מידע על תוכן האבטחה של macOS Ventura 13.1
מסמך זה מתאר את תוכן האבטחה של 1.macOS Ventura 13.
מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. הגרסאות העדכניות רשומות בדף עדכוני אבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.
למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.
macOS Ventura 13.1
הופץ ב‑13 בדצמבר 2022
Accounts
זמין עבור: macOS Ventura
השפעה: משתמש עלול להצליח לצפות במידע רגיש אודות המשתמש
תיאור: בעיה זו טופלה באמצעות הגנת נתונים משופרת.
CVE-2022-42843: Mickey Jin (@patch1t)
AMD
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.
CVE-2022-42858: ABC Research s.r.o.
הרשומה נוספה ב‑16 במרץ 2023
AMD
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2022-42847: .ABC Research s.r.o
AppleMobileFileIntegrity
זמין עבור: macOS Ventura
השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות
תיאור: בעיה זו טופלה על ידי הפעלת מצב Hardened Runtime (סביבת זמן ריצה מוגנת).
CVE-2022-42865: וויצ'ך רגולה (@_r3ggi) מ-SecuRing
Bluetooth
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לחשוף את זיכרון הליבה
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2022-42854: פאן ז'נפנג (@Peterpan0927) מ-STAR Labs SG Pte. Ltd. (starlabs_sg@)
Boot Camp
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: בעיית גישה טופלה באמצעות הגבלות גישה משופרות.
CVE-2022-42853: Mickey Jin (@patch1t) מ-Trend Micro
CoreServices
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לעקוף את העדפות הפרטיות
תיאור: מספר בעיות טופלו על ידי הסרת הקוד הפגיע.
CVE-2022-42859: Mickey Jin (patch1t@), צ'אבה פיצל (theevilbit@) מ-Offensive Security
curl
זמין עבור: macOS Ventura
השפעה: מספר בעיות ב-curl
תיאור: מספר בעיות טופלו באמצעות עדכון לגרסה 7.85.0 של curl.
CVE-2022-35252
הרשומה נוספה ב-31 באוקטובר 2023
DriverKit
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2022-32942: לינוס הנצה מ-Pinauten GmbH (pinauten.de)
dyld
זמין עבור: macOS Ventura
השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול
תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר.
CVE-2022-46720: Yonghwi Jin (@jinmo123) מ-Theori
הרשומה נוספה ב‑16 במרץ 2023
iCloud Photo Library
זמין עבור: macOS Ventura
השפעה: ייתכן שנתוני מיקום ישותפו דרך קישורי iCloud גם אם המטא-נתונים של המיקום הושבתו דרך גיליון השיתוף
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2022-46710: John Balestrieri מ-Tinrocket
הרשומה נוספה ב-31 באוקטובר 2023
ImageIO
זמין עבור: macOS Ventura
השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2022-46693: Mickey Jin (@patch1t)
IOHIDFamily
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: מצב מרוץ טופל באמצעות טיפול משופר במצבים.
CVE-2022-42864: טומי מוייר (Muirey03@)
IOMobileFrameBuffer
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2022-46690: ג'ון אקרבלום (jaakerblom@)
IOMobileFrameBuffer
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2022-46697: ג'ון אקרבלום (jaakerblom@) ואנטוניו זקיץ' (antoniozekic@)
iTunes Store
זמין עבור: macOS Ventura
השפעה: משתמש מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: הייתה בעיה בניתוח כתובות URL. בעיה זו טופלה באמצעות אימות קלט משופר.
CVE-2022-42837: ווייה דיי (dwj1210@) מ-Momo Security
Kernel
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: מצב מירוץ טופל באמצעות אימות נוסף.
CVE-2022-46689: איאן ביר מ-Google Project Zero
Kernel
זמין עבור: macOS Ventura
השפעה: חיבור לשרת NFS זדוני עלול להוביל להפעלת קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.
CVE-2022-46701: פליקס פולין-בלאנג'ר
Kernel
זמין עבור: macOS Ventura
השפעה: משתמש מרוחק עלול להצליח לגרום להפעלת קוד ליבה
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2022-42842: pattern-f (_pattern_F@) מ-Ant Security Light-Year Lab
Kernel
זמין עבור: macOS Ventura
השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2022-42861: pattern-f (_pattern_F@) מ-Ant Security Light-Year Lab
Kernel
זמין עבור: macOS Ventura
השפעה: יישום עם הרשאות בסיס עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2022-42845: אדם דופה מ-ASU SEFCOM
Kernel
זמין עבור: macOS Ventura
השפעה: תוקף עם יכולות קריאה וכתיבה שרירותיות עלול לעקוף אימות מצביע. Apple מודעת לדיווח שלפיו ייתכן שבעיה זו נוצלה לרעה נגד גרסאות iOS שפורסמו לפני iOS 15.7.1.
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2022-48618: Apple
הרשומה נוספה ב‑9 בינואר 2024
Networking
זמין עבור: macOS Ventura
השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום
תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.
CVE-2022-42839: Adam M.
הרשומה נוספה ב-31 באוקטובר 2023, עודכנה ב-31 במאי 2024
Networking
זמין עבור: macOS Ventura
השפעה: פונקציונליות של 'ממסר פרטי' לא תאמה להגדרות המערכת
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
CVE-2022-46716
הרשומה נוספה ב‑16 במרץ 2023
PackageKit
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
CVE-2022-46704: Mickey Jin (patch1t@), סאבה פיצל (theevilbit@) מ-Offensive Security
הרשומה נוספה ב‑22 בדצמבר 2022
Photos
זמין עבור: macOS Ventura
תיאור: מצב מרוץ טופל באמצעות טיפול משופר במצבים.
תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.
CVE-2022-32943: Jiwon Park, Mieszko Wawrzyniak וחוקר אנונימי
הרשומה עודכנה ב-31 באוקטובר 2023
ppp
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2022-42840: חוקר אנונימי
Preferences
זמין עבור: macOS Ventura
השפעה: יישום עלול להשתמש בזכאויות שרירותיות
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
CVE-2022-42855: איוון פרטריץ' מ-Google Project Zero
Printing
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לעקוף את העדפות הפרטיות
תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.
CVE-2022-42862: Mickey Jin (@patch1t)
Ruby
זמין עבור: macOS Ventura
השפעה: משתמש מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2022-24836
CVE-2022-29181
Safari
זמין עבור: macOS Ventura
השפעה: ביקור באתר שכולל תוכן זדוני עלול להוביל לזיוף זהות בממשק המשתמש
תיאור: בטיפול בכתובות URL הייתה בעיית זיוף זהות. בעיה זו טופלה באמצעות אימות קלט משופר.
CVE-2022-46695: קירטיקומר אננדראו רמצ'נדאני
TCC
זמין עבור: macOS Ventura
השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום
תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.
CVE-2022-46718: Michael (Biscuit) Thomas
הרשומה נוספה ב-1 במאי 2023
Weather
זמין עבור: macOS Ventura
השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום
תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.
CVE-2022-46703: Wojciech Reguła (@_r3ggi) מ-SecuRing ו-Adam M.
הרשומה נוספה ב-16 במרץ 2023, עודכנה ב-31 במאי 2024
Weather
זמין עבור: macOS Ventura
השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרונות מטמון.
CVE-2022-42866: חוקר אנונימי
WebKit
זמין עבור: macOS Ventura
השפעה: ביקור באתר שכולל תוכן זדוני עלול להוביל לזיוף זהות בממשק המשתמש
תיאור: הבעיה טופלה באמצעות טיפול משופר בממשק המשתמש.
WebKit Bugzilla: 247461
CVE-2022-32919: @real_as3617
הרשומה נוספה ב-31 באוקטובר 2023
WebKit
זמין עבור: macOS Ventura
השפעה: ביקור באתר זדוני עשוי לגרום לזיוף שורת הכתובות
תיאור: בטיפול בכתובות URL הייתה בעיית זיוף זהות. בעיה זו טופלה באמצעות אימות קלט משופר.
WebKit Bugzilla: 247289
CVE-2022-46725: Hyeon Park (@tree_segment) מ-Team ApplePIE
WebKit Bugzilla: 247287
CVE-2022-46705: Hyeon Park (@tree_segment) מ-Team ApplePIE
הרשומה נוספה ב-22 בדצמבר 2022, עודכנה ב-31 באוקטובר 2023
WebKit
זמין עבור: macOS Ventura
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
WebKit Bugzilla: 245521
CVE-2022-42867: מאדי סטון מ-Google Project Zero
WebKit
זמין עבור: macOS Ventura
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיה בצריכת זיכרון נפתרה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 245466
CVE-2022-46691: ChengGang Wu, Yan Kang, YuHao Hu, Yue Sun, Jiming Wang ו-JiKai Ren ו-Hang Shu מהמכון לטכנולוגיית מחשוב, האקדמיה הסינית למדעים
הרשומה עודכנה ב-31 באוקטובר 2023
WebKit
זמין עבור: macOS Ventura
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול לעקוף את מדיניות אותו מקור
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
WebKit Bugzilla: 246783
CVE-2022-46692: KirtiKumar Anandrao Ramchandani (kirtikumarar.com)
הרשומה עודכנה ב-31 באוקטובר 2023
WebKit
זמין עבור: macOS Ventura
השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 246721
CVE-2022-42852: hazbinhotel בעבודה משותפת עם Trend Micro Zero Day Initiative
הרשומה עודכנה ב-22 בדצמבר 2022
WebKit
זמין עבור: macOS Ventura
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.
WebKit Bugzilla: 246942
CVE-2022-46696: סמואל גרוס מ-Google V8 Security
WebKit Bugzilla: 247562
CVE-2022-46700: סמואל גרוס מ-Google V8 Security
WebKit
זמין עבור: macOS Ventura
השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עשוי להביא לגילוי מידע רגיש של משתמשים
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
WebKit Bugzilla: 247066
CVE-2022-46698: Dohyun Lee (@l33d0hyun) מ-DNSLab באוניברסיטת קוריאה, Ryan Shin מ-IAAI SecLab באוניברסיטת קוריאה
הרשומה עודכנה ב-22 בדצמבר 2022
WebKit
זמין עבור: macOS Ventura
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.
WebKit Bugzilla: 247420
CVE-2022-46699: סמואל גרוס מ-Google V8 Security
WebKit Bugzilla: 244622
CVE-2022-42863: חוקר אנונימי
WebKit
זמין עבור: macOS Ventura
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי. Apple מודעת לדיווח שלפיו ייתכן שבעיה זו נוצלה לרעה באופן פעיל נגד גרסאות iOS שפורסמו לפני iOS 15.1.
תיאור: בעיית בלבול בסוגים טופלה באמצעות טיפול משופר במצב.
WebKit Bugzilla: 248266
CVE-2022-42856: קלמנט לסין מ-Google Threat Analysis Group
xar
זמין עבור: macOS Ventura
השפעה: עיבוד מנה בעלת מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית בלבול בסוגים טופלה באמצעות בדיקות משופרות.
CVE-2022-42841: תייס אלקמדה (@xnyhps) מ-Computest Sector 7
תודות נוספות
Kernel
אנחנו מבקשים להודות לצווייג מ-Kunlun Lab על הסיוע.
Lock Screen
אנחנו מבקשים להודות לקווין מן על הסיוע.
Safari Extensions
אנחנו מבקשים להודות לאוליבר דאנק ולכריסטיאן ר' מ-1Password על הסיוע.
WebKit
אנחנו מבקשים להודות לחוקר אנונימי ול-scarlet על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.