba stisknutím klávesy Delete.
Popis: Problém v logice byl vyřešen vylepšením správy stavu.
CVE-2022-42807: Ezekiel Elin
Záznam přidán 1. května 2023, aktualizován 1. srpna 2023
Photos
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit obejít předvolby soukromí.
Popis: Problém byl vyřešen vylepšením ochrany dat.
CVE-2022-32918: Ashwani Rajput ze společnosti Nagarro Software Pvt. Ltd, Srijan Shivam Mishra ze společnosti The Hack Report, Jugal Goradia ze společnosti Aastha Technologies, Evan Ricafort (evanricafort.com) ze společnosti Invalid Web Security, Shesha Sai C (linkedin.com/in/shesha-sai-c-18585b125) a Amod Raghunath Patwardhan z Púne v Indii.
Záznam aktualizován 16. března 2023
ppp
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci s kořenovými oprávněními se může podařit spustit libovolný kód s oprávněními jádra.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
CVE-2022-42829: anonymní výzkumník
ppp
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci s kořenovými oprávněními se může podařit spustit libovolný kód s oprávněními jádra.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2022-42830: anonymní výzkumník
ppp
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci s kořenovými oprávněními se může podařit spustit libovolný kód s oprávněními jádra.
Popis: Problém se souběhem byl vyřešen vylepšením zamykání.
CVE-2022-42831: anonymní výzkumník
CVE-2022-42832: anonymní výzkumník
ppp
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Přetečení vyrovnávací paměti může vést ke spuštění libovolného kódu.
Popis: Problém byl vyřešen vylepšením kontroly rozsahu.
CVE-2022-32941: anonymní výzkumník
Záznam přidán 27. října 2022
Ruby
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Vzdálenému uživateli se může podařit způsobit nečekané ukončení aplikace nebo spustit libovolný kód.
Popis: Problém s poškozením paměti byl vyřešen aktualizací součásti Ruby na verzi 2.6.10.
CVE-2022-28739
Sandbox
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit upravit chráněné části souborového systému.
Popis: Problém v logice byl vyřešen vylepšením omezení.
CVE-2022-32881: Csaba Fitzl (@theevilbit) ze společnosti Offensive Security
Sandbox
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci s kořenovými oprávněními se může podařit získat přístup k soukromým informacím.
Popis: Problém byl vyřešen vylepšením ochrany dat.
CVE-2022-32862: Rohit Chatterjee z University of Illinois Urbana-Champaign
CVE-2022-32931: anonymní výzkumník
Záznam aktualizován 16. března 2023, aktualizován 21. prosince 2023
Sandbox
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém s přístupem byl vyřešen přidáním dalších omezení sandboxu.
CVE-2022-42811: Justin Bui (@slyd0g) z týmu Snowflake
Security
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit obejít kontroly podpisu kódu.
Popis: Problém v ověřování podpisů kódu byl vyřešen vylepšením kontrol.
CVE-2022-42793: Linus Henze ze společnosti Pinauten GmbH (pinauten.de)
Shortcuts
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Zkratka může být schopná zobrazit skryté fotoalbum bez ověření.
Popis: Problém v logice byl vyřešen vylepšením omezení.
CVE-2022-32876: anonymní výzkumník
Záznam přidán 1. srpna 2023
Shortcuts
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Zkratce se může podařit ověřit existenci libovolné cesty v souborovém systému.
Popis: Problém s parsováním ve zpracování cest adresářů byl vyřešen lepším ověřováním cest.
CVE-2022-32938: Cristian Dinca z Národní střední školy informatiky Tudora Viana Rumunsko
Sidecar
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Uživateli se může podařit zobrazit omezený obsah na zamčené obrazovce.
Popis: Problém v logice byl vyřešen vylepšením správy stavu.
CVE-2022-42790: Om kothawade ze společnosti Zaprico Digital
Siri
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Uživateli s fyzickým přístupem k zařízení se může podařit použít Siri k získání některých informací o historii volání.
Popis: Problém v logice byl vyřešen vylepšením správy stavu.
CVE-2022-32870: Andrew Goldberg z fakulty McCombs School of Business Texaské univerzity v Austinu (linkedin.com/in/andrew-goldberg-/)
SMB
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Vzdálenému uživateli se může podařit spustit kód na úrovni jádra.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2022-32934: Felix Poulin-Belanger
Software Update
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém se souběhem byl vyřešen vylepšením zpracování stavů.
CVE-2022-42791: Mickey Jin (@patch1t) ze společnosti Trend Micro
SQLite
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Vzdálenému uživateli se může podařit způsobit odmítnutí služby.
Popis: Problém byl vyřešen vylepšením kontrol.
CVE-2021-36690
System Settings
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit upravit chráněné části souborového systému.
Popis: Problém byl vyřešen vylepšením ochrany dat.
CVE-2022-48505: Adam Chester z TrustedSec a Thijs Alkemade (@xnyhps) z Computest Sector 7
Záznam přidán 26. června 2023
TCC
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit způsobit odmítnutí služby klientům Endpoint Security.
Popis: Problém v logice byl vyřešen vylepšením správy stavu.
CVE-2022-26699: Csaba Fitzl (@theevilbit) ze společnosti Offensive Security
Záznam přidán 1. srpna 2023
Vim
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Několik problémů v součásti Vim.
Popis: Několik problémů bylo vyřešeno aktualizováním součásti Vim.
CVE-2022-0261
CVE-2022-0318
CVE-2022-0319
CVE-2022-0351
CVE-2022-0359
CVE-2022-0361
CVE-2022-0368
CVE-2022-0392
CVE-2022-0554
CVE-2022-0572
CVE-2022-0629
CVE-2022-0685
CVE-2022-0696
CVE-2022-0714
CVE-2022-0729
CVE-2022-0943
CVE-2022-1381
CVE-2022-1420
CVE-2022-1725
CVE-2022-1616
CVE-2022-1619
CVE-2022-1620
CVE-2022-1621
CVE-2022-1629
CVE-2022-1674
CVE-2022-1733
CVE-2022-1735
CVE-2022-1769
CVE-2022-1927
CVE-2022-1942
CVE-2022-1968
CVE-2022-1851
CVE-2022-1897
CVE-2022-1898
CVE-2022-1720
CVE-2022-2000
CVE-2022-2042
CVE-2022-2124
CVE-2022-2125
CVE-2022-2126
VPN
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2022-42828: anonymní výzkumník
Záznam přidán 1. srpna 2023
Weather
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit číst citlivé polohové informace.
Popis: Problém v logice byl vyřešen vylepšením správy stavu.
CVE-2022-32875: anonymní výzkumník
WebKit
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
WebKit Bugzilla: 246669
CVE-2022-42826: Francisco Alonso (@revskills)
Záznam přidán 22. prosince 2022
WebKit
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.
Popis: Problém s přetečením vyrovnávací paměti byl vyřešen vylepšením správy paměti.
WebKit Bugzilla: 241969
CVE-2022-32886: P1umer (@p1umer), afang (@afang5472), xmzyshypnc (@xmzyshypnc1)
WebKit
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.
Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením kontroly rozsahu.
WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)
WebKit
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.
Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením kontroly rozsahu.
WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a) z týmu Theori ve spolupráci s týmem Trend Micro Zero Day Initiative
WebKit
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Návštěva škodlivého webu může vést ke zfalšování uživatelského rozhraní.
Popis: Problém byl vyřešen vylepšením zpracování uživatelského rozhraní.
WebKit Bugzilla: 243693
CVE-2022-42799: Jihwan Kim (@gPayl0ad), Dohyun Lee (@l33d0hyun)
WebKit
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.
Popis: Problém se záměnou typů byl vyřešen vylepšením správy paměti.
WebKit Bugzilla: 244622
CVE-2022-42823: Dohyun Lee (@l33d0hyun) z týmu SSD Labs
WebKit
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Zpracování škodlivého webového obsahu může vést k odhalení citlivých uživatelských informací.
Popis: Problém v logice byl vyřešen vylepšením správy stavu.
WebKit Bugzilla: 245058
CVE-2022-42824: Abdulrahman Alqabandi z týmu Microsoft Browser Vulnerability Research, Ryan Shin z týmu IAAI SecLab při Korejské univerzitě, Dohyun Lee (@l33d0hyun) z týmu DNSLab při Korejské univerzitě
WebKit
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Zpracování škodlivého obsahu webu může odhalit vnitřní stavy aplikace.
Popis: Problém se správností v JIT byl vyřešen vylepšenými kontrolami.
WebKit Bugzilla: 242964
CVE-2022-32923: Wonyoung Jung (@nonetype_pwn) z týmu KAIST Hacking Lab
Záznam přidán 27. října 2022
WebKit PDF
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
WebKit Bugzilla: 242781
CVE-2022-32922: Yonghwi Jin (@jinmo123) z týmu Theori ve spolupráci se Zero Day Initiative společnosti Trend Micro
WebKit Sandboxing
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Procesu běžícímu v sandboxu se může podařit obejít omezení sandboxu.
Popis: Problém s přístupem byl vyřešen vylepšením sandboxu.
WebKit Bugzilla: 243181
CVE-2022-32892: @18楼梦想改造家 a @jq0904 z týmu WeBin Lab společnosti DBAppSecurity
WebKit Storage
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit obejít předvolby soukromí.
Popis: Problém byl vyřešen vylepšením zpracování mezipamětí.
CVE-2022-32833: Csaba Fitzl (@theevilbit) ze společnosti Offensive Security, Jeff Johnson
Záznam přidán 22. prosince 2022
Wi-Fi
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy stavu.
CVE-2022-46709: Wang Yu z Cyberservalu
Záznam přidán 16. března 2023
zlib
K dispozici pro: Mac Studio (2022), Mac Pro (2019 a novější), MacBook Air (2018 a novější), MacBook Pro (2017 a novější), Mac mini (2018 a novější), iMac (2017 a novější), MacBook (2017) a iMac Pro (2017)
Dopad: Uživateli se může podařit způsobit nečekané ukončení aplikace nebo spustit libovolný kód.
Popis: Problém byl vyřešen vylepšením kontrol.
CVE-2022-37434: Evgeny Legerov
CVE-2022-42800: Evgeny Legerov
Záznam přidán 27. října 2022
Další poděkování
AirPort
Poděkování za pomoc zaslouží Joseph Salazar Acuña a Renato Llamoca ze společnosti Intrado-Life & Safety/Globant.
apache
Poděkování za pomoc zaslouží Tricia Lee z týmu Enterprise Service Center.
Záznam přidán 16. března 2023
AppleCredentialManager
Poděkování za pomoc zaslouží @jonathandata1.
ATS
Poděkování za pomoc zaslouží Mickey Jin (@patch1t).
Záznam přidán 1. srpna 2023
FaceTime
Poděkování za pomoc zaslouží anonymní výzkumník.
FileVault
Poděkování za pomoc zaslouží Timothy Perfitt ze společnosti Twocanoes Software.
Find My
Poděkování za pomoc zaslouží anonymní výzkumník.
Identity Services
Poděkování za cennou pomoc zaslouží Joshua Jones.
IOAcceleratorFamily
Poděkování za cennou pomoc zaslouží Antonio Zekic (@antoniozekic).
IOGPUFamily
Poděkování za pomoc zaslouží Wang Yu ze společnosti cyberserval.
Záznam přidán 9. listopadu 2022
Kernel
Poděkování za pomoc zaslouží Peter Nguyen z týmu STAR Labs, Tim Michaud (@TimGMichaud) z týmu Moveworks.ai, Tingting Yin z univerzity Tsinghua, Min Zheng z týmu Ant Group, Tommy Muir (@Muirey03) a anonymní výzkumník.
Login Window
Poděkování za pomoc zaslouží Simon Tang (simontang.dev).
Záznam přidán 9. listopadu 2022
Poděkování za pomoc zaslouží Taavi Eomäe ze společnosti Zone Media OÜ a anonymní výzkumník.
Záznam aktualizován 21. prosince 2023
Mail Drafts
Poděkování za pomoc zaslouží anonymní výzkumník.
Networking
Poděkování za pomoc zaslouží Tim Michaud (@TimGMichaud) z týmu Zoom Video Communication.
Photo Booth
Poděkování za pomoc zaslouží Prashanth Kannan ze společnosti Dremio.
Quick Look
Poděkování za pomoc zaslouží Hilary „It’s off by a Pixel“ Street.
Safari
Poděkování za pomoc zaslouží Scott Hatfield ze společnosti Sub-Zero Group.
Záznam přidán 16. března 2023
Sandbox
Poděkování za pomoc zaslouží Csaba Fitzl (@theevilbit) z týmu Offensive Security.
SecurityAgent
Poděkování za pomoc zaslouží bezpečnostní tým Netservice de Toekomst a anonymní výzkumník.
Záznam přidán 21. prosince 2023
smbx
Poděkování za pomoc zaslouží HD Moore z týmu runZero Asset Inventory.
Systém
Poděkování za pomoc zaslouží Mickey Jin (@patch1t) ze společnosti Trend Micro.
System Settings
Poděkování za pomoc zaslouží Bjorn Hellenbrand.
UIKit
Poděkování za pomoc zaslouží Aleczander Ewing.
WebKit
Poděkování za pomoc zaslouží Maddie Stone z týmu Google Project Zero, Narendra Bhati (@imnarendrabhati) ze společnosti Suma Soft Pvt. Ltd. a anonymní výzkumník.
WebRTC
Poděkování za pomoc zaslouží anonymní výzkumník.
Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.