מידע על תוכן האבטחה של macOS Ventura 13
מסמך זה מתאר את תוכן האבטחה של macOS Ventura 13.
מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. הגרסאות העדכניות רשומות בדף עדכוני אבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.
למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.
macOS Ventura 13
פורסם ב-24 באוקטובר 2022
Accelerate Framework
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיה בצריכת זיכרון נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2022-42795: ryuzaki
APFS
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיית גישה טופלה באמצעות הגבלות גישה משופרות.
CVE-2022-48577: Csaba Fitzl (@theevilbit) מ-Offensive Security
הרשומה נוספה ב‑21 בדצמבר 2023
Apple Neural Engine
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול להצליח להדליף מצב ליבה רגיש
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2022-32858: מוחמד ע'נם (@_simo36)
Apple Neural Engine
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2022-32898: מוחמד ע'נם (@_simo36)
CVE-2022-32899: מוחמד ע'נם (@_simo36)
CVE-2022-46721: Mohamed Ghannam (@_simo36)
CVE-2022-47915: Mohamed Ghannam (@_simo36)
CVE-2022-47965: Mohamed Ghannam (@_simo36)
CVE-2022-32889: מוחמד ע'נם (@_simo36)
הרשומה עודכנה ב‑21 בדצמבר 2023
AppleAVD
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2022-32907: יין-יי וו, ABC Research s.r.o, נטלי סילבנוביץ' מ-Google Project Zero, טומאסו ביאנקו (@cutesmilee__), אנטוניו זקיץ' (@antoniozekic) וג'ון אקרבלום (@jaakerblom)
הרשומה נוספה ב‑16 במרץ 2023
AppleAVD
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול להצליח לגרום למניעת שירות
תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.
CVE-2022-32827: אנטוניו זקיץ' (@antoniozekic), נטלי סילבנוביץ' מ-Google Project Zero וחוקר אנונימי
AppleMobileFileIntegrity
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיית תצורה טופלה באמצעות הגבלות נוספות.
CVE-2022-32877: וויצ'ך רגולה (@_r3ggi) מ-SecuRing
הרשומה נוספה ב‑16 במרץ 2023
AppleMobileFileIntegrity
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיה באימות חתימה של קוד טופלה באמצעות בדיקות משופרות.
CVE-2022-42789: קו מ' נאקאגווה מ-FFRI .Security, Inc.
AppleMobileFileIntegrity
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: בעיה זו טופלה באמצעות הסרת הרשאות נוספות.
CVE-2022-42825: Mickey Jin (patch1t@)
Assets
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2022-46722: Mickey Jin (patch1t@)
הרשומה נוספה ב‑1 באוגוסט 2023
ATS
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
CVE-2022-32902: Mickey Jin (@patch1t)
ATS
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיית גישה טופלה באמצעות הגבלות 'ארגז חול' נוספות.
CVE-2022-32904: Mickey Jin (@patch1t)
ATS
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: תהליך בשלב 'ארגז החול' עלול להצליח לעקוף את ההגבלות של 'ארגז החול'
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2022-32890: Mickey Jin (@patch1t)
Audio
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול להצליח לקבל הרשאות ברמה גבוהה יותר
תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.
CVE-2022-42796: Mickey Jin (@patch1t)
הערך עודכן ב‑16 מרץ 2023
Audio
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: ניתוח קובץ שמע בעל מבנה זדוני עלול להוביל לחשיפת המידע של משתמש
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2022-42798: אנונימי שעובד עם Trend Micro Zero Day Initiative
הרשומה נוספה ב‑27 באוקטובר 2022
AVEVideoEncoder
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.
CVE-2022-32940: ABC Research s.r.o.
Beta Access Utility
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
CVE-2022-42816: Mickey Jin (@patch1t)
הרשומה נוספה ב‑21 בדצמבר 2023
BOM
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול לעקוף בדיקות של Gatekeeper
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2022-42821: יונתן בר אור מ-Microsoft
הרשומה נוספה ב‑13 בדצמבר 2022
Boot Camp
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות למניעת פעולות לא מורשות.
CVE-2022-42860: Mickey Jin (@patch1t) מ-Trend Micro
הרשומה נוספה ב‑16 במרץ 2023
Calendar
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום
תיאור: בעיית גישה טופלה באמצעות הגבלות גישה משופרות.
CVE-2022-42819: חוקר אנונימי
CFNetwork
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: עיבוד אישור בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בטיפול ב-WKWebView הייתה בעיית אימות אישורים. בעיה זו טופלה באמצעות שיפור האימות.
CVE-2022-42813: ג'ונתן זאנג מ-Open Computing Facility (ocf.berkeley.edu)
ColorSync
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: הייתה בעיה של השחתת זיכרון בעיבוד פרופילים של ICC. בעיה זו טופלה באמצעות אימות קלט משופר.
CVE-2022-26730: דייוויד הויט מ-Hoyt LLC
Core Bluetooth
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול להצליח להקליט שמע בעזרת AirPods שקושרו
תיאור: בעיית גישה טופלה באמצעות הגבלות 'ארגז חול' נוספות על יישומים של צד שלישי.
CVE-2022-32945: גילהרם רמבו מ-Best Buddy Apps (rambo.codes)
הרשומה נוספה ב‑09 בנובמבר 2022
CoreMedia
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: ייתכן שהרחבת מצלמה תמשיך לקבל וידאו לאחר שהאפליקציה שהופעלה נסגרה
תיאור: בעיה בגישה של האפליקציה לנתוני המצלמה טופלה באמצעות לוגיקה משופרת.
CVE-2022-42838: האלה וינקלר (hallewinkler@) מ-Politepix
הרשומה נוספה ב‑22 בדצמבר 2022
CoreServices
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול
תיאור: בעיית גישה טופלה באמצעות הגבלות 'ארגז חול' נוספות.
CVE-2022-48683: Thijs Alkemade מ-Computest Sector 7, Wojciech Reguła (@_r3ggi) מ-SecuRing ו-Arsenii Kostromin
הרשומה נוספה ב‑29 במאי 2024
CoreTypes
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: אפליקציה זדונית עלולה להצליח לעקוף את הבדיקות של Gatekeeper
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות למניעת פעולות לא מורשות.
CVE-2022-22663: ארסני קוסטרומין (0x3c3e)
הרשומה נוספה ב‑16 במרץ 2023
Crash Reporter
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: משתמש עם גישה פיזית למכשיר iOS עלול להצליח לקרוא יומני אבחון קודמים
תיאור: בעיה זו טופלה באמצעות הגנת נתונים משופרת.
CVE-2022-32867: שיטיג' קומר וג'אי מוסונורי מ-Crowdstrike
curl
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: מספר בעיות ב-curl
תיאור: מספר בעיות טופלו באמצעות עדכון לגרסה 7.84.0 של curl.
CVE-2022-32205
CVE-2022-32206
CVE-2022-32207
CVE-2022-32208
Directory Utility
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2022-42814: סרגיי קריבובלוצקי מ-MacPaw Inc..
DriverKit
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2022-32865: לינוס הנצה מ-Pinauten GmbH (pinauten.de)
DriverKit
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית בלבול בסוגים טופלה באמצעות בדיקות משופרות.
CVE-2022-32915: טומי מוייר (@Muirey03)
Exchange
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: משתמש במיקום מורשה ברשת עלול להצליח ליירט אישורי דואר
תיאור: בעיה לוגית טופלה באמצעות הגבלות משופרות.
CVE-2022-32928: ז'ירי וינופל (@vinopaljiri) מ-Check Point Research
הערך עודכן ב‑16 מרץ 2023
FaceTime
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: משתמש עלול לשלוח שמע וסרטון במהלך שיחת FaceTime קבוצתית ללא ידיעתו
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2022-22643: סונאלי לות'אר מאוניברסיטת וירג'יניה, מייקל ליאהו מאוניברסיטת אילינוי ב-Urbana-Champaign, רוהאן פאהווה מאוניברסיטת רטגרס, ובאו נגויין מאוניברסיטת פלורידה
הרשומה נוספה ב‑16 במרץ 2023
FaceTime
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: ייתכן שמשתמש יוכל להציג תוכן מוגבל ממסך הנעילה
תיאור: בעיה במסך הנעילה טופלה באמצעות ניהול מצבים משופר.
CVE-2022-32935: ביסטריט דהל
הרשומה נוספה ב‑27 באוקטובר 2022
Find My
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: אפליקציה זדונית עשויה לקרוא מידע רגיש אודות המיקום
תיאור: הייתה בעיית הרשאות. בעיה זו טופלה באמצעות שיפור אימות ההרשאה.
CVE-2022-42788: סאבה פיצל (@theevilbit) מ-Offensive Security, וויצ'ך רגולה מ-SecuRing (wojciechregula.blog)
Find My
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרונות מטמון.
CVE-2022-48504: Csaba Fitzl (@theevilbit) מ-Offensive Security
הרשומה נוספה ב‑21 בדצמבר 2023
Finder
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: עיבוד קובץ DMG בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי עם הרשאות מערכת
תיאור: בעיה זו טופלה באמצעות אימות משופר של קישורים סימבוליים.
CVE-2022-32905: רון מסאס (breakpoint.sh) מ-BreakPoint Technologies LTD
GPU Drivers
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2022-42833: פאן ז'ן-פנג (@Peterpan0927)
הרשומה נוספה ב‑22 בדצמבר 2022
GPU Drivers
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2022-32947: אסאהי לינה (@LinaAsahi)
Grapher
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: עיבוד של קובץ gcx בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2022-42809: יוטאו וואנג (@Jack) ויו ז'ו (@yuzhou6666)
Heimdal
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: משתמש עלול לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2022-3437: יבגני לגרוב מ-Intevydis
הרשומה נוספה ב‑25 באוקטובר 2022
iCloud Photo Library
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיה של חשיפת מידע טופלה על-ידי הסרת הקוד הפגיע.
CVE-2022-32849: ג'ושוע ג'ונס
הרשומה נוספה ב‑09 בנובמבר 2022
Image Processing
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום בארגז חול עלול להצליח לקבוע איזה יישום משתמש כעת במצלמה
תיאור: הבעיה טופלה באמצעות הגבלות נוספות בנוגע לנראות של מצבי יישומים.
CVE-2022-32913: ייגיט ג'ן ילמז (@yilmazcanyigit)
ImageIO
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: עיבוד תמונה עלול לגרום למניעת שירות
תיאור: קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2022-32809: Mickey Jin (patch1t@)
הרשומה נוספה ב‑1 באוגוסט 2023
ImageIO
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: עיבוד תמונה עלול לגרום למניעת שירות
תיאור: בעיית מניעת שירות טופלה באמצעות אימות משופר.
CVE-2022-1622
Intel Graphics Driver
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול להצליח לחשוף את זיכרון הליבה
תיאור: קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2022-32936: אנטוניו זקיץ' (antoniozekic@)
IOHIDFamily
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: אפליקציה עלולה לגרום לסיום בלתי צפוי של אפליקציה או להפעלת קוד שרירותי
תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.
CVE-2022-42820: פיטר פן ז'ן-פנג מ-STAR Labs
IOKit
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: מצב מירוץ טופל באמצעות נעילה משופרת.
CVE-2022-42806: טינג-טינג יין מאוניברסיטת טסינגואה
Kernel
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול להצליח לחשוף את זיכרון הליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2022-32864: לינוס הנצה מ-Pinauten GmbH (pinauten.de)
Kernel
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2022-32866: לינוס הנצה מ-Pinauten GmbH (pinauten.de)
CVE-2022-32911: צווייג מ-Kunlun Lab
CVE-2022-32924: איאן ביר (Ian Beer) מ-Google Project Zero
Kernel
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2022-32914: צווייג מ-Kunlun Lab
Kernel
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: משתמש מרוחק עלול להצליח לגרום להפעלת קוד ליבה
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2022-42808: צווייג מ-Kunlun Lab
Kernel
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.
CVE-2022-32944: טים מישו (TimGMichaud@) מ-Moveworks.ai
הרשומה נוספה ב‑27 באוקטובר 2022
Kernel
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: מצב מירוץ טופל באמצעות נעילה משופרת.
CVE-2022-42803: שין-רו צ'י מ-Pangu Lab, ג'ון אקרבלום (@jaakerblom)
הרשומה נוספה ב‑27 באוקטובר 2022
Kernel
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עם הרשאות בסיס עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.
CVE-2022-32926: טים מישו (@TimGMichaud) מ-Moveworks.ai
הרשומה נוספה ב‑27 באוקטובר 2022
Kernel
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2022-42801: איאן ביר מ-Google Project Zero
הרשומה נוספה ב‑27 באוקטובר 2022
Kernel
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול להיות מסוגל לגרום לסיום מערכת בלתי צפוי או לבצע קוד בעל הרשאות ליבה
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2022-46712: טומי מוייר (@Muirey03)
הרשומה נוספה ב‑20 בפברואר 2023
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיה זו טופלה באמצעות הגנת נתונים משופרת.
CVE-2022-42815: סאבה פיצל (@theevilbit) מ-Offensive Security
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול להצליח לגשת לקבצים מצורפים בתיקיית דואר דרך ספריה זמנית שנעשה בה שימוש במהלך דחיסה
תיאור: בעיית גישה טופלה באמצעות הגבלות גישה משופרות.
CVE-2022-42834: וויצ'ך רגולה (@_r3ggi) מ-SecuRing
הרשומה נוספה ב-1 במאי 2023
Maps
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום
תיאור: בעיה זו טופלה באמצעות הגבלות משופרות סביב מידע רגיש.
CVE-2022-46707: Csaba Fitzl (theevilbit@) מ-Offensive Security
הרשומה נוספה ב‑1 באוגוסט 2023
Maps
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום
תיאור: בעיה לוגית טופלה באמצעות הגבלות משופרות.
CVE-2022-32883: רון מסאס מ-breakpointhq.com
MediaLibrary
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: משתמש עלול להצליח להשיג הרשאות ברמה גבוהה יותר
תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.
CVE-2022-32908: חוקר אנונימי
Model I/O
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: עיבוד קובץ USD בעל מבנה זדוני עלול לחשוף תוכן של הזיכרון
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2022-42810: שין-ווי לין (@xwlin_roy) ויין-יי וו מ-Ant Security Light-Year Lab
הרשומה נוספה ב‑27 באוקטובר 2022
ncurses
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: משתמש עלול לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.
CVE-2021-39537
ncurses
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל למניעת שירות או לחשיפה פוטנציאלית של תוכן זיכרון
תיאור: בעיית מניעת שירות טופלה באמצעות אימות משופר.
CVE-2022-29458
Notes
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: משתמש במיקום רשת מורשה עלול להצליח לעקוב אחר פעילות משתמשים
תיאור: בעיה זו טופלה באמצעות הגנת נתונים משופרת.
CVE-2022-42818: גוסטב האנסן מ-WithSecure
Notifications
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: משתמש שיש לו גישה פיזית למכשיר עלול להצליח לגשת לאנשי קשר ממסך הנעילה
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
CVE-2022-32879: עוביידולה סומר
PackageKit
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: מצב מרוץ טופל באמצעות טיפול משופר במצבים.
CVE-2022-32895: Mickey Jin (@patch1t) מ-Trend Micro, Mickey Jin (@patch1t)
PackageKit
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: מצב מירוץ טופל באמצעות אימות נוסף.
CVE-2022-46713: Mickey Jin (@patch1t) מ-Trend Micro
הרשומה נוספה ב‑20 בפברואר 2023
Photos
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: משתמש עשוי להוסיף בלי כוונה משתתף לאלבום משותף על ידי לחיצה על מקש Delete
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
CVE-2022-42807: Ezekiel Elin
הערך נוסף ב-1 במאי 2023, עודכן ב-1 באוגוסט 2023
Photos
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות
תיאור: בעיה זו טופלה באמצעות הגנת נתונים משופרת.
CVE-2022-32918: אשוואני ראג'פוט מ-Nagarro Software Pvt. Ltd, סריג'אן שיוואם מישרה מ-The Hack Report, ז'וגאל גוראדיה מ-Aastha Technologies, אוואן ריקפורט (evanricafort.com) מ-,Invalid Web Security, ששה סאי סי (linkedin.com/in/shesha-sai-c-18585b125) ואמוד ראגונאת' פטוורדהאן מפונה, הודו
הערך עודכן ב‑16 מרץ 2023
ppp
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עם הרשאות בסיס עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2022-42829: חוקר אנונימי
ppp
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עם הרשאות בסיס עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2022-42830: חוקר אנונימי
ppp
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עם הרשאות בסיס עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: מצב מירוץ טופל באמצעות נעילה משופרת.
CVE-2022-42831: חוקר אנונימי
CVE-2022-42832: חוקר אנונימי
ppp
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: גלישת חוצץ עלולה לגרום לביצוע קוד שרירותי
תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.
CVE-2022-32941: חוקר אנונימי
הרשומה נוספה ב‑27 באוקטובר 2022
Ruby
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: משתמש מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: בעיית השחתת זיכרון טופלה על ידי עדכון Ruby לגרסה 2.6.10.
CVE-2022-28739
Sandbox
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: בעיה לוגית טופלה באמצעות הגבלות משופרות.
CVE-2022-32881: סאבה פיצל (@theevilbit) מ-Offensive Security
Sandbox
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עם הרשאות בסיס עלול להצליח לקבל גישה למידע פרטי
תיאור: בעיה זו טופלה באמצעות הגנת נתונים משופרת.
CVE-2022-32862: רוהיט צ'אטרג'י מאוניברסיטת אילינוי Urbana-Champaign
CVE-2022-32931: חוקר אנונימי
הרשומה עודכנה ב‑16 במרץ 2023, עודכנה ב‑21 בדצמבר 2023
Sandbox
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיית גישה טופלה באמצעות הגבלות 'ארגז חול' נוספות.
CVE-2022-42811: ג'סטין בוי (@slyd0g) מ-Snowflake
Security
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול להצליח לעקוף בדיקות של חתימת קוד
תיאור: בעיה באימות חתימה של קוד טופלה באמצעות בדיקות משופרות.
CVE-2022-42793: לינוס הנצה מ-Pinauten GmbH (pinauten.de)
Shortcuts
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: קיצור דרך עלול להציג את אלבום התמונות המוסתרות ללא אימות
תיאור: בעיה לוגית טופלה באמצעות הגבלות משופרות.
CVE-2022-32876: חוקר אנונימי
הרשומה נוספה ב‑1 באוגוסט 2023
Shortcuts
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: קיצור דרך עלול להצליח לבצע בדיקת הימצאות של נתיב שרירותי במערכת הקבצים
תיאור: בעיית ניתוח בטיפול בנתיבים של ספריות טופלה על ידי אימות נתיבים משופר.
CVE-2022-32938: כריסטיאן דינקה מבית הספר התיכון הלאומי למדעי המחשב ע"ש טודור ויאנו ברומניה
Sidecar
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: ייתכן שמשתמש יוכל להציג תוכן מוגבל ממסך הנעילה
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
CVE-2022-42790: אום קות'וואדה מ-Zaprico Digital
Siri
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: משתמש בעל גישה פיזית למכשיר עלול להצליח להשתמש ב-Siri כדי להשיג מידע על היסטוריית שיחות
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
CVE-2022-32870: אנדרו גולדברג מביה"ס למינהל עסקים ע"ש מק'קומבס, אוניברסיטת טקסס באוסטין (linkedin.com/in/andrew-goldberg-/)
SMB
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: משתמש מרוחק עלול להצליח לגרום להפעלת קוד ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2022-32934: פליקס פולין-בלאנג'ר
Software Update
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: מצב מרוץ טופל באמצעות טיפול משופר במצבים.
CVE-2022-42791: Mickey Jin (@patch1t) מ-Trend Micro
SQLite
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: משתמש מרוחק עלול להצליח לגרום למניעת שירות
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2021-36690
System Settings
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: בעיה זו טופלה באמצעות הגנת נתונים משופרת.
CVE-2022-48505: אדם צ'סטר מ-TrustedSec ותייס אלקמאד (@xnyhps) מ-Computest Sector 7
הרשומה נוספה ב‑26 ביוני 2023
TCC
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול להצליח לגרום למניעת שירות ללקוחות של 'אבטחת נקודת קצה'
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
CVE-2022-26699: Csaba Fitzl (theevilbit@) מ-Offensive Security
הרשומה נוספה ב‑1 באוגוסט 2023
Vim
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: מספר בעיות ב-Vim
תיאור: מספר בעיות טופלו באמצעות עדכון Vim.
CVE-2022-0261
CVE-2022-0318
CVE-2022-0319
CVE-2022-0351
CVE-2022-0359
CVE-2022-0361
CVE-2022-0368
CVE-2022-0392
CVE-2022-0554
CVE-2022-0572
CVE-2022-0629
CVE-2022-0685
CVE-2022-0696
CVE-2022-0714
CVE-2022-0729
CVE-2022-0943
CVE-2022-1381
CVE-2022-1420
CVE-2022-1725
CVE-2022-1616
CVE-2022-1619
CVE-2022-1620
CVE-2022-1621
CVE-2022-1629
CVE-2022-1674
CVE-2022-1733
CVE-2022-1735
CVE-2022-1769
CVE-2022-1927
CVE-2022-1942
CVE-2022-1968
CVE-2022-1851
CVE-2022-1897
CVE-2022-1898
CVE-2022-1720
CVE-2022-2000
CVE-2022-2042
CVE-2022-2124
CVE-2022-2125
CVE-2022-2126
VPN
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2022-42828: חוקר אנונימי
הרשומה נוספה ב‑1 באוגוסט 2023
Weather
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
CVE-2022-32875: חוקר אנונימי
WebKit
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
WebKit Bugzilla: 246669
CVE-2022-42826: פרנציסקו אלונסו (@revskills)
הרשומה נוספה ב‑22 בדצמבר 2022
WebKit
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית גלישת חוצץ טופלה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 241969
CVE-2022-32886: P1umer (@p1umer), afang (@afang5472), xmzyshypnc (@xmzyshypnc1)
WebKit
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)
WebKit
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
WebKit Bugzilla: 242762
CVE-2022-32912: ג'ונג-הון שין (@singi21a) ב-Theori יחד עם Trend Micro Zero Day Initiative
WebKit
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: ביקור באתר זדוני עלול להוביל לזיוף זהות בממשק המשתמש
תיאור: הבעיה טופלה באמצעות טיפול משופר בממשק המשתמש.
WebKit Bugzilla: 243693
CVE-2022-42799: ג'י-וואן קים (@gPayl0ad), דו-היון לי (@l33d0hyun)
WebKit
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית בלבול בסוגים טופלה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 244622
CVE-2022-42823: דו-היון לי (@l33d0hyun) מ-SSD Labs
WebKit
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עשוי להביא לגילוי מידע רגיש של משתמשים
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
WebKit Bugzilla: 245058
CVE-2022-42824: עבדולרחמן אלקבאנדי מ-Microsoft Browser Vulnerability Research, ריאן שין מ-IAAI SecLab באוניברסיטת קוריאה, דווהיון לי (@l33d0hyun) מ-DNSLab באוניברסיטת קוריאה
WebKit
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול לגרום לחישוף המצבים הפנימיים של האפליקציה
תיאור: בעיית נכונות טופלה ב-JIT באמצעות בדיקות משופרות.
WebKit Bugzilla: 242964
CVE-2022-32923: וון-יונג ג'ונג (@nonetype_pwn) מ-KAIST Hacking Lab
הרשומה נוספה ב‑27 באוקטובר 2022
WebKit PDF
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
WebKit Bugzilla: 242781
CVE-2022-32922: יונגווי ג'ין (@jinmo123) ב-Theori יחד עם Trend Micro Zero Day Initiative
WebKit Sandboxing
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: תהליך בשלב 'ארגז החול' עלול להצליח לעקוף את ההגבלות של 'ארגז החול'
תיאור: בעיית גישה טופלה באמצעות שיפורים בארגז החול.
WebKit Bugzilla: 243181
CVE-2022-32892: @18楼梦想改造家 ו-@jq0904 מ-DBAppSecurity's WeBin lab
WebKit Storage
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרונות מטמון.
CVE-2022-32833: צ'אבה פיצל (@theevilbit) מ-Offensive Security, ג'ף ג'ונסון
הרשומה נוספה ב‑22 בדצמבר 2022
Wi-Fi
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.
CVE-2022-46709: וואנג יו מ-Cyberserval
הרשומה נוספה ב‑16 במרץ 2023
zlib
זמין עבור: Mac Studio (2022), Mac Pro (2019 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2017 ואילך), Mac mini (2018 ואילך), iMac (2017 ואילך), MacBook (2017) ו-iMac Pro (2017)
השפעה: משתמש עשוי לגרום לסגירת אפליקציה או להפעלת קוד שרירותי באופן בלתי צפוי
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2022-37434: יבגני לגרוב
CVE-2022-42800: יבגני לגרוב
הרשומה נוספה ב‑27 באוקטובר 2022
תודות נוספות
AirPort
אנחנו מבקשים להודות לג'וזף סלאזאר אקוניה ולרנטו לאמוקה מ-Intrado-Life & Safety/Globant על הסיוע.
apache
אנחנו מבקשים להודות לטרישה לי מ-Enterprise Service Center על הסיוע.
הרשומה נוספה ב‑16 במרץ 2023
AppleCredentialManager
אנחנו מבקשים להודות ל-@jonathandata1 על הסיוע.
ATS
אנחנו מבקשים להודות ל-Mickey Jin (@patch1t) על הסיוע.
הרשומה נוספה ב‑1 באוגוסט 2023
FaceTime
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
FileVault
אנחנו מבקשים להודות לטימותי פרפיט מ-Twocanoes Software על הסיוע.
Find My
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
Identity Services
אנחנו מבקשים להודות לג'ושוע ג'ונס על הסיוע.
IOAcceleratorFamily
אנחנו מבקשים להודות לאנטוניו זקיץ' (@antoniozekic) על הסיוע.
IOGPUFamily
אנחנו מבקשים להודות לוואנג יו מ-Dremio על הסיוע.
הרשומה נוספה ב‑09 בנובמבר 2022
Kernel
אנחנו מבקשים להודות לפיטר נגויאן מ-STAR Labs, לטים מישו (@TimGMichaud) מ-Moveworks.ai, לטינגטינג יין מאוניברסיטת טסינגואה, למין ז'נג מ-Ant Group, לטומי מוייר (@Muirey03) ולחוקר אנונימי על הסיוע.
Login Window
אנחנו מבקשים להודות לטאנג (simontang.dev) על הסיוע.
הרשומה נוספה ב‑09 בנובמבר 2022
אנחנו מבקשים להודות ל-Taavi Eomäe מ-Zone Media OÜ ולחוקר אנונימי על הסיוע.
הרשומה עודכנה ב‑21 בדצמבר 2023
Mail Drafts
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
Networking
אנחנו מבקשים להודות לטים מישו (@TimGMichaud) מ-Zoom Video Communications על הסיוע.
Photo Booth
אנחנו מבקשים להודות לפראשאת קנאן מ-Dremio על הסיוע.
Quick Look
אנחנו מבקשים להודות להילארי "It’s off by a Pixel" סטריט על הסיוע.
Safari
אנחנו מבקשים להודות לסקוט האטפילד מ-Sub-Zero Group על הסיוע.
הרשומה נוספה ב‑16 במרץ 2023
Sandbox
אנחנו מבקשים להודות לסאבה פיצל (@theevilbit) מ-Offensive Security על הסיוע.
SecurityAgent
אנחנו מבקשים ל-Security Team Netservice de Toekomst, חוקר אנונימי על הסיוע.
הרשומה נוספה ב‑21 בדצמבר 2023
smbx
אנחנו מבקשים להודות לה' ד' מור מ-runZero Asset Inventory על הסיוע.
System
אנחנו מבקשים להודות במיוחד לMickey Jin (@patch1t) מ-Trend Micro על הסיוע.
System Settings
אנחנו מבקשים להודות לביורן הלנבראנד על הסיוע.
UIKit
אנחנו מבקשים להודות לאלכסנדר יואינג על הסיוע.
WebKit
אנו מבקשים להודות למאדי סטון מ-Google Project Zero, נרנדרה בהאטי (@imnarendrabhati) מ-Suma Soft Pvt. Ltd. ולחוקר אנונימי על הסיוע.
WebRTC
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.