Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
macOS Ventura 13
Julkaistu 24.10.2022
Accelerate Framework
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Muistin käyttöongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-42795: ryuzaki
APFS
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: Käyttöoikeusongelma on ratkaistu lisäämällä käyttöoikeusrajoituksia.
CVE-2022-48577: Csaba Fitzl (@theevilbit, Offensive Security)
Kohta lisätty 21.12.2023
Apple Neural Engine
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia kernelin tilatietoja.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-32858: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-32898: Mohamed Ghannam (@_simo36)
CVE-2022-32899: Mohamed Ghannam (@_simo36)
CVE-2022-46721: Mohamed Ghannam (@_simo36)
CVE-2022-47915: Mohamed Ghannam (@_simo36)
CVE-2022-47965: Mohamed Ghannam (@_simo36)
CVE-2022-32889: Mohamed Ghannam (@_simo36)
Kohta päivitetty 21.12.2023
AppleAVD
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-32907: Yinyi Wu (ABC Research s.r.o), Natalie Silvanovich (Google Project Zero), Tommaso Bianco (@cutesmilee__), Antonio Zekic (@antoniozekic) ja John Aakerblom (@jaakerblom)
Kohta lisätty 16.3.2023
AppleAVD
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: sovellus saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2022-32827: Antonio Zekic (@antoniozekic), Natalie Silvanovich (Google Project Zero) ja nimetön tutkija
AppleMobileFileIntegrity
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: Määritysongelma on ratkaistu lisäämällä rajoituksia.
CVE-2022-32877: Wojciech Reguła (@_r3ggi), SecuRing
Kohta lisätty 16.3.2023
AppleMobileFileIntegrity
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: Koodien allekirjoitusten validointiongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-42789: Koh M. Nakagawa (FFRI Security, Inc.)
AppleMobileFileIntegrity
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.
Kuvaus: ongelma on ratkaistu poistamalla lisäoikeudet.
CVE-2022-42825: Mickey Jin (@patch1t)
Assets
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2022-46722: Mickey Jin (@patch1t)
Kohta lisätty 1.8.2023
ATS
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä ohittamaan yksityisyysasetukset
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2022-32902: Mickey Jin (@patch1t)
ATS
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: Appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: Käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.
CVE-2022-32904: Mickey Jin (@patch1t)
ATS
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2022-32890: Mickey Jin (@patch1t)
Audio
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.
Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2022-42796: Mickey Jin (@patch1t)
Kohta päivitetty 16.3.2023
Audio
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: haitallisen äänitiedoston jäsentäminen saattoi aiheuttaa käyttäjätietojen paljastumisen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-42798: Trend Micron Zero Day Initiative ‑ohjelmassa työskentelevä nimetön henkilö
Kohta lisätty 27.10.2022
AVEVideoEncoder
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Ongelma on ratkaistu parantamalla rajojen tarkastuksia.
CVE-2022-32940: ABC Research s.r.o.
Beta Access Utility
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2022-42816: Mickey Jin (@patch1t)
Kohta lisätty 21.12.2023
BOM
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi saattoi ohittaa Gatekeeper-tarkistukset.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2022-42821: Jonathan Bar Or (Microsoft)
Kohta lisätty 13.12.2022
Boot Camp
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia
Kuvaus: Ongelma on ratkaistu parannetuilla tarkistuksilla luvattomien toimintojen estämiseksi.
CVE-2022-42860: Mickey Jin (@patch1t, Trend Micro)
Kohta lisätty 16.3.2023
Calendar
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja
Kuvaus: Käyttöoikeusongelma on ratkaistu lisäämällä käyttöoikeusrajoituksia.
CVE-2022-42819: nimetön tutkija
CFNetwork
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: haitallisen varmenteen käsittely saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: WKWebView’n käsittelyssä oli varmenteiden tarkistamisongelma. Ongelma on ratkaistu parantamalla validointia.
CVE-2022-42813: Jonathan Zhang (Open Computing Facility, ocf.berkeley.edu)
ColorSync
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: ICC-profiilien käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistusta.
CVE-2022-26730: David Hoyt (Hoyt LLC)
Core Bluetooth
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: Appi saattoi pystyä tallentamaan ääntä yhdistettyjen AirPodien avulla.
Kuvaus: Käyttöoikeusongelma on ratkaistu lisäämällä kolmansien osapuolten sovellusten eristysrajoituksia.
CVE-2022-32945: Guilherme Rambo (Best Buddy Apps, rambo.codes)
Kohta lisätty 9.11.2022
CoreMedia
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: Kameran laajennus saattoi pystyä jatkamaan videon vastaanottamista sen aktivoineen apin sulkemisen jälkeen.
Kuvaus: Kameran tietojen käyttöoikeusongelma apeissa on korjattu parantamalla logiikkaa.
CVE-2022-42838: Halle Winkler (@hallewinkler, Politepix)
Kohta lisätty 22.12.2022
CoreTypes
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: Haitallinen ohjelma saattoi ohittaa Gatekeeper-tarkistukset.
Kuvaus: Ongelma on ratkaistu parannetuilla tarkistuksilla luvattomien toimintojen estämiseksi.
CVE-2022-22663: Arsenii Kostromin (0x3c3e)
Kohta lisätty 16.3.2023
Crash Reporter
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: Käyttäjä, jolla oli fyysinen pääsy iOS-laitteeseen, saattoi pystyä lukemaan aiempia diagnostiikkalokeja.
Kuvaus: Ongelma on ratkaistu parantamalla tietojen suojausta.
CVE-2022-32867: Kshitij Kumar ja Jai Musunuri (Crowdstrike)
curl
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: curlissa oli useita ongelmia.
Kuvaus: Useita ongelmia ratkaistiin päivittämällä curlin versioon 7.84.0.
CVE-2022-32205
CVE-2022-32206
CVE-2022-32207
CVE-2022-32208
Directory Utility
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: Logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2022-42814: Sergii Kryvoblotskyi (MacPaw Inc.)
DriverKit
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-32865: Linus Henze (Pinauten GmbH, pinauten.de)
DriverKit
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: tyyppisekaannusongelma on ratkaistu parantamalla tarkastuksia.
CVE-2022-32915: Tommy Muir (@Muirey03)
Exchange
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: Etuoikeutetussa verkkoasemassa oleva hyökkääjä saattoi pystyä sieppaamaan postitunnistetiedot.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2022-32928: Jiří Vinopal (@vinopaljiri, Check Point Research)
Kohta päivitetty 16.3.2023
FaceTime
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: Käyttäjä saattoi tietämättään lähettää ääntä tai videokuvaa FaceTime-puhelussa.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-22643: Sonali Luthar (the University of Virginia), Michael Liao (the University of Illinois at Urbana-Champaign), Rohan Pahwa (Rutgers University) ja Bao Nguyen (University of Florida)
Kohta lisätty 16.3.2023
FaceTime
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: Käyttäjä saattoi pystyä katselemaan kiellettyä sisältöä lukitulta näytöltä.
Kuvaus: Lukitun näytön ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2022-32935: Bistrit Dahal
Kohta lisätty 27.10.2022
Find My
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: haitallinen appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.
Kuvaus: Kyseessä oli käyttöoikeusongelma. Ongelma ratkaistiin parantamalla käyttöoikeuksien tarkistamista.
CVE-2022-42788: Csaba Fitzl (@theevilbit, Offensive Security), Wojciech Reguła (SecuRing, wojciechregula.blog)
Find My
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.
CVE-2022-48504: Csaba Fitzl (@theevilbit, Offensive Security)
Kohta lisätty 21.12.2023
Finder
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: Haitallisen DMG-tiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen järjestelmän käyttöoikeuksilla.
Kuvaus: Ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.
CVE-2022-32905: Ron Masas (breakpoint.sh, BreakPoint Technologies LTD)
GPU Drivers
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2022-42833: Pan ZhenPeng (@Peterpan0927)
Kohta lisätty 22.12.2022
GPU Drivers
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-32947: Asahi Lina (@LinaAsahi)
Grapher
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: Haitallisen gcx-tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-42809: Yutao Wang (@Jack) ja Yu Zhou (@yuzhou6666)
Heimdal
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: käyttäjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-3437: Evgeny Legerov (Intevydis)
Kohta lisätty 25.10.2022
iCloud Photo Library
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: tietojen paljastumiseen liittyvä ongelma ratkaistiin poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2022-32849: Joshua Jones
Kohta lisätty 9.11.2022
Image Processing
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: Eristetty appi pystyi mahdollisesti päättelemään, mikä appi käyttää kameraa.
Kuvaus: Ongelma on ratkaistu lisäämällä appien tilojen havaitsemisen rajoituksia.
CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)
ImageIO
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: kuvan käsittely saattoi aiheuttaa palveluneston.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2022-32809: Mickey Jin (@patch1t)
Kohta lisätty 1.8.2023
ImageIO
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: kuvan käsittely saattoi aiheuttaa palveluneston.
Kuvaus: Palvelunesto-ongelma on ratkaistu parantamalla validointia.
CVE-2022-1622
Intel Graphics Driver
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2022-32936: Antonio Zekic (@antoniozekic)
IOHIDFamily
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: Appi saattoi aiheuttaa apin odottamattoman sulkeutumisen tai suorittaa mielivaltaista koodia.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2022-42820: Peter Pan ZhenPeng (STAR Labs)
IOKit
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Kilpailutilanne on ratkaistu parantamalla lukitusta.
CVE-2022-42806: Tingting Yin (Tsinghua University)
Kernel
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-32864: Linus Henze (Pinauten GmbH, pinauten.de)
Kernel
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-32866: Linus Henze (Pinauten GmbH, pinauten.de)
CVE-2022-32911: Zweig (Kunlun Lab)
CVE-2022-32924: Ian Beer (Google Project Zero)
Kernel
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2022-32914: Zweig (Kunlun Lab)
Kernel
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: Etäkäyttäjä saattoi pystyä aiheuttamaan kernel-koodin suorittamisen.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2022-42808: Zweig (Kunlun Lab)
Kernel
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2022-32944: Tim Michaud (@TimGMichaud, Moveworks.ai)
Kohta lisätty 27.10.2022
Kernel
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Kilpailutilanne on ratkaistu parantamalla lukitusta.
CVE-2022-42803: Xinru Chi (Pangu Lab), John Aakerblom (@jaakerblom)
Kohta lisätty 27.10.2022
Kernel
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi, jolla oli pääkäyttöoikeudet, saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.
CVE-2022-32926: Tim Michaud (@TimGMichaud, Moveworks.ai)
Kohta lisätty 27.10.2022
Kernel
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2022-42801: Ian Beer (Google Project Zero)
Kohta lisätty 27.10.2022
Kernel
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai mahdollisesti suorittamaan koodia kernel-käyttöoikeuksilla.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2022-46712: Tommy Muir (@Muirey03)
Kohta lisätty 20.2.2023
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: Ongelma on ratkaistu parantamalla tietojen suojausta.
CVE-2022-42815: Csaba Fitzl (@theevilbit, Offensive Security)
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä käyttämään sähköpostikansion liitteitä pakkauksen aikana käytetyn väliaikaisen hakemiston kautta.
Kuvaus: Käyttöoikeusongelma on ratkaistu lisäämällä käyttöoikeusrajoituksia.
CVE-2022-42834: Wojciech Reguła (@_r3ggi, SecuRing)
Kohta lisätty 1.5.2023
Maps
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja
Kuvaus: Tämä ongelma ratkaistiin parantamalla arkaluonteisten tietojen käyttörajoituksia.
CVE-2022-46707: Csaba Fitzl (@theevilbit, Offensive Security)
Kohta lisätty 1.8.2023
Maps
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: Appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.
Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2022-32883: Ron Masas (breakpointhq.com)
MediaLibrary
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: Käyttäjä saattoi pystyä hankkimaan laajemmat käyttöoikeudet.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2022-32908: nimetön tutkija
Model I/O
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: Haitallisen USD-tiedoston käsitteleminen saattoi paljastaa muistin sisällön
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-42810: Xingwei Lin (@xwlin_roy) ja Yinyi Wu (Ant Security Light-Year Lab)
Kohta lisätty 27.10.2022
ncurses
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: käyttäjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: puskurin ylivuoto on korjattu parantamalla rajojen tarkistusta.
CVE-2021-39537
ncurses
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: Haitallisen tiedoston käsitteleminen saattoi aiheuttaa palveluneston tai mahdollisesti paljastaa muistin sisällön.
Kuvaus: Palvelunesto-ongelma on ratkaistu parantamalla validointia.
CVE-2022-29458
Notes
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: Etuoikeutetussa verkkoasemassa oleva hyökkääjä saattoi pystyä seuraamaan käyttäjätietoja.
Kuvaus: Ongelma on ratkaistu parantamalla tietojen suojausta.
CVE-2022-42818: Gustav Hansen (WithSecure)
Notifications
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: Käyttäjä, jolla oli fyysinen pääsy laitteeseen, saattoi käyttää yhteystietoja lukitulta näytöltä.
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2022-32879: Ubeydullah Sümer
PackageKit
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia
Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.
CVE-2022-32895: Mickey Jin (@patch1t, Trend Micro) ja Mickey Jin (@patch1t)
PackageKit
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia
Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.
CVE-2022-46713: Mickey Jin (@patch1t, Trend Micro)
Kohta lisätty 20.2.2023
Photos
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: Käyttäjä saattoi vahingossa lisätä osallistujan jaettuun albumiin painamalla poistonäppäintä.
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2022-42807: Ezekiel Elin
Kohta lisätty 1.5.2023, päivitetty 1.8.2023
Photos
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.
Kuvaus: Ongelma on ratkaistu parantamalla tietojen suojausta.
CVE-2022-32918: Ashwani Rajput (Nagarro Software Pvt. Ltd), Srijan Shivam Mishra (The Hack Report), Jugal Goradia (Aastha Technologies), Evan Ricafort (evanricafort.com, Invalid Web Security), Shesha Sai C (linkedin.com/in/shesha-sai-c-18585b125) ja Amod Raghunath Patwardhan (Pune, India)
Kohta päivitetty 16.3.2023
ppp
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi, jolla oli pääkäyttöoikeudet, saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2022-42829: nimetön tutkija
ppp
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi, jolla oli pääkäyttöoikeudet, saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-42830: nimetön tutkija
ppp
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi, jolla oli pääkäyttöoikeudet, saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Kilpailutilanne on ratkaistu parantamalla lukitusta.
CVE-2022-42831: nimetön tutkija
CVE-2022-42832: nimetön tutkija
ppp
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: puskurin ylivuoto saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.
CVE-2022-32941: nimetön tutkija
Kohta lisätty 27.10.2022
Ruby
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: etäkäyttäjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Muistin vioittumisongelma ratkaistiin päivittämällä Ruby versioon 2.6.10.
CVE-2022-28739
Sandbox
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia
Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2022-32881: Csaba Fitzl (@theevilbit, Offensive Security)
Sandbox
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi, jolla oli pääkäyttöoikeudet, saattoi pystyä käyttämään yksityisiä tietoja.
Kuvaus: ongelma on ratkaistu parantamalla tietojen suojausta.
CVE-2022-32862: Rohit Chatterjee (University of Illinois Urbana-Champaign)
CVE-2022-32931: nimetön tutkija
Kohta päivitetty 16.3.2023 ja 21.12.2023
Sandbox
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: Appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: Käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.
CVE-2022-42811: Justin Bui (@slyd0g, Snowflake)
Security
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: Ohjelma saattoi pystyä ohittamaan koodin allekirjoitustarkistukset.
Kuvaus: Koodien allekirjoitusten validointiongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-42793: Linus Henze (Pinauten GmbH, pinauten.de)
Shortcuts
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: Pikakuvake saattoi pystyä näkemään piilotetun kuva-albumin ilman todentamista
Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2022-32876: nimetön tutkija
Kohta lisätty 1.8.2023
Shortcuts
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: pikavalinta pystyi mahdollisesti tarkistamaan satunnaisen polun olemassaolon tiedostojärjestelmässä.
Kuvaus: Hakemistopolkujen käsittelyn jäsennysongelma korjattiin parantamalla polkujen tarkistusta.
CVE-2022-32938: Cristian Dinca (Tudor Vianu National High School of Computer Science of Romania)
Sidecar
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: käyttäjä saattoi pystyä katselemaan kiellettyä sisältöä lukitulta näytöltä.
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2022-42790: Om Kothawade (Zaprico Digital)
Siri
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: Käyttäjä, jolla oli fyysinen pääsy laitteeseen, saattoi käyttää Siriä joidenkin puheluhistoriatietojen saamiseen.
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2022-32870: Andrew Goldberg (The McCombs School of Business, The University of Texas at Austin, linkedin.com/in/andrew-goldberg-/)
SMB
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: etäkäyttäjä saattoi pystyä aiheuttamaan kernel-koodin suorittamisen
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-32934: Felix Poulin-Belanger
Software Update
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.
CVE-2022-42791: Mickey Jin (@patch1t, Trend Micro)
SQLite
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: Etäkäyttäjä saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-36690
System Settings
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia
Kuvaus: Ongelma on ratkaistu parantamalla tietojen suojausta.
CVE-2022-48505: Adam Chester (TrustedSec) ja Thijs Alkemade (@xnyhps, Computest Sector 7)
Kohta lisätty 26.6.2023
TCC
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: sovellus saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2022-26699: Csaba Fitzl (@theevilbit, Offensive Security)
Kohta lisätty 1.8.2023
Vim
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: Vimissä esiintyi useita ongelmia.
Kuvaus: useita ongelmia ratkaistiin päivittämällä Vim.
CVE-2022-0261
CVE-2022-0318
CVE-2022-0319
CVE-2022-0351
CVE-2022-0359
CVE-2022-0361
CVE-2022-0368
CVE-2022-0392
CVE-2022-0554
CVE-2022-0572
CVE-2022-0629
CVE-2022-0685
CVE-2022-0696
CVE-2022-0714
CVE-2022-0729
CVE-2022-0943
CVE-2022-1381
CVE-2022-1420
CVE-2022-1725
CVE-2022-1616
CVE-2022-1619
CVE-2022-1620
CVE-2022-1621
CVE-2022-1629
CVE-2022-1674
CVE-2022-1733
CVE-2022-1735
CVE-2022-1769
CVE-2022-1927
CVE-2022-1942
CVE-2022-1968
CVE-2022-1851
CVE-2022-1897
CVE-2022-1898
CVE-2022-1720
CVE-2022-2000
CVE-2022-2042
CVE-2022-2124
CVE-2022-2125
CVE-2022-2126
VPN
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-42828: nimetön tutkija
Kohta lisätty 1.8.2023
Weather
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2022-32875: nimetön tutkija
WebKit
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
WebKit Bugzilla: 246669
CVE-2022-42826: Francisco Alonso (@revskills)
Kohta lisätty 22.12.2022
WebKit
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen
Kuvaus: puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 241969
CVE-2022-32886: P1umer (@p1umer), afang (@afang5472), xmzyshypnc (@xmzyshypnc1)
WebKit
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)
WebKit
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen
Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.
WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a, Theori) yhteistyössä Trend Micron Zero Day Initiativen kanssa
WebKit
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: haitallisella verkkosivustolla käynti saattoi aiheuttaa käyttöliittymän väärentämisen.
Kuvaus: Ongelma on ratkaistu parantamalla käyttöliittymän käsittelyä.
WebKit Bugzilla: 243693
CVE-2022-42799: Jihwan Kim (@gPayl0ad), Dohyun Lee (@l33d0hyun)
WebKit
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen
Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 244622
CVE-2022-42823: Dohyun Lee (@l33d0hyun, SSD Labs)
WebKit
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi paljastaa arkaluonteisia käyttäjätietoja
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
WebKit Bugzilla: 245058
CVE-2022-42824: Abdulrahman Alqabandi (Microsoft Browser Vulnerability Research), Ryan Shin (IAAI SecLab, Korea University), Dohyun Lee (@l33d0hyun, DNSLab, Korea University)
WebKit
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: haitallisen verkkosisällön käsittely saattoi paljastaa apin sisäisen tilan.
Kuvaus: JIT-oikeellisuuteen liittyvä ongelma on ratkaistu parantamalla tarkistuksia.
WebKit Bugzilla: 242964
CVE-2022-32923: Wonyoung Jung (@nonetype_pwn, KAIST Hacking Lab)
Kohta lisätty 27.10.2022
WebKit PDF
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
WebKit Bugzilla: 242781
CVE-2022-32922: Yonghwi Jin (@jinmo123, Theori) yhteistyössä Trend Micro Zero Day Initiativen kanssa
WebKit Sandboxing
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.
Kuvaus: käyttöoikeusongelma ratkaistiin parantamalla eristystä.
WebKit Bugzilla: 243181
CVE-2022-32892: @18楼梦想改造家 ja @jq0904 (DBAppSecurity's WeBin Lab)
WebKit Storage
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.
Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.
CVE-2022-32833: Csaba Fitzl (@theevilbit, Offensive Security), Jeff Johnson
Kohta lisätty 22.12.2022
Wi-Fi
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2022-46709: Wang Yu (Cyberserval)
Kohta lisätty 16.3.2023
zlib
Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)
Vaikutus: käyttäjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-37434: Evgeny Legerov
CVE-2022-42800: Evgeny Legerov
Kohta lisätty 27.10.2022
Kiitokset
AirPort
Haluamme kiittää Intrado-Life & Safety/Globantin Joseph Salazar Acuñaa ja Renato Llamocaa heidän avustaan.
apache
Haluamme kiittää Enterprise Service Centerin Tricia Leetä hänen avustaan.
Kohta lisätty 16.3.2023
AppleCredentialManager
Haluamme kiittää käyttäjää @jonathandata1 hänen avustaan.
ATS
Haluamme kiittää Mickey Jinia (@patch1t) hänen avustaan.
Kohta lisätty 1.8.2023
FaceTime
Haluamme kiittää avusta nimetöntä tutkijaa.
FileVault
Haluamme kiittää Twocanoes Softwaren Timothy Perfittiä hänen avustaan.
Find My
Haluamme kiittää avusta nimetöntä tutkijaa.
Identity Services
Haluamme kiittää Joshua Jonesia hänen antamastaan avusta.
IOAcceleratorFamily
Haluamme kiittää Antonio Zekiciä (@antoniozekic) hänen avustaan.
IOGPUFamily
Haluamme kiittää Wang Yuta (cyberserval) hänen avustaan.
Kohta lisätty 9.11.2022
Kernel
Haluamme kiittää STAR Labsin Peter Nguyeniä, Moveworks.ai:n Tim Michaudia (@TimGMichaud), Tsinghua Universityn Tingting Yiniä, Ant Groupin Min Zhengiä, Tommy Muiria (@Muirey03) ja nimetöntä tutkijaa heidän avustaan.
Login Window
Haluamme kiittää Simon Tangia (simontang.dev) hänen avustaan.
Kohta lisätty 9.11.2022
Kiitämme Zone Media OÜ:n Taavi Eomäeä ja nimetöntä tutkijaa heidän antamastaan avusta.
Kohta päivitetty 21.12.2023
Mail Drafts
Haluamme kiittää avusta nimetöntä tutkijaa.
Networking
Haluamme kiittää Zoom Video Communicationsin Tim Michaudia (@TimGMichaud) hänen avustaan.
Photo Booth
Haluamme kiittää Dremion Prashanth Kannania hänen avustaan.
Quick Look
Haluamme kiittää Hilary ”It’s off by a Pixel” Streetiä hänen avustaan.
Safari
Haluamme kiittää Scott Hatfieldia (Sub-Zero Group) hänen avustaan.
Kohta lisätty 16.3.2023
Sandbox
Haluamme kiittää Csaba Fitzliä (@theevilbit, Offensive Security) hänen avustaan.
SecurityAgent
Kiitämme Security Team Netservice de Toekomstia ja nimetöntä tutkijaa heidän antamastaan avusta.
Kohta lisätty 21.12.2023
smbx
Haluamme kiittää runZero Assent Inventoryn HD Moorea hänen avustaan.
Järjestelmä
Haluamme kiittää Mickey Jinia (@patch1t, Trend Micro) hänen avustaan.
System Settings
Haluamme kiittää Bjorn Hellenbrandia hänen avustaan.
UIKit
Haluamme kiittää Aleczander Ewingiä hänen avustaan.
WebKit
Haluamme kiittää Maddie Stonea (Google Project Zero), Narendra Bhatia (@imnarendrabhati, Suma Soft Pvt. Ltd.) ja nimetöntä tutkijaa heidän avustaan.
WebRTC
Haluamme kiittää avusta nimetöntä tutkijaa.