Informationen zum Sicherheitsinhalt von macOS Ventura 13

In diesem Dokument wird der Sicherheitsinhalt von macOS Ventura 13 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit findest du auf der Seite Sicherheits- oder Datenschutzschwachstelle melden.

macOS Ventura 13

Veröffentlicht am 24. Oktober 2022

Accelerate Framework

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen.

Beschreibung: Ein Problem mit der Speichernutzung wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-42795: ryuzaki

APFS

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Zugriffsproblem wurde durch verbesserte Zugriffsbeschränkungen behoben.

CVE-2022-48577: Csaba Fitzl (@theevilbit) von Offensive Security

Eintrag am 21. Dezember 2023 hinzugefügt

Apple Neural Engine

Auswirkung: Eine App kann möglicherweise einen vertraulichen Kernel-Status preisgeben.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-32858: Mohamed Ghannam (@_simo36)

Apple Neural Engine

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-32898: Mohamed Ghannam (@_simo36)

CVE-2022-32899: Mohamed Ghannam (@_simo36)

CVE-2022-46721: Mohamed Ghannam (@_simo36)

CVE-2022-47915: Mohamed Ghannam (@_simo36)

CVE-2022-47965: Mohamed Ghannam (@_simo36)

CVE-2022-32889: Mohamed Ghannam (@_simo36)

Eintrag aktualisiert am 21. Dezember 2023

AppleAVD

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2022-32907: Yinyi Wu, ABC Research s.r.o, Natalie Silvanovich von Google Project Zero, Tommaso Bianco (@cutesmilee__), Antonio Zekic (@antoniozekic) und John Aakerblom (@jaakerblom)

Eintrag hinzugefügt am 16. März 2023

AppleAVD

Auswirkung: Eine App kann unter Umständen einen Denial-of-Service verursachen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-32827: Antonio Zekic (@antoniozekic), Natalie Silvanovich von Google Project Zero und ein anonymer Forscher

AppleMobileFileIntegrity

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Konfigurationsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2022-32877: Wojciech Reguła (@_r3ggi) von SecuRing

Eintrag hinzugefügt am 16. März 2023

AppleMobileFileIntegrity

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Problem bei der Überprüfung von Code-Signaturen wurde durch verbesserte Prüfungen behoben.

CVE-2022-42789: Koh M. Nakagawa von FFRI Security, Inc.

AppleMobileFileIntegrity

Auswirkung: Eine App kann möglicherweise geschützte Bereiche des Dateisystems ändern.

Beschreibung: Dieses Problem wurde durch das Entfernen zusätzlicher Berechtigungen behoben.

CVE-2022-42825: Mickey Jin (@patch1t)

Assets

Auswirkung: Eine App kann möglicherweise geschützte Bereiche des Dateisystems ändern.

Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.

CVE-2022-46722: Mickey Jin (@patch1t)

Eintrag am 1. August 2023 hinzugefügt

ATS

Auswirkung: Die Privatsphäre-Einstellungen können von einer App möglicherweise umgangen werden.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-32902: Mickey Jin (@patch1t)

ATS

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Zugriffsproblem wurde durch zusätzliche Sandbox-Einschränkungen behoben.

CVE-2022-32904: Mickey Jin (@patch1t)

ATS

Auswirkung: Ein in der Sandbox ausgeführter Prozess kann möglicherweise Sandbox-Einschränkungen umgehen.

Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.

CVE-2022-32890: Mickey Jin (@patch1t)

Audio

Auswirkung: Eine App kann möglicherweise erhöhte Benutzerrechte erlangen.

Beschreibung: Dieses Problem wurde durch Entfernen des angreifbaren Codes behoben.

CVE-2022-42796: Mickey Jin (@patch1t)

Eintrag am Donnerstag, 16. März 2023 aktualisiert

Audio

Auswirkung: Die Analyse einer in böswilliger Absicht erstellten Audiodatei kann zur Preisgabe von Benutzerinformationen führen

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-42798: Ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Eintrag hinzugefügt am 27. Oktober 2022

AVEVideoEncoder

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2022-32940: ABC Research s.r.o.

Beta Access Utility

Auswirkung: Eine App kann möglicherweise geschützte Bereiche des Dateisystems ändern.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-42816: Mickey Jin (@patch1t)

Eintrag am 21. Dezember 2023 hinzugefügt

BOM

Auswirkung: Eine App kann Gatekeeper-Überprüfungen umgehen.

Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.

CVE-2022-42821: Jonathan Bar Or von Microsoft

Eintrag hinzugefügt am 13. Dezember 2022

Boot Camp

Auswirkung: Eine App kann möglicherweise geschützte Bereiche des Dateisystems ändern.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben, die nicht autorisierte Aktionen verhindern.

CVE-2022-42860: Mickey Jin (@patch1t) von Trend Micro

Eintrag hinzugefügt am 16. März 2023

Calendar

Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.

Beschreibung: Ein Zugriffsproblem wurde durch verbesserte Zugriffsbeschränkungen behoben.

CVE-2022-42819: ein anonymer Forscher

CFNetwork

Auswirkung: Die Verarbeitung eines in böswilliger Absicht erstellten Zertifikats kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Bei der Verwendung von WKWebView bestand ein Problem mit der Zertifikatsüberprüfung. Dieses Problem wurde durch eine verbesserte Prüfung behoben.

CVE-2022-42813: Jonathan Zhang von Open Computing Facility (ocf.berkeley.edu)

ColorSync

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen.

Beschreibung: Bei der Verarbeitung von ICC-Profilen kam es zu einem Speicherfehler. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2022-26730: David Hoyt von Hoyt LLC

Core Bluetooth

Auswirkung: Eine App kann über gekoppelte AirPods Audio aufnehmen.

Beschreibung: Ein Zugriffsproblem wurde mit zusätzlichen Sandbox-Einschränkungen für Drittanbieter-Apps behoben.

CVE-2022-32945: Guilherme Rambo von Best Buddy Apps (rambo.codes)

Eintrag hinzugefügt am 9. November 2022

CoreMedia

Auswirkung: Eine Kameraerweiterung empfängt möglicherweise weiterhin Videodaten, auch nachdem die aktivierte App geschlossen wurde.

Beschreibung: Ein Problem mit dem App-Zugriff auf Kameradaten wurde durch eine verbesserte Logik behoben.

CVE-2022-42838: Halle Winkler (@hallewinkler) von Politepix

Eintrag am 22. Dezember 2022 hinzugefügt

CoreTypes

Auswirkung: Eine schadhafte Anwendung kann Gatekeeper-Überprüfungen umgehen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben, die nicht autorisierte Aktionen verhindern.

CVE-2022-22663: Arsenii Kostromin (0x3c3e)

Eintrag hinzugefügt am 16. März 2023

Crash Reporter

Auswirkung: Ein Benutzer mit physischem Zugang zu einem iOS-Gerät kann unter Umständen mehr als die Diagnoseprotokolle lesen.

Beschreibung: Dieses Problem wurde durch verbesserten Datenschutz behoben.

CVE-2022-32867: Kshitij Kumar und Jai Musunuri von Crowdstrike

curl

Auswirkung: Mehrere Probleme in curl

Beschreibung: Mehrere Probleme wurden durch das Update von curl auf Version 7.84.0 behoben.

CVE-2022-32205

CVE-2022-32206

CVE-2022-32207

CVE-2022-32208

Directory Utility

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.

CVE-2022-42814: Sergii Kryvoblotskyi von MacPaw Inc.

DriverKit

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-32865: Linus Henze von der Pinauten GmbH (pinauten.de)

DriverKit

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Typenverwechslungsproblem wurde durch verbesserte Prüfungen behoben.

CVE-2022-32915: Tommy Muir (@Muirey03)

Exchange

Auswirkung: Ein Benutzer in einer privilegierten Netzwerkposition kann möglicherweise E-Mail-Anmeldedaten abfangen

Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.

CVE-2022-32928: Jiří Vinopal (@vinopaljiri) von Check Point Research

Eintrag am Donnerstag, 16. März 2023 aktualisiert

FaceTime

Auswirkung: Benutzer:innen übertragen möglicherweise in einem FaceTime-Anruf Audio- und Videosignale, ohne sich dessen bewusst zu sein.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2022-22643: Sonali Luthar von der University of Virginia, Michael Liao von der University of Illinois at Urbana-Champaign, Rohan Pahwa von der Rutgers University und Bao Nguyen von der University of Florida

Eintrag hinzugefügt am 16. März 2023

FaceTime

Auswirkung: Benutzer können möglicherweise eingeschränkten Inhalt auf dem Sperrbildschirm anzeigen.

Beschreibung: Ein Problem mit dem Sperrbildschirm wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-32935: Bistrit Dahal

Eintrag hinzugefügt am 27. Oktober 2022

Find My

Auswirkung: Vertrauliche Standortinformationen können unter Umständen von einem Schadprogramm gelesen werden.

Beschreibung: Es bestand ein Problem mit Berechtigungen. Dieses Problem wurde durch eine verbesserte Berechtigungsüberprüfung behoben.

CVE-2022-42788: Csaba Fitzl (@theevilbit) von Offensive Security, Wojciech Reguła von SecuRing (wojciechregula.blog)

Find My

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Das Problem wurde durch eine verbesserte Verarbeitung der Caches behoben.

CVE-2022-48504: Csaba Fitzl (@theevilbit) von Offensive Security

Eintrag am 21. Dezember 2023 hinzugefügt

Finder

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten DMG-Datei kann zur Ausführung von willkürlichem Code mit Systemrechten führen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Validierung von Symlinks behoben.

CVE-2022-32905: Ron Masas (breakpoint.sh) von BreakPoint Technologies LTD

GPU Drivers

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2022-42833: Pan ZhenPeng (@Peterpan0927)

Eintrag am 22. Dezember 2022 hinzugefügt

GPU Drivers

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-32947: Asahi Lina (@LinaAsahi)

Grapher

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten GCX-Datei kann zu einem unerwarteten App-Abbruch oder zur Ausführung von willkürlichem Code führen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-42809: Yutao Wang (@Jack) und Yu Zhou (@yuzhou6666)

Heimdal

Auswirkung: Ein lokaler Benutzer kann einen unerwarteten App-Abbruch oder die Ausführung willkürlichen Codes verursachen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2022-3437: Evgeny Legerov von Intevydis

Eintrag am Dienstag, 25. Oktober 2022 hinzugefügt

iCloud Photo Library

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Problem mit der Offenlegung von Informationen wurde durch Entfernen des angreifbaren Codes behoben.

CVE-2022-32849: Joshua Jones

Eintrag hinzugefügt am 9. November 2022

Image Processing

Auswirkung: Eine App in einer Sandbox kann unter Umständen ermitteln, welche App die Kamera nutzt.

Beschreibung: Dieses Problem wurde durch zusätzliche Einschränkungen für die Beobachtbarkeit des App-Status behoben.

CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)

ImageIO

Auswirkung: Die Verarbeitung eines Bildes kann zu einem Denial-of-Service führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2022-32809: Mickey Jin (@patch1t)

Eintrag am 1. August 2023 hinzugefügt

ImageIO

Auswirkung: Die Verarbeitung eines Bildes kann zu einem Denial-of-Service führen.

Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Überprüfung behoben.

CVE-2022-1622

Intel Graphics Driver

Auswirkung: Der Kernel-Speicher kann von einer App offengelegt werden.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2022-32936: Antonio Zekic (@antoniozekic)

IOHIDFamily

Auswirkung: Eine App kann einen unerwarteten App-Abbruch oder die Ausführung willkürlichen Codes verursachen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-42820: Peter Pan ZhenPeng von STAR Labs

IOKit

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch verbesserten Sperrschutz behoben.

CVE-2022-42806: Tingting Yin von der Tsinghua-Universität

Kernel

Auswirkung: Der Kernel-Speicher kann von einer App offengelegt werden.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-32864: Linus Henze von der Pinauten GmbH (pinauten.de)

Kernel

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-32866: Linus Henze von der Pinauten GmbH (pinauten.de)

CVE-2022-32911: Zweig von Kunlun Lab

CVE-2022-32924: Ian Beer von Google Project Zero

Kernel

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-32914: Zweig von Kunlun Lab

Kernel

Auswirkung: Remote-Benutzer können die Ausführung von Kernel-Code verursachen.

Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2022-42808: Zweig von Kunlun Lab

Kernel

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-32944: Tim Michaud (@TimGMichaud) von Moveworks.ai

Eintrag hinzugefügt am 27. Oktober 2022

Kernel

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch verbesserten Sperrschutz behoben.

CVE-2022-42803: Xinru Chi von Pangu Lab, John Aakerblom (@jaakerblom)

Eintrag hinzugefügt am 27. Oktober 2022

Kernel

Auswirkung: Eine App mit Root-Rechten kann willkürlichen Code mit Kernelrechten ausführen

Beschreibung: Das Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2022-32926: Tim Michaud (@TimGMichaud) von Moveworks.ai

Eintrag hinzugefügt am 27. Oktober 2022

Kernel

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.

CVE-2022-42801: Ian Beer von Google Project Zero

Eintrag hinzugefügt am 27. Oktober 2022

Kernel

Auswirkung: Eine App kann einen unerwarteten Systemabbruch verursachen oder möglicherweise Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-46712: Tommy Muir (@Muirey03)

Eintrag am 20. Februar 2023 hinzugefügt

Mail

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Dieses Problem wurde durch verbesserten Datenschutz behoben.

CVE-2022-42815: Csaba Fitzl (@theevilbit) von Offensive Security

Mail

Auswirkung: Eine App kann möglicherweise Zugriff auf den Mail-Ordner durch ein temporäres Verzeichnis während des Kompressionsvorganges erhalten

Beschreibung: Ein Zugriffsproblem wurde durch verbesserte Zugriffsbeschränkungen behoben.

CVE-2022-42834: Wojciech Reguła (@_r3ggi) von SecuRing

Eintrag hinzugefügt am Montag, 1. Mai 2023

Maps

Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.

Beschreibung: Dieses Problem wurde durch verbesserte Einschränkungen bezüglich vertraulicher Informationen behoben.

CVE-2022-46707: Csaba Fitzl (@theevilbit) von Offensive Security

Eintrag am 1. August 2023 hinzugefügt

Maps

Auswirkung: Eine App kann möglicherweise vertrauliche Standortinformationen lesen

Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.

CVE-2022-32883: Ron Masas von breakpointhq.com

MediaLibrary

Auswirkung: Ein Benutzer kann Rechte erhöhen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2022-32908: ein anonymer Forscher

Model I/O

Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten USD-Datei kann möglicherweise Speicherinhalte offenlegen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-42810: Xingwei Lin (@xwlin_roy) und Yinyi Wu von Ant Security Light-Year Lab

Eintrag hinzugefügt am 27. Oktober 2022

ncurses

Auswirkung: Ein lokaler Benutzer kann einen unerwarteten App-Abbruch oder die Ausführung willkürlichen Codes verursachen.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2021-39537

ncurses

Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten Datei kann zu einem Denial-of-Service führen und möglicherweise Speicherinhalte preisgeben.

Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Überprüfung behoben.

CVE-2022-29458

Notes

Auswirkung: Ein Benutzer mit privilegierter Netzwerkposition kann unter Umständen Benutzeraktivitäten nachverfolgen.

Beschreibung: Dieses Problem wurde durch verbesserten Datenschutz behoben.

CVE-2022-42818: Gustav Hansen von WithSecure

Notifications

Auswirkung: Ein Benutzer mit physischem Zugang zu einem Gerät kann unter Umständen vom Sperrbildschirm aus auf Kontakte zugreifen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-32879: Ubeydullah Sümer

PackageKit

Auswirkung: Eine App kann möglicherweise geschützte Bereiche des Dateisystems ändern.

Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch eine verbesserte Statusverarbeitung behoben.

CVE-2022-32895: Mickey Jin (@patch1t) von Trend Micro, Mickey Jin (@patch1t)

PackageKit

Auswirkung: Eine App kann möglicherweise geschützte Bereiche des Dateisystems ändern.

Beschreibung: Eine Race-Bedingung wurde mit einer zusätzlichen Überprüfung behoben.

CVE-2022-46713: Mickey Jin (@patch1t) von Trend Micro

Eintrag am 20. Februar 2023 hinzugefügt

Photos

Auswirkung: Ein Benutzer kann versehentlich einen Teilnehmer zu einem geteilten Album hinzufügen, indem er die Entf-Taste drückt.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-42807: Ezekiel Elin

Eintrag hinzugefügt am 1. Mai 2023, aktualisiert am 1. August 2023

Photos

Auswirkung: Die Privatsphäre-Einstellungen können von einer App möglicherweise umgangen werden.

Beschreibung: Dieses Problem wurde durch verbesserten Datenschutz behoben.

CVE-2022-32918: Ashwani Rajput von Nagarro Software Pvt. Ltd, Srijan Shivam Mishra von The Hack Report, Jugal Goradia von Aastha Technologies, Evan Ricafort (evanricafort.com) von Invalid Web Security, Shesha Sai C (linkedin.com/in/shesha-sai-c-18585b125) und Amod Raghunath Patwardhan aus Pune, Indien

Eintrag am Donnerstag, 16. März 2023 aktualisiert

ppp

Auswirkung: Eine App mit Root-Rechten kann willkürlichen Code mit Kernelrechten ausführen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-42829: ein anonymer Forscher

ppp

Auswirkung: Eine App mit Root-Rechten kann willkürlichen Code mit Kernelrechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-42830: ein anonymer Forscher

ppp

Auswirkung: Eine App mit Root-Rechten kann willkürlichen Code mit Kernelrechten ausführen.

Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch verbesserten Sperrschutz behoben.

CVE-2022-42831: ein anonymer Forscher

CVE-2022-42832: ein anonymer Forscher

ppp

Auswirkung: Ein Pufferüberlauf kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Das Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2022-32941: ein anonymer Forscher

Eintrag hinzugefügt am 27. Oktober 2022

Ruby

Auswirkung: Ein Remote-Benutzer kann einen unerwarteten App-Abbruch oder die Ausführung willkürlichen Codes verursachen.

Beschreibung: Mehrere Speicherprobleme wurden durch die Aktualisierung von Ruby auf Version 2.6.10 behoben.

CVE-2022-28739

Sandbox

Auswirkung: Eine App kann möglicherweise geschützte Bereiche des Dateisystems ändern.

Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.

CVE-2022-32881: Csaba Fitzl (@theevilbit) von Offensive Security

Sandbox

Auswirkung: Eine App mit Root-Rechten kann möglicherweise auf private Daten zugreifen.

Beschreibung: Dieses Problem wurde durch verbesserten Datenschutz behoben.

CVE-2022-32862: Rohit Chatterjee von der University of Illinois Urbana-Champaign

CVE-2022-32931: ein anonymer Forscher

Eintrag aktualisiert am 16. März 2023, aktualisiert am 21. Dezember 2023

Sandbox

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Zugriffsproblem wurde durch zusätzliche Sandbox-Einschränkungen behoben.

CVE-2022-42811: Justin Bui (@slyd0g) von Snowflake

Security

Auswirkung: Eine App kann unter Umständen Code-Signaturprüfungen umgehen.

Beschreibung: Ein Problem bei der Überprüfung von Code-Signaturen wurde durch verbesserte Prüfungen behoben.

CVE-2022-42793: Linus Henze von der Pinauten GmbH (pinauten.de)

Shortcuts

Auswirkung: Ein Kurzbefehl kann das Album „Ausgeblendet“ ohne Authentifizierung anzeigen

Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.

CVE-2022-32876: Ein anonymer Forscher

Eintrag am 1. August 2023 hinzugefügt

Shortcuts

Auswirkung: Ein Kurzbefehl kann möglicherweise das Vorhandensein eines willkürlichen Pfads im Dateisystem überprüfen.

Beschreibung: Ein Parsing-Problem bei der Verarbeitung von Verzeichnispfaden wurde durch eine verbesserte Pfadüberprüfung behoben.

CVE-2022-32938: Cristian Dinca von der Tudor Vianu National High School of Computer Science, Rumänien

Sidecar

Auswirkung: Benutzer können möglicherweise eingeschränkten Inhalt auf dem Sperrbildschirm anzeigen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-42790: Om Kothawade von Zaprico Digital

Siri

Auswirkung: Ein Benutzer mit physischem Zugang zu einem Gerät kann sich mit Siri unter Umständen Informationen zum Anrufverlauf beschaffen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-32870: Andrew Goldberg von The McCombs School of Business, The University of Texas at Austin (linkedin.com/in/andrew-goldberg-/)

SMB

Auswirkung: Remotebenutzer können die Ausführung von Kernelcode verursachen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-32934: Felix Poulin-Belanger

Software Update

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch eine verbesserte Statusverarbeitung behoben.

CVE-2022-42791: Mickey Jin (@patch1t) von Trend Micro

SQLite

Auswirkung: Ein Remote-Benutzer kann möglicherweise einen Denial-of-Service verursachen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2021-36690

System Settings

Auswirkung: Eine App kann möglicherweise geschützte Bereiche des Dateisystems ändern.

Beschreibung: Dieses Problem wurde durch verbesserten Datenschutz behoben.

CVE-2022-48505: Adam Chester von TrustedSec und Thijs Alkemade (@xnyhps) von Computest Sector 7

Eintrag hinzugefügt am 26. Juni 2023

TCC

Auswirkung: Eine App kann möglicherweise einen Denial-of-Service bei Endpoint Security-Clients verursachen

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-26699: Csaba Fitzl (@theevilbit) von Offensive Security

Eintrag am 1. August 2023 hinzugefügt

Vim

Auswirkung: Mehrere Probleme in Vim

Beschreibung: Mehrere Probleme wurden durch ein Update von Vim behoben.

CVE-2022-0261

CVE-2022-0318

CVE-2022-0319

CVE-2022-0351

CVE-2022-0359

CVE-2022-0361

CVE-2022-0368

CVE-2022-0392

CVE-2022-0554

CVE-2022-0572

CVE-2022-0629

CVE-2022-0685

CVE-2022-0696

CVE-2022-0714

CVE-2022-0729

CVE-2022-0943

CVE-2022-1381

CVE-2022-1420

CVE-2022-1725

CVE-2022-1616

CVE-2022-1619

CVE-2022-1620

CVE-2022-1621

CVE-2022-1629

CVE-2022-1674

CVE-2022-1733

CVE-2022-1735

CVE-2022-1769

CVE-2022-1927

CVE-2022-1942

CVE-2022-1968

CVE-2022-1851

CVE-2022-1897

CVE-2022-1898

CVE-2022-1720

CVE-2022-2000

CVE-2022-2042

CVE-2022-2124

CVE-2022-2125

CVE-2022-2126

VPN

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-42828: Ein anonymer Forscher

Eintrag am 1. August 2023 hinzugefügt

Weather

Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-32875: ein anonymer Forscher

WebKit

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

WebKit Bugzilla: 246669
CVE-2022-42826: Francisco Alonso (@revskills)

Eintrag am 22. Dezember 2022 hinzugefügt

WebKit

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.

WebKit Bugzilla: 241969
CVE-2022-32886: P1umer (@p1umer), afang (@afang5472), xmzyshypnc (@xmzyshypnc1)

WebKit

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)

WebKit

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a) bei Theori in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

WebKit

Auswirkung: Eine in böser Absicht erstellte Website kann Elemente der Benutzeroberfläche fälschen (UI-Spoofing).

Beschreibung: Das Problem wurde durch verbesserte UI-Verwaltung behoben.

WebKit Bugzilla: 243693
CVE-2022-42799: Jihwan Kim (@gPayl0ad) und Dohyun Lee (@l33d0hyun)

WebKit

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Typenverwechslungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.

WebKit Bugzilla: 244622
CVE-2022-42823: Dohyun Lee (@l33d0hyun) von SSD Labs

WebKit

Auswirkung: Bei der Verarbeitung von in böser Absicht erstellten Webinhalten können vertrauliche Benutzerdaten offengelegt werden.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

WebKit Bugzilla: 245058
CVE-2022-42824: Abdulrahman Alqabandi von Microsoft Browser Vulnerability Research, Ryan Shin vom IAAI SecLab an der Korea University und Dohyun Lee (@l33d0hyun) vom DNSLab an der Korea University

WebKit

Auswirkung: Bei der Verarbeitung von in böser Absicht erstellten Webinhalten kann der interne Status der App offengelegt werden.

Beschreibung: Ein Problem in Bezug auf die Korrektheit in der JIT wurde durch verbesserte Prüfungen behoben.

WebKit Bugzilla: 242964
CVE-2022-32923: Wonyoung Jung (@nonetype_pwn) von KAIST Hacking Lab

Eintrag hinzugefügt am 27. Oktober 2022

WebKit PDF

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

WebKit Bugzilla: 242781
CVE-2022-32922: Yonghwi Jin (@jinmo123) von Theori in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

WebKit Sandboxing

Auswirkung: Ein in der Sandbox ausgeführter Prozess kann möglicherweise Sandbox-Einschränkungen umgehen.

Beschreibung: Ein Zugriffsproblem wurde durch Verbesserungen an der Sandbox behoben.

WebKit Bugzilla: 243181
CVE-2022-32892: @18楼梦想改造家 und @jq0904 vom WeBin Lab von DBAppSecurity

WebKit Storage

Auswirkung: Die Privatsphäre-Einstellungen können von einer App möglicherweise umgangen werden.

Beschreibung: Das Problem wurde durch eine verbesserte Verarbeitung der Caches behoben.

CVE-2022-32833: Csaba Fitzl (@theevilbit) von Offensive Security, Jeff Johnson

Eintrag am 22. Dezember 2022 hinzugefügt

Wi-Fi

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-46709: Wang Yu von Cyberserval

Eintrag hinzugefügt am 16. März 2023

zlib

Auswirkung: Ein lokaler Benutzer kann einen unerwarteten App-Abbruch oder die Ausführung willkürlichen Codes verursachen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2022-37434: Evgeny Legerov

CVE-2022-42800: Evgeny Legerov

Eintrag hinzugefügt am 27. Oktober 2022

Zusätzliche Danksagung

AirPort

Wir möchten uns bei Joseph Salazar Acuña und Renato Llamoca von Intrado-Life & Safety/Globant für die Unterstützung bedanken.

apache

Wir möchten uns bei Tricia Lee von Enterprise Service Center für die Unterstützung bedanken.

Eintrag hinzugefügt am 16. März 2023

AppleCredentialManager

Wir möchten uns bei @jonathandata1 für die Unterstützung bedanken.

ATS

Wir möchten uns bei Mickey Jin (@patch1t) für die Unterstützung bedanken.

Eintrag am 1. August 2023 hinzugefügt

FaceTime

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.

FileVault

Wir möchten uns bei Timothy Perfitt von Twocanoes Software für die Unterstützung bedanken.

Find My

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.

Identity Services

Wir möchten uns bei Joshua Jones für die Unterstützung bedanken.

IOAcceleratorFamily

Wir möchten uns bei Antonio Zekic (@antoniozekic) für die Unterstützung bedanken.

IOGPUFamily

Wir möchten uns bei Wang Yu von cyberserval für die Unterstützung bedanken.

Eintrag hinzugefügt am 9. November 2022

Kernel

Wir möchten uns bei Peter Nguyen von STAR Labs, Tim Michaud (@TimGMichaud) von Moveworks.ai, Tingting Yin von der Tsinghua-Universität, Min Zheng von Ant Group, Tommy Muir (@Muirey03) und einem anonymen Forscher für die Unterstützung bedanken.

Login Window

Wir möchten uns bei Simon Tang (simontang.dev) für die Unterstützung bedanken.

Eintrag hinzugefügt am 9. November 2022

Mail

Wir möchten uns bei Taavi Eomäe von Zone Media OÜ und einem anonymen Forscher für die Unterstützung bedanken.

Eintrag aktualisiert am 21. Dezember 2023

Mail Drafts

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.

Networking

Wir möchten uns bei Tim Michaud (@TimGMichaud) von Zoom Video Communications für die Unterstützung bedanken.

Photo Booth

Wir möchten uns bei Prashanth Kannan von Dremio für die Unterstützung bedanken.

Quick Look

Wir möchten uns bei Hilary “It’s off by a Pixel” Street für die Unterstützung bedanken.

Safari

Wir möchten uns bei Scott Hatfield von Sub-Zero Group für die Unterstützung bedanken.

Eintrag hinzugefügt am 16. März 2023

Sandbox

Wir möchten uns bei Csaba Fitzl (@theevilbit) von Offensive Security für die Unterstützung bedanken.

SecurityAgent

Wir möchten uns bei Security Team Netservice de Toekomst, einem anonymen Forscher für die Unterstützung bedanken.

Eintrag am 21. Dezember 2023 hinzugefügt

smbx

Wir möchten uns bei HD Moore von runZero Asset Inventory für die Unterstützung bedanken.

System

Wir möchten uns bei Mickey Jin (@patch1t) von Trend Micro für die Unterstützung bedanken.

System Settings

Wir möchten uns bei Bjorn Hellenbrand für die Unterstützung bedanken.

UIKit

Wir möchten uns bei Aleczander Ewing für die Unterstützung bedanken.

WebKit

Wir möchten uns bei Maddie Stone von Google Project Zero, Narendra Bhati (@imnarendrabhati) von Suma Soft Pvt. Ltd. und einem anonymen Forscher für die Unterstützung bedanken.

WebRTC

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.

Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.

Veröffentlichungsdatum: Jänner 05, 2024

Informationen zum Sicherheitsinhalt von macOS Ventura 13

Informationen zu Apple-Sicherheitsupdates

macOS Ventura 13

Zusätzliche Danksagung

Starten einer Diskussion in der Apple Support Community