מידע על תוכן האבטחה של macOS Ventura 13

מסמך זה מתאר את תוכן האבטחה של macOS Ventura 13.

מידע על עדכוני אבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. הגרסאות העדכניות רשומות בדף עדכוני אבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.

למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.

macOS Ventura 13

פורסם ב-24 באוקטובר 2022

Accelerate Framework

זמין עבור: Mac Studio‏ (2022),‏ Mac Pro‏ (2019 ואילך), MacBook Air‏ (2018 ואילך), MacBook Pro‏ (2017 ואילך), Mac mini‏ (2018 ואילך), iMac‏ (2017 ואילך), MacBook‏ (2017) ו-iMac Pro‏ (2017)

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיה בצריכת זיכרון נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2022-42795:‏ ryuzaki

APFS

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיית גישה טופלה באמצעות הגבלות גישה משופרות.

CVE-2022-48577‏: Csaba Fitzl ‏(@theevilbit) מ-Offensive Security

הרשומה נוספה ב‑21 בדצמבר 2023

Apple Neural Engine

השפעה: יישום עלול להצליח להדליף מצב ליבה רגיש

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2022-32858: מוחמד ע'נם (‎@_simo36)

Apple Neural Engine

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2022-32898: מוחמד ע'נם (‎@_simo36)

CVE-2022-32899: מוחמד ע'נם (‎@_simo36)

CVE-2022-46721‏: Mohamed Ghannam ‏(@_simo36)

CVE-2022-47915‏: Mohamed Ghannam ‏(@_simo36)

CVE-2022-47965‏: Mohamed Ghannam ‏(@_simo36)

CVE-2022-32889: מוחמד ע'נם (‎@_simo36)

הרשומה עודכנה ב‑21 בדצמבר 2023

AppleAVD

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2022-32907: יין-יי וו, ABC Research s.r.o, נטלי סילבנוביץ' מ-Google Project Zero, טומאסו ביאנקו (‎@cutesmilee__‎), אנטוניו זקיץ' (‎@antoniozekic) וג'ון אקרבלום (‎@jaakerblom)

הרשומה נוספה ב‑16 במרץ 2023

AppleAVD

השפעה: יישום עלול להצליח לגרום למניעת שירות

תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.

CVE-2022-32827: אנטוניו זקיץ' (‎@antoniozekic), נטלי סילבנוביץ' מ-Google Project Zero וחוקר אנונימי

AppleMobileFileIntegrity

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיית תצורה טופלה באמצעות הגבלות נוספות.

CVE-2022-32877: וויצ'ך רגולה (‎@_r3ggi) מ-SecuRing

הרשומה נוספה ב‑16 במרץ 2023

AppleMobileFileIntegrity

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיה באימות חתימה של קוד טופלה באמצעות בדיקות משופרות.

CVE-2022-42789: קו מ' נאקאגווה מ-FFRI .Security, Inc.‎

AppleMobileFileIntegrity

השפעה: אפליקציה עלולה להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: בעיה זו טופלה באמצעות הסרת הרשאות נוספות.

CVE-2022-42825: מיקי ג'ין (patch1t@)

Assets

השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2022-46722: ‏Mickey Jin (‏patch1t@)

הרשומה נוספה ב‑1 באוגוסט 2023

ATS

השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

CVE-2022-32902: מיקי ג'ין (‎@patch1t)

ATS

השפעה: אפליקציה עלולה להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיית גישה טופלה באמצעות הגבלות 'ארגז חול' נוספות.

CVE-2022-32904: מיקי ג'ין (‎@patch1t)

ATS

השפעה: תהליך בשלב 'ארגז החול' עלול להצליח לעקוף את ההגבלות של 'ארגז החול'

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2022-32890: מיקי ג'ין (‎@patch1t)

Audio

השפעה: יישום עלול להצליח לקבל הרשאות ברמה גבוהה יותר

תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.

CVE-2022-42796: מיקי ג'ין (‎@patch1t)

הערך עודכן ב‑16 מרץ 2023

Audio

השפעה: ניתוח קובץ שמע בעל מבנה זדוני עלול להוביל לחשיפת המידע של משתמש

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2022-42798: אנונימי שעובד עם Trend Micro Zero Day Initiative

הרשומה נוספה ב‑27 באוקטובר 2022

AVEVideoEncoder

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.

CVE-2022-32940:‏ ABC Research s.r.o.

Beta Access Utility

השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

CVE-2022-42816‏: Mickey Jin‏ (‎@patch1t)

הרשומה נוספה ב‑21 בדצמבר 2023

BOM

השפעה: יישום עלול לעקוף בדיקות של Gatekeeper

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2022-42821: יונתן בר אור מ-Microsoft

הרשומה נוספה ב‑13 בדצמבר 2022

Boot Camp

השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות למניעת פעולות לא מורשות.

CVE-2022-42860: מיקי ג'ין (‎@patch1t) מ-Trend Micro

הרשומה נוספה ב‑16 במרץ 2023

Calendar

השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום

תיאור: בעיית גישה טופלה באמצעות הגבלות גישה משופרות.

CVE-2022-42819: חוקר אנונימי

CFNetwork

השפעה: עיבוד אישור בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בטיפול ב-WKWebView הייתה בעיית אימות אישורים. בעיה זו טופלה באמצעות שיפור האימות.

CVE-2022-42813: ג'ונתן זאנג מ-Open Computing Facility ‏(ocf.berkeley.edu)

ColorSync

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: הייתה בעיה של השחתת זיכרון בעיבוד פרופילים של ICC. בעיה זו טופלה באמצעות אימות קלט משופר.

CVE-2022-26730: דייוויד הויט מ-Hoyt LLC

Core Bluetooth

השפעה: יישום עלול להצליח להקליט שמע בעזרת AirPods שקושרו

תיאור: בעיית גישה טופלה באמצעות הגבלות 'ארגז חול' נוספות על יישומים של צד שלישי.

CVE-2022-32945: גילהרם רמבו מ-Best Buddy Apps‏ (rambo.codes)

הרשומה נוספה ב‑09 בנובמבר 2022

CoreMedia

השפעה: ייתכן שהרחבת מצלמה תמשיך לקבל וידאו לאחר שהאפליקציה שהופעלה נסגרה

תיאור: בעיה בגישה של האפליקציה לנתוני המצלמה טופלה באמצעות לוגיקה משופרת.

CVE-2022-42838: האלה וינקלר (hallewinkler@) מ-Politepix

הרשומה נוספה ב‑22 בדצמבר 2022

CoreTypes

השפעה: אפליקציה זדונית עלולה להצליח לעקוף את הבדיקות של Gatekeeper

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות למניעת פעולות לא מורשות.

CVE-2022-22663: ארסני קוסטרומין (0x3c3e)

הרשומה נוספה ב‑16 במרץ 2023

Crash Reporter

השפעה: משתמש עם גישה פיזית למכשיר iOS עלול להצליח לקרוא יומני אבחון קודמים

תיאור: בעיה זו טופלה באמצעות הגנת נתונים משופרת.

CVE-2022-32867: שיטיג' קומר וג'אי מוסונורי מ-Crowdstrike

curl

השפעה: מספר בעיות ב-curl

תיאור: מספר בעיות טופלו באמצעות עדכון לגרסה 7.84.0 של curl.

CVE-2022-32205

CVE-2022-32206

CVE-2022-32207

CVE-2022-32208

Directory Utility‏

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2022-42814: סרגיי קריבובלוצקי מ-MacPaw Inc.‎.

DriverKit

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2022-32865: לינוס הנצה מ-Pinauten GmbH‏ (pinauten.de)

DriverKit

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית בלבול בסוגים טופלה באמצעות בדיקות משופרות.

CVE-2022-32915: טומי מוייר (‎@Muirey03)

Exchange

השפעה: משתמש במיקום מורשה ברשת עלול להצליח ליירט אישורי דואר

תיאור: בעיה לוגית טופלה באמצעות הגבלות משופרות.

CVE-2022-32928: ז'ירי וינופל (‎@vinopaljiri) מ-Check Point Research

הערך עודכן ב‑16 מרץ 2023

FaceTime

השפעה: משתמש עלול לשלוח שמע וסרטון במהלך שיחת FaceTime קבוצתית ללא ידיעתו

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2022-22643: סונאלי לות'אר מאוניברסיטת וירג'יניה, מייקל ליאהו מאוניברסיטת אילינוי ב-Urbana-Champaign, רוהאן פאהווה מאוניברסיטת רטגרס, ובאו נגויין מאוניברסיטת פלורידה

הרשומה נוספה ב‑16 במרץ 2023

FaceTime

השפעה: ייתכן שמשתמש יוכל להציג תוכן מוגבל ממסך הנעילה

תיאור: בעיה במסך הנעילה טופלה באמצעות ניהול מצבים משופר.

CVE-2022-32935: ביסטריט דהל

הרשומה נוספה ב‑27 באוקטובר 2022

Find My

השפעה: אפליקציה זדונית עשויה לקרוא מידע רגיש אודות המיקום

תיאור: הייתה בעיית הרשאות. בעיה זו טופלה באמצעות שיפור אימות ההרשאה.

CVE-2022-42788: סאבה פיצל (‎@theevilbit) מ-Offensive Security, וויצ'ך רגולה מ-SecuRing‏ (wojciechregula.blog)

Find My

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרונות מטמון.

CVE-2022-48504‏: Csaba Fitzl ‏(@theevilbit) מ-Offensive Security

הרשומה נוספה ב‑21 בדצמבר 2023

Finder

השפעה: עיבוד קובץ DMG בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי עם הרשאות מערכת

תיאור: בעיה זו טופלה באמצעות אימות משופר של קישורים סימבוליים.

CVE-2022-32905: רון מסאס (breakpoint.sh) מ-BreakPoint Technologies LTD

GPU Drivers

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2022-42833: פאן ז'ן-פנג (‎@Peterpan0927)

הרשומה נוספה ב‑22 בדצמבר 2022

GPU Drivers

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2022-32947: אסאהי לינה (‎@LinaAsahi)

Grapher

השפעה: עיבוד של קובץ gcx בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2022-42809: יוטאו וואנג (‎@Jack) ויו ז'ו (‎@yuzhou6666)

Heimdal

השפעה: משתמש עלול לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2022-3437: יבגני לגרוב מ-Intevydis

הרשומה נוספה ב‑25 באוקטובר 2022

iCloud Photo Library

השפעה: אפליקציה עלולה להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיה של חשיפת מידע טופלה על-ידי הסרת הקוד הפגיע.

CVE-2022-32849: ג'ושוע ג'ונס

הרשומה נוספה ב‑09 בנובמבר 2022

Image Processing

השפעה: יישום בארגז חול עלול להצליח לקבוע איזה יישום משתמש כעת במצלמה

תיאור: הבעיה טופלה באמצעות הגבלות נוספות בנוגע לנראות של מצבי יישומים.

CVE-2022-32913: ‏ייגיט ג'ן ילמז ‏(‎@yilmazcanyigit)

ImageIO

השפעה: עיבוד תמונה עלול לגרום למניעת שירות

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2022-32809: ‏Mickey Jin (‏patch1t@)

הרשומה נוספה ב‑1 באוגוסט 2023

ImageIO

השפעה: עיבוד תמונה עלול לגרום למניעת שירות

תיאור: בעיית מניעת שירות טופלה באמצעות אימות משופר.

CVE-2022-1622

Intel Graphics Driver

השפעה: יישום עלול להצליח לחשוף את זיכרון הליבה

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2022-32936: אנטוניו זקיץ' (antoniozekic@)

IOHIDFamily

השפעה: אפליקציה עלולה לגרום לסיום בלתי צפוי של אפליקציה או להפעלת קוד שרירותי

תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.

CVE-2022-42820: פיטר פן ז'ן-פנג מ-STAR Labs

IOKit

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: מצב מירוץ טופל באמצעות נעילה משופרת.

CVE-2022-42806: טינג-טינג יין מאוניברסיטת טסינגואה

Kernel

השפעה: יישום עלול להצליח לחשוף את זיכרון הליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2022-32864: לינוס הנצה מ-Pinauten GmbH‏ (pinauten.de)

Kernel

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2022-32866: לינוס הנצה מ-Pinauten GmbH‏ (pinauten.de)

CVE-2022-32911: צווייג מ-Kunlun Lab

CVE-2022-32924:‏ איאן ביר (Ian Beer) מ-Google Project Zero

Kernel

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2022-32914: צווייג מ-Kunlun Lab

Kernel

השפעה: משתמש מרוחק עלול להצליח לגרום להפעלת קוד ליבה

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2022-42808: צווייג מ-Kunlun Lab

Kernel

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.

CVE-2022-32944: טים מישו (TimGMichaud@) מ-Moveworks.ai

הרשומה נוספה ב‑27 באוקטובר 2022

Kernel

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: מצב מירוץ טופל באמצעות נעילה משופרת.

CVE-2022-42803: שין-רו צ'י מ-Pangu Lab, ג'ון אקרבלום (‎@jaakerblom)

הרשומה נוספה ב‑27 באוקטובר 2022

Kernel

השפעה: יישום עם הרשאות בסיס עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.

CVE-2022-32926: טים מישו (‎@TimGMichaud) מ-Moveworks.ai

הרשומה נוספה ב‑27 באוקטובר 2022

Kernel

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2022-42801:‏ איאן ביר מ-Google Project Zero

הרשומה נוספה ב‑27 באוקטובר 2022

Kernel

השפעה: יישום עלול להיות מסוגל לגרום לסיום מערכת בלתי צפוי או לבצע קוד בעל הרשאות ליבה

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2022-46712: טומי מוייר (‎@Muirey03)

הרשומה נוספה ב‑20 בפברואר 2023

Mail

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיה זו טופלה באמצעות הגנת נתונים משופרת.

CVE-2022-42815: סאבה פיצל (‎@theevilbit) מ-Offensive Security

Mail

השפעה: יישום עלול להצליח לגשת לקבצים מצורפים בתיקיית דואר דרך ספריה זמנית שנעשה בה שימוש במהלך דחיסה

תיאור: בעיית גישה טופלה באמצעות הגבלות גישה משופרות.

CVE-2022-42834: וויצ'ך רגולה (‎@_r3ggi) מ-SecuRing

הרשומה נוספה ב-1 במאי 2023

Maps

השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום

תיאור: בעיה זו טופלה באמצעות הגבלות משופרות סביב מידע רגיש.

CVE-2022-46707: ‏Csaba Fitzl (‏theevilbit@) מ-Offensive Security

הרשומה נוספה ב‑1 באוגוסט 2023

Maps

השפעה: אפליקציה עלולה להצליח לקרוא פרטי מיקום רגישים

תיאור: בעיה לוגית טופלה באמצעות הגבלות משופרות.

CVE-2022-32883: רון מסאס מ-breakpointhq.com

MediaLibrary

השפעה: משתמש עלול להצליח להשיג הרשאות ברמה גבוהה יותר

תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.

CVE-2022-32908: חוקר אנונימי

Model I/O

השפעה: עיבוד קובץ USD בעל מבנה זדוני עלול לחשוף תוכן של הזיכרון

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2022-42810: שין-ווי לין (‎@xwlin_roy) ויין-יי וו מ-Ant Security Light-Year Lab

הרשומה נוספה ב‑27 באוקטובר 2022

ncurses

השפעה: משתמש עלול לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.

CVE-2021-39537

ncurses

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל למניעת שירות או לחשיפה פוטנציאלית של תוכן זיכרון

תיאור: בעיית מניעת שירות טופלה באמצעות אימות משופר.

CVE-2022-29458

Notes

השפעה: משתמש במיקום רשת מורשה עלול להצליח לעקוב אחר פעילות משתמשים

תיאור: בעיה זו טופלה באמצעות הגנת נתונים משופרת.

CVE-2022-42818: גוסטב האנסן מ-WithSecure

Notifications

השפעה: משתמש שיש לו גישה פיזית למכשיר עלול להצליח לגשת לאנשי קשר ממסך הנעילה

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

CVE-2022-32879: עוביידולה סומר

PackageKit

השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: מצב מירוץ טופל באמצעות טיפול משופר במצבים.

CVE-2022-32895: מיקי ג'ין (‎@patch1t) מ-Trend Micro, מיקי ג'ין (‎@patch1t)

PackageKit

השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: מצב מירוץ טופל באמצעות אימות נוסף.

CVE-2022-46713: מיקי ג'ין (‎@patch1t) מ-Trend Micro

הרשומה נוספה ב‑20 בפברואר 2023

Photos

השפעה: משתמש עשוי להוסיף בלי כוונה משתתף לאלבום משותף על ידי לחיצה על מקש Delete

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

CVE-2022-42807: ‏Ezekiel Elin

הערך נוסף ב-1 במאי 2023, עודכן ב-1 באוגוסט 2023

Photos

השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות

תיאור: בעיה זו טופלה באמצעות הגנת נתונים משופרת.

CVE-2022-32918: אשוואני ראג'פוט מ-Nagarro Software Pvt.‎ Ltd, סריג'אן שיוואם מישרה מ-The Hack Report, ז'וגאל גוראדיה מ-Aastha Technologies, אוואן ריקפורט (evanricafort.com) מ-,Invalid Web Security, ששה סאי סי (linkedin.com/in/shesha-sai-c-18585b125) ואמוד ראגונאת' פטוורדהאן מפונה, הודו

הערך עודכן ב‑16 מרץ 2023

ppp

השפעה: יישום עם הרשאות בסיס עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2022-42829: חוקר אנונימי

ppp

השפעה: יישום עם הרשאות בסיס עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2022-42830: חוקר אנונימי

ppp

השפעה: יישום עם הרשאות בסיס עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: מצב מירוץ טופל באמצעות נעילה משופרת.

CVE-2022-42831: חוקר אנונימי

CVE-2022-42832: חוקר אנונימי

ppp

השפעה: גלישת חוצץ עלולה לגרום לביצוע קוד שרירותי

תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.

CVE-2022-32941: חוקר אנונימי

הרשומה נוספה ב‑27 באוקטובר 2022

Ruby

השפעה: משתמש מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: בעיית השחתת זיכרון טופלה על ידי עדכון Ruby לגרסה 2.6.10.

CVE-2022-28739

Sandbox

השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: בעיה לוגית טופלה באמצעות הגבלות משופרות.

CVE-2022-32881: סאבה פיצל (‎@theevilbit) מ-Offensive Security

Sandbox

השפעה: יישום עם הרשאות בסיס עלול להצליח לקבל גישה למידע פרטי

תיאור: בעיה זו טופלה באמצעות הגנת נתונים משופרת.

CVE-2022-32862: רוהיט צ'אטרג'י מאוניברסיטת אילינוי Urbana-Champaign

CVE-2022-32931: חוקר אנונימי

הרשומה עודכנה ב‑16 במרץ 2023, עודכנה ב‑21 בדצמבר 2023

Sandbox

השפעה: אפליקציה עלולה להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיית גישה טופלה באמצעות הגבלות 'ארגז חול' נוספות.

CVE-2022-42811‏: ג'סטין בוי (‎@slyd0g) מ-Snowflake

Security

השפעה: יישום עלול להצליח לעקוף בדיקות של חתימת קוד

תיאור: בעיה באימות חתימה של קוד טופלה באמצעות בדיקות משופרות.

CVE-2022-42793: לינוס הנצה מ-Pinauten GmbH‏ (pinauten.de)

Shortcuts

השפעה: קיצור דרך עלול להציג את אלבום התמונות המוסתרות ללא אימות

תיאור: בעיה לוגית טופלה באמצעות הגבלות משופרות.

CVE-2022-32876: חוקר אנונימי

הרשומה נוספה ב‑1 באוגוסט 2023

Shortcuts

השפעה: קיצור דרך עלול להצליח לבצע בדיקת הימצאות של נתיב שרירותי במערכת הקבצים

תיאור: בעיית ניתוח בטיפול בנתיבים של ספריות טופלה על ידי אימות נתיבים משופר.

CVE-2022-32938: כריסטיאן דינקה מבית הספר התיכון הלאומי למדעי המחשב ע"ש טודור ויאנו‎ ברומניה

Sidecar

השפעה: ייתכן שמשתמש יוכל להציג תוכן מוגבל ממסך הנעילה

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

CVE-2022-42790: אום קות'וואדה מ-Zaprico Digital

Siri

השפעה: משתמש בעל גישה פיזית למכשיר עלול להצליח להשתמש ב-Siri כדי להשיג מידע על היסטוריית שיחות

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

CVE-2022-32870: אנדרו גולדברג מביה"ס למינהל עסקים ע"ש מק'קומבס, אוניברסיטת טקסס באוסטין (linkedin.com/in/andrew-goldberg-/‎)

SMB

השפעה: משתמש מרוחק עלול להצליח לגרום להפעלת קוד ליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2022-32934: פליקס פולין-בלאנג'ר

Software Update

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: מצב מירוץ טופל באמצעות טיפול משופר במצבים.

CVE-2022-42791: מיקי ג'ין (‎@patch1t) מ-Trend Micro

SQLite

השפעה: משתמש מרוחק עלול להצליח לגרום למניעת שירות

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2021-36690

System Settings

השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: בעיה זו טופלה באמצעות הגנת נתונים משופרת.

CVE-2022-48505: אדם צ'סטר מ-TrustedSec ותייס אלקמאד (‎@xnyhps) מ-Computest Sector 7

הרשומה נוספה ב‑26 ביוני 2023

TCC

השפעה: יישום עלול להצליח לגרום למניעת שירות ללקוחות של 'אבטחת נקודת קצה'

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

CVE-2022-26699: ‏Csaba Fitzl (‏theevilbit@) מ-Offensive Security

הרשומה נוספה ב‑1 באוגוסט 2023

Vim

השפעה: מספר בעיות ב-Vim

תיאור: מספר בעיות טופלו באמצעות עדכון Vim.

CVE-2022-0261

CVE-2022-0318

CVE-2022-0319

CVE-2022-0351

CVE-2022-0359

CVE-2022-0361

CVE-2022-0368

CVE-2022-0392

CVE-2022-0554

CVE-2022-0572

CVE-2022-0629

CVE-2022-0685

CVE-2022-0696

CVE-2022-0714

CVE-2022-0729

CVE-2022-0943

CVE-2022-1381

CVE-2022-1420

CVE-2022-1725

CVE-2022-1616

CVE-2022-1619

CVE-2022-1620

CVE-2022-1621

CVE-2022-1629

CVE-2022-1674

CVE-2022-1733

CVE-2022-1735

CVE-2022-1769

CVE-2022-1927

CVE-2022-1942

CVE-2022-1968

CVE-2022-1851

CVE-2022-1897

CVE-2022-1898

CVE-2022-1720

CVE-2022-2000

CVE-2022-2042

CVE-2022-2124

CVE-2022-2125

CVE-2022-2126

VPN

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2022-42828: חוקר אנונימי

הרשומה נוספה ב‑1 באוגוסט 2023

Weather

השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

CVE-2022-32875: חוקר אנונימי

WebKit

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

‏WebKit Bugzilla: ‏246669‏
CVE-2022-42826: פרנציסקו אלונסו (‎@revskills)

הרשומה נוספה ב‑22 בדצמבר 2022

WebKit

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית גלישת חוצץ טופלה באמצעות טיפול משופר בזיכרון.

WebKit Bugzilla‏: 241969
CVE-2022-32886:‏ P1umer‏ (‎@p1umer),‏ afang‏ (‎@afang5472),‏ xmzyshypnc‏ (‎@xmzyshypnc1)

WebKit

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

WebKit Bugzilla:‏ 242047
CVE-2022-32888:‏ P1umer‏ (‎@p1umer)

WebKit

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

WebKit Bugzilla‏: 242762
CVE-2022-32912:‏ ג'ונג-הון שין (‎@singi21a) ב-Theori יחד עם Trend Micro Zero Day Initiative

WebKit

השפעה: ביקור באתר זדוני עלול להוביל לזיוף זהות בממשק המשתמש

תיאור: הבעיה טופלה באמצעות טיפול משופר בממשק המשתמש.

WebKit Bugzilla: 243693
CVE-2022-42799: ג'י-וואן קים (‎@gPayl0ad), דו-היון לי (‎@l33d0hyun)

WebKit

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית בלבול בסוגים טופלה באמצעות טיפול משופר בזיכרון.

WebKit Bugzilla‏: 244622
CVE-2022-42823: דו-היון לי (‎@l33d0hyun) מ-SSD Labs

WebKit

השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עשוי להביא לחשיפת מידע רגיש של משתמשים

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

WebKit Bugzilla: 245058
CVE-2022-42824: עבדולרחמן אלקבאנדי מ-Microsoft Browser Vulnerability Research, ריאן שין מ-IAAI SecLab באוניברסיטת קוריאה, דווהיון לי (‎@l33d0hyun) מ-DNSLab באוניברסיטת קוריאה

WebKit

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול לגרום לחישוף המצבים הפנימיים של האפליקציה

תיאור: בעיית נכונות טופלה ב-JIT באמצעות בדיקות משופרות.

WebKit Bugzilla:‏ 242964
CVE-2022-32923: וון-יונג ג'ונג (‎@nonetype_pwn) מ-KAIST Hacking Lab

הרשומה נוספה ב‑27 באוקטובר 2022

WebKit PDF

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

WebKit Bugzilla‏: 242781
CVE-2022-32922: יונגווי ג'ין (‎@jinmo123) ב-Theori יחד עם Trend Micro Zero Day Initiative

WebKit Sandboxing

השפעה: תהליך בשלב 'ארגז החול' עלול להצליח לעקוף את ההגבלות של 'ארגז החול'

תיאור: בעיית גישה טופלה באמצעות שיפורים בארגז החול.

WebKit Bugzilla:‏ 243181
CVE-2022-32892:‏ ‎@18楼梦想改造家 ו-‎@jq0904 מ-DBAppSecurity's WeBin lab

WebKit Storage

השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרונות מטמון.

CVE-2022-32833: צ'אבה פיצל (‎@theevilbit) מ-Offensive Security, ג'ף ג'ונסון

הרשומה נוספה ב‑22 בדצמבר 2022

Wi-Fi

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.

CVE-2022-46709: וואנג יו מ-Cyberserval

הרשומה נוספה ב‑16 במרץ 2023

zlib‏

השפעה: משתמש עשוי לגרום לסגירת אפליקציה או להפעלת קוד שרירותי באופן בלתי צפוי

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2022-37434: יבגני לגרוב

CVE-2022-42800: יבגני לגרוב

הרשומה נוספה ב‑27 באוקטובר 2022

תודות נוספות

AirPort

אנחנו מבקשים להודות לג'וזף סלאזאר אקוניה ולרנטו לאמוקה מ-Intrado-Life & Safety/Globant על הסיוע.

apache

אנחנו מבקשים להודות לטרישה לי מ-Enterprise Service Center על הסיוע.

הרשומה נוספה ב‑16 במרץ 2023

AppleCredentialManager

אנחנו מבקשים להודות ל-‎@jonathandata1 על הסיוע.

ATS

אנחנו מבקשים להודות ל-Mickey Jin ‏(‎@patch1t) על הסיוע.

הרשומה נוספה ב‑1 באוגוסט 2023

FaceTime

אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.

FileVault

אנחנו מבקשים להודות לטימותי פרפיט מ-Twocanoes Software על הסיוע.

Find My

אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.

Identity Services

אנחנו מבקשים להודות לג'ושוע ג'ונס על הסיוע.

IOAcceleratorFamily

אנחנו מבקשים להודות לאנטוניו זקיץ' (‎@antoniozekic) על הסיוע.

IOGPUFamily

אנחנו מבקשים להודות לוואנג יו מ-Dremio על הסיוע.

הרשומה נוספה ב‑09 בנובמבר 2022

Kernel

אנחנו מבקשים להודות לפיטר נגויאן מ-STAR Labs, לטים מישו (‎@TimGMichaud) מ-Moveworks.ai, לטינגטינג יין מאוניברסיטת טסינגואה, למין ז'נג מ-Ant Group, לטומי מוייר (‎@Muirey03) ולחוקר אנונימי על הסיוע.

Login Window

אנחנו מבקשים להודות לטאנג (simontang.dev) על הסיוע.

הרשומה נוספה ב‑09 בנובמבר 2022

Mail

אנחנו מבקשים להודות ל-Taavi Eomäe מ-Zone Media OÜ ולחוקר אנונימי על הסיוע.

הרשומה עודכנה ב‑21 בדצמבר 2023

Mail Drafts

אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.

Networking‏

אנחנו מבקשים להודות לטים מישו (‎@TimGMichaud) מ-Zoom Video Communications על הסיוע.

Photo Booth

אנחנו מבקשים להודות לפראשאת קנאן מ-Dremio על הסיוע.

Quick Look

אנחנו מבקשים להודות להילארי "It’s off by a Pixel" סטריט על הסיוע.

Safari

אנחנו מבקשים להודות לסקוט האטפילד מ-Sub-Zero Group על הסיוע.

הרשומה נוספה ב‑16 במרץ 2023

Sandbox

אנחנו מבקשים להודות לסאבה פיצל (‎@theevilbit) מ-Offensive Security על הסיוע.

SecurityAgent

אנחנו מבקשים ל-Security Team Netservice de Toekomst, חוקר אנונימי על הסיוע.

הרשומה נוספה ב‑21 בדצמבר 2023

smbx

אנחנו מבקשים להודות לה' ד' מור מ-runZero Asset Inventory על הסיוע.

System

אנחנו מבקשים להודות למיקי ג'ין (‎@patch1t) מ-Trend Micro על הסיוע.

System Settings

אנחנו מבקשים להודות לביורן הלנבראנד על הסיוע.

UIKit

אנחנו מבקשים להודות לאלכסנדר יואינג על הסיוע.

WebKit

אנו מבקשים להודות למאדי סטון מ-Google Project Zero, נרנדרה בהאטי (‎@imnarendrabhati) מ-Suma Soft Pvt.‎ Ltd.‎ ולחוקר אנונימי על הסיוע.

WebRTC

אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

Published Date: 03 בינואר 2024