Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
macOS Ventura 13
Objavljeno 24. listopada 2022.
Accelerate Framework
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s potrošnjom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2022-42795: ryuzaki
APFS
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem s pristupom riješen je poboljšanim ograničenjima pristupa.
CVE-2022-32909: Csaba Fitzl (@theevilbit) (Offensive Security)
Unos je dodan 21. prosinca 2023.
Apple Neural Engine
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: aplikacija bi mogla otkriti osjetljivo kernelsko stanje
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32858: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32898: Mohamed Ghannam (@_simo36)
CVE-2022-32899: Mohamed Ghannam (@_simo36)
CVE-2022-46721: Mohamed Ghannam (@_simo36)
CVE-2022-47915: Mohamed Ghannam (@_simo36)
CVE-2022-47965: Mohamed Ghannam (@_simo36)
CVE-2022-32889: Mohamed Ghannam (@_simo36)
Unos je ažuriran 21. prosinca 2023.
AppleAVD
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-32907: Yinyi Wu (ABC Research s.r.o), Natalie Silvanovich (Google Project Zero), Tommaso Bianco (@cutesmilee__), Antonio Zekic (@antoniozekic) i John Aakerblom (@jaakerblom)
Unos dodan 16. ožujka 2023.
AppleAVD
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: aplikacija bi mogla uzrokovati odbijanje usluge
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2022-32827: Antonio Zekic (@antoniozekic), Natalie Silvanovich (Google Project Zero) i anonimni istraživač
AppleMobileFileIntegrity
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem s konfiguracijom riješen je dodatnim ograničenjima.
CVE-2022-32877: Wojciech Reguła (@_r3ggi) (SecuRing)
Unos dodan 16. ožujka 2023.
AppleMobileFileIntegrity
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem s provjerom valjanosti potpisa koda riješen je poboljšanim provjerama.
CVE-2022-42789: Koh M. Nakagawa (FFRI Security, Inc.)
AppleMobileFileIntegrity
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: neka bi aplikacija mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: problem je riješen uklanjanjem dodatnih prava.
CVE-2022-42825: Mickey Jin (@patch1t)
Assets
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2022-46722: Mickey Jin (@patch1t)
Unos je dodan 1. kolovoza 2023.
ATS
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-32902: Mickey Jin (@patch1t)
ATS
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem s pristupom riješen je dodatnim ograničenjima za memoriju za testiranje.
CVE-2022-32904: Mickey Jin (@patch1t)
ATS
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: proces u memoriji za testiranje mogao bi zaobići ograničenja memorije za testiranje
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2022-32890: Mickey Jin (@patch1t)
Audio
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: aplikacije bi mogle dobiti veće ovlasti
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2022-42796: Mickey Jin (@patch1t)
Unos je ažuriran 16. ožujka 2023.
Audio
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: parsiranjem zlonamjerne audiodatoteke moglo je doći do otkrivanja korisničkih podataka
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-42798: anonimni istraživač i inicijativa Zero Day (Trend Micro)
Unos dodan 27. listopada 2022.
AVEVideoEncoder
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2022-32940: ABC Research s.r.o.
Beta Access Utility
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-42816: Mickey Jin (@patch1t)
Unos je dodan 21. prosinca 2023.
BOM
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: aplikacija može zaobići provjere alata Gatekeeper
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2022-42821: Jonathan Bar Or (Microsoft)
Unos dodan 13. prosinca 2022.
Boot Camp
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: problem je riješen poboljšanim provjerama radi sprječavanja neovlaštenih radnji.
CVE-2022-42860: Mickey Jin (@patch1t) (Trend Micro)
Unos dodan 16. ožujka 2023.
Calendar
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem s pristupom riješen je poboljšanim ograničenjima pristupa.
CVE-2022-42819: anonimni istraživač
CFNetwork
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: obradom zlonamjernog certifikata moglo bi doći do pokretanja proizvoljnog koda
Opis: u rukovanju objektom WKWebView otkriven je problem s provjerom valjanosti certifikata. Problem je riješen poboljšanom provjerom valjanosti.
CVE-2022-42813: Jonathan Zhang (Open Computing Facility (ocf.berkeley.edu))
ColorSync
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: u obradi ICC profila postojao je problem s oštećenjem memorije. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-26730: David Hoyt (Hoyt LLC)
Core Bluetooth
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: aplikacija bi mogla snimati zvuk s uparenim AirPods slušalicama
Opis: problem s pristupom riješen je dodatnim sandbox ograničenjima na aplikacijama drugih proizvođača.
CVE-2022-32945: Guilherme Rambo (Best Buddy Apps, rambo.codes)
Unos dodan 09. studenog 2022.
CoreMedia
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: proširenje kamere možda će moći nastaviti primati videozapis nakon zatvaranja aplikacije koja se aktivirala
Opis: problem s pristupom aplikacije podacima kamere riješen je poboljšanom logikom.
CVE-2022-42838: Halle Winkler (@hallewinkler) iz tvrtke Politepix
Unos dodan 22. prosinca 2022.
CoreTypes
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: zlonamjerna aplikacija može zaobići provjere alata Gatekeeper
Opis: problem je riješen poboljšanim provjerama radi sprječavanja neovlaštenih radnji.
CVE-2022-22663: Arsenii Kostromin (0x3c3e)
Unos dodan 16. ožujka 2023.
Crash Reporter
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: korisnik s fizičkim pristupom uređaju sa sustavom iOS mogao bi čitati dijagnostičke zapise
Opis: taj je problem riješen poboljšanom zaštitom podataka.
CVE-2022-32867: Kshitij Kumar i Jai Musunuri (Crowdstrike)
curl
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: veći broj problema u medijateci curl
Opis: veći broj problema riješen je ažuriranjem na curl verzije 7.84.0.
CVE-2022-32205
CVE-2022-32206
CVE-2022-32207
CVE-2022-32208
Directory Utility
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2022-42814: Sergii Kryvoblotskyi (MacPaw Inc.)
DriverKit
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32865: Linus Henze (Pinauten GmbH, pinauten.de)
DriverKit
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem sa zamjenom tipova riješen je poboljšanim provjerama.
CVE-2022-32915: Tommy Muir (@Muirey03)
Exchange
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: korisnik na povlaštenom mrežnom položaju mogao bi presresti vjerodajnice e-pošte
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2022-32928: Jiří Vinopal (@vinopaljiri) (Check Point Research)
Unos je ažuriran 16. ožujka 2023.
FaceTime
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: korisnik bi mogao poslati audiozapis i videozapis u FaceTime pozivu ne shvaćajući da je to učinio
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-22643: Sonali Luthar sa Sveučilišta u Virginiji, Michael Liao sa Sveučilišta u Illinoisu, Urbana-Champaign, Rohan Pahwa sa Sveučilišta Rutgers i Bao Nguyen sa Sveučilišta u Floridi
Unos dodan 16. ožujka 2023.
FaceTime
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: korisnik bi mogao vidjeti ograničeni sadržaj na zaključanom zaslonu
Opis: problem sa zaključanim zaslonom riješen je poboljšanim upravljanjem stanjem.
CVE-2022-32935: Bistrit Dahal
Unos dodan 27. listopada 2022.
Find My
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: zlonamjerna aplikacija mogla bi čitati osjetljive informacije o lokaciji
Opis: otkriven je problem s dozvolama. Taj je problem riješen poboljšanom provjerom valjanosti dozvola.
CVE-2022-42788: Csaba Fitzl (@theevilbit) (Offensive Security), Wojciech Reguła (SecuRing) (wojciechregula.blog)
Find My
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem je riješen poboljšanim rukovanjem predmemorijama.
CVE-2022-48504: Csaba Fitzl (@theevilbit) (Offensive Security)
Unos je dodan 21. prosinca 2023.
Finder
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: obrada zlonamjerno izrađene DMG datoteke može dovesti do izvršavanja proizvoljnog koda sa sistemskim ovlastima
Opis: ovaj je problem riješen poboljšanom provjerom valjanosti simboličkih veza.
CVE-2022-32905: Ron Masas (breakpoint.sh) iz tvrtke BreakPoint Technologies LTD
GPU Drivers
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-42833: Pan ZhenPeng (@Peterpan0927)
Unos dodan 22. prosinca 2022.
GPU Drivers
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32947: Asahi Lina (@LinaAsahi)
Grapher
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: obrada zlonamjerne gcx datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-42809: Yutao Wang (@Jack) i Yu Zhou (@yuzhou6666)
Heimdal
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: korisnik bi mogao uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-3437: Evgeny Legerov iz tvrtke Intevydis
Unos dodan 25. listopada 2022.
iCloud Photo Library
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem s otkrivanjem informacija riješen je uklanjanjem koda sa slabim točkama.
CVE-2022-32849: Joshua Jones
Unos dodan 09. studenog 2022.
Image Processing
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: aplikacija u memoriji za testiranje mogla bi otkriti koja aplikacija trenutačno upotrebljava kameru
Opis: problem je riješen dodatnim ograničenjima uočljivosti stanja aplikacije.
CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)
ImageIO
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: obrada slike mogla bi dovesti do prekida usluge
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-32809: Mickey Jin (@patch1t)
Unos je dodan 1. kolovoza 2023.
ImageIO
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: obrada slike mogla bi dovesti do prekida usluge
Opis: problem odbijanja usluge riješen je poboljšanom provjerom valjanosti.
CVE-2022-1622
Intel Graphics Driver
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-32936: Antonio Zekic (@antoniozekic)
IOHIDFamily
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: aplikacija može prouzročiti neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2022-42820: Peter Pan ZhenPeng (STAR Labs)
IOKit
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: stanje nadmetanja riješeno je poboljšanim zaključavanjem.
CVE-2022-42806: Tingting Yin (sveučilište Tsinghua University)
Kernel
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32864: Linus Henze (Pinauten GmbH (pinauten.de))
Kernel
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32866: Linus Henze (Pinauten GmbH, pinauten.de)
CVE-2022-32911: Zweig (Kunlun Lab)
CVE-2022-32924: Ian Beer (Google Project Zero)
Kernel
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2022-32914: Zweig (Kunlun Lab)
Kernel
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: udaljeni korisnik mogao bi uzrokovati izvršavanje kernelskog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-42808: Zweig (Kunlun Lab)
Kernel
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2022-32944: Tim Michaud (@TimGMichaud) (Moveworks.ai)
Unos dodan 27. listopada 2022.
Kernel
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: stanje nadmetanja riješeno je poboljšanim zaključavanjem.
CVE-2022-42803: Xinru Chi (Pangu Lab), John Aakerblom (@jaakerblom)
Unos dodan 27. listopada 2022.
Kernel
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: aplikacija s korijenskim ovlastima mogla bi izvršiti proizvoljni kod s kernelskim ovlastima
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2022-32926: Tim Michaud (@TimGMichaud) (Moveworks.ai)
Unos dodan 27. listopada 2022.
Kernel
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2022-42801: Ian Beer (Google Project Zero)
Unos dodan 27. listopada 2022.
Kernel
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: aplikacija bi mogla uzrokovati neočekivano zatvaranje sustava ili potencijalno izvršavanje koda uz kernelske ovlasti
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2022-46712: Tommy Muir (@Muirey03)
Unos dodan 20. veljače 2023.
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: taj je problem riješen poboljšanom zaštitom podataka.
CVE-2022-42815: Csaba Fitzl (@theevilbit) (Offensive Security)
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: aplikacija bi mogla pristupati privitcima u mapi pošte putem privremenog direktorija ako se upotrebljava tijekom kompresije
Opis: problem s pristupom riješen je poboljšanim ograničenjima pristupa.
CVE-2022-42834: Wojciech Reguła (@_r3ggi) (SecuRing)
Unos je dodan 1. svibnja 2023.
Maps
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: taj je problem riješen poboljšanim ograničenjima oko osjetljivih podataka.
CVE-2022-46707: Csaba Fitzl (@theevilbit) (Offensive Security)
Unos je dodan 1. kolovoza 2023.
Maps
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: aplikacija bi mogla čitati osjetljive podatke o lokaciji
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2022-32883: Ron Masas (breakpointhq.com)
MediaLibrary
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: korisnik bi mogao povećati ovlasti
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-32908: anonimni istraživač
Model I/O
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: obradom zlonamjerne USD datoteke moglo je doći do otkrivanja sadržaja memorije
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-42810: Xingwei Lin (@xwlin_roy) i Yinyi Wu (Ant Security Light-Year Lab)
Unos dodan 27. listopada 2022.
ncurses
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: korisnik bi mogao uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.
CVE-2021-39537
ncurses
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: obradom zlonamjerne datoteke moglo bi doći do odbijanja usluge ili potencijalnog otkrivanja sadržaja memorije
Opis: problem odbijanja usluge riješen je poboljšanom provjerom valjanosti.
CVE-2022-29458
Bilješke
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: korisnik s privilegiranim mrežnim položajem mogao bi pratiti aktivnost korisnika
Opis: taj je problem riješen poboljšanom zaštitom podataka.
CVE-2022-42818: Gustav Hansen (WithSecure)
Notifications
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: korisnik s fizičkim pristupom uređaju mogao bi pristupiti kontaktima sa zaključanog zaslona
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-32879: Ubeydullah Sümer
PackageKit
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: uvjet nadvladavanja riješen je poboljšanim upravljanjem stanjem.
CVE-2022-32895: Mickey Jin (@patch1t) (Trend Micro), Mickey Jin (@patch1t)
PackageKit
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2022-46713: Mickey Jin (@patch1t) (Trend Micro)
Unos dodan 20. veljače 2023.
Photos
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: korisnik može slučajno dodati sudionika u dijeljeni album pritiskanjem tipke Delete
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-42807: Ezekiel Elin
Unos je dodan 1. svibnja 2023. i ažuriran 1. kolovoza 2023.
Photos
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: taj je problem riješen poboljšanom zaštitom podataka.
CVE-2022-32918: Ashwani Rajput of Nagarro Software Pvt. Ltd, Srijan Shivam Mishra (The Hack Report), Jugal Goradia (Aastha Technologies), Evan Ricafort (evanricafort.com) (Invalid Web Security), Shesha Sai C (linkedin.com/in/shesha-sai-c-18585b125) i Amod Raghunath Patwardhan (Pune, Indija)
Unos je ažuriran 16. ožujka 2023.
ppp
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: aplikacija s korijenskim ovlastima mogla bi izvršiti proizvoljni kod s kernelskim ovlastima
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2022-42829: anonimni istraživač
ppp
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: aplikacija s korijenskim ovlastima mogla bi izvršiti proizvoljni kod s kernelskim ovlastima
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-42830: anonimni istraživač
ppp
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: aplikacija s korijenskim ovlastima mogla bi izvršiti proizvoljni kod s kernelskim ovlastima
Opis: stanje nadmetanja riješeno je poboljšanim zaključavanjem.
CVE-2022-42831: anonimni istraživač
CVE-2022-42832: anonimni istraživač
ppp
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: prekoračenje međuspremnika može rezultirati proizvoljnim izvršenjem koda
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2022-32941: anonimni istraživač
Unos dodan 27. listopada 2022.
Ruby
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: udaljeni korisnik mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je ažuriranjem jezika Ruby na verziju 2.6.10.
CVE-2022-28739
Sandbox
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2022-32881: Csaba Fitzl (@theevilbit) (Offensive Security)
Sandbox
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Utjecaj: aplikacija s korijenskim ovlastima mogla bi pristupiti privatnim podacima
Opis: taj je problem riješen poboljšanom zaštitom podataka.
CVE-2022-32862: Rohit Chatterjee (University of Illinois Urbana-Champaign)
CVE-2022-32931: anonimni istraživač
Unos je ažuriran 16. ožujka 2023. i 21. prosinca 2023.
Sandbox
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem s pristupom riješen je dodatnim ograničenjima za memoriju za testiranje.
CVE-2022-42811: Justin Bui (@slyd0g) (Snowflake)
Security
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: aplikacija bi mogla zaobići provjere potpisivanja koda
Opis: problem s provjerom valjanosti potpisa koda riješen je poboljšanim provjerama.
CVE-2022-42793: Linus Henze (Pinauten GmbH, pinauten.de)
Shortcuts
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: prečac bi mogao vidjeti skriveni album fotografija bez provjere autentičnosti
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2022-32876: anonimni istraživač
Unos je dodan 1. kolovoza 2023.
Shortcuts
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: prečac bi mogao provjeriti postoji li arbitrarna putanja u datotečnom sustavu
Opis: problem raščlanjivanja prilikom rukovanja putovima direktorija riješen je poboljšanom provjerom valjanosti puta.
CVE-2022-32938: Cristian Dinca (Nacionalna srednja škola Tudor Vianu za računalnu znanost u Rumunjskoj)
Sidecar
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: korisnik bi mogao vidjeti ograničeni sadržaj na zaključanom zaslonu
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-42790: Om kothawade (Zaprico Digital)
Siri
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: korisnik s fizičkim pristupom uređaju mogao bi upotrebljavati Siri za dobivanje informacija o povijesti poziva
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-32870: Andrew Goldberg (Poslovna škola The McCombs School of Business, sveučilište University of Texas, Austin) (linkedin.com/in/andrew-goldberg-/)
SMB
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: udaljeni korisnik mogao bi uzrokovati izvršavanje kernelskog koda
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32934: Felix Poulin-Belanger
Software Update
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: uvjet nadvladavanja riješen je poboljšanim upravljanjem stanjem.
CVE-2022-42791: Mickey Jin (@patch1t) (Trend Micro)
SQLite
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: udaljeni korisnik mogao bi uzrokovati odbijanje usluge
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-36690
System Settings
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: taj je problem riješen poboljšanom zaštitom podataka.
CVE-2022-48505: Adam Chester (TrustedSec) i Thijs Alkemade (@xnyhps) (Computest Sector 7)
Unos je dodan 26. lipnja 2023.
TCC
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: aplikacija bi mogla uzrokovati odbijanje usluge klijentima sigurnosti krajnjih točaka
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-26699: Csaba Fitzl (@theevilbit) (Offensive Security)
Unos je dodan 1. kolovoza 2023.
Vim
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: veći broj problema u programu Vim
Opis: veći broj problema riješen je ažuriranjem programa Vim.
CVE-2022-0261
CVE-2022-0318
CVE-2022-0319
CVE-2022-0351
CVE-2022-0359
CVE-2022-0361
CVE-2022-0368
CVE-2022-0392
CVE-2022-0554
CVE-2022-0572
CVE-2022-0629
CVE-2022-0685
CVE-2022-0696
CVE-2022-0714
CVE-2022-0729
CVE-2022-0943
CVE-2022-1381
CVE-2022-1420
CVE-2022-1725
CVE-2022-1616
CVE-2022-1619
CVE-2022-1620
CVE-2022-1621
CVE-2022-1629
CVE-2022-1674
CVE-2022-1733
CVE-2022-1735
CVE-2022-1769
CVE-2022-1927
CVE-2022-1942
CVE-2022-1968
CVE-2022-1851
CVE-2022-1897
CVE-2022-1898
CVE-2022-1720
CVE-2022-2000
CVE-2022-2042
CVE-2022-2124
CVE-2022-2125
CVE-2022-2126
VPN
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-42828: anonimni istraživač
Unos je dodan 1. kolovoza 2023.
Weather
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-32875: anonimni istraživač
WebKit
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
WebKit Bugzilla: 246669
CVE-2022-42826: Francisco Alonso (@revskills)
Unos dodan 22. prosinca 2022.
WebKit
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.
WebKit Bugzilla: 241969
CVE-2022-32886: P1umer (@p1umer), afang (@afang5472), xmzyshypnc (@xmzyshypnc1)
WebKit
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)
WebKit
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a) (Theori) u suradnji s inicijativom Zero Day (Trend Micro)
WebKit
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje korisničkog sučelja
Opis: problem je riješen poboljšanim rukovanjem korisničkim sučeljem.
WebKit Bugzilla: 243693
CVE-2022-42799: Jihwan Kim (@gPayl0ad), Dohyun Lee (@l33d0hyun)
WebKit
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.
WebKit Bugzilla: 244622
CVE-2022-42823: Dohyun Lee (@l33d0hyun) (SSD Labs)
WebKit
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: obradom zlonamjernog web-sadržaja može doći do otkrivanja osjetljivih korisničkih podataka
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
WebKit Bugzilla: 245058
CVE-2022-42824: Abdulrahman Alqabandi (Microsoft Browser Vulnerability Research), Ryan Shin (IAAI SecLab na Sveučilištu u Koreji), Dohyun Lee (@l33d0hyun) (DNSLab na Sveučilištu u Koreji)
WebKit
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: obrada zlonamjernog web-sadržaja može otkriti interna stanja aplikacije
Opis: problem s ispravnošću u JIT-u riješen je poboljšanim provjerama.
WebKit Bugzilla: 242964
CVE-2022-32923: Wonyoung Jung (@nonetype_pwn) (KAIST Hacking Lab)
Unos dodan 27. listopada 2022.
WebKit PDF
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
WebKit Bugzilla: 242781
CVE-2022-32922: Yonghwi Jin (@jinmo123) (Theori) u suradnji s inicijativom Zero Day (Trend Micro)
WebKit Sandboxing
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: proces u memoriji za testiranje mogao bi zaobići ograničenja memorije za testiranje
Opis: problem s pristupom riješen je poboljšanjima ograničene memorije.
WebKit Bugzilla: 243181
CVE-2022-32892: @18楼梦想改造家 i @jq0904 (Laboratorij DBAppSecurity's WeBin)
WebKit Storage
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: problem je riješen poboljšanim rukovanjem predmemorijama.
CVE-2022-32833: Csaba Fitzl (@theevilbit) (Offensive Security), Jeff Johnson
Unos dodan 22. prosinca 2022.
Wi-Fi
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2022-46709: Wang Yu (Cyberserval)
Unos dodan 16. ožujka 2023.
zlib
Dostupno za: Mac Studio (2022.), Mac Pro (2019. i noviji), MacBook Air (2018. i noviji), MacBook Pro (2017. i noviji), Mac mini (2018. i noviji), iMac (2017. i noviji), MacBook (2017.) i iMac Pro (2017.)
Učinak: korisnik bi mogao uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-37434: Jevgenij Legerov
CVE-2022-42800: Jevgenij Legerov
Unos dodan 27. listopada 2022.
Dodatna zahvala
AirPort
Željeli bismo zahvaliti Josephu Salazaru Acuñi i Renatu Llamocai (Intrado-Life & Safety/Globant) na pomoći.
apache
Željeli bismo zahvaliti Triciji Lee iz tvrtke Enterprise Service Center na pomoći.
Unos dodan 16. ožujka 2023.
AppleCredentialManager
Željeli bismo zahvaliti osobi @jonathandata1 na pomoći.
ATS
Na pomoći zahvaljujemo Mickeyju Jinu (@patch1t).
Unos je dodan 1. kolovoza 2023.
FaceTime
Na pomoći zahvaljujemo anonimnom istraživaču.
FileVault
Željeli bismo zahvaliti·Timothyju Perfittu (Twocanoes Software) na pomoći.
Find My
Na pomoći zahvaljujemo anonimnom istraživaču.
Identity Services
Na pomoći zahvaljujemo Joshui Jonesu.
IOAcceleratorFamily
Željeli bismo zahvaliti Antoniu Zekicu (@antoniozekic) na pomoći.
IOGPUFamily
Željeli bismo zahvaliti Wangu Yuu iz tvrtke cyberserval na pomoći.
Unos dodan 09. studenog 2022.
Kernel
Želimo se zahvaliti Peteru Nguyenu (STAR Labs), Timu Michaudu (@TimGMichaud) (Moveworks.ai), Tingtingu Yinu (Sveučilište Tsinghua) i Minu Zhengu (Ant Group), kao i Tommyju Muiru (@Muirey03) i anonimnom istraživaču na pomoći.
Login Window
Željeli bismo zahvaliti Simonu Tangu (simontang.dev) na pomoći.
Unos dodan 09. studenog 2022.
Na pomoći zahvaljujemo Taaviju Eomäeu (Zone Media OÜ) i anonimnom istraživaču.
Unos je ažuriran 21. prosinca 2023.
Mail Drafts
Na pomoći zahvaljujemo anonimnom istraživaču.
Networking
Željeli bismo zahvaliti Timu Michaudu (@TimGMichaud) (Zoom Video Communications) na pomoći.
Photo Booth
Željeli bismo zahvaliti Prashanthu Kannanu (Dremio) na pomoći.
Quick Look
Željeli bismo zahvaliti Hilary “It’s off by a Pixel” Street na pomoći.
Safari
Željeli bismo zahvaliti Scott Hatfieldu (Sub-Zero Group) na pomoći.
Unos dodan 16. ožujka 2023.
Sandbox
Na pomoći zahvaljujemo Csabi Fitzlu (@theevilbit) (Offensive Security).
SecurityAgent
Na pomoći zahvaljujemo sigurnosnom timu za Netservice de Toekomst i anonimnom istraživaču.
Unos je dodan 21. prosinca 2023.
smbx
Željeli bismo zahvaliti·HD Mooreu (runZero Asset Inventory) na pomoći.
System
Željeli bismo zahvaliti Mickeyu Jinu (@patch1t) (Trend Micro) na pomoći.
System Settings
Željeli bismo zahvaliti Bjornu Hellenbrandu na pomoći.
UIKit
Željeli bismo zahvaliti Aleczanderu Ewingu na pomoći.
WebKit
Željeli bismo zahvaliti Maddie Stone (Google Project Zero), Narendri Bhatiju (@imnarendrabhati) (Suma Soft Pvt. Ltd.) i anonimnom istraživaču na pomoći.
WebRTC
Na pomoći zahvaljujemo anonimnom istraživaču.