A macOS Ventura 13 biztonsági változásjegyzéke

Ez a dokumentum a macOS Ventura 13 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

macOS Ventura 13

Kiadási dátum: 2022. október 24.

Accelerate Framework

A következőkhöz érhető el: Mac Studio (2022), Mac Pro (2019 és újabb), MacBook Air (2018 és újabb), MacBook Pro (2017 és újabb), Mac mini (2018 és újabb), iMac (2017 és újabb), MacBook (2017) és iMac Pro (2017)

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriafelhasználási hibát.

CVE-2022-42795: ryuzaki

APFS

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: Hatékonyabb hozzáférés-korlátozással hárítottunk el egy hozzáférési problémát.

CVE-2022-48577: Fitzl Csaba (@theevilbit; Offensive Security)

Bejegyzés hozzáadva: 2023. december 21.

Apple Neural Engine

Érintett terület: Egyes alkalmazások képesek voltak bizalmas kernelállapotokat kiszivárogtatni

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2022-32858: Mohamed Ghannam (@_simo36)

Apple Neural Engine

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2022-32898: Mohamed Ghannam (@_simo36)

CVE-2022-32899: Mohamed Ghannam (@_simo36)

CVE-2022-46721: Mohamed Ghannam (@_simo36)

CVE-2022-47915: Mohamed Ghannam (@_simo36)

CVE-2022-47965: Mohamed Ghannam (@_simo36)

CVE-2022-32889: Mohamed Ghannam (@_simo36)

Bejegyzés frissítve: 2023. december 21.

AppleAVD

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2022-32907: Yinyi Wu, ABC Research s.r.o, Natalie Silvanovich (Google Project Zero), Tommaso Bianco (@cutesmilee__), Antonio Zekic (@antoniozekic) és John Aakerblom (@jaakerblom)

Bejegyzés hozzáadva 2023. március 16.

AppleAVD

Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2022-32827: Antonio Zekic (@antoniozekic), Natalie Silvanovich (Google Project Zero) és egy anonim kutató

AppleMobileFileIntegrity

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: További korlátozásokkal elhárítottunk egy konfigurációs hibát.

CVE-2022-32877: Wojciech Reguła (@_r3ggi, SecuRing)

Bejegyzés hozzáadva 2023. március 16.

AppleMobileFileIntegrity

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy kódaláírások hitelesítésével kapcsolatos problémát.

CVE-2022-42789: Koh M. Nakagawa (FFRI Security, Inc.)

AppleMobileFileIntegrity

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit

Leírás: A további jogosultságok eltávolításával hárítottuk el a problémát.

CVE-2022-42825: Mickey Jin (@patch1t)

Assets

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2022-46722: Mickey Jin (@patch1t)

Bejegyzés hozzáadva: 2023. augusztus 1.

ATS

Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2022-32902: Mickey Jin (@patch1t)

ATS

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: További sandbox-korlátozásokkal elhárítottunk egy hozzáféréssel összefüggő problémát.

CVE-2022-32904: Mickey Jin (@patch1t)

ATS

Érintett terület: A sandboxban lévő folyamatok meg tudták kerülni a sandbox-korlátozásokat.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2022-32890: Mickey Jin (@patch1t)

Audio

Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.

Leírás: A sebezhető kód eltávolításával hárítottuk el a problémát.

CVE-2022-42796: Mickey Jin (@patch1t)

Bejegyzés frissítve: 2023. március 16.

Audio

Érintett terület: Egy ártó szándékkal létrehozott hangfájl elemzése a felhasználói adatok felfedéséhez vezetett.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2022-42798: anonim kutató, a Trend Micro Zero Day Initiative közreműködőjeként

Bejegyzés hozzáadva: 2022. október 27.

AVEVideoEncoder

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.

CVE-2022-32940: ABC Research s.r.o.

Beta Access Utility

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2022-42816: Mickey Jin (@patch1t)

Bejegyzés hozzáadva: 2023. december 21.

BOM

Érintett terület: Egyes alkalmazások megkerülhették a Gatekeeper-ellenőrzéseket

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2022-42821: Jonathan Bar Or (Microsoft)

Bejegyzés hozzáadva: 2022. december 13.

Boot Camp

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit

Leírás: Úgy hárítottuk el a problémát, hogy hatékonyabb ellenőrzéseket vezettünk be a jogosulatlan műveletek megakadályozására.

CVE-2022-42860: Mickey Jin (@patch1t, Trend Micro)

Bejegyzés hozzáadva 2023. március 16.

Calendar

Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat

Leírás: Hatékonyabb hozzáférés-korlátozással hárítottunk el egy hozzáférési problémát.

CVE-2022-42819: anonim kutató

CFNetwork

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott tanúsítványok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Tanúsítványhitelesítéssel kapcsolatos probléma lépett fel a WKWebView kezelésekor. Hatékonyabb ellenőrzéssel hárítottuk el a problémát.

CVE-2022-42813: Jonathan Zhang (Open Computing Facility, ocf.berkeley.edu)

ColorSync

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Memóriasérülési hiba állt fenn az ICC-profilok kezelési módjában. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.

CVE-2022-26730: David Hoyt (Hoyt LLC)

Core Bluetooth

Érintett terület: Az appok hangfelvételt tudtak készíteni párosított AirPods segítségével.

Leírás: Elhárítottunk egy hozzáféréssel összefüggő problémát azáltal, hogy további sandbox-korlátozásokat vezettünk be a külső fejlesztésű appok esetén.

CVE-2022-32945: Guilherme Rambo (Best Buddy Apps, rambo.codes)

Bejegyzés hozzáadva 2022. november 9-én.

CoreMedia

Érintett terület: A kamerabővítmények azután is fogadni tudták a videót, miután bezárták az őket aktiváló appot.

Leírás: Továbbfejlesztett logikával elhárítottuk azt a problémát, amely miatt az alkalmazások nem tudtak hozzáférni a kamera adataihoz.

CVE-2022-42838: Halle Winkler (@hallewinkler, Politepix)

Bejegyzés hozzáadva: 2022. december 22.

CoreServices

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: További sandbox-korlátozásokkal elhárítottunk egy hozzáféréssel összefüggő problémát.

CVE-2022-48683: Thijs Alkemade (Computest Sector 7), Wojciech Reguła (@_r3ggi, SecuRing) és Arsenii Kostromin

Bejegyzés hozzáadva 2024. május 29.

CoreTypes

Érintett terület: A rosszindulatú alkalmazások meg tudták kerülni a Gatekeeper ellenőrzéseit.

Leírás: Úgy hárítottuk el a problémát, hogy hatékonyabb ellenőrzéseket vezettünk be a jogosulatlan műveletek megakadályozására.

CVE-2022-22663: Arsenii Kostromin (0x3c3e)

Bejegyzés hozzáadva 2023. március 16.

Crash Reporter

Érintett terület: Az iOS-készülékhez fizikai hozzáféréssel rendelkező felhasználó olvasni tudott korábbi diagnosztikai naplókat.

Leírás: Hatékonyabb adatvédelemmel hárítottuk el a problémát.

CVE-2022-32867: Kshitij Kumar és Jai Musunuri (Crowdstrike)

curl

Érintett terület: Több hiba is fennállt a curl esetén.

Leírás: Több hibát elhárítottunk a curl 7.84.0-es verzióra való frissítésével.

CVE-2022-32205

CVE-2022-32206

CVE-2022-32207

CVE-2022-32208

Directory Utility

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2022-42814: Sergii Kryvoblotskyi (MacPaw Inc.)

DriverKit

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2022-32865: Linus Henze (Pinauten GmbH; pinauten.de)

DriverKit

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy típustévesztési hibát.

CVE-2022-32915: Tommy Muir (@Muirey03)

Exchange

Érintett terület: A magas hálózati jogosultságú felhasználók meg tudták szerezni az e-mail-fiókok hitelesítési adatait.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2022-32928: Jiří Vinopal (@vinopaljiri, Check Point Research)

Bejegyzés frissítve: 2023. március 16.

FaceTime

Érintett terület: Előfordult, hogy a felhasználók audiót és videót küldtek Csoportos FaceTime-hívás keretében anélkül, hogy erről tudtak volna.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2022-22643: Sonali Luthar (University of Virginia), Michael Liao (University of Illinois at Urbana-Champaign), Rohan Pahwa (Rutgers University) és Bao Nguyen (University of Florida)

Bejegyzés hozzáadva 2023. március 16.

FaceTime

Érintett terület: A felhasználók bizonyos esetekben a zárolt képernyőn is meg tudták tekinteni a korlátozott tartalmakat.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy zárolt képernyővel kapcsolatos hibát.

CVE-2022-32935: Bistrit Dahal

Bejegyzés hozzáadva: 2022. október 27.

Find My

Érintett terület: A rosszindulatú alkalmazások be tudtak olvasni bizalmas jellegű helyadatokat.

Leírás: Engedélyezési hiba állt fenn. Az engedélyek hatékonyabb ellenőrzésével hárítottuk el a problémát.

CVE-2022-42788: Fitzl Csaba (@theevilbit, Offensive Security), Wojciech Reguła (SecuRing, wojciechregula.blog)

Find My

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: A gyorsítótárak hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2022-48504: Fitzl Csaba (@theevilbit; Offensive Security)

Bejegyzés hozzáadva: 2023. december 21.

Finder

Érintett terület: Az ártó szándékkal létrehozott DMG-fájlok feldolgozása lehetőséget adott tetszőleges programkód rendszerjogosultságokkal történő végrehajtására.

Leírás: A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.

CVE-2022-32905: Ron Masas (breakpoint.sh, BreakPoint Technologies LTD)

GPU Drivers

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2022-42833: Pan ZhenPeng (@Peterpan0927)

Bejegyzés hozzáadva: 2022. december 22.

GPU Drivers

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2022-32947: Asahi Lina (@LinaAsahi)

Grapher

Érintett terület: Az ártó szándékkal létrehozott gcx-fájlok feldolgozása váratlan appleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2022-42809: Yutao Wang (@Jack) és Yu Zhou (@yuzhou6666)

Heimdal

Érintett terület: A felhasználók váratlan appleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2022-3437: Evgeny Legerov (Intevydis)

Bejegyzés hozzáadva 2022. október 25-én.

iCloud Photo Library

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Elhárítottunk egy információfelfedéssel kapcsolatos problémát a sebezhető kód eltávolításával.

CVE-2022-32849: Joshua Jones

Bejegyzés hozzáadva 2022. november 9-én.

Image Processing

Érintett terület: A sandboxban lévő appok meg tudták határozni, hogy éppen melyik app használja a kamerát.

Leírás: Az appállapotok megfigyelhetőségének további korlátozásával hárítottuk el a problémát.

CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)

ImageIO

Érintett terület: A képek feldolgozása szolgáltatásmegtagadáshoz vezethetett

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2022-32809: Mickey Jin (@patch1t)

Bejegyzés hozzáadva: 2023. augusztus 1.

ImageIO

Érintett terület: A képek feldolgozása szolgáltatásmegtagadáshoz vezethetett

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy szolgáltatásmegtagadási hibát.

CVE-2022-1622

Intel Graphics Driver

Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2022-32936: Antonio Zekic (@antoniozekic)

IOHIDFamily

Érintett terület: Egy támadó váratlan alkalmazásleállást tudott előidézni, illetve tetszőleges programkódot tudott végrehajtani

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2022-42820: Peter Pan ZhenPeng (STAR Labs)

IOKit

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb zárolás révén hárítottunk el egy versenyhelyzeti problémát.

CVE-2022-42806: Tingting Yin (Tsinghua University)

Kernel

Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2022-32864: Linus Henze (Pinauten GmbH, pinauten.de)

Kernel

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2022-32866: Linus Henze (Pinauten GmbH; pinauten.de)

CVE-2022-32911: Zweig (Kunlun Lab)

CVE-2022-32924: Ian Beer (Google Project Zero)

Kernel

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2022-32914: Zweig (Kunlun Lab)

Kernel

Érintett terület: A távoli felhasználók elő tudták idézni egy kernelkód végrehajtását

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2022-42808: Zweig (Kunlun Lab)

Kernel

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2022-32944: Tim Michaud (@TimGMichaud, Moveworks.ai)

Bejegyzés hozzáadva: 2022. október 27.

Kernel

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb zárolás révén hárítottunk el egy versenyhelyzeti problémát.

CVE-2022-42803: Xinru Chi (Pangu Lab), John Aakerblom (@jaakerblom)

Bejegyzés hozzáadva: 2022. október 27.

Kernel

Érintett terület: A gyökérszintű jogosultsággal rendelkező alkalmazások tetszőleges kódvégrehajtást tudtak előidézni kernelszintű jogosultsággal

Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.

CVE-2022-32926: Tim Michaud (@TimGMichaud, Moveworks.ai)

Bejegyzés hozzáadva: 2022. október 27.

Kernel

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2022-42801: Ian Beer (Google Project Zero)

Bejegyzés hozzáadva: 2022. október 27.

Kernel

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve esetlegesen kódot tudtak futtatni kernelszintű jogosultsággal.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2022-46712: Tommy Muir (@Muirey03)

Bejegyzés hozzáadva 2023. február 20-án.

Mail

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: Hatékonyabb adatvédelemmel hárítottuk el a problémát.

CVE-2022-42815: Fitzl Csaba (@theevilbit; Offensive Security)

Mail

Érintett terület: Egyes alkalmazások a tömörítés során használt átmeneti mappán keresztül hozzá tudtak férni a levelezési mappa csatolmányaihoz.

Leírás: Hatékonyabb hozzáférés-korlátozással hárítottunk el egy hozzáférési problémát.

CVE-2022-42834: Wojciech Reguła (@_r3ggi, SecuRing)

Bejegyzés hozzáadva 2023. május 1-én.

Maps

Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat

Leírás: A bizalmas információk hatékonyabb korlátozásával oldottuk meg a problémát.

CVE-2022-46707: Fitzl Csaba (@theevilbit; Offensive Security)

Bejegyzés hozzáadva: 2023. augusztus 1.

Maps

Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2022-32883: Ron Masas (breakpointhq.com)

MediaLibrary

Érintett terület: A felhasználók bizonyos esetekben magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2022-32908: anonim kutató

Model I/O

Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott USD-fájl feldolgozása a memória tartalmának felfedéséhez vezetett

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2022-42810: Xingwei Lin (@xwlin_roy) és Yinyi Wu (Ant Security Light-Year Lab)

Bejegyzés hozzáadva: 2022. október 27.

ncurses

Érintett terület: A felhasználók váratlan appleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2021-39537

ncurses

Érintett terület: Az ártó szándékkal létrehozott fájlok szolgáltatásmegtagadást tudtak előidézni, illetve fel tudták fedni a memória tartalmát.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy szolgáltatásmegtagadási hibát.

CVE-2022-29458

Notes

Érintett terület: A magas hálózati jogosultságú felhasználók nyomon tudták követni a felhasználói tevékenységeket.

Leírás: Hatékonyabb adatvédelemmel hárítottuk el a problémát.

CVE-2022-42818: Gustav Hansen (WithSecure)

Notifications

Érintett terület: Az iOS-készülékhez fizikai hozzáféréssel rendelkező felhasználók a zárolt képernyőről hozzá tudtak férni a kontaktokhoz.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2022-32879: Ubeydullah Sümer

PackageKit

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.

CVE-2022-32895: Mickey Jin (@patch1t, Trend Micro), Mickey Jin (@patch1t)

PackageKit

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit

Leírás: További hitelesítéssel hárítottunk el egy versenyhelyzeti problémát.

CVE-2022-46713: Mickey Jin (@patch1t; Trend Micro)

Bejegyzés hozzáadva 2023. február 20-án.

Photos

Érintett terület: A felhasználók véletlenül hozzá tudtak adni résztvevőket a Megosztott albumokhoz, ha megnyomták a Delete billentyűt.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2022-42807: Ezekiel Elin

Bejegyzés hozzáadva: 2023. május 1., frissítve: 2023. augusztus 1.

Photos

Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat

Leírás: Hatékonyabb adatvédelemmel hárítottuk el a problémát.

CVE-2022-32918: Ashwani Rajput (Nagarro Software Pvt. Ltd, Srijan Shivam Mishra (The Hack Report), Jugal Goradia (Aastha Technologies), Evan Ricafort (evanricafort.com, Invalid Web Security), Shesha Sai C (linkedin.com/in/shesha-sai-c-18585b125) és Amod Raghunath Patwardhan (Pune, India)

Bejegyzés frissítve: 2023. március 16.

ppp

Érintett terület: A gyökérszintű jogosultsággal rendelkező alkalmazások tetszőleges kódvégrehajtást tudtak előidézni kernelszintű jogosultsággal

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2022-42829: anonim kutató

ppp

Érintett terület: A gyökérszintű jogosultsággal rendelkező alkalmazások tetszőleges kódvégrehajtást tudtak előidézni kernelszintű jogosultsággal

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2022-42830: anonim kutató

ppp

Érintett terület: A gyökérszintű jogosultsággal rendelkező alkalmazások tetszőleges kódvégrehajtást tudtak előidézni kernelszintű jogosultsággal

Leírás: Hatékonyabb zárolás révén hárítottunk el egy versenyhelyzeti problémát.

CVE-2022-42831: anonim kutató

CVE-2022-42832: anonim kutató

ppp

Érintett terület: Előfordult, hogy puffertúlcsordulás következtében tetszőleges kód végrehajtására került sor.

Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.

CVE-2022-32941: anonim kutató

Bejegyzés hozzáadva: 2022. október 27.

Ruby

Érintett terület: A távoli felhasználók váratlan appleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.

Leírás: Elhárítottunk egy memóriasérülési hibát a Ruby 2.6.10-es verziójára való frissítéssel.

CVE-2022-28739

Sandbox

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2022-32881: Fitzl Csaba (@theevilbit; Offensive Security)

Sandbox

Érintett terület: A gyökérszintű jogosultsággal rendelkező alkalmazások hozzá tudtak férni személyes információkhoz.

Leírás: Hatékonyabb adatvédelemmel hárítottuk el a problémát.

CVE-2022-32862: Rohit Chatterjee (University of Illinois Urbana-Champaign)

CVE-2022-32931: anonim kutató

Bejegyzés frissítve: 2023. március 16., frissítve: 2023. december 21.

Sandbox

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: További sandbox-korlátozásokkal elhárítottunk egy hozzáféréssel összefüggő problémát.

CVE-2022-42811: Justin Bui (@slyd0g, Snowflake)

Security

Érintett terület: Az appok meg tudták kerülni a kódaláírási ellenőrzéseket.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy kódaláírások hitelesítésével kapcsolatos problémát.

CVE-2022-42793: Linus Henze (Pinauten GmbH; pinauten.de)

Shortcuts

Érintett terület: Bizonyos esetekben a parancsok hitelesítés nélkül is meg tudták tekinteni a rejtett fényképalbumokat.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2022-32876: anonim kutató

Bejegyzés hozzáadva: 2023. augusztus 1.

Shortcuts

Érintett terület: Egy billentyűparanccsal ellenőrizhető volt egy tetszőleges útvonal jelenléte a fájlrendszerben.

Leírás: Az elérési útvonalak hatékonyabb ellenőrzésével elhárítottunk egy, a könyvtárak elérési útjának kezelésében fennálló elemzési hibát.

CVE-2022-32938: Cristian Dinca (Tudor Vianu National High School of Computer Science). Románia

Sidecar

Érintett terület: A felhasználók bizonyos esetekben a zárolt képernyőn is meg tudták tekinteni a korlátozott tartalmakat.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2022-42790: Om kothawade (Zaprico Digital)

Siri

Érintett terület: A készülékhez fizikai hozzáféréssel rendelkező felhasználó Siri segítségével meg tudott szerezni néhány híváselőzményekkel kapcsolatos információt.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2022-32870: Andrew Goldberg (The McCombs School of Business), The University (Texas at Austin, linkedin.com/in/andrew-goldberg-/)

SMB

Érintett terület: A távoli felhasználók elő tudták idézni egy kernelkód végrehajtását

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2022-32934: Felix Poulin-Belanger

Software Update

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.

CVE-2022-42791: Mickey Jin (@patch1t; Trend Micro)

SQLite

Érintett terület: Távoli támadók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2021-36690

System Settings

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit

Leírás: Hatékonyabb adatvédelemmel hárítottuk el a problémát.

CVE-2022-48505: Adam Chester (TrustedSec) és Thijs Alkemade (@xnyhps, Computest Sector 7)

Bejegyzés hozzáadva: 2023. június 26.

TCC

Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni az Endpoint Security-klienseknél.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2022-26699: Fitzl Csaba (@theevilbit; Offensive Security)

Bejegyzés hozzáadva: 2023. augusztus 1.

Vim

Érintett terület: A Vimmel kapcsolatos többféle probléma.

Leírás: Több problémát elhárítottunk a Vim frissítésével.

CVE-2022-0261

CVE-2022-0318

CVE-2022-0319

CVE-2022-0351

CVE-2022-0359

CVE-2022-0361

CVE-2022-0368

CVE-2022-0392

CVE-2022-0554

CVE-2022-0572

CVE-2022-0629

CVE-2022-0685

CVE-2022-0696

CVE-2022-0714

CVE-2022-0729

CVE-2022-0943

CVE-2022-1381

CVE-2022-1420

CVE-2022-1725

CVE-2022-1616

CVE-2022-1619

CVE-2022-1620

CVE-2022-1621

CVE-2022-1629

CVE-2022-1674

CVE-2022-1733

CVE-2022-1735

CVE-2022-1769

CVE-2022-1927

CVE-2022-1942

CVE-2022-1968

CVE-2022-1851

CVE-2022-1897

CVE-2022-1898

CVE-2022-1720

CVE-2022-2000

CVE-2022-2042

CVE-2022-2124

CVE-2022-2125

CVE-2022-2126

VPN

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2022-42828: anonim kutató

Bejegyzés hozzáadva: 2023. augusztus 1.

Weather

Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2022-32875: anonim kutató

WebKit

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

WebKit Bugzilla: 246669

CVE-2022-42826: Francisco Alonso (@revskills)

Bejegyzés hozzáadva: 2022. december 22.

WebKit

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.

WebKit Bugzilla: 241969

CVE-2022-32886: P1umer (@p1umer), afang (@afang5472), xmzyshypnc (@xmzyshypnc1)

WebKit

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

WebKit Bugzilla: 242047

CVE-2022-32888: P1umer (@p1umer)

WebKit

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

WebKit Bugzilla: 242762

CVE-2022-32912: Jeonghoon Shin (@singi21a), a Trend Micro Zero Day Initiative közreműködőjeként

WebKit

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a felhasználói felület.

Leírás: A probléma a felhasználói felület hatékonyabb kezelésével hárult el.

WebKit Bugzilla: 243693

CVE-2022-42799: Jihwan Kim (@gPayl0ad), Dohyun Lee (@l33d0hyun)

WebKit

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy típustévesztési hibát.

WebKit Bugzilla: 244622

CVE-2022-42823: Dohyun Lee (@l33d0hyun, SSD Labs)

WebKit

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor adott esetben felfedhetők voltak a bizalmas felhasználói adatok.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

WebKit Bugzilla: 245058

CVE-2022-42824: Abdulrahman Alqabandi (Microsoft Browser Vulnerability Research), Ryan Shin (IAAI SecLab, Korea University), Dohyun Lee (@l33d0hyun, DNSLab, Korea University)

WebKit

Érintett terület: A rosszindulatú webes tartalmak feldolgozásának hatására a rendszer bizonyos esetekben közzétette az alkalmazás belső állapotait.

Leírás: A JIT helyességével kapcsolatos problémát az ellenőrzések továbbfejlesztésével megoldottuk.

WebKit Bugzilla: 242964

CVE-2022-32923: Wonyoung Jung (@nonetype_pwn, KAIST Hacking Lab)

Bejegyzés hozzáadva: 2022. október 27.

WebKit PDF

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

WebKit Bugzilla: 242781

CVE-2022-32922: Yonghwi Jin (@jinmo123, Theori), a Trend Micro Zero Day Initiative közreműködőjeként

WebKit Sandboxing

Érintett terület: A sandboxban lévő folyamatok meg tudták kerülni a sandbox-korlátozásokat.

Leírás: A sandbox továbbfejlesztésével kiküszöböltük a hozzáféréssel kapcsolatos problémát.

WebKit Bugzilla: 243181

CVE-2022-32892: @18楼梦想改造家 és @jq0904 (DBAppSecurity's WeBin lab)

WebKit Storage

Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat

Leírás: A gyorsítótárak hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2022-32833: Fitzl Csaba (@theevilbit, Offensive Security), Jeff Johnson

Bejegyzés hozzáadva: 2022. december 22.

Wi-Fi

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2022-46709: Wang Yu (Cyberserval)

Bejegyzés hozzáadva 2023. március 16.

zlib

Érintett terület: A felhasználók váratlan appleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2022-37434: Evgeny Legerov

CVE-2022-42800: Evgeny Legerov

Bejegyzés hozzáadva: 2022. október 27.

További köszönetnyilvánítás

AirPort

Köszönjük Joseph Salazar Acuña és Renato Llamoca (Intrado-Life & Safety/Globant) segítségét.

apache

Köszönjük Tricia Lee (Enterprise Service Center) segítségét.

Bejegyzés hozzáadva 2023. március 16.

AppleCredentialManager

Köszönjük @jonathandata1 segítségét.

ATS

Köszönjük Mickey Jin (@patch1t) segítségét.

Bejegyzés hozzáadva: 2023. augusztus 1.

FaceTime

Köszönjük egy anonim kutató segítségét.

FileVault

Köszönjük Timothy Perfitt (Twocanoes Software) segítségét.

Find My

Köszönjük egy anonim kutató segítségét.

Identity Services

Szeretnénk megköszönni Joshua Jones segítségét.

IOAcceleratorFamily

Köszönjük Antonio Zekic (@antoniozekic) segítségét.

IOGPUFamily

Köszönjük Wang Yu (cyberserval) segítségét.

Bejegyzés hozzáadva 2022. november 9-én.

Kernel

Köszönjük Peter Nguyen (STAR Labs), Tim Michaud (@TimGMichaud, Moveworks.ai), Tingting Yin (Tsinghua University) és Min Zheng (Ant Group), Tommy Muir (@Muirey03) és egy anonim kutató segítségét.

Login Window

Köszönjük Simon Tang (simontang.dev) segítségét.

Bejegyzés hozzáadva 2022. november 9-én.

Mail

Szeretnénk megköszöni Taavi Eomäe (Zone Media OÜ) és egy anonim kutató segítségét.

Bejegyzés frissítve: 2023. december 21.

Mail Drafts

Köszönjük egy anonim kutató segítségét.

Networking

Köszönjük Tim Michaud (@TimGMichaud, Zoom Video Communications) segítségét.

Photo Booth

Köszönjük Prashanth Kannan of Dremio segítségét.

Quick Look

Köszönjük Hilary „It’s off by a Pixel” Street segítségét.

Safari

Köszönjük Scott Hatfield (Sub-Zero Group) segítségét.

Bejegyzés hozzáadva 2023. március 16.

Sandbox

Köszönjük Fitzl Csaba (@theevilbit; Offensive Security) segítségét.

SecurityAgent

Szeretnénk megköszönni a Security Team Netservice de Toekomst és egy anonim kutató segítségét.

Bejegyzés hozzáadva: 2023. december 21.

smbx

Köszönjük HD Moore of runZero Asset Inventory segítségét.

Rendszer

Köszönjük Mickey Jin (@patch1t, Trend Micro) segítségét.

System Settings

Köszönjük Bjorn Hellenbrand segítségét.

UIKit

Köszönjük Aleczander Ewing segítségét.

WebKit

Köszönjük Maddie Stone (Google Project Zero), Narendra Bhati (@imnarendrabhati, Suma Soft Pvt. Ltd., valamint egy anonim kutató segítségét.

WebRTC

Köszönjük egy anonim kutató segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: 2024. augusztus 19.