Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
macOS Ventura 13.1
Objavljeno 13. prosinca 2022.
Accounts
Dostupno za: macOS Ventura
Učinak: korisnik bi mogao pregledavati osjetljive korisničke informacije
Opis: taj je problem riješen poboljšanom zaštitom podataka.
CVE-2022-42843: Mickey Jin (@patch1t)
AMD
Dostupno za: macOS Ventura
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-42858: ABC Research s.r.o.
Unos dodan 16. ožujka 2023.
AMD
Dostupno za: macOS Ventura
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-42847: ABC Research s.r.o.
AppleMobileFileIntegrity
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: ovaj problem riješen je omogućavanjem dodatnog osiguranja pokretanja.
CVE-2022-42865: Wojciech Reguła (@_r3ggi) (SecuRing)
Bluetooth
Dostupno za: macOS Ventura
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-42854: Pan ZhenPeng (@Peterpan0927) iz tvrtke STAR Labs SG Pte. Ltd. (@starlabs_sg)
Boot Camp
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: problem s pristupom riješen je poboljšanim ograničenjima pristupa.
CVE-2022-42853: Mickey Jin (@patch1t) (Trend Micro)
CoreServices
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: više problema riješeno je uklanjanjem ranjivog koda.
CVE-2022-42859: Mickey Jin (@patch1t) i Csaba Fitzl (@theevilbit) iz tvrtke Offensive Security
curl
Dostupno za: macOS Ventura
Učinak: veći broj problema u medijateci curl
Opis: veći broj problema riješen je ažuriranjem na curl verzije 7.85.0.
CVE-2022-35252
Unos je dodan 31. listopada 2023.
DriverKit
Dostupno za: macOS Ventura
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32942: Linus Henze (Pinauten GmbH, pinauten.de)
dyld
Dostupno za: macOS Ventura
Učinak: aplikacije bi mogle izaći izvan ograničene memorije
Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-46720: Yonghwi Jin (@jinmo123) (Theori)
Unos dodan 16. ožujka 2023.
iCloud Photo Library
Dostupno za: macOS Ventura
Učinak: lokacijski podaci mogu se podijeliti putem iCloud veza čak i kad su lokacijski metapodaci onemogućeni putem značajke Share Sheet
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2022-46710: John Balestrieri (Tinrocket)
Unos je dodan 31. listopada 2023.
ImageIO
Dostupno za: macOS Ventura
Učinak: obradom zlonamjerne datoteke može doći do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-46693: Mickey Jin (@patch1t)
IOHIDFamily
Dostupno za: macOS Ventura
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: uvjet nadvladavanja riješen je poboljšanim upravljanjem stanjem.
CVE-2022-42864: Tommy Muir (@Muirey03)
IOMobileFrameBuffer
Dostupno za: macOS Ventura
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-46690: John Aakerblom (@jaakerblom)
IOMobileFrameBuffer
Dostupno za: macOS Ventura
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-46697: John Aakerblom (@jaakerblom) i Antonio Zekic (@antoniozekic)
iTunes Store
Dostupno za: macOS Ventura
Učinak: udaljeni korisnik mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem je postojao u raščlanjivanju URL-ova. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-42837: Weijia Dai (@dwj1210) (Momo Security)
Kernel
Dostupno za: macOS Ventura
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2022-46689: Ian Beer (Google Project Zero)
Kernel
Dostupno za: macOS Ventura
Učinak: spajanje na zlonamjerni NFS poslužitelj može dovesti do izvođenja proizvoljnog koda s kernelskim ovlastima
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2022-46701: Felix Poulin-Belanger
Kernel
Dostupno za: macOS Ventura
Učinak: udaljeni korisnik mogao bi uzrokovati izvršavanje kernelskog koda
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-42842: pattern-f (@pattern_F_) iz tvrtke Ant Security Light-Year Lab
Kernel
Dostupno za: macOS Ventura
Učinak: aplikacije bi mogle izaći izvan ograničene memorije
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-42861: pattern-f (@pattern_F_) (Ant Security Light-Year Lab)
Kernel
Dostupno za: macOS Ventura
Učinak: aplikacija s korijenskim ovlastima mogla bi izvršiti proizvoljni kod s kernelskim ovlastima
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-42845: Adam Doupé iz organizacije ASU SEFCOM
Kernel
Dostupno za: macOS Ventura
Učinak: napadač s mogućnošću proizvoljnog čitanja i pisanja mogao bi zaobići autorizaciju pokazivača. Apple je upoznat s izvješćem da se ovaj problem možda iskorištavao protiv verzija sustava iOS izdanih prije sustava iOS 15.7.1.
Opis: problem je riješen poboljšanim provjerama.
CVE-2022-48618: Apple
Unos dodan 09. siječnja 2024.
Networking
Dostupno za: macOS Ventura
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.
CVE-2022-42839: anonimni istraživač
Unos je dodan 31. listopada 2023.
Networking
Dostupno za: macOS Ventura
Učinak: funkcija privatni relej nije odgovarala postavkama sustava
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-46716
Unos dodan 16. ožujka 2023.
PackageKit
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-46704: Mickey Jin (@patch1t) i Csaba Fitzl (@theevilbit) iz tvrtke Offensive Security
Unos dodan 22. prosinca 2022.
Photos
Dostupno za: macOS Ventura
Učinak: funkcija Protresi za poništavanje može omogućiti ponovno pojavljivanje izbrisane fotografije bez autorizacije
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2022-32943: Jiwon Park, Mieszko Wawrzyniak i anonimni istraživač
Unos je ažuriran 31. listopada 2023.
ppp
Dostupno za: macOS Ventura
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-42840: anonimni istraživač
Preferences
Dostupno za: macOS Ventura
Učinak: neka aplikacija mogla bi upotrebljavati proizvoljna ovlaštenja
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-42855: Ivan Fratric (Google Project Zero)
Printing
Dostupno za: macOS Ventura
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2022-42862: Mickey Jin (@patch1t)
Ruby
Dostupno za: macOS Ventura
Učinak: udaljeni korisnik mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-24836
CVE-2022-29181
Safari
Dostupno za: macOS Ventura
Učinak: posjet web-mjestu koje sadrži okvire sa zlonamjernim sadržajem može dovesti do lažiranja korisničkog sučelja
Opis: u načinu obrade URL-ova otkriven je problem s lažiranjem. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-46695: KirtiKumar Anandrao Ramchandani
TCC
Dostupno za: macOS Ventura
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2022-46718: Michael (Biscuit) Thomas
Unos je dodan 1. svibnja 2023.
Weather
Dostupno za: macOS Ventura
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2022-46703: Wojciech Reguła (@_r3ggi) (SecuRing) i anonimni istraživač
Unos dodan 16. ožujka 2023.
Weather
Dostupno za: macOS Ventura
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem je riješen poboljšanim rukovanjem predmemorijama.
CVE-2022-42866: anonimni istraživač
WebKit
Dostupno za: macOS Ventura
Učinak: posjet web-mjestu koje sadrži okvire sa zlonamjernim sadržajem može dovesti do lažiranja korisničkog sučelja
Opis: problem je riješen poboljšanim rukovanjem korisničkim sučeljem.
WebKit Bugzilla: 247461
CVE-2022-32919: @real_as3617
Unos je dodan 31. listopada 2023.
WebKit
Dostupno za: macOS Ventura
Učinak: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje adresne trake
Opis: u načinu obrade URL-ova otkriven je problem s lažiranjem. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
WebKit Bugzilla: 247289
CVE-2022-46725: Hyeon Park (@tree_segment) iz tima ApplePIE
WebKit Bugzilla: 247287
CVE-2022-46705: Hyeon Park (@tree_segment) iz tima ApplePIE
Unos je dodan 22. prosinca 2022. godine, a ažuriran 31. listopada 2023.
WebKit
Dostupno za: macOS Ventura
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
WebKit Bugzilla: 245521
CVE-2022-42867: Maddie Stone (Google Project Zero)
WebKit
Dostupno za: macOS Ventura
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s potrošnjom memorije riješen je poboljšanim upravljanjem memorijom.
WebKit Bugzilla: 245466
CVE-2022-46691: ChengGang Wu, Yan Kang, YuHao Hu, Yue Sun, Jiming Wang, and JiKai Ren i Hang Shu (Institute of Computing Technology, Chinese Academy of Sciences)
Unos je ažuriran 31. listopada 2023.
WebKit
Dostupno za: macOS Ventura
Učinak: obrada zlonamjernog web sadržaja mogla bi zaobići Pravilo istog podrijetla
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
WebKit Bugzilla: 246783
CVE-2022-46692: KirtiKumar Anandrao Ramchandani (kirtikumarar.com)
Unos je ažuriran 31. listopada 2023.
WebKit
Dostupno za: macOS Ventura
Učinak: obradom zlonamjernog web-sadržaja može se otkriti procesna memorija
Opis: problem je riješen poboljšanim rukovanjem memorijom.
WebKit Bugzilla: 246721
CVE-2022-42852: korisnik hazbinhotel koji surađuje s inicijativom Trend Micro Zero Day Initiative
Unos je ažuriran 22. prosinca 2022.
WebKit
Dostupno za: macOS Ventura
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
WebKit Bugzilla: 246942
CVE-2022-46696: Samuel Groß iz tvrtke Google V8 Security
WebKit Bugzilla: 247562
CVE-2022-46700: Samuel Groß iz tvrtke Google V8 Security
WebKit
Dostupno za: macOS Ventura
Učinak: obradom zlonamjernog web-sadržaja može doći do otkrivanja osjetljivih korisničkih podataka
Opis: logički problem riješen je poboljšanim provjerama.
WebKit Bugzilla: 247066
CVE-2022-46698: Dohyun Lee (@l33d0hyun) iz centra DNSLab pri korejskom Sveučilištu, Ryan Shin iz centra IAAI SecLab pri korejskom Sveučilištu
Unos je ažuriran 22. prosinca 2022.
WebKit
Dostupno za: macOS Ventura
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
WebKit Bugzilla: 247420
CVE-2022-46699: Samuel Groß iz tvrtke Google V8 Security
WebKit Bugzilla: 244622
CVE-2022-42863: anonimni istraživač
WebKit
Dostupno za: macOS Ventura
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda. Apple je upoznat s izvješćem da se ovaj problem možda aktivno iskorištavao protiv verzija sustava iOS izdanih prije sustava iOS 15 1.
Opis: problem sa zamjenom vrste riješen je poboljšanim upravljanjem stanjem.
WebKit Bugzilla: 248266
CVE-2022-42856: Clément Lecigne iz skupine tvrtke Google za analizu prijetnji
xar
Dostupno za: macOS Ventura
Učinak: obradom zlonamjernog paketa može doći do izvršavanja proizvoljnog koda
Opis: problem sa zamjenom tipova riješen je poboljšanim provjerama.
CVE-2022-42841: Thijs Alkemade (@xnyhps) iz odjela Computest Sector 7
Dodatna zahvala
Kernel
Zahvaljujemo korisniku Zweig iz tima Kunlun Lab na pomoći.
Lock Screen
Zahvaljujemo Kevinu Mannu na pomoći.
Safari Extensions
Zahvaljujemo Oliveru Dunku i Christianu R. iz tima 1Password na pomoći.
WebKit
Zahvaljujemo na pomoći anonimnom istraživaču i korisniku scarlet.