À propos du contenu de sécurité de macOS Ventura 13
Ce document décrit le contenu de sécurité de macOS Ventura 13.
À propos des mises à jour de sécurité Apple
Dans un souci de protection de ses clients, Apple s’abstient de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou des mises à jour ne sont pas offerts. Les mises à jour récentes sont répertoriées à la page Mises à jour de sécurité Apple.
Les documents de sécurité Apple répertorient les vulnérabilités par référence CVE dans la mesure du possible.
Pour obtenir plus d’informations en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.
macOS Ventura 13
Publié le 24 octobre 2022
Accelerate Framework
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : le traitement d’une image malveillante peut entraîner l’exécution arbitraire de code.
Description : un problème de consommation de mémoire a été résolu par une meilleure gestion de cette dernière.
CVE-2022-42795 : ryuzaki
APFS
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.
Description : un problème d’accès a été résolu par une amélioration des restrictions d’accès.
CVE-2022-48577 : Csaba Fitzl (@theevilbit) d’Offensive Security
Entrée ajoutée le 21 décembre 2023
Apple Neural Engine
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure de divulguer des données sensibles relativement à l’état du noyau.
Description : ce problème a été résolu par une meilleure gestion de la mémoire.
CVE-2022-32858 : Mohamed Ghannam (@_simo36)
Apple Neural Engine
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : ce problème a été résolu par une meilleure gestion de la mémoire.
CVE-2022-32898 : Mohamed Ghannam (@_simo36)
CVE-2022-32899 : Mohamed Ghannam (@_simo36)
CVE-2022-46721 : Mohamed Ghannam (@_simo36)
CVE-2022-47915 : Mohamed Ghannam (@_simo36)
CVE-2022-47965 : Mohamed Ghannam (@_simo36)
CVE-2022-32899 : Mohamed Ghannam (@_simo36)
Entrée mise à jour le 21 décembre 2023
AppleAVD
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : ce problème a été résolu par l’application de meilleures vérifications.
CVE-2022-32907 : Yinyi Wu, ABC Research s.r.o, Natalie Silvanovich de Google Project Zero, Tommaso Bianco (@cutesmilee__), Antonio Zekic (@antoniozekic) et John Aakerblom (@jaakerblom)
Entrée ajoutée le 16 mars 2023
AppleAVD
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être à l’origine d’un déni de service.
Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion des états.
CVE-2022-32827 : Antonio Zekic (@antoniozekic), Natalie Silvanovich de Google Project Zero et un chercheur anonyme
AppleMobileFileIntegrity
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.
Description : un problème de configuration a été résolu par des restrictions supplémentaires.
CVE-2022-32877 : Wojciech Reguła (@_r3ggi) de SecuRing
Entrée ajoutée le 16 mars 2023
AppleMobileFileIntegrity
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.
Description : un problème de validation des signatures de codes a été réglé au moyen de vérifications améliorées.
CVE-2022-42789 : Koh M. Nakagawa de FFRI Security, Inc.
AppleMobileFileIntegrity
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure de modifier des sections protégées du système de fichiers.
Description : ce problème a été résolu par la suppression des droits supplémentaires.
CVE-2022-42825 : Mickey Jin (@patch1t)
Assets
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure de modifier des sections protégées du système de fichiers.
Description : un problème de logique a été résolu par de meilleures vérifications.
CVE-2022-46722 : Mickey Jin (@patch1t)
Entrée ajoutée le 1er août 2023
ATS
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure de contourner les préférences en matière de confidentialité.
Description : un problème de logique a été résolu par une meilleure gestion des états.
CVE-2022-32902 : Mickey Jin (@patch1t)
ATS
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.
Description : un problème d’accès a été résolu par des restrictions supplémentaires de bac à sable.
CVE-2022-32904 : Mickey Jin (@patch1t)
ATS
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : un processus en mode bac à sable peut être en mesure de contourner les restrictions de bac à sable.
Description : un problème de logique a été résolu par de meilleures vérifications.
CVE-2022-32890 : Mickey Jin (@patch1t)
Audio
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure d’accéder à des privilèges élevés.
Description : le problème a été résolu par la suppression du code vulnérable.
CVE-2022-42796 : Mickey Jin (@patch1t)
Entrée ajoutée le 16 mars 2023
Audio
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : l’analyse d’un fichier audio malveillant peut entraîner la divulgation d’informations utilisateur
Description : ce problème a été résolu par une meilleure gestion de la mémoire.
CVE-2022-42798 : un chercheur anonyme travaillant en collaboration avec le programme Zero Day Initiative de Trend Micro
Entrée ajoutée le 27 octobre 2022
AVEVideoEncoder
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : ce problème a été résolu par une meilleure vérification des limites.
CVE-2022-32940 : ABC Research s.r.o.
Beta Access Utility
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure de modifier des sections protégées du système de fichiers.
Description : un problème de logique a été résolu par une meilleure gestion des états.
CVE-2022-42816 : Mickey Jin (@patch1t)
Entrée ajoutée le 21 décembre 2023
BOM
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut contourner les vérifications de Gatekeeper
Description : un problème de logique a été résolu par de meilleures vérifications.
CVE-2022-42821 : Jonathan Bar Or de Microsoft
Entrée ajoutée le 13 décembre 2022
Boot Camp
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure de modifier des sections protégées du système de fichiers.
Description : ce problème a été résolu par l’application de meilleures vérifications pour prévenir les actions non autorisées.
CVE-2022-42860 : Mickey Jin (@patch1t) de Trend Micro
Entrée ajoutée le 16 mars 2023
Calendar
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure de lire des informations d’emplacement confidentielles.
Description : un problème d’accès a été résolu par une amélioration des restrictions d’accès.
CVE-2022-42819 : un chercheur anonyme
CFNetwork
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : le traitement d’un certificat malveillant peut entraîner l’exécution arbitraire de code.
Description : il existait un problème de validation de certificats lors de la gestion de WKWebView. Ce problème a été résolu par une meilleure validation.
CVE-2022-42813 : Jonathan Zhang de Open Computing Facility (ocf.berkeley.edu)
ColorSync
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : le traitement d’une image malveillante peut entraîner l’exécution arbitraire de code
Description : un problème de corruption de la mémoire affectait le traitement des profils ICC. Ce problème a été résolu par une meilleure validation des entrées.
CVE-2022-26730 : David Hoyt de Hoyt LLC
Core Bluetooth
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure d’enregistrer du son grâce à des AirPods jumelés
Description : un problème d’accès a été résolu par des restrictions supplémentaires de bac à sable sur les apps tierces.
CVE-2022-32945 : Guilherme Rambo de Best Buddy Apps (rambo.codes)
Entrée ajoutée le 9 novembre 2022
CoreMedia
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une extension de caméra pourrait continuer à recevoir des vidéos après la fermeture de l’app activée
Description : un problème d’accès d’une app aux métadonnées de la caméra a été réglé par une logique améliorée.
CVE-2022-42838 : Halle Winkler (@hallewinkler) de Politepix
Entrée ajoutée le 22 décembre 2022
CoreServices
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure de sortir de son bac à sable.
Description : un problème d’accès a été résolu par des restrictions supplémentaires de bac à sable.
CVE-2022-48683 : Thijs Alkemade de Computest Sector 7, Wojciech Reguła (@_r3ggi) de SecuRing et Arsenii Kostromin
Entrée ajoutée le 29 mai 2024
CoreTypes
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app malveillante peut être en mesure de contourner les vérifications de Gatekeeper.
Description : ce problème a été résolu par l’application de meilleures vérifications pour prévenir les actions non autorisées.
CVE-2022-22663 : Arsenii Kostromin (0x3c3e)
Entrée ajoutée le 16 mars 2023
Crash Reporter
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : un utilisateur bénéficiant d’un accès physique à un appareil iOS peut être en mesure de lire d’anciens journaux de diagnostic.
Description : ce problème a été résolu par une meilleure protection des données.
CVE-2022-32867 : Kshitij Kumar et Jai Musunuri de Crowdstrike
curl
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : curl présentait plusieurs problèmes.
Description : plusieurs problèmes ont été résolus par la mise à jour de curl vers la version 7.84.0.
CVE-2022-32205
CVE-2022-32206
CVE-2022-32207
CVE-2022-32208
Directory Utility
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.
Description : un problème de logique a été résolu par de meilleures vérifications.
CVE-2022-42814 : Sergii Kryvoblotskyi de MacPaw Inc.
DriverKit
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : ce problème a été résolu par une meilleure gestion de la mémoire.
CVE-2022-32865 : Linus Henze de Pinauten GmbH (pinauten.de)
DriverKit
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : un problème de confusion liée aux types a été résolu par de meilleures vérifications.
CVE-2022-32915 : Tommy Muir (@Muirey03)
Exchange
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : un utilisateur bénéficiant d’une position privilégiée sur le réseau peut intercepter les authentifiants de messagerie.
Description : un problème de logique a été résolu par de meilleures restrictions.
CVE-2022-32928 : Jiří Vinopal (@vinopaljiri) de Check Point Research
Entrée ajoutée le 16 mars 2023
FaceTime
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : un utilisateur peut envoyer un extrait audio ou une vidéo lors d’un appel FaceTime sans s’en rendre compte.
Description : ce problème a été résolu par l’application de meilleures vérifications.
CVE-2022-22643 : Sonali Luthar de l’Université de Virginie, Michael Liao de l’Université de l’Illinois à Urbana-Champaign, Rohan Pahwa de l’Université Rutgers et Bao Nguyen de l’Université de Floride
Entrée ajoutée le 16 mars 2023
FaceTime
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : un utilisateur peut être en mesure d’afficher du contenu restreint à partir de l’écran de verrouillage.
Description : un problème lié à l’écran de verrouillage a été résolu par une meilleure gestion des états.
CVE-2022-32935 : Bistrit Dahal
Entrée ajoutée le 27 octobre 2022
Find My
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app malveillante peut être en mesure de lire des informations d’emplacement confidentielles.
Description : un problème d’autorisations existait. Ce problème a été résolu par une meilleure validation des autorisations.
CVE-2022-42788 : Csaba Fitzl (@theevilbit) de Offensive Security, Wojciech Reguła de SecuRing (wojciechregula.blog)
Find My
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.
Description : le problème a été résolu par une meilleure gestion des caches.
CVE-2022-48504 : Csaba Fitzl (@theevilbit) d’Offensive Security
Entrée ajoutée le 21 décembre 2023
Finder
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : le traitement d’un fichier DMG malveillant peut entraîner l’exécution de code arbitraire avec des privilèges système.
Description : ce problème a été résolu par une meilleure validation des liens symboliques.
CVE-2022-32905 : Ron Masas (breakpoint.sh) de BreakPoint Technologies LTD
GPU Drivers
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.
CVE-2022-42833 : Pan ZhenPeng (@Peterpan0927)
Entrée ajoutée le 22 décembre 2022
GPU Drivers
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : ce problème a été résolu par une meilleure gestion de la mémoire.
CVE-2022-32947 : Asahi Lina (@LinaAsahi)
Grapher
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : le traitement d’un fichier gcx malveillant peut entraîner la fermeture inopinée d’une app ou l’exécution de code arbitraire.
Description : ce problème a été résolu par une meilleure gestion de la mémoire.
CVE-2022-42809 : Yutao Wang (@Jack) et Yu Zhou (@yuzhou6666)
Heimdal
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017) et iMac Pro (2017)
Conséquence : un utilisateur peut être en mesure de provoquer la fermeture inopinée d’une app ou l’exécution de code arbitraire.
Description : ce problème a été résolu par l’application de meilleures vérifications.
CVE-2022-3437 : Evgeny Legerov d’Intevydis
Entrée ajoutée le 25 octobre 2022
iCloud Photo Library
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.
Description : un problème de divulgation d’informations a été résolu par la suppression du code vulnérable.
CVE-2022-32849 : Joshua Jones
Entrée ajoutée le 9 novembre 2022
Image Processing
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app en mode bac à sable peut être en mesure de déterminer quelle app utilise actuellement la caméra.
Description : ce problème a été résolu par des restrictions supplémentaires concernant l’observabilité des états de l’app.
CVE-2022-32913 : Yiğit Can YILMAZ (@yilmazcanyigit)
ImageIO
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : le traitement d’une image peut entraîner un déni de service.
Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.
CVE-2022-32809 : Mickey Jin (@patch1t)
Entrée ajoutée le 1er août 2023
ImageIO
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : le traitement d’une image peut entraîner un déni de service.
Description : un problème de déni de service a été résolu par une meilleure validation.
CVE-2022-1622
Intel Graphics Driver
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure de divulguer la mémoire du noyau.
Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.
CVE-2022-32936 : Antonio Zekic (@antoniozekic)
IOHIDFamily
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut entraîner l’arrêt inopiné d’une app ou l’exécution de code arbitraire.
Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion des états.
CVE-2022-42820 : Peter Pan ZhenPeng de STAR Labs
IOKit
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : un problème de concurrence a été résolu par un meilleur verrouillage.
CVE-2022-42806 : Tingting Yin de l’Université de Tsinghua
Kernel
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure de divulguer la mémoire du noyau.
Description : ce problème a été résolu par une meilleure gestion de la mémoire.
CVE-2022-32864 : Linus Henze de Pinauten GmbH (pinauten.de)
Kernel
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : ce problème a été résolu par une meilleure gestion de la mémoire.
CVE-2022-32866 : Linus Henze de Pinauten GmbH (pinauten.de)
CVE-2022-32911 : Zweig de Kunlun Lab
CVE-2022-32924 : Ian Beer de Google Project Zero
Kernel
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.
CVE-2022-32914 : Zweig de Kunlun Lab
Kernel
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : un utilisateur distant peut être en mesure de provoquer l’exécution du code du noyau.
Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.
CVE-2022-42808 : Zweig de Kunlun Lab
Kernel
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion des états.
CVE-2022-32944 : Tim Michaud (@TimGMichaud) de Moveworks.ai
Entrée ajoutée le 27 octobre 2022
Kernel
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : un problème de concurrence a été résolu par un meilleur verrouillage.
CVE-2022-42803 : Xinru Chi de Pangu Lab, John Aakerblom (@jaakerblom)
Entrée ajoutée le 27 octobre 2022
Kernel
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app avec des privilèges liés à la racine peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : ce problème a été résolu par une meilleure vérification des limites.
CVE-2022-32926 : Tim Michaud (@TimGMichaud) de Moveworks.ai
Entrée ajoutée le 27 octobre 2022
Kernel
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : un problème de logique a été résolu par de meilleures vérifications.
CVE-2022-42801 : Ian Beer de Google Project Zero
Entrée ajoutée le 27 octobre 2022
Kernel
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut entraîner une terminaison inattendue du système ou éventuellement exécuter un code avec des privilèges liés au noyau
Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.
CVE-2022-46712 : Tommy Muir (@Muirey03)
Entrée ajoutée le 20 février 2023
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.
Description : ce problème a été résolu par une meilleure protection des données.
CVE-2022-42815 : Csaba Fitzl (@theevilbit) de Offensive Security
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app pourrait être en mesure d’accéder aux pièces jointes du dossier de messagerie grâce à un répertoire temporaire utilisé lors de la compression.
Description : un problème d’accès a été résolu par une amélioration des restrictions d’accès.
CVE-2022-42834 : Wojciech Reguła (@_r3ggi) de SecuRing
Entrée ajoutée le 1er mai 2023
Maps
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure de lire des informations d’emplacement confidentielles.
Description : ce problème a été résolu par une amélioration des restrictions entourant les informations sensibles.
CVE-2022-46707 : Csaba Fitzl (@theevilbit) de Offensive Security
Entrée ajoutée le 1er août 2023
Maps
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure de lire des informations d’emplacement confidentielles.
Description : un problème de logique a été résolu par de meilleures restrictions.
CVE-2022-32883 : Ron Masas de breakpointhq.com
MediaLibrary
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : un utilisateur peut être en mesure d’augmenter ses privilèges.
Description : un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées.
CVE-2022-32908 : un chercheur anonyme
Model I/O
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : Le traitement d’un fichier USD malveillant peut entraîner la divulgation du contenu de la mémoire
Description : ce problème a été résolu par une meilleure gestion de la mémoire.
CVE-2022-42810 : Xingwei Lin (@xwlin_roy) et Yinyi Wu de l’Ant Security Light-Year Lab
Entrée ajoutée le 27 octobre 2022
ncurses
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : un utilisateur peut être en mesure de provoquer la fermeture inopinée d’une app ou l’exécution de code arbitraire.
Description : un problème de dépassement de mémoire tampon a été résolu par une meilleure vérification des limites.
CVE-2021-39537
ncurses
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : le traitement d’un fichier malveillant peut conduire à un déni de service ou potentiellement divulguer le contenu de la mémoire.
Description : un problème de déni de service a été résolu par une meilleure validation.
CVE-2022-29458
Notes
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : un utilisateur bénéficiant d’une position privilégiée sur le réseau peut suivre l’activité des utilisateurs.
Description : ce problème a été résolu par une meilleure protection des données.
CVE-2022-42818 : Gustav Hansen de WithSecure
Notifications
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : un utilisateur bénéficiant d’un accès physique à un appareil peut être en mesure d’accéder aux contacts par l’écran de verrouillage.
Description : un problème de logique a été résolu par une meilleure gestion des états.
CVE-2022-32879 : Ubeydullah Sümer
PackageKit
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure de modifier des sections protégées du système de fichiers.
Description : un problème de concurrence a été résolu par une meilleure gestion des états.
CVE-2022-32895 : Mickey Jin (@patch1t) de Trend Micro, Mickey Jin (@patch1t)
PackageKit
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure de modifier des sections protégées du système de fichiers.
Description : un problème de concurrence a été résolu par une validation supplémentaire.
CVE-2022-46713 : Mickey Jin (@patch1t) de Trend Micro
Entrée ajoutée le 20 février 2023
Photos
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : un utilisateur peut accidentellement ajouter un participant à un album partagé en appuyant sur la touche Supprimer.
Description : un problème de logique a été résolu par une meilleure gestion des états.
CVE-2022-42807 : Ezekiel Elin
Entrée ajoutée le 1er mai 2023, mise à jour le 1er août 2023
Photos
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure de contourner les préférences en matière de confidentialité.
Description : ce problème a été résolu par une meilleure protection des données.
CVE-2022-32918 : Ashwani Rajput de Nagarro Software Pvt. Ltd, Srijan Shivam Mishra de The Hack Report, Jugal Goradia d’Aastha Technologies, Evan Ricafort (evanricafort.com) d’Invalid Web Security, Shesha Sai C (linkedin.com/in/shesha-sai-c-18585b125) et Amod Raghunath Patwardhan de Pune, India
Entrée ajoutée le 16 mars 2023
ppp
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app avec des privilèges liés à la racine peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.
CVE-2022-42829 : un chercheur anonyme
ppp
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app avec des privilèges liés à la racine peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : ce problème a été résolu par une meilleure gestion de la mémoire.
CVE-2022-42830 : un chercheur anonyme
ppp
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app avec des privilèges liés à la racine peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : un problème de concurrence a été résolu par un meilleur verrouillage.
CVE-2022-42831 : un chercheur anonyme
CVE-2022-42832 : un chercheur anonyme
ppp
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : un problème de dépassement de mémoire tampon peut entraîner une exécution de code arbitraire.
Description : ce problème a été résolu par une meilleure vérification des limites.
CVE-2022-32941 : un chercheur anonyme
Entrée ajoutée le 27 octobre 2022
Ruby
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : un utilisateur distant peut être en mesure de provoquer la fermeture inopinée d’une app ou l’exécution de code arbitraire.
Description : un problème de corruption de la mémoire a été résolu par la mise à jour de Ruby vers la version 2.6.10.
CVE-2022-28739
Sandbox
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure de modifier des sections protégées du système de fichiers.
Description : un problème de logique a été résolu par de meilleures restrictions.
CVE-2022-32881 : Csaba Fitzl (@theevilbit) d’Offensive Security
Sandbox
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app avec des privilèges racines peut être en mesure d’accéder à des informations confidentielles.
Description : ce problème a été résolu par une meilleure protection des données.
CVE-2022-32862 : Rohit Chatterjee d’University of Illinois Urbana-Champaign
CVE-2022-32931 : un chercheur anonyme
Entrée ajoutée le 16 mars 2023 et mise à jour le 21 mars 2023
Sandbox
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.
Description : un problème d’accès a été résolu par des restrictions supplémentaires de bac à sable.
CVE-2022-42811 : Justin Bui (@slyd0g) de Snowflake
Security
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure de contourner les vérifications de signature de code.
Description : un problème de validation des signatures de codes a été réglé au moyen de vérifications améliorées.
CVE-2022-42793 : Linus Henze de Pinauten GmbH (pinauten.de)
Shortcuts
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : un raccourci peut être en mesure d’afficher l’album de photos masquées sans authentification.
Description : un problème de logique a été résolu par de meilleures restrictions.
CVE-2022-32876 : un chercheur anonyme
Entrée ajoutée le 1er août 2023
Shortcuts
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : un raccourci peut être en mesure de vérifier l’existence d’un chemin arbitraire dans le système de fichiers.
Description : un problème d’analyse de la gestion des chemins d’accès aux répertoires a été résolu par une meilleure validation des chemins d’accès.
CVE-2022-32938 : Cristian Dinca de l’École nationale d’informatique Tudor Vianu de Roumanie
Sidecar
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : un utilisateur peut être en mesure d’afficher du contenu restreint à partir de l’écran de verrouillage.
Description : un problème de logique a été résolu par une meilleure gestion des états.
CVE-2022-42790 : Om kothawade de Zaprico Digital
Siri
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : un utilisateur bénéficiant d’un accès physique à un appareil peut être en mesure d’utiliser Siri pour obtenir certaines informations relatives à l’historique des appels.
Description : un problème de logique a été résolu par une meilleure gestion des états.
CVE-2022-32870 : Andrew Goldberg de l’École de commerce McCombs, l’Université du Texas à Austin (linkedin.com/in/andrew-goldberg-/)
SMB
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : un utilisateur distant peut être en mesure de provoquer l’exécution du code du noyau.
Description : ce problème a été résolu par une meilleure gestion de la mémoire.
CVE-2022-32934 : Felix Poulin-Belanger
Software Update
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : un problème de concurrence a été résolu par une meilleure gestion des états.
CVE-2022-42791 : Mickey Jin (@patch1t) de Trend Micro
SQLite
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : un utilisateur distant peut être à l’origine d’un déni de service.
Description : ce problème a été résolu par l’application de meilleures vérifications.
CVE-2021-36690
System Settings
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure de modifier des sections protégées du système de fichiers.
Description : ce problème a été résolu par une meilleure protection des données.
CVE-2022-48505 : Adam Chester de TrustedSec et Thijs Alkemade (@xnyhps) de Computest Sector 7
Entrée ajoutée le 26 juin 2023
TCC
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure de provoquer un déni de service aux clients d’Endpoint Security.
Description : un problème de logique a été résolu par une meilleure gestion des états.
CVE-2022-26699 : Csaba Fitzl (@theevilbit) de Offensive Security
Entrée ajoutée le 1er août 2023
Vim
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : Vim présentait plusieurs problèmes.
Description : plusieurs problèmes ont été résolus par la mise à jour de Vim.
CVE-2022-0261
CVE-2022-0318
CVE-2022-0319
CVE-2022-0351
CVE-2022-0359
CVE-2022-0361
CVE-2022-0368
CVE-2022-0392
CVE-2022-0554
CVE-2022-0572
CVE-2022-0629
CVE-2022-0685
CVE-2022-0696
CVE-2022-0714
CVE-2022-0729
CVE-2022-0943
CVE-2022-1381
CVE-2022-1420
CVE-2022-1725
CVE-2022-1616
CVE-2022-1619
CVE-2022-1620
CVE-2022-1621
CVE-2022-1629
CVE-2022-1674
CVE-2022-1733
CVE-2022-1735
CVE-2022-1769
CVE-2022-1927
CVE-2022-1942
CVE-2022-1968
CVE-2022-1851
CVE-2022-1897
CVE-2022-1898
CVE-2022-1720
CVE-2022-2000
CVE-2022-2042
CVE-2022-2124
CVE-2022-2125
CVE-2022-2126
VPN
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : ce problème a été résolu par une meilleure gestion de la mémoire.
CVE-2022-42828 : un chercheur anonyme
Entrée ajoutée le 1er août 2023
Weather
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure de lire des informations d’emplacement confidentielles.
Description : un problème de logique a été résolu par une meilleure gestion des états.
CVE-2022-32875 : un chercheur anonyme
WebKit
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : le traitement d’un contenu Web malveillant peut entraîner l’exécution arbitraire de code.
Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.
WebKit Bugzilla : 246669
CVE-2022-42826 : Francisco Alonso (@revskills)
Entrée ajoutée le 22 décembre 2022
WebKit
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : le traitement d’un contenu web malveillant peut entraîner l’exécution arbitraire de code.
Description : un problème de dépassement de la mémoire tampon a été résolu par une meilleure gestion de la mémoire.
WebKit Bugzilla : 241969
CVE-2022-32886 : P1umer (@p1umer), afang (@afang5472), xmzyshypnc (@xmzyshypnc1)
WebKit
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : le traitement d’un contenu web malveillant peut entraîner l’exécution arbitraire de code.
Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.
WebKit Bugzilla : 242047
CVE-2022-32888 : P1umer (@p1umer)
WebKit
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : le traitement d’un contenu web malveillant peut entraîner l’exécution arbitraire de code.
Description : un problème de lecture hors limites a été résolu par une meilleure vérification des limites.
WebKit Bugzilla : 242762
CVE-2022-32912 : Jeonghoon Shin (@singi21a) de Theori en collaboration avec Trend Micro Zero Day Initiative
WebKit
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : la consultation d’un site web malveillant peut entraîner une utilisation détournée de l’interface utilisateur
Description : ce problème a été résolu par une meilleure gestion de l’interface utilisateur.
WebKit Bugzilla : 243693
CVE-2022-42799 : Jihwan Kim (@gPayl0ad), Dohyun Lee (@l33d0hyun)
WebKit
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : le traitement d’un contenu web malveillant peut entraîner l’exécution arbitraire de code.
Description : un problème de confusion liée aux types a été résolu par une meilleure gestion de la mémoire.
WebKit Bugzilla : 244622
CVE-2022-42823 : Dohyun Lee (@l33d0hyun) de SSD Labs
WebKit
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : le traitement d’un contenu web malveillant peut entraîner la divulgation d’informations sensibles de l’utilisateur.
Description : un problème de logique a été résolu par une meilleure gestion des états.
WebKit Bugzilla : 245058
CVE-2022-42824 : Abdulrahman Alqabandi de Microsoft Browser Vulnerability Research, Ryan Shin de IAAI SecLab à l’université de Corée, Dohyun Lee (@l33d0hyun) de DNSLab à l’université de Corée
WebKit
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : le traitement de contenu web malveillant pourrait entraîner la divulgation des états internes de l’app.
Description : un problème d’exactitude dans le JIT a été résolu par des vérifications améliorées.
WebKit Bugzilla : 242964
CVE-2022-32923 : Wonyoung Jung (@nonetype_pwn) de KAIST Hacking Lab
Entrée ajoutée le 27 octobre 2022
WebKit PDF
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : le traitement d’un contenu Web malveillant peut entraîner l’exécution arbitraire de code.
Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.
WebKit Bugzilla : 242781
CVE-2022-32922 : Yonghwi Jin (@jinmo123) de Theori en collaboration avec Trend Micro Zero Day Initiative
WebKit Sandboxing
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : un processus en mode bac à sable peut être en mesure de contourner les restrictions de bac à sable.
Description : ce problème d’accès a été résolu par des améliorations apportées au bac à sable.
WebKit Bugzilla : 243181
CVE-2022-32892 : @18楼梦想改造家 et @jq0904 du WeBin lab de DBAppSecurity
WebKit Storage
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure de contourner les préférences en matière de confidentialité.
Description : le problème a été résolu par une meilleure gestion des caches.
CVE-2022-32833 : Csaba Fitzl (@theevilbit) d’Offensive Security, Jeff Johnson
Entrée ajoutée le 22 décembre 2022
Wi-Fi
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion des états.
CVE-2022-46709 : Wang Yu de Cyberserval
Entrée ajoutée le 16 mars 2023
zlib
Disponible pour : Mac Studio (2022), Mac Pro (2019 et modèles ultérieurs), MacBook Air (2018 et modèles ultérieurs), MacBook Pro (2017 et modèles ultérieurs), Mac mini (2018 et modèles ultérieurs), iMac (2017 et modèles ultérieurs), MacBook (2017), et iMac Pro (2017)
Conséquence : un utilisateur peut être en mesure de provoquer la fermeture inopinée d’une app ou l’exécution de code arbitraire.
Description : ce problème a été résolu par l’application de meilleures vérifications.
CVE-2022-37434 : Evgeny Legerov
CVE-2022-42800 : Evgeny Legerov
Entrée ajoutée le 27 octobre 2022
Remerciements supplémentaires
AirPort
Nous tenons à remercier Joseph Salazar Acuña et Renato Llamoca de Intrado-Life & Safety/Globant pour leur aide.
apache
Nous tenons à remercier Tricia Lee d’Enterprise Service Center pour son aide.
Entrée ajoutée le 16 mars 2023
AppleCredentialManager
Nous tenons à remercier @jonathandata1 pour son aide.
ATS
Nous tenons à remercier Mickey Jin (@patch1t) pour son aide.
Entrée ajoutée le 1er août 2023
FaceTime
Nous tenons à remercier un chercheur anonyme pour son aide.
FileVault
Nous tenons à remercier Timothy Perfitt de Twocanoes Software pour son aide.
Find My
Nous tenons à remercier un chercheur anonyme pour son aide.
Identity Services
Nous aimerions remercier Joshua Jones pour son aide.
IOAcceleratorFamily
Nous tenons à remercier Antonio Zekic (@antoniozekic) pour son aide.
IOGPUFamily
Nous tenons à remercier Wang Yu de cyberserval pour son aide.
Entrée ajoutée le 9 novembre 2022
Kernel
Nous tenons à remercier Peter Nguyen de STAR Labs, Tim Michaud (@TimGMichaud) de Moveworks.ai, Tingting Yin de l’Université de Tsinghua, Min Zheng du Groupe Ant, Tommy Muir (@Muirey03) ainsi qu’un chercheur anonyme pour leur aide.
Login Window
Nous tenons à remercier Simon Tang (simontang.dev) pour son aide.
Entrée ajoutée le 9 novembre 2022
Nous tenons à remercier Taavi Eomäe de Zone Media OÜ et un chercheur anonyme pour leur aide.
Entrée mise à jour le 21 décembre 2023
Mail Drafts
Nous tenons à remercier un chercheur anonyme pour son aide.
Networking
Nous tenons à remercier Tim Michaud (@TimGMichaud) de Zoom Video Communications pour son aide.
Photo Booth
Nous tenons à remercier Prashanth Kannan de Dremio pour son aide.
Quick Look
Nous tenons à remercier Hilary « It’s off by a Pixel » Street pour son aide.
Safari
Nous tenons à remercier Scott Hatfield de Sub-Zero Group pour son aide.
Entrée ajoutée le 16 mars 2023
Sandbox
Nous tenons à remercier Csaba Fitzl (@theevilbit) d’Offensive Security pour son aide.
SecurityAgent
Nous tenons à remercier Security Team Netservice de Toekomst, ainsi qu’un chercheur anonyme pour leur aide.
Entrée ajoutée le 21 décembre 2023
smbx
Nous tenons à remercier HD Moore de runZero Asset Inventory pour son aide.
System
Nous tenons à remercier Mickey Jin (@patch1t) de Trend Micro pour son aide.
System Settings
Nous tenons à remercier Bjorn Hellenbrand pour son aide.
UIKit
Nous tenons à remercier Aleczander Ewing pour son aide.
WebKit
Nous tenons à remercier Maddie Stone de Google Project Zero, Narendra Bhati (@imnarendrabhati) de Suma Soft Pvt. Ltd. et un chercheur anonyme pour leur aide.
WebRTC
Nous tenons à remercier un chercheur anonyme pour son aide.
Les renseignements sur les produits qui ne sont pas fabriqués par Apple ou sur les sites Web indépendants qui ne sont pas gérés ou vérifiés par Apple sont fournis sans recommandation ni approbation de la part d’Apple. Apple se dégage de toute responsabilité quant à la sélection, au bon fonctionnement ou à l’utilisation de sites Web ou de produits de tiers. Apple ne fait aucune déclaration et n’offre aucune garantie quant à l’exactitude ou à la fiabilité de ces sites Web de tiers. Communiquez avec le vendeur pour de plus amples renseignements.