Informationen zum Sicherheitsinhalt von macOS Ventura 13.1

In diesem Dokument wird der Sicherheitsinhalt von macOS Ventura 13.1 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit findest du auf der Seite Sicherheits- oder Datenschutzschwachstelle melden.

macOS Ventura 13.1

Veröffentlicht am 13. Dezember 2022

Accounts

Verfügbar für: macOS Ventura

Auswirkung: Ein Benutzer kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Dieses Problem wurde durch verbesserten Datenschutz behoben.

CVE-2022-42843: Mickey Jin (@patch1t)

AMD

Verfügbar für: macOS Ventura

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2022-42858: ABC Research s.r.o.

Eintrag hinzugefügt am 16. März 2023

AMD

Verfügbar für: macOS Ventura

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2022-42847: ABC Research s.r.o.

AppleMobileFileIntegrity

Verfügbar für: macOS Ventura

Auswirkung: Die Privatsphäre-Einstellungen können von einer App möglicherweise umgangen werden.

Beschreibung: Dieses Problem wurde durch die Aktivierung der gehärteten Laufzeit behoben.

CVE-2022-42865: Wojciech Reguła (@_r3ggi) von SecuRing

Bluetooth

Verfügbar für: macOS Ventura

Auswirkung: Der Kernel-Speicher kann von einer App offengelegt werden.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-42854: Pan ZhenPeng (@Peterpan0927) von STAR Labs SG Pte. Ltd. (@starlabs_sg)

Boot Camp

Verfügbar für: macOS Ventura

Auswirkung: Eine App kann möglicherweise geschützte Bereiche des Dateisystems ändern.

Beschreibung: Ein Zugriffsproblem wurde durch verbesserte Zugriffsbeschränkungen behoben.

CVE-2022-42853: Mickey Jin (@patch1t) von Trend Micro

CoreServices

Verfügbar für: macOS Ventura

Auswirkung: Die Privatsphäre-Einstellungen können von einer App möglicherweise umgangen werden.

Beschreibung: Mehrere Probleme wurden durch Entfernen des angreifbaren Codes behoben.

CVE-2022-42859: Mickey Jin (@patch1t), Csaba Fitzl (@theevilbit) von Offensive Security

curl

Verfügbar für: macOS Ventura

Auswirkung: Mehrere Probleme in curl

Beschreibung: Mehrere Probleme wurden durch das Update von curl auf Version 7.85.0 behoben.

CVE-2022-35252

Eintrag am 31. Oktober 2023 hinzugefügt

DriverKit

Verfügbar für: macOS Ventura

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-32942: Linus Henze von der Pinauten GmbH (pinauten.de)

dyld

Verfügbar für: macOS Ventura

Auswirkung: Eine App kann möglicherweise die Sandbox umgehen.

Beschreibung: Ein Ganzzahlüberlauf wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2022-46720: Yonghwi Jin (@jinmo123) von Theori

Eintrag hinzugefügt am 16. März 2023

iCloud Photo Library

Verfügbar für: macOS Ventura

Auswirkung: Der Standort wird möglicherweise über iCloud-Links geteilt, auch wenn Standort-Metadaten über das Share-Sheet deaktiviert sind

Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.

CVE-2022-46710: John Balestrieri von Tinrocket

Eintrag am 31. Oktober 2023 hinzugefügt

ImageIO

Verfügbar für: macOS Ventura

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2022-46693: Mickey Jin (@patch1t)

IOHIDFamily

Verfügbar für: macOS Ventura

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch eine verbesserte Statusverarbeitung behoben.

CVE-2022-42864: Tommy Muir (@Muirey03)

IOMobileFrameBuffer

Verfügbar für: macOS Ventura

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2022-46690: John Aakerblom (@jaakerblom)

IOMobileFrameBuffer

Verfügbar für: macOS Ventura

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Problem, aufgrund dessen auf Daten außerhalb des zugewiesenen Bereichs zugegriffen werden konnte, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2022-46697: John Aakerblom (@jaakerblom) und Antonio Zekic (@antoniozekic)

iTunes Store

Verfügbar für: macOS Ventura

Auswirkung: Remotebenutzer können einen unerwarteten App-Abbruch oder die willkürliche Ausführung von Code verursachen.

Beschreibung: Es bestand ein Problem bei der Analyse von URLs. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2022-42837: Weijia Dai (@dwj1210) von Momo Security

Kernel

Verfügbar für: macOS Ventura

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Eine Race-Bedingung wurde mit einer zusätzlichen Überprüfung behoben.

CVE-2022-46689: Ian Beer von Google Project Zero

Kernel

Verfügbar für: macOS Ventura

Auswirkung: Das Herstellen einer Verbindung zu einem schadhaften NFS-Server kann zur Ausführung willkürlichen Codes mit Kernel-Rechten führen.

Beschreibung: Das Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2022-46701: Felix Poulin-Belanger

Kernel

Verfügbar für: macOS Ventura

Auswirkung: Remotebenutzer können die Ausführung von Kernelcode verursachen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-42842: pattern-f (@pattern_F_) von Ant Security Light-Year Lab

Kernel

Verfügbar für: macOS Ventura

Auswirkung: Eine App kann möglicherweise die Sandbox umgehen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2022-42861: pattern-f (@pattern_F_) von Ant Security Light-Year Lab

Kernel

Verfügbar für: macOS Ventura

Auswirkung: Eine App mit Root-Rechten kann willkürlichen Code mit Kernelrechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-42845: Adam Doupé von ASU SEFCOM

Kernel

Verfügbar für: macOS Ventura

Auswirkung: Ein Angreifer mit willkürlichen Lese- und Schreibrechten kann möglicherweise die Authentifizierung von Zeigern umgehen. Apple ist ein Bericht bekannt, wonach dieses Problem möglicherweise bei iOS-Versionen ausgenutzt wurde, die vor iOS 15.7.1 veröffentlicht wurden.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2022-48618: Apple

Eintrag am 9. Januar 2024 hinzugefügt

Netzwerkbetrieb

Verfügbar für: macOS Ventura

Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Unkenntlichmachung vertraulicher Informationen behoben.

CVE-2022-42839: Adam M.

Eintrag hinzugefügt am 31. Oktober 2023, aktualisiert am 31. Mai 2024

Networking

Verfügbar für: macOS Ventura

Auswirkung: Die Privat-Relay-Funktionalität stimmte nicht mit den Systemeinstellungen überein.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-46716

Eintrag hinzugefügt am 16. März 2023

PackageKit

Verfügbar für: macOS Ventura

Auswirkung: Eine App kann möglicherweise geschützte Bereiche des Dateisystems ändern.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-46704: Mickey Jin (@patch1t), Csaba Fitzl (@theevilbit) von Offensive Security

Eintrag am 22. Dezember 2022 hinzugefügt

Photos

Verfügbar für: macOS Ventura

Auswirkung: Durch „Zum Widerrufen schütteln“ kann ein gelöschtes Foto ohne Authentifizierung wieder auftauchen.

Beschreibung: Das Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2022-32943: Jiwon Park, Mieszko Wawrzyniak und ein anonymer Forscher

Eintrag am 31. Oktober 2023 aktualisiert

ppp

Verfügbar für: macOS Ventura

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-42840: ein anonymer Forscher

Preferences

Verfügbar für: macOS Ventura

Auswirkung: Eine App kann möglicherweise willkürliche Berechtigungen nutzen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-42855: Ivan Fratric von Google Project Zero

Printing

Verfügbar für: macOS Ventura

Auswirkung: Die Datenschutz-Einstellungen können von einer App möglicherweise umgangen werden.

Beschreibung: Dieses Problem wurde durch Entfernen des angreifbaren Codes behoben.

CVE-2022-42862: Mickey Jin (@patch1t)

Ruby

Verfügbar für: macOS Ventura

Auswirkung: Remotebenutzer können einen unerwarteten App-Abbruch oder die willkürliche Ausführung von Code verursachen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2022-24836

CVE-2022-29181

Safari

Verfügbar für: macOS Ventura

Auswirkung: Der Besuch einer Website, die in Frames schädliche Inhalte enthält, kann zu UI-Spoofing führen.

Beschreibung: Es bestand eine Spoofing-Schwachstelle bei der Verarbeitung von URLs. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2022-46695: KirtiKumar Anandrao Ramchandani

TCC

Verfügbar für: macOS Ventura

Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.

Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.

CVE-2022-46718: Michael (Biscuit) Thomas

Eintrag am 1. Mai 2023 hinzugefügt

Weather

Verfügbar für: macOS Ventura

Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.

Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.

CVE-2022-46703: Wojciech Regula von SecuRing (wojciechregula.blog) und Adam M.

Eintrag hinzugefügt am 16. März 2023, aktualisiert am 31. Mai 2024

Weather

Verfügbar für: macOS Ventura

Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.

Beschreibung: Das Problem wurde durch eine verbesserte Verarbeitung der Caches behoben.

CVE-2022-42866: ein anonymer Forscher

WebKit

Verfügbar für: macOS Ventura

Auswirkung: Der Besuch einer Website, die in Frames schädliche Inhalte enthält, kann zu UI-Spoofing führen.

Beschreibung: Das Problem wurde durch verbesserte UI-Verwaltung behoben.

WebKit Bugzilla: 247461

CVE-2022-32919: @real_as3617

Eintrag am 31. Oktober 2023 hinzugefügt

WebKit

Verfügbar für: macOS Ventura

Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu URL-Spoofing führen.

Beschreibung: Es bestand eine Spoofing-Schwachstelle bei der Verarbeitung von URLs. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

WebKit Bugzilla: 247289

CVE-2022-46725: Hyeon Park (@tree_segment) von Team ApplePIE

WebKit Bugzilla: 247287

CVE-2022-46705: Hyeon Park (@tree_segment) von Team ApplePIE

Eintrag am 22. Dezember 2022 hinzugefügt und am 31. Oktober 2023 aktualisiert

WebKit

Verfügbar für: macOS Ventura

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

WebKit Bugzilla: 245521

CVE-2022-42867: Maddie Stone von Google Project Zero

WebKit

Verfügbar für: macOS Ventura

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Problem mit der Speichernutzung wurde durch eine verbesserte Speicherverwaltung behoben.

WebKit Bugzilla: 245466

CVE-2022-46691: ChengGang Wu, Yan Kang, YuHao Hu, Yue Sun, Jiming Wang, JiKai Ren und Hang Shu vom Institute of Computing Technology, Chinese Academy of Sciences

Eintrag am 31. Oktober 2023 aktualisiert

WebKit

Verfügbar für: macOS Ventura

Auswirkung: Bei der Verarbeitung von in böser Absicht erstellten Webinhalten kann die Same Origin Policy umgangen werden.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

WebKit Bugzilla: 246783

CVE-2022-46692: KirtiKumar Anandrao Ramchandani (kirtikumarar.com)

Eintrag am 31. Oktober 2023 aktualisiert

WebKit

Verfügbar für: macOS Ventura

Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten kann Prozessspeicher offengelegt werden.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

WebKit Bugzilla: 246721

CVE-2022-42852: hazbinhotel in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Eintrag am 22. Dezember 2022 aktualisiert

WebKit

Verfügbar für: macOS Ventura

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

WebKit Bugzilla: 246942

CVE-2022-46696: Samuel Groß von Google V8 Security

WebKit Bugzilla: 247562

CVE-2022-46700: Samuel Groß von Google V8 Security

WebKit

Verfügbar für: macOS Ventura

Auswirkung: Bei der Verarbeitung von in böser Absicht erstellten Webinhalten können vertrauliche Nutzerdaten offengelegt werden.

Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.

WebKit Bugzilla: 247066

CVE-2022-46698: Dohyun Lee (@l33d0hyun) vom DNSLab an der Korea University, Ryan Shin vom IAAI SecLab an der Korea University

Eintrag am 22. Dezember 2022 aktualisiert

WebKit

Verfügbar für: macOS Ventura

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

WebKit Bugzilla: 247420

CVE-2022-46699: Samuel Groß von Google V8 Security

WebKit Bugzilla: 244622

CVE-2022-42863: ein anonymer Forscher

WebKit

Verfügbar für: macOS Ventura

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung eines willkürlichen Codes führen. Apple ist ein Bericht bekannt, wonach dieses Problem möglicherweise aktiv für iOS-Versionen ausgenutzt wurde, die vor iOS 15.1 veröffentlicht wurden.

Beschreibung: Ein Typenverwechslungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

WebKit Bugzilla: 248266

CVE-2022-42856: Clément Lecigne von der Threat Analysis Group von Google

xar

Verfügbar für: macOS Ventura

Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Pakets kann zur Ausführung willkürlichen Codes führen.

Beschreibung: Ein Typenverwechslungsproblem wurde durch verbesserte Prüfungen behoben.

CVE-2022-42841: Thijs Alkemade (@xnyhps) von Computest Sector 7

Zusätzliche Danksagung

Kernel

Wir möchten uns bei Zweig von Kunlun Lab für die Unterstützung bedanken.

Lock Screen

Wir möchten uns bei Kevin Mann für die Unterstützung bedanken.

Safari Extensions

Wir möchten uns bei Oliver Dunk und Christian R. von 1Password für die Unterstützung bedanken.

WebKit

Wir möchten uns bei einem anonymen Forscher und scarlet für die Unterstützung bedanken.

Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.

Veröffentlichungsdatum: