Informationen zum Sicherheitsinhalt von macOS Ventura 13.1
In diesem Dokument wird der Sicherheitsinhalt von macOS Ventura 13.1 beschrieben.
Informationen zu Apple-Sicherheitsupdates
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.
Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.
Weitere Informationen zur Sicherheit findest du auf der Seite Sicherheits- oder Datenschutzschwachstelle melden.
macOS Ventura 13.1
Veröffentlicht am 13. Dezember 2022
Accounts
Verfügbar für: macOS Ventura
Auswirkung: Ein Benutzer kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.
Beschreibung: Dieses Problem wurde durch verbesserten Datenschutz behoben.
CVE-2022-42843: Mickey Jin (@patch1t)
AMD
Verfügbar für: macOS Ventura
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2022-42858: ABC Research s.r.o.
Eintrag hinzugefügt am 16. März 2023
AMD
Verfügbar für: macOS Ventura
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2022-42847: ABC Research s.r.o.
AppleMobileFileIntegrity
Verfügbar für: macOS Ventura
Auswirkung: Die Privatsphäre-Einstellungen können von einer App möglicherweise umgangen werden.
Beschreibung: Dieses Problem wurde durch die Aktivierung der gehärteten Laufzeit behoben.
CVE-2022-42865: Wojciech Reguła (@_r3ggi) von SecuRing
Bluetooth
Verfügbar für: macOS Ventura
Auswirkung: Der Kernel-Speicher kann von einer App offengelegt werden.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-42854: Pan ZhenPeng (@Peterpan0927) von STAR Labs SG Pte. Ltd. (@starlabs_sg)
Boot Camp
Verfügbar für: macOS Ventura
Auswirkung: Eine App kann möglicherweise geschützte Bereiche des Dateisystems ändern.
Beschreibung: Ein Zugriffsproblem wurde durch verbesserte Zugriffsbeschränkungen behoben.
CVE-2022-42853: Mickey Jin (@patch1t) von Trend Micro
CoreServices
Verfügbar für: macOS Ventura
Auswirkung: Die Privatsphäre-Einstellungen können von einer App möglicherweise umgangen werden.
Beschreibung: Mehrere Probleme wurden durch Entfernen des angreifbaren Codes behoben.
CVE-2022-42859: Mickey Jin (@patch1t), Csaba Fitzl (@theevilbit) von Offensive Security
curl
Verfügbar für: macOS Ventura
Auswirkung: Mehrere Probleme in curl
Beschreibung: Mehrere Probleme wurden durch das Update von curl auf Version 7.85.0 behoben.
CVE-2022-35252
Eintrag am 31. Oktober 2023 hinzugefügt
DriverKit
Verfügbar für: macOS Ventura
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-32942: Linus Henze von der Pinauten GmbH (pinauten.de)
dyld
Verfügbar für: macOS Ventura
Auswirkung: Eine App kann möglicherweise die Sandbox umgehen.
Beschreibung: Ein Ganzzahlüberlauf wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2022-46720: Yonghwi Jin (@jinmo123) von Theori
Eintrag hinzugefügt am 16. März 2023
iCloud Photo Library
Verfügbar für: macOS Ventura
Auswirkung: Der Standort wird möglicherweise über iCloud-Links geteilt, auch wenn Standort-Metadaten über das Share-Sheet deaktiviert sind
Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.
CVE-2022-46710: John Balestrieri von Tinrocket
Eintrag am 31. Oktober 2023 hinzugefügt
ImageIO
Verfügbar für: macOS Ventura
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2022-46693: Mickey Jin (@patch1t)
IOHIDFamily
Verfügbar für: macOS Ventura
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch eine verbesserte Statusverarbeitung behoben.
CVE-2022-42864: Tommy Muir (@Muirey03)
IOMobileFrameBuffer
Verfügbar für: macOS Ventura
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2022-46690: John Aakerblom (@jaakerblom)
IOMobileFrameBuffer
Verfügbar für: macOS Ventura
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Problem, aufgrund dessen auf Daten außerhalb des zugewiesenen Bereichs zugegriffen werden konnte, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2022-46697: John Aakerblom (@jaakerblom) und Antonio Zekic (@antoniozekic)
iTunes Store
Verfügbar für: macOS Ventura
Auswirkung: Remotebenutzer können einen unerwarteten App-Abbruch oder die willkürliche Ausführung von Code verursachen.
Beschreibung: Es bestand ein Problem bei der Analyse von URLs. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2022-42837: Weijia Dai (@dwj1210) von Momo Security
Kernel
Verfügbar für: macOS Ventura
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Eine Race-Bedingung wurde mit einer zusätzlichen Überprüfung behoben.
CVE-2022-46689: Ian Beer von Google Project Zero
Kernel
Verfügbar für: macOS Ventura
Auswirkung: Das Herstellen einer Verbindung zu einem schadhaften NFS-Server kann zur Ausführung willkürlichen Codes mit Kernel-Rechten führen.
Beschreibung: Das Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2022-46701: Felix Poulin-Belanger
Kernel
Verfügbar für: macOS Ventura
Auswirkung: Remotebenutzer können die Ausführung von Kernelcode verursachen.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-42842: pattern-f (@pattern_F_) von Ant Security Light-Year Lab
Kernel
Verfügbar für: macOS Ventura
Auswirkung: Eine App kann möglicherweise die Sandbox umgehen.
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2022-42861: pattern-f (@pattern_F_) von Ant Security Light-Year Lab
Kernel
Verfügbar für: macOS Ventura
Auswirkung: Eine App mit Root-Rechten kann willkürlichen Code mit Kernelrechten ausführen.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-42845: Adam Doupé von ASU SEFCOM
Kernel
Verfügbar für: macOS Ventura
Auswirkung: Ein Angreifer mit willkürlichen Lese- und Schreibrechten kann möglicherweise die Authentifizierung von Zeigern umgehen. Apple ist ein Bericht bekannt, wonach dieses Problem möglicherweise bei iOS-Versionen ausgenutzt wurde, die vor iOS 15.7.1 veröffentlicht wurden.
Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.
CVE-2022-48618: Apple
Eintrag am 9. Januar 2024 hinzugefügt
Netzwerkbetrieb
Verfügbar für: macOS Ventura
Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.
Beschreibung: Dieses Problem wurde durch eine verbesserte Unkenntlichmachung vertraulicher Informationen behoben.
CVE-2022-42839: Adam M.
Eintrag hinzugefügt am 31. Oktober 2023, aktualisiert am 31. Mai 2024
Networking
Verfügbar für: macOS Ventura
Auswirkung: Die Privat-Relay-Funktionalität stimmte nicht mit den Systemeinstellungen überein.
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2022-46716
Eintrag hinzugefügt am 16. März 2023
PackageKit
Verfügbar für: macOS Ventura
Auswirkung: Eine App kann möglicherweise geschützte Bereiche des Dateisystems ändern.
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2022-46704: Mickey Jin (@patch1t), Csaba Fitzl (@theevilbit) von Offensive Security
Eintrag am 22. Dezember 2022 hinzugefügt
Photos
Verfügbar für: macOS Ventura
Auswirkung: Durch „Zum Widerrufen schütteln“ kann ein gelöschtes Foto ohne Authentifizierung wieder auftauchen.
Beschreibung: Das Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2022-32943: Jiwon Park, Mieszko Wawrzyniak und ein anonymer Forscher
Eintrag am 31. Oktober 2023 aktualisiert
ppp
Verfügbar für: macOS Ventura
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-42840: ein anonymer Forscher
Preferences
Verfügbar für: macOS Ventura
Auswirkung: Eine App kann möglicherweise willkürliche Berechtigungen nutzen.
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2022-42855: Ivan Fratric von Google Project Zero
Printing
Verfügbar für: macOS Ventura
Auswirkung: Die Datenschutz-Einstellungen können von einer App möglicherweise umgangen werden.
Beschreibung: Dieses Problem wurde durch Entfernen des angreifbaren Codes behoben.
CVE-2022-42862: Mickey Jin (@patch1t)
Ruby
Verfügbar für: macOS Ventura
Auswirkung: Remotebenutzer können einen unerwarteten App-Abbruch oder die willkürliche Ausführung von Code verursachen.
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2022-24836
CVE-2022-29181
Safari
Verfügbar für: macOS Ventura
Auswirkung: Der Besuch einer Website, die in Frames schädliche Inhalte enthält, kann zu UI-Spoofing führen.
Beschreibung: Es bestand eine Spoofing-Schwachstelle bei der Verarbeitung von URLs. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2022-46695: KirtiKumar Anandrao Ramchandani
TCC
Verfügbar für: macOS Ventura
Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.
Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.
CVE-2022-46718: Michael (Biscuit) Thomas
Eintrag am 1. Mai 2023 hinzugefügt
Weather
Verfügbar für: macOS Ventura
Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.
Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.
CVE-2022-46703: Wojciech Regula von SecuRing (wojciechregula.blog) und Adam M.
Eintrag hinzugefügt am 16. März 2023, aktualisiert am 31. Mai 2024
Weather
Verfügbar für: macOS Ventura
Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.
Beschreibung: Das Problem wurde durch eine verbesserte Verarbeitung der Caches behoben.
CVE-2022-42866: ein anonymer Forscher
WebKit
Verfügbar für: macOS Ventura
Auswirkung: Der Besuch einer Website, die in Frames schädliche Inhalte enthält, kann zu UI-Spoofing führen.
Beschreibung: Das Problem wurde durch verbesserte UI-Verwaltung behoben.
WebKit Bugzilla: 247461
CVE-2022-32919: @real_as3617
Eintrag am 31. Oktober 2023 hinzugefügt
WebKit
Verfügbar für: macOS Ventura
Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu URL-Spoofing führen.
Beschreibung: Es bestand eine Spoofing-Schwachstelle bei der Verarbeitung von URLs. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.
WebKit Bugzilla: 247289
CVE-2022-46725: Hyeon Park (@tree_segment) von Team ApplePIE
WebKit Bugzilla: 247287
CVE-2022-46705: Hyeon Park (@tree_segment) von Team ApplePIE
Eintrag am 22. Dezember 2022 hinzugefügt und am 31. Oktober 2023 aktualisiert
WebKit
Verfügbar für: macOS Ventura
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
WebKit Bugzilla: 245521
CVE-2022-42867: Maddie Stone von Google Project Zero
WebKit
Verfügbar für: macOS Ventura
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Problem mit der Speichernutzung wurde durch eine verbesserte Speicherverwaltung behoben.
WebKit Bugzilla: 245466
CVE-2022-46691: ChengGang Wu, Yan Kang, YuHao Hu, Yue Sun, Jiming Wang, JiKai Ren und Hang Shu vom Institute of Computing Technology, Chinese Academy of Sciences
Eintrag am 31. Oktober 2023 aktualisiert
WebKit
Verfügbar für: macOS Ventura
Auswirkung: Bei der Verarbeitung von in böser Absicht erstellten Webinhalten kann die Same Origin Policy umgangen werden.
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
WebKit Bugzilla: 246783
CVE-2022-46692: KirtiKumar Anandrao Ramchandani (kirtikumarar.com)
Eintrag am 31. Oktober 2023 aktualisiert
WebKit
Verfügbar für: macOS Ventura
Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten kann Prozessspeicher offengelegt werden.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
WebKit Bugzilla: 246721
CVE-2022-42852: hazbinhotel in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
Eintrag am 22. Dezember 2022 aktualisiert
WebKit
Verfügbar für: macOS Ventura
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
WebKit Bugzilla: 246942
CVE-2022-46696: Samuel Groß von Google V8 Security
WebKit Bugzilla: 247562
CVE-2022-46700: Samuel Groß von Google V8 Security
WebKit
Verfügbar für: macOS Ventura
Auswirkung: Bei der Verarbeitung von in böser Absicht erstellten Webinhalten können vertrauliche Nutzerdaten offengelegt werden.
Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.
WebKit Bugzilla: 247066
CVE-2022-46698: Dohyun Lee (@l33d0hyun) vom DNSLab an der Korea University, Ryan Shin vom IAAI SecLab an der Korea University
Eintrag am 22. Dezember 2022 aktualisiert
WebKit
Verfügbar für: macOS Ventura
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.
WebKit Bugzilla: 247420
CVE-2022-46699: Samuel Groß von Google V8 Security
WebKit Bugzilla: 244622
CVE-2022-42863: ein anonymer Forscher
WebKit
Verfügbar für: macOS Ventura
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung eines willkürlichen Codes führen. Apple ist ein Bericht bekannt, wonach dieses Problem möglicherweise aktiv für iOS-Versionen ausgenutzt wurde, die vor iOS 15.1 veröffentlicht wurden.
Beschreibung: Ein Typenverwechslungsproblem wurde durch eine verbesserte Statusverwaltung behoben.
WebKit Bugzilla: 248266
CVE-2022-42856: Clément Lecigne von der Threat Analysis Group von Google
xar
Verfügbar für: macOS Ventura
Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Pakets kann zur Ausführung willkürlichen Codes führen.
Beschreibung: Ein Typenverwechslungsproblem wurde durch verbesserte Prüfungen behoben.
CVE-2022-42841: Thijs Alkemade (@xnyhps) von Computest Sector 7
Zusätzliche Danksagung
Kernel
Wir möchten uns bei Zweig von Kunlun Lab für die Unterstützung bedanken.
Lock Screen
Wir möchten uns bei Kevin Mann für die Unterstützung bedanken.
Safari Extensions
Wir möchten uns bei Oliver Dunk und Christian R. von 1Password für die Unterstützung bedanken.
WebKit
Wir möchten uns bei einem anonymen Forscher und scarlet für die Unterstützung bedanken.
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.