Informacije o sigurnosnom sadržaju sustava macOS Ventura 13.1
U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS Ventura 13.1.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
macOS Ventura 13.1
Objavljeno 13. prosinca 2022.
Accounts
Dostupno za: macOS Ventura
Učinak: korisnik bi mogao pregledavati osjetljive korisničke informacije
Opis: taj je problem riješen poboljšanom zaštitom podataka.
CVE-2022-42843: Mickey Jin (@patch1t)
AMD
Dostupno za: macOS Ventura
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-42858: ABC Research s.r.o.
Unos je dodan 16. ožujka 2023.
AMD
Dostupno za: macOS Ventura
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-42847: ABC Research s.r.o.
AppleMobileFileIntegrity
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: ovaj problem riješen je omogućavanjem dodatnog osiguranja pokretanja.
CVE-2022-42865: Wojciech Reguła (@_r3ggi) (SecuRing)
Bluetooth
Dostupno za: macOS Ventura
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-42854: Pan ZhenPeng (@Peterpan0927) iz tvrtke STAR Labs SG Pte. Ltd. (@starlabs_sg)
Boot Camp
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: problem s pristupom riješen je poboljšanim ograničenjima pristupa.
CVE-2022-42853: Mickey Jin (@patch1t) (Trend Micro)
CoreServices
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: više problema riješeno je uklanjanjem ranjivog koda.
CVE-2022-42859: Mickey Jin (@patch1t) i Csaba Fitzl (@theevilbit) iz tvrtke Offensive Security
curl
Dostupno za: macOS Ventura
Učinak: veći broj problema u medijateci curl
Opis: veći broj problema riješen je ažuriranjem na curl verzije 7.85.0.
CVE-2022-35252
Unos je dodan 31. listopada 2023.
DriverKit
Dostupno za: macOS Ventura
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32942: Linus Henze (Pinauten GmbH, pinauten.de)
dyld
Dostupno za: macOS Ventura
Učinak: aplikacije bi mogle izaći izvan ograničene memorije
Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-46720: Yonghwi Jin (@jinmo123) (Theori)
Unos je dodan 16. ožujka 2023.
iCloud Photo Library
Dostupno za: macOS Ventura
Učinak: lokacijski podaci mogu se podijeliti putem iCloud veza čak i kad su lokacijski metapodaci onemogućeni putem značajke Share Sheet
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2022-46710: John Balestrieri (Tinrocket)
Unos je dodan 31. listopada 2023.
ImageIO
Dostupno za: macOS Ventura
Učinak: obradom zlonamjerne datoteke može doći do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-46693: Mickey Jin (@patch1t)
IOHIDFamily
Dostupno za: macOS Ventura
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: uvjet nadvladavanja riješen je poboljšanim upravljanjem stanjem.
CVE-2022-42864: Tommy Muir (@Muirey03)
IOMobileFrameBuffer
Dostupno za: macOS Ventura
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-46690: John Aakerblom (@jaakerblom)
IOMobileFrameBuffer
Dostupno za: macOS Ventura
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-46697: John Aakerblom (@jaakerblom) i Antonio Zekic (@antoniozekic)
iTunes Store
Dostupno za: macOS Ventura
Učinak: udaljeni korisnik mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem je postojao u raščlanjivanju URL-ova. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-42837: Weijia Dai (@dwj1210) (Momo Security)
Kernel
Dostupno za: macOS Ventura
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2022-46689: Ian Beer (Google Project Zero)
Kernel
Dostupno za: macOS Ventura
Učinak: spajanje na zlonamjerni NFS poslužitelj može dovesti do izvođenja proizvoljnog koda s kernelskim ovlastima
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2022-46701: Felix Poulin-Belanger
Kernel
Dostupno za: macOS Ventura
Učinak: udaljeni korisnik mogao bi uzrokovati izvršavanje kernelskog koda
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-42842: pattern-f (@pattern_F_) iz tvrtke Ant Security Light-Year Lab
Kernel
Dostupno za: macOS Ventura
Učinak: aplikacije bi mogle izaći izvan ograničene memorije
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-42861: pattern-f (@pattern_F_) (Ant Security Light-Year Lab)
Kernel
Dostupno za: macOS Ventura
Učinak: aplikacija s korijenskim ovlastima mogla bi izvršiti proizvoljni kod s kernelskim ovlastima
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-42845: Adam Doupé iz organizacije ASU SEFCOM
Kernel
Dostupno za: macOS Ventura
Učinak: napadač s mogućnošću proizvoljnog čitanja i pisanja mogao bi zaobići autorizaciju pokazivača. Apple je upoznat s izvješćem da se ovaj problem možda iskorištavao protiv verzija sustava iOS izdanih prije sustava iOS 15.7.1.
Opis: problem je riješen poboljšanim provjerama.
CVE-2022-48618: Apple
Unos je dodan 9. siječnja 2024.
Networking
Dostupno za: macOS Ventura
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.
CVE-2022-42839: Adam M.
Unos je dodan 31. listopada 2023., ažuriran je 31. svibnja 2024.
Networking
Dostupno za: macOS Ventura
Učinak: funkcija privatni relej nije odgovarala postavkama sustava
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-46716
Unos je dodan 16. ožujka 2023.
PackageKit
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-46704: Mickey Jin (@patch1t) i Csaba Fitzl (@theevilbit) iz tvrtke Offensive Security
Unos je dodan 22. prosinca 2022.
Photos
Dostupno za: macOS Ventura
Učinak: funkcija Protresi za poništavanje može omogućiti ponovno pojavljivanje izbrisane fotografije bez autorizacije
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2022-32943: Jiwon Park, Mieszko Wawrzyniak i anonimni istraživač
Unos je ažuriran 31. listopada 2023.
ppp
Dostupno za: macOS Ventura
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-42840: anonimni istraživač
Preferences
Dostupno za: macOS Ventura
Učinak: neka aplikacija mogla bi upotrebljavati proizvoljna ovlaštenja
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-42855: Ivan Fratric (Google Project Zero)
Printing
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2022-42862: Mickey Jin (@patch1t)
Ruby
Dostupno za: macOS Ventura
Učinak: udaljeni korisnik mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-24836
CVE-2022-29181
Safari
Dostupno za: macOS Ventura
Učinak: posjet web-mjestu koje sadrži okvire sa zlonamjernim sadržajem može dovesti do lažiranja korisničkog sučelja
Opis: u načinu obrade URL-ova otkriven je problem s lažiranjem. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-46695: KirtiKumar Anandrao Ramchandani
TCC
Dostupno za: macOS Ventura
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2022-46718: Michael (Biscuit) Thomas
Unos je dodan 1. svibnja 2023.
Weather
Dostupno za: macOS Ventura
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2022-46703: Wojciech Reguła (@_r3ggi) iz tvrtke SecuRing i Adam M.
Unos je dodan 16. ožujka 2023., ažuriran je 31. svibnja 2024.
Weather
Dostupno za: macOS Ventura
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem je riješen poboljšanim rukovanjem predmemorijama.
CVE-2022-42866: anonimni istraživač
WebKit
Dostupno za: macOS Ventura
Učinak: posjet web-mjestu koje sadrži okvire sa zlonamjernim sadržajem može dovesti do lažiranja korisničkog sučelja
Opis: problem je riješen poboljšanim rukovanjem korisničkim sučeljem.
WebKit Bugzilla: 247461
CVE-2022-32919: @real_as3617
Unos je dodan 31. listopada 2023.
WebKit
Dostupno za: macOS Ventura
Učinak: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje adresne trake
Opis: u načinu obrade URL-ova otkriven je problem s lažiranjem. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
WebKit Bugzilla: 247289
CVE-2022-46725: Hyeon Park (@tree_segment) iz tima ApplePIE
WebKit Bugzilla: 247287
CVE-2022-46705: Hyeon Park (@tree_segment) iz tima ApplePIE
Unos je dodan 22. prosinca 2022. godine, a ažuriran 31. listopada 2023.
WebKit
Dostupno za: macOS Ventura
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
WebKit Bugzilla: 245521
CVE-2022-42867: Maddie Stone (Google Project Zero)
WebKit
Dostupno za: macOS Ventura
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s potrošnjom memorije riješen je poboljšanim upravljanjem memorijom.
WebKit Bugzilla: 245466
CVE-2022-46691: ChengGang Wu, Yan Kang, YuHao Hu, Yue Sun, Jiming Wang, and JiKai Ren i Hang Shu (Institute of Computing Technology, Chinese Academy of Sciences)
Unos je ažuriran 31. listopada 2023.
WebKit
Dostupno za: macOS Ventura
Učinak: obrada zlonamjernog web sadržaja mogla bi zaobići Pravilo istog podrijetla
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
WebKit Bugzilla: 246783
CVE-2022-46692: KirtiKumar Anandrao Ramchandani (kirtikumarar.com)
Unos je ažuriran 31. listopada 2023.
WebKit
Dostupno za: macOS Ventura
Učinak: obradom zlonamjernog web-sadržaja može se otkriti procesna memorija
Opis: problem je riješen poboljšanim rukovanjem memorijom.
WebKit Bugzilla: 246721
CVE-2022-42852: korisnik hazbinhotel koji surađuje s inicijativom Trend Micro Zero Day Initiative
Unos je ažuriran 22. prosinca 2022.
WebKit
Dostupno za: macOS Ventura
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
WebKit Bugzilla: 246942
CVE-2022-46696: Samuel Groß iz tvrtke Google V8 Security
WebKit Bugzilla: 247562
CVE-2022-46700: Samuel Groß iz tvrtke Google V8 Security
WebKit
Dostupno za: macOS Ventura
Učinak: obradom zlonamjernog web-sadržaja može doći do otkrivanja osjetljivih korisničkih podataka
Opis: logički problem riješen je poboljšanim provjerama.
WebKit Bugzilla: 247066
CVE-2022-46698: Dohyun Lee (@l33d0hyun) iz centra DNSLab pri korejskom Sveučilištu, Ryan Shin iz centra IAAI SecLab pri korejskom Sveučilištu
Unos je ažuriran 22. prosinca 2022.
WebKit
Dostupno za: macOS Ventura
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
WebKit Bugzilla: 247420
CVE-2022-46699: Samuel Groß iz tvrtke Google V8 Security
WebKit Bugzilla: 244622
CVE-2022-42863: anonimni istraživač
WebKit
Dostupno za: macOS Ventura
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda. Apple je upoznat s izvješćem da se ovaj problem možda aktivno iskorištavao protiv verzija sustava iOS izdanih prije sustava iOS 15 1.
Opis: problem sa zamjenom vrste riješen je poboljšanim upravljanjem stanjem.
WebKit Bugzilla: 248266
CVE-2022-42856: Clément Lecigne iz skupine tvrtke Google za analizu prijetnji
xar
Dostupno za: macOS Ventura
Učinak: obradom zlonamjernog paketa može doći do izvršavanja proizvoljnog koda
Opis: problem sa zamjenom tipova riješen je poboljšanim provjerama.
CVE-2022-42841: Thijs Alkemade (@xnyhps) iz odjela Computest Sector 7
Dodatna zahvala
Kernel
Zahvaljujemo korisniku Zweig iz tima Kunlun Lab na pomoći.
Lock Screen
Zahvaljujemo Kevinu Mannu na pomoći.
Safari Extensions
Zahvaljujemo Oliveru Dunku i Christianu R. iz tima 1Password na pomoći.
WebKit
Zahvaljujemo na pomoći anonimnom istraživaču i korisniku scarlet.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.