Tietoja macOS Ventura 13:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan macOS Ventura 13:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.

macOS Ventura 13

Julkaistu 24.10.2022

Accelerate Framework

Saatavuus: Mac Studio (2022), Mac Pro (2019 ja uudemmat), MacBook Air (2018 ja uudemmat), MacBook Pro (2017 ja uudemmat), Mac mini (2018 ja uudemmat), iMac (2017 ja uudemmat), MacBook (2017) ja iMac Pro (2017)

Vaikutus: haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin käyttöongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2022-42795: ryuzaki

APFS

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä käyttöoikeusrajoituksia.

CVE-2022-48577: Csaba Fitzl (@theevilbit, Offensive Security)

Kohta lisätty 21.12.2023

Apple Neural Engine

Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia kernelin tilatietoja.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2022-32858: Mohamed Ghannam (@_simo36)

Apple Neural Engine

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2022-32898: Mohamed Ghannam (@_simo36)

CVE-2022-32899: Mohamed Ghannam (@_simo36)

CVE-2022-46721: Mohamed Ghannam (@_simo36)

CVE-2022-47915: Mohamed Ghannam (@_simo36)

CVE-2022-47965: Mohamed Ghannam (@_simo36)

CVE-2022-32889: Mohamed Ghannam (@_simo36)

Kohta päivitetty 21.12.2023

AppleAVD

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2022-32907: Yinyi Wu (ABC Research s.r.o), Natalie Silvanovich (Google Project Zero), Tommaso Bianco (@cutesmilee__), Antonio Zekic (@antoniozekic) ja John Aakerblom (@jaakerblom)

Kohta lisätty 16.3.2023

AppleAVD

Vaikutus: sovellus saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2022-32827: Antonio Zekic (@antoniozekic), Natalie Silvanovich (Google Project Zero) ja nimetön tutkija

AppleMobileFileIntegrity

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: Määritysongelma on ratkaistu lisäämällä rajoituksia.

CVE-2022-32877: Wojciech Reguła (@_r3ggi), SecuRing

Kohta lisätty 16.3.2023

AppleMobileFileIntegrity

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: Koodien allekirjoitusten validointiongelma on ratkaistu parantamalla tarkistuksia.

CVE-2022-42789: Koh M. Nakagawa (FFRI Security, Inc.)

AppleMobileFileIntegrity

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: ongelma on ratkaistu poistamalla lisäoikeudet.

CVE-2022-42825: Mickey Jin (@patch1t)

Assets

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2022-46722: Mickey Jin (@patch1t)

Kohta lisätty 1.8.2023

ATS

Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2022-32902: Mickey Jin (@patch1t)

ATS

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: Käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.

CVE-2022-32904: Mickey Jin (@patch1t)

ATS

Vaikutus: eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2022-32890: Mickey Jin (@patch1t)

Audio

Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.

Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2022-42796: Mickey Jin (@patch1t)

Kohta päivitetty 16.3.2023

Audio

Vaikutus: haitallisen äänitiedoston jäsentäminen saattoi aiheuttaa käyttäjätietojen paljastumisen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2022-42798: Trend Micron Zero Day Initiative ‑ohjelmassa työskentelevä nimetön henkilö

Kohta lisätty 27.10.2022

AVEVideoEncoder

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Ongelma on ratkaistu parantamalla rajojen tarkastuksia.

CVE-2022-32940: ABC Research s.r.o.

Beta Access Utility

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2022-42816: Mickey Jin (@patch1t)

Kohta lisätty 21.12.2023

BOM

Vaikutus: appi saattoi ohittaa Gatekeeper-tarkistukset.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2022-42821: Jonathan Bar Or (Microsoft)

Kohta lisätty 13.12.2022

Boot Camp

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: Ongelma on ratkaistu parannetuilla tarkistuksilla luvattomien toimintojen estämiseksi.

CVE-2022-42860: Mickey Jin (@patch1t, Trend Micro)

Kohta lisätty 16.3.2023

Calendar

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä käyttöoikeusrajoituksia.

CVE-2022-42819: nimetön tutkija

CFNetwork

Vaikutus: haitallisen varmenteen käsittely saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: WKWebView’n käsittelyssä oli varmenteiden tarkistamisongelma. Ongelma on ratkaistu parantamalla validointia.

CVE-2022-42813: Jonathan Zhang (Open Computing Facility, ocf.berkeley.edu)

ColorSync

Vaikutus: haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: ICC-profiilien käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistusta.

CVE-2022-26730: David Hoyt (Hoyt LLC)

Core Bluetooth

Vaikutus: Appi saattoi pystyä tallentamaan ääntä yhdistettyjen AirPodien avulla.

Kuvaus: Käyttöoikeusongelma on ratkaistu lisäämällä kolmansien osapuolten sovellusten eristysrajoituksia.

CVE-2022-32945: Guilherme Rambo (Best Buddy Apps, rambo.codes)

Kohta lisätty 9.11.2022

CoreMedia

Vaikutus: Kameran laajennus saattoi pystyä jatkamaan videon vastaanottamista sen aktivoineen apin sulkemisen jälkeen.

Kuvaus: Kameran tietojen käyttöoikeusongelma apeissa on korjattu parantamalla logiikkaa.

CVE-2022-42838: Halle Winkler (@hallewinkler, Politepix)

Kohta lisätty 22.12.2022

CoreServices

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.

CVE-2022-48683: Thijs Alkemade (Computest Sector 7), Wojciech Reguła (@_r3ggi, SecuRing) ja Arsenii Kostromin

Kohta lisätty 29.5.2024

CoreTypes

Vaikutus: Haitallinen ohjelma saattoi ohittaa Gatekeeper-tarkistukset.

Kuvaus: Ongelma on ratkaistu parannetuilla tarkistuksilla luvattomien toimintojen estämiseksi.

CVE-2022-22663: Arsenii Kostromin (0x3c3e)

Kohta lisätty 16.3.2023

Crash Reporter

Vaikutus: Käyttäjä, jolla oli fyysinen pääsy iOS-laitteeseen, saattoi pystyä lukemaan aiempia diagnostiikkalokeja.

Kuvaus: Ongelma on ratkaistu parantamalla tietojen suojausta.

CVE-2022-32867: Kshitij Kumar ja Jai Musunuri (Crowdstrike)

curl

Vaikutus: curlissa oli useita ongelmia.

Kuvaus: Useita ongelmia ratkaistiin päivittämällä curlin versioon 7.84.0.

CVE-2022-32205

CVE-2022-32206

CVE-2022-32207

CVE-2022-32208

Directory Utility

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: Logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2022-42814: Sergii Kryvoblotskyi (MacPaw Inc.)

DriverKit

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2022-32865: Linus Henze (Pinauten GmbH, pinauten.de)

DriverKit

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: tyyppisekaannusongelma on ratkaistu parantamalla tarkastuksia.

CVE-2022-32915: Tommy Muir (@Muirey03)

Exchange

Vaikutus: Etuoikeutetussa verkkoasemassa oleva hyökkääjä saattoi pystyä sieppaamaan postitunnistetiedot.

Kuvaus: Logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2022-32928: Jiří Vinopal (@vinopaljiri, Check Point Research)

Kohta päivitetty 16.3.2023

FaceTime

Vaikutus: Käyttäjä saattoi tietämättään lähettää ääntä tai videokuvaa FaceTime-puhelussa.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2022-22643: Sonali Luthar (the University of Virginia), Michael Liao (the University of Illinois at Urbana-Champaign), Rohan Pahwa (Rutgers University) ja Bao Nguyen (University of Florida)

Kohta lisätty 16.3.2023

FaceTime

Vaikutus: Käyttäjä saattoi pystyä katselemaan kiellettyä sisältöä lukitulta näytöltä.

Kuvaus: Lukitun näytön ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2022-32935: Bistrit Dahal

Kohta lisätty 27.10.2022

Find My

Vaikutus: haitallinen appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: Kyseessä oli käyttöoikeusongelma. Ongelma ratkaistiin parantamalla käyttöoikeuksien tarkistamista.

CVE-2022-42788: Csaba Fitzl (@theevilbit, Offensive Security), Wojciech Reguła (SecuRing, wojciechregula.blog)

Find My

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.

CVE-2022-48504: Csaba Fitzl (@theevilbit, Offensive Security)

Kohta lisätty 21.12.2023

Finder

Vaikutus: Haitallisen DMG-tiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen järjestelmän käyttöoikeuksilla.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2022-32905: Ron Masas (breakpoint.sh, BreakPoint Technologies LTD)

GPU Drivers

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2022-42833: Pan ZhenPeng (@Peterpan0927)

Kohta lisätty 22.12.2022

GPU Drivers

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2022-32947: Asahi Lina (@LinaAsahi)

Grapher

Vaikutus: Haitallisen gcx-tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2022-42809: Yutao Wang (@Jack) ja Yu Zhou (@yuzhou6666)

Heimdal

Vaikutus: käyttäjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2022-3437: Evgeny Legerov (Intevydis)

Kohta lisätty 25.10.2022

iCloud Photo Library

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: tietojen paljastumiseen liittyvä ongelma ratkaistiin poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2022-32849: Joshua Jones

Kohta lisätty 9.11.2022

Image Processing

Vaikutus: Eristetty appi pystyi mahdollisesti päättelemään, mikä appi käyttää kameraa.

Kuvaus: Ongelma on ratkaistu lisäämällä appien tilojen havaitsemisen rajoituksia.

CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)

ImageIO

Vaikutus: kuvan käsittely saattoi aiheuttaa palveluneston.

Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2022-32809: Mickey Jin (@patch1t)

Kohta lisätty 1.8.2023

ImageIO

Vaikutus: kuvan käsittely saattoi aiheuttaa palveluneston.

Kuvaus: Palvelunesto-ongelma on ratkaistu parantamalla validointia.

CVE-2022-1622

Intel Graphics Driver

Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.

Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2022-32936: Antonio Zekic (@antoniozekic)

IOHIDFamily

Vaikutus: Appi saattoi aiheuttaa apin odottamattoman sulkeutumisen tai suorittaa mielivaltaista koodia.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2022-42820: Peter Pan ZhenPeng (STAR Labs)

IOKit

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: kilpailutilanne on ratkaistu parantamalla lukitusta.

CVE-2022-42806: Tingting Yin (Tsinghua University)

Kernel

Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2022-32864: Linus Henze (Pinauten GmbH, pinauten.de)

Kernel

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2022-32866: Linus Henze (Pinauten GmbH, pinauten.de)

CVE-2022-32911: Zweig (Kunlun Lab)

CVE-2022-32924: Ian Beer (Google Project Zero)

Kernel

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2022-32914: Zweig (Kunlun Lab)

Kernel

Vaikutus: Etäkäyttäjä saattoi pystyä aiheuttamaan kernel-koodin suorittamisen.

Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2022-42808: Zweig (Kunlun Lab)

Kernel

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2022-32944: Tim Michaud (@TimGMichaud, Moveworks.ai)

Kohta lisätty 27.10.2022

Kernel

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: kilpailutilanne on ratkaistu parantamalla lukitusta.

CVE-2022-42803: Xinru Chi (Pangu Lab), John Aakerblom (@jaakerblom)

Kohta lisätty 27.10.2022

Kernel

Vaikutus: appi, jolla oli pääkäyttöoikeudet, saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla

Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.

CVE-2022-32926: Tim Michaud (@TimGMichaud, Moveworks.ai)

Kohta lisätty 27.10.2022

Kernel

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2022-42801: Ian Beer (Google Project Zero)

Kohta lisätty 27.10.2022

Kernel

Vaikutus: appi saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai mahdollisesti suorittamaan koodia kernel-käyttöoikeuksilla.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2022-46712: Tommy Muir (@Muirey03)

Kohta lisätty 20.2.2023

Mail

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: Ongelma on ratkaistu parantamalla tietojen suojausta.

CVE-2022-42815: Csaba Fitzl (@theevilbit, Offensive Security)

Mail

Vaikutus: appi saattoi pystyä käyttämään sähköpostikansion liitteitä pakkauksen aikana käytetyn väliaikaisen hakemiston kautta.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä käyttöoikeusrajoituksia.

CVE-2022-42834: Wojciech Reguła (@_r3ggi, SecuRing)

Kohta lisätty 1.5.2023

Maps

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: Tämä ongelma ratkaistiin parantamalla arkaluonteisten tietojen käyttörajoituksia.

CVE-2022-46707: Csaba Fitzl (@theevilbit, Offensive Security)

Kohta lisätty 1.8.2023

Maps

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2022-32883: Ron Masas (breakpointhq.com)

MediaLibrary

Vaikutus: Käyttäjä saattoi pystyä hankkimaan laajemmat käyttöoikeudet.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2022-32908: nimetön tutkija

Model I/O

Vaikutus: Haitallisen USD-tiedoston käsitteleminen saattoi paljastaa muistin sisällön

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2022-42810: Xingwei Lin (@xwlin_roy) ja Yinyi Wu (Ant Security Light-Year Lab)

Kohta lisätty 27.10.2022

ncurses

Vaikutus: käyttäjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: puskurin ylivuoto on korjattu parantamalla rajojen tarkistusta.

CVE-2021-39537

ncurses

Vaikutus: Haitallisen tiedoston käsitteleminen saattoi aiheuttaa palveluneston tai mahdollisesti paljastaa muistin sisällön.

Kuvaus: Palvelunesto-ongelma on ratkaistu parantamalla validointia.

CVE-2022-29458

Notes

Vaikutus: Etuoikeutetussa verkkoasemassa oleva hyökkääjä saattoi pystyä seuraamaan käyttäjätietoja.

Kuvaus: Ongelma on ratkaistu parantamalla tietojen suojausta.

CVE-2022-42818: Gustav Hansen (WithSecure)

Notifications

Vaikutus: Käyttäjä, jolla oli fyysinen pääsy laitteeseen, saattoi käyttää yhteystietoja lukitulta näytöltä.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2022-32879: Ubeydullah Sümer

PackageKit

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.

CVE-2022-32895: Mickey Jin (@patch1t, Trend Micro) ja Mickey Jin (@patch1t)

PackageKit

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.

CVE-2022-46713: Mickey Jin (@patch1t, Trend Micro)

Kohta lisätty 20.2.2023

Photos

Vaikutus: Käyttäjä saattoi vahingossa lisätä osallistujan jaettuun albumiin painamalla poistonäppäintä.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2022-42807: Ezekiel Elin

Kohta lisätty 1.5.2023, päivitetty 1.8.2023

Photos

Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.

Kuvaus: Ongelma on ratkaistu parantamalla tietojen suojausta.

CVE-2022-32918: Ashwani Rajput (Nagarro Software Pvt. Ltd), Srijan Shivam Mishra (The Hack Report), Jugal Goradia (Aastha Technologies), Evan Ricafort (evanricafort.com, Invalid Web Security), Shesha Sai C (linkedin.com/in/shesha-sai-c-18585b125) ja Amod Raghunath Patwardhan (Pune, India)

Kohta päivitetty 16.3.2023

ppp

Vaikutus: appi, jolla oli pääkäyttöoikeudet, saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2022-42829: nimetön tutkija

ppp

Vaikutus: appi, jolla oli pääkäyttöoikeudet, saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2022-42830: nimetön tutkija

ppp

Vaikutus: appi, jolla oli pääkäyttöoikeudet, saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: kilpailutilanne on ratkaistu parantamalla lukitusta.

CVE-2022-42831: nimetön tutkija

CVE-2022-42832: nimetön tutkija

ppp

Vaikutus: puskurin ylivuoto saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.

CVE-2022-32941: nimetön tutkija

Kohta lisätty 27.10.2022

Ruby

Vaikutus: etäkäyttäjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma ratkaistiin päivittämällä Ruby versioon 2.6.10.

CVE-2022-28739

Sandbox

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2022-32881: Csaba Fitzl (@theevilbit, Offensive Security)

Sandbox

Vaikutus: appi, jolla oli pääkäyttöoikeudet, saattoi pystyä käyttämään yksityisiä tietoja.

Kuvaus: ongelma on ratkaistu parantamalla tietojen suojausta.

CVE-2022-32862: Rohit Chatterjee (University of Illinois Urbana-Champaign)

CVE-2022-32931: nimetön tutkija

Kohta päivitetty 16.3.2023 ja 21.12.2023

Sandbox

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: Käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.

CVE-2022-42811: Justin Bui (@slyd0g, Snowflake)

Security

Vaikutus: Ohjelma saattoi pystyä ohittamaan koodin allekirjoitustarkistukset.

Kuvaus: Koodien allekirjoitusten validointiongelma on ratkaistu parantamalla tarkistuksia.

CVE-2022-42793: Linus Henze (Pinauten GmbH, pinauten.de)

Shortcuts

Vaikutus: Pikakuvake saattoi pystyä näkemään piilotetun kuva-albumin ilman todentamista

Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2022-32876: nimetön tutkija

Kohta lisätty 1.8.2023

Shortcuts

Vaikutus: pikavalinta pystyi mahdollisesti tarkistamaan satunnaisen polun olemassaolon tiedostojärjestelmässä.

Kuvaus: Hakemistopolkujen käsittelyn jäsennysongelma korjattiin parantamalla polkujen tarkistusta.

CVE-2022-32938: Cristian Dinca (Tudor Vianu National High School of Computer Science of Romania)

Sidecar

Vaikutus: käyttäjä saattoi pystyä katselemaan kiellettyä sisältöä lukitulta näytöltä.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2022-42790: Om Kothawade (Zaprico Digital)

Siri

Vaikutus: Käyttäjä, jolla oli fyysinen pääsy laitteeseen, saattoi käyttää Siriä joidenkin puheluhistoriatietojen saamiseen.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2022-32870: Andrew Goldberg (The McCombs School of Business, The University of Texas at Austin, linkedin.com/in/andrew-goldberg-/)

SMB

Vaikutus: etäkäyttäjä saattoi pystyä aiheuttamaan kernel-koodin suorittamisen

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2022-32934: Felix Poulin-Belanger

Software Update

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.

CVE-2022-42791: Mickey Jin (@patch1t, Trend Micro)

SQLite

Vaikutus: etäkäyttäjä saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2021-36690

System Settings

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: Ongelma on ratkaistu parantamalla tietojen suojausta.

CVE-2022-48505: Adam Chester (TrustedSec) ja Thijs Alkemade (@xnyhps, Computest Sector 7)

Kohta lisätty 26.6.2023

TCC

Vaikutus: sovellus saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2022-26699: Csaba Fitzl (@theevilbit, Offensive Security)

Kohta lisätty 1.8.2023

Vim

Vaikutus: Vimissä esiintyi useita ongelmia.

Kuvaus: useita ongelmia ratkaistiin päivittämällä Vim.

CVE-2022-0261

CVE-2022-0318

CVE-2022-0319

CVE-2022-0351

CVE-2022-0359

CVE-2022-0361

CVE-2022-0368

CVE-2022-0392

CVE-2022-0554

CVE-2022-0572

CVE-2022-0629

CVE-2022-0685

CVE-2022-0696

CVE-2022-0714

CVE-2022-0729

CVE-2022-0943

CVE-2022-1381

CVE-2022-1420

CVE-2022-1725

CVE-2022-1616

CVE-2022-1619

CVE-2022-1620

CVE-2022-1621

CVE-2022-1629

CVE-2022-1674

CVE-2022-1733

CVE-2022-1735

CVE-2022-1769

CVE-2022-1927

CVE-2022-1942

CVE-2022-1968

CVE-2022-1851

CVE-2022-1897

CVE-2022-1898

CVE-2022-1720

CVE-2022-2000

CVE-2022-2042

CVE-2022-2124

CVE-2022-2125

CVE-2022-2126

VPN

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2022-42828: nimetön tutkija

Kohta lisätty 1.8.2023

Sää

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2022-32875: nimetön tutkija

WebKit

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

WebKit Bugzilla: 246669

CVE-2022-42826: Francisco Alonso (@revskills)

Kohta lisätty 22.12.2022

WebKit

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.

WebKit Bugzilla: 241969

CVE-2022-32886: P1umer (@p1umer), afang (@afang5472), xmzyshypnc (@xmzyshypnc1)

WebKit

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.

WebKit Bugzilla: 242047

CVE-2022-32888: P1umer (@p1umer)

WebKit

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.

WebKit Bugzilla: 242762

CVE-2022-32912: Jeonghoon Shin (@singi21a, Theori) yhteistyössä Trend Micron Zero Day Initiativen kanssa

WebKit

Vaikutus: haitallisella verkkosivustolla käynti saattoi aiheuttaa käyttöliittymän väärentämisen.

Kuvaus: Ongelma on ratkaistu parantamalla käyttöliittymän käsittelyä.

WebKit Bugzilla: 243693

CVE-2022-42799: Jihwan Kim (@gPayl0ad), Dohyun Lee (@l33d0hyun)

WebKit

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.

WebKit Bugzilla: 244622

CVE-2022-42823: Dohyun Lee (@l33d0hyun, SSD Labs)

WebKit

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi paljastaa arkaluonteisia käyttäjätietoja

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

WebKit Bugzilla: 245058

CVE-2022-42824: Abdulrahman Alqabandi (Microsoft Browser Vulnerability Research), Ryan Shin (IAAI SecLab, Korea University), Dohyun Lee (@l33d0hyun, DNSLab, Korea University)

WebKit

Vaikutus: haitallisen verkkosisällön käsittely saattoi paljastaa apin sisäisen tilan.

Kuvaus: JIT-oikeellisuuteen liittyvä ongelma on ratkaistu parantamalla tarkistuksia.

WebKit Bugzilla: 242964

CVE-2022-32923: Wonyoung Jung (@nonetype_pwn, KAIST Hacking Lab)

Kohta lisätty 27.10.2022

WebKit PDF

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

WebKit Bugzilla: 242781

CVE-2022-32922: Yonghwi Jin (@jinmo123, Theori) yhteistyössä Trend Micro Zero Day Initiativen kanssa

WebKit Sandboxing

Vaikutus: eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.

Kuvaus: käyttöoikeusongelma ratkaistiin parantamalla eristystä.

WebKit Bugzilla: 243181

CVE-2022-32892: @18楼梦想改造家 ja @jq0904 (DBAppSecurity's WeBin Lab)

WebKit Storage

Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.

Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.

CVE-2022-32833: Csaba Fitzl (@theevilbit, Offensive Security), Jeff Johnson

Kohta lisätty 22.12.2022

Wi-Fi

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2022-46709: Wang Yu (Cyberserval)

Kohta lisätty 16.3.2023

zlib

Vaikutus: käyttäjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2022-37434: Evgeny Legerov

CVE-2022-42800: Evgeny Legerov

Kohta lisätty 27.10.2022

Kiitokset

AirPort

Haluamme kiittää Intrado-Life & Safety/Globantin Joseph Salazar Acuñaa ja Renato Llamocaa heidän avustaan.

apache

Haluamme kiittää avusta Enterprise Service Centerin Tricia Leetä.

Kohta lisätty 16.3.2023

AppleCredentialManager

Haluamme kiittää käyttäjää @jonathandata1 hänen avustaan.

ATS

Haluamme kiittää avusta Mickey Jiniä (@patch1t).

Kohta lisätty 1.8.2023

FaceTime

Haluamme kiittää avusta nimetöntä tutkijaa.

FileVault

Haluamme kiittää Twocanoes Softwaren Timothy Perfittiä hänen avustaan.

Find My

Haluamme kiittää avusta nimetöntä tutkijaa.

Identity Services

Haluamme kiittää Joshua Jonesia hänen antamastaan avusta.

IOAcceleratorFamily

Haluamme kiittää Antonio Zekiciä (@antoniozekic) hänen avustaan.

IOGPUFamily

Haluamme kiittää Wang Yuta (cyberserval) hänen avustaan.

Kohta lisätty 9.11.2022

Kernel

Haluamme kiittää STAR Labsin Peter Nguyeniä, Moveworks.ai:n Tim Michaudia (@TimGMichaud), Tsinghua Universityn Tingting Yiniä, Ant Groupin Min Zhengiä, Tommy Muiria (@Muirey03) ja nimetöntä tutkijaa heidän avustaan.

Login Window

Haluamme kiittää Simon Tangia (simontang.dev) hänen avustaan.

Kohta lisätty 9.11.2022

Mail

Kiitämme Zone Media OÜ:n Taavi Eomäeä ja nimetöntä tutkijaa heidän antamastaan avusta.

Kohta päivitetty 21.12.2023

Mail Drafts

Haluamme kiittää avusta nimetöntä tutkijaa.

Networking

Haluamme kiittää Zoom Video Communicationsin Tim Michaudia (@TimGMichaud) hänen avustaan.

Photo Booth

Haluamme kiittää Dremion Prashanth Kannania hänen avustaan.

Quick Look

Haluamme kiittää Hilary ”It’s off by a Pixel” Streetiä hänen avustaan.

Safari

Haluamme kiittää Scott Hatfieldia (Sub-Zero Group) hänen avustaan.

Kohta lisätty 16.3.2023

Sandbox

Haluamme kiittää Csaba Fitzliä (@theevilbit, Offensive Security) hänen avustaan.

SecurityAgent

Kiitämme Security Team Netservice de Toekomstia ja nimetöntä tutkijaa heidän antamastaan avusta.

Kohta lisätty 21.12.2023

smbx

Haluamme kiittää runZero Assent Inventoryn HD Moorea hänen avustaan.

Järjestelmä

Haluamme kiittää Mickey Jinia (@patch1t, Trend Micro) hänen avustaan.

System Settings

Haluamme kiittää Bjorn Hellenbrandia hänen avustaan.

UIKit

Haluamme kiittää Aleczander Ewingiä hänen avustaan.

WebKit

Haluamme kiittää Maddie Stonea (Google Project Zero), Narendra Bhatia (@imnarendrabhati, Suma Soft Pvt. Ltd.) ja nimetöntä tutkijaa heidän avustaan.

WebRTC

Haluamme kiittää avusta nimetöntä tutkijaa.

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: 19. elokuuta 2024