Informationen zum Sicherheitsinhalt von macOS Ventura 13

In diesem Dokument wird der Sicherheitsinhalt von macOS Ventura 13 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit findest du auf der Seite Sicherheits- oder Datenschutzschwachstelle melden.

macOS Ventura 13

Veröffentlicht am 24. Oktober 2022

Accelerate Framework

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen.

Beschreibung: Ein Problem mit der Speichernutzung wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-42795: ryuzaki

APFS

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Zugriffsproblem wurde durch verbesserte Zugriffsbeschränkungen behoben.

CVE-2022-48577: Csaba Fitzl (@theevilbit) von Offensive Security

Eintrag am 21. Dezember 2023 hinzugefügt

Apple Neural Engine

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann möglicherweise einen vertraulichen Kernel-Status preisgeben.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-32858: Mohamed Ghannam (@_simo36)

Apple Neural Engine

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-32898: Mohamed Ghannam (@_simo36)

CVE-2022-32899: Mohamed Ghannam (@_simo36)

CVE-2022-46721: Mohamed Ghannam (@_simo36)

CVE-2022-47915: Mohamed Ghannam (@_simo36)

CVE-2022-47965: Mohamed Ghannam (@_simo36)

CVE-2022-32889: Mohamed Ghannam (@_simo36)

Eintrag aktualisiert am 21. Dezember 2023

AppleAVD

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2022-32907: Yinyi Wu, ABC Research s.r.o, Natalie Silvanovich von Google Project Zero, Tommaso Bianco (@cutesmilee__), Antonio Zekic (@antoniozekic) und John Aakerblom (@jaakerblom)

Eintrag hinzugefügt am 16. März 2023

AppleAVD

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann unter Umständen einen Denial-of-Service verursachen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-32827: Antonio Zekic (@antoniozekic), Natalie Silvanovich von Google Project Zero und ein anonymer Forscher

AppleMobileFileIntegrity

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Konfigurationsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2022-32877: Wojciech Reguła (@_r3ggi) von SecuRing

Eintrag hinzugefügt am 16. März 2023

AppleMobileFileIntegrity

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Problem bei der Überprüfung von Code-Signaturen wurde durch verbesserte Prüfungen behoben.

CVE-2022-42789: Koh M. Nakagawa von FFRI Security, Inc.

AppleMobileFileIntegrity

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann möglicherweise geschützte Bereiche des Dateisystems ändern.

Beschreibung: Dieses Problem wurde durch das Entfernen zusätzlicher Berechtigungen behoben.

CVE-2022-42825: Mickey Jin (@patch1t)

Assets

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann möglicherweise geschützte Bereiche des Dateisystems ändern.

Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.

CVE-2022-46722: Mickey Jin (@patch1t)

Eintrag am 1. August 2023 hinzugefügt

ATS

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Die Privatsphäre-Einstellungen können von einer App möglicherweise umgangen werden.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-32902: Mickey Jin (@patch1t)

ATS

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Zugriffsproblem wurde durch zusätzliche Sandbox-Einschränkungen behoben.

CVE-2022-32904: Mickey Jin (@patch1t)

ATS

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Ein in der Sandbox ausgeführter Prozess kann möglicherweise Sandbox-Einschränkungen umgehen.

Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.

CVE-2022-32890: Mickey Jin (@patch1t)

Audio

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann möglicherweise erhöhte Benutzerrechte erlangen.

Beschreibung: Dieses Problem wurde durch Entfernen des angreifbaren Codes behoben.

CVE-2022-42796: Mickey Jin (@patch1t)

Eintrag am Donnerstag, 16. März 2023 aktualisiert

Audio

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Die Analyse einer in böswilliger Absicht erstellten Audiodatei kann zur Preisgabe von Benutzerinformationen führen

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-42798: Ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Eintrag hinzugefügt am 27. Oktober 2022

AVEVideoEncoder

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2022-32940: ABC Research s.r.o.

Beta Access Utility

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann möglicherweise geschützte Bereiche des Dateisystems ändern.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-42816: Mickey Jin (@patch1t)

Eintrag am 21. Dezember 2023 hinzugefügt

BOM

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann Gatekeeper-Überprüfungen umgehen.

Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.

CVE-2022-42821: Jonathan Bar Or von Microsoft

Eintrag hinzugefügt am 13. Dezember 2022

Boot Camp

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann möglicherweise geschützte Bereiche des Dateisystems ändern.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben, die nicht autorisierte Aktionen verhindern.

CVE-2022-42860: Mickey Jin (@patch1t) von Trend Micro

Eintrag hinzugefügt am 16. März 2023

Calendar

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.

Beschreibung: Ein Zugriffsproblem wurde durch verbesserte Zugriffsbeschränkungen behoben.

CVE-2022-42819: ein anonymer Forscher

CFNetwork

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Die Verarbeitung eines in böswilliger Absicht erstellten Zertifikats kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Bei der Verwendung von WKWebView bestand ein Problem mit der Zertifikatsüberprüfung. Dieses Problem wurde durch eine verbesserte Prüfung behoben.

CVE-2022-42813: Jonathan Zhang von Open Computing Facility (ocf.berkeley.edu)

ColorSync

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen.

Beschreibung: Bei der Verarbeitung von ICC-Profilen kam es zu einem Speicherfehler. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2022-26730: David Hoyt von Hoyt LLC

Core Bluetooth

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann über gekoppelte AirPods Audio aufnehmen.

Beschreibung: Ein Zugriffsproblem wurde mit zusätzlichen Sandbox-Einschränkungen für Drittanbieter-Apps behoben.

CVE-2022-32945: Guilherme Rambo von Best Buddy Apps (rambo.codes)

Eintrag hinzugefügt am 9. November 2022

CoreMedia

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine Kameraerweiterung empfängt möglicherweise weiterhin Videodaten, auch nachdem die aktivierte App geschlossen wurde.

Beschreibung: Ein Problem mit dem App-Zugriff auf Kameradaten wurde durch eine verbesserte Logik behoben.

CVE-2022-42838: Halle Winkler (@hallewinkler) von Politepix

Eintrag am 22. Dezember 2022 hinzugefügt

CoreServices

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann möglicherweise die Sandbox umgehen.

Beschreibung: Ein Zugriffsproblem wurde durch zusätzliche Sandbox-Einschränkungen behoben.

CVE-2022-48683: Thijs Alkemade von Computest Sector 7, Wojciech Reguła (@_r3ggi) von SecuRing und Arsenii Kostromin

Eintrag am 29. Mai 2024 hinzugefügt

CoreTypes

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine schadhafte Anwendung kann Gatekeeper-Überprüfungen umgehen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben, die nicht autorisierte Aktionen verhindern.

CVE-2022-22663: Arsenii Kostromin (0x3c3e)

Eintrag hinzugefügt am 16. März 2023

Crash Reporter

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Ein Benutzer mit physischem Zugang zu einem iOS-Gerät kann unter Umständen mehr als die Diagnoseprotokolle lesen.

Beschreibung: Dieses Problem wurde durch verbesserten Datenschutz behoben.

CVE-2022-32867: Kshitij Kumar und Jai Musunuri von Crowdstrike

curl

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Mehrere Probleme in curl

Beschreibung: Mehrere Probleme wurden durch das Update von curl auf Version 7.84.0 behoben.

CVE-2022-32205

CVE-2022-32206

CVE-2022-32207

CVE-2022-32208

Directory Utility

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.

CVE-2022-42814: Sergii Kryvoblotskyi von MacPaw Inc.

DriverKit

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-32865: Linus Henze von der Pinauten GmbH (pinauten.de)

DriverKit

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Typenverwechslungsproblem wurde durch verbesserte Prüfungen behoben.

CVE-2022-32915: Tommy Muir (@Muirey03)

Exchange

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Ein Benutzer in einer privilegierten Netzwerkposition kann möglicherweise E-Mail-Anmeldedaten abfangen

Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.

CVE-2022-32928: Jiří Vinopal (@vinopaljiri) von Check Point Research

Eintrag am Donnerstag, 16. März 2023 aktualisiert

FaceTime

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Benutzer:innen übertragen möglicherweise in einem FaceTime-Anruf Audio- und Videosignale, ohne sich dessen bewusst zu sein.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2022-22643: Sonali Luthar von der University of Virginia, Michael Liao von der University of Illinois at Urbana-Champaign, Rohan Pahwa von der Rutgers University und Bao Nguyen von der University of Florida

Eintrag hinzugefügt am 16. März 2023

FaceTime

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Benutzer können möglicherweise eingeschränkten Inhalt auf dem Sperrbildschirm anzeigen.

Beschreibung: Ein Problem mit dem Sperrbildschirm wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-32935: Bistrit Dahal

Eintrag hinzugefügt am 27. Oktober 2022

Find My

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Vertrauliche Standortinformationen können unter Umständen von einem Schadprogramm gelesen werden.

Beschreibung: Es bestand ein Problem mit Berechtigungen. Dieses Problem wurde durch eine verbesserte Berechtigungsüberprüfung behoben.

CVE-2022-42788: Csaba Fitzl (@theevilbit) von Offensive Security, Wojciech Reguła von SecuRing (wojciechregula.blog)

Find My

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Das Problem wurde durch eine verbesserte Verarbeitung der Caches behoben.

CVE-2022-48504: Csaba Fitzl (@theevilbit) von Offensive Security

Eintrag am 21. Dezember 2023 hinzugefügt

Finder

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten DMG-Datei kann zur Ausführung von willkürlichem Code mit Systemrechten führen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Validierung von Symlinks behoben.

CVE-2022-32905: Ron Masas (breakpoint.sh) von BreakPoint Technologies LTD

GPU Drivers

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2022-42833: Pan ZhenPeng (@Peterpan0927)

Eintrag am 22. Dezember 2022 hinzugefügt

GPU Drivers

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-32947: Asahi Lina (@LinaAsahi)

Grapher

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten GCX-Datei kann zu einem unerwarteten App-Abbruch oder zur Ausführung von willkürlichem Code führen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-42809: Yutao Wang (@Jack) und Yu Zhou (@yuzhou6666)

Heimdal

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Ein lokaler Benutzer kann einen unerwarteten App-Abbruch oder die willkürliche Ausführung von Code verursachen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2022-3437: Evgeny Legerov von Intevydis

Eintrag am Dienstag, 25. Oktober 2022 hinzugefügt

iCloud Photo Library

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Problem mit der Offenlegung von Informationen wurde durch Entfernen des angreifbaren Codes behoben.

CVE-2022-32849: Joshua Jones

Eintrag hinzugefügt am 9. November 2022

Image Processing

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App in einer Sandbox kann unter Umständen ermitteln, welche App die Kamera nutzt.

Beschreibung: Dieses Problem wurde durch zusätzliche Einschränkungen für die Beobachtbarkeit des App-Status behoben.

CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)

ImageIO

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Die Verarbeitung eines Bildes kann zu einem Denial-of-Service führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2022-32809: Mickey Jin (@patch1t)

Eintrag am 1. August 2023 hinzugefügt

ImageIO

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Die Verarbeitung eines Bildes kann zu einem Denial-of-Service führen.

Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Überprüfung behoben.

CVE-2022-1622

Intel Graphics Driver

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Der Kernel-Speicher kann von einer App offengelegt werden.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2022-32936: Antonio Zekic (@antoniozekic)

IOHIDFamily

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann einen unerwarteten App-Abbruch oder die Ausführung willkürlichen Codes verursachen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-42820: Peter Pan ZhenPeng von STAR Labs

IOKit

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch verbesserten Sperrschutz behoben.

CVE-2022-42806: Tingting Yin von der Tsinghua-Universität

Kernel

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Der Kernel-Speicher kann von einer App offengelegt werden.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-32864: Linus Henze von der Pinauten GmbH (pinauten.de)

Kernel

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-32866: Linus Henze von der Pinauten GmbH (pinauten.de)

CVE-2022-32911: Zweig von Kunlun Lab

CVE-2022-32924: Ian Beer von Google Project Zero

Kernel

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-32914: Zweig von Kunlun Lab

Kernel

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Remote-Benutzer können die Ausführung von Kernel-Code verursachen.

Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2022-42808: Zweig von Kunlun Lab

Kernel

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-32944: Tim Michaud (@TimGMichaud) von Moveworks.ai

Eintrag hinzugefügt am 27. Oktober 2022

Kernel

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch verbesserten Sperrschutz behoben.

CVE-2022-42803: Xinru Chi von Pangu Lab, John Aakerblom (@jaakerblom)

Eintrag hinzugefügt am 27. Oktober 2022

Kernel

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App mit Root-Rechten kann willkürlichen Code mit Kernelrechten ausführen

Beschreibung: Das Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2022-32926: Tim Michaud (@TimGMichaud) von Moveworks.ai

Eintrag hinzugefügt am 27. Oktober 2022

Kernel

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.

CVE-2022-42801: Ian Beer von Google Project Zero

Eintrag hinzugefügt am 27. Oktober 2022

Kernel

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann einen unerwarteten Systemabbruch verursachen oder möglicherweise Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-46712: Tommy Muir (@Muirey03)

Eintrag am 20. Februar 2023 hinzugefügt

Mail

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Dieses Problem wurde durch verbesserten Datenschutz behoben.

CVE-2022-42815: Csaba Fitzl (@theevilbit) von Offensive Security

Mail

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann möglicherweise Zugriff auf den Mail-Ordner durch ein temporäres Verzeichnis während des Kompressionsvorganges erhalten

Beschreibung: Ein Zugriffsproblem wurde durch verbesserte Zugriffsbeschränkungen behoben.

CVE-2022-42834: Wojciech Reguła (@_r3ggi) von SecuRing

Eintrag am 1. Mai 2023 hinzugefügt

Maps

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.

Beschreibung: Dieses Problem wurde durch verbesserte Einschränkungen bezüglich vertraulicher Informationen behoben.

CVE-2022-46707: Csaba Fitzl (@theevilbit) von Offensive Security

Eintrag am 1. August 2023 hinzugefügt

Maps

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.

Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.

CVE-2022-32883: Ron Masas von breakpointhq.com

MediaLibrary

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Ein Benutzer kann Rechte erhöhen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2022-32908: ein anonymer Forscher

Model I/O

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten USD-Datei kann möglicherweise Speicherinhalte offenlegen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-42810: Xingwei Lin (@xwlin_roy) und Yinyi Wu von Ant Security Light-Year Lab

Eintrag hinzugefügt am 27. Oktober 2022

ncurses

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Ein lokaler Benutzer kann einen unerwarteten App-Abbruch oder die willkürliche Ausführung von Code verursachen.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2021-39537

ncurses

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten Datei kann zu einem Denial-of-Service führen und möglicherweise Speicherinhalte preisgeben.

Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Überprüfung behoben.

CVE-2022-29458

Notes

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Ein Benutzer mit privilegierter Netzwerkposition kann unter Umständen Benutzeraktivitäten nachverfolgen.

Beschreibung: Dieses Problem wurde durch verbesserten Datenschutz behoben.

CVE-2022-42818: Gustav Hansen von WithSecure

Notifications

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Ein Benutzer mit physischem Zugang zu einem Gerät kann unter Umständen vom Sperrbildschirm aus auf Kontakte zugreifen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-32879: Ubeydullah Sümer

PackageKit

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann möglicherweise geschützte Bereiche des Dateisystems ändern.

Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch eine verbesserte Statusverarbeitung behoben.

CVE-2022-32895: Mickey Jin (@patch1t) von Trend Micro, Mickey Jin (@patch1t)

PackageKit

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann möglicherweise geschützte Bereiche des Dateisystems ändern.

Beschreibung: Eine Race-Bedingung wurde mit einer zusätzlichen Überprüfung behoben.

CVE-2022-46713: Mickey Jin (@patch1t) von Trend Micro

Eintrag am 20. Februar 2023 hinzugefügt

Photos

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Ein Benutzer kann versehentlich einen Teilnehmer zu einem geteilten Album hinzufügen, indem er die Entf-Taste drückt.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-42807: Ezekiel Elin

Eintrag hinzugefügt am 1. Mai 2023, aktualisiert am 1. August 2023

Photos

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Die Privatsphäre-Einstellungen können von einer App möglicherweise umgangen werden.

Beschreibung: Dieses Problem wurde durch verbesserten Datenschutz behoben.

CVE-2022-32918: Ashwani Rajput von Nagarro Software Pvt. Ltd, Srijan Shivam Mishra von The Hack Report, Jugal Goradia von Aastha Technologies, Evan Ricafort (evanricafort.com) von Invalid Web Security, Shesha Sai C (linkedin.com/in/shesha-sai-c-18585b125) und Amod Raghunath Patwardhan aus Pune, Indien

Eintrag am Donnerstag, 16. März 2023 aktualisiert

ppp

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App mit Root-Rechten kann willkürlichen Code mit Kernelrechten ausführen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-42829: ein anonymer Forscher

ppp

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App mit Root-Rechten kann willkürlichen Code mit Kernelrechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-42830: ein anonymer Forscher

ppp

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App mit Root-Rechten kann willkürlichen Code mit Kernelrechten ausführen.

Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch verbesserten Sperrschutz behoben.

CVE-2022-42831: ein anonymer Forscher

CVE-2022-42832: ein anonymer Forscher

ppp

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Ein Pufferüberlauf kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Das Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2022-32941: ein anonymer Forscher

Eintrag hinzugefügt am 27. Oktober 2022

Ruby

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Remotebenutzer können einen unerwarteten App-Abbruch oder die willkürliche Ausführung von Code verursachen.

Beschreibung: Mehrere Speicherprobleme wurden durch die Aktualisierung von Ruby auf Version 2.6.10 behoben.

CVE-2022-28739

Sandbox

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann möglicherweise geschützte Bereiche des Dateisystems ändern.

Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.

CVE-2022-32881: Csaba Fitzl (@theevilbit) von Offensive Security

Sandbox

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App mit Root-Rechten kann möglicherweise auf private Daten zugreifen.

Beschreibung: Dieses Problem wurde durch verbesserten Datenschutz behoben.

CVE-2022-32862: Rohit Chatterjee von der University of Illinois Urbana-Champaign

CVE-2022-32931: ein anonymer Forscher

Eintrag aktualisiert am 16. März 2023, aktualisiert am 21. Dezember 2023

Sandbox

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Zugriffsproblem wurde durch zusätzliche Sandbox-Einschränkungen behoben.

CVE-2022-42811: Justin Bui (@slyd0g) von Snowflake

Security

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann unter Umständen Code-Signaturprüfungen umgehen.

Beschreibung: Ein Problem bei der Überprüfung von Code-Signaturen wurde durch verbesserte Prüfungen behoben.

CVE-2022-42793: Linus Henze von der Pinauten GmbH (pinauten.de)

Shortcuts

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Ein Kurzbefehl kann das Album „Ausgeblendet“ ohne Authentifizierung anzeigen

Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.

CVE-2022-32876: Ein anonymer Forscher

Eintrag am 1. August 2023 hinzugefügt

Shortcuts

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Ein Kurzbefehl kann möglicherweise das Vorhandensein eines willkürlichen Pfads im Dateisystem überprüfen.

Beschreibung: Ein Parsing-Problem bei der Verarbeitung von Verzeichnispfaden wurde durch eine verbesserte Pfadüberprüfung behoben.

CVE-2022-32938: Cristian Dinca von der Tudor Vianu National High School of Computer Science, Rumänien

Sidecar

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Benutzer können möglicherweise eingeschränkten Inhalt auf dem Sperrbildschirm anzeigen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-42790: Om Kothawade von Zaprico Digital

Siri

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Ein Benutzer mit physischem Zugang zu einem Gerät kann sich mit Siri unter Umständen Informationen zum Anrufverlauf beschaffen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-32870: Andrew Goldberg von The McCombs School of Business, The University of Texas at Austin (linkedin.com/in/andrew-goldberg-/)

SMB

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Remotebenutzer können die Ausführung von Kernelcode verursachen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-32934: Felix Poulin-Belanger

Software Update

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch eine verbesserte Statusverarbeitung behoben.

CVE-2022-42791: Mickey Jin (@patch1t) von Trend Micro

SQLite

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Ein Remote-Benutzer kann möglicherweise einen Denial-of-Service verursachen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2021-36690

System Settings

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann möglicherweise geschützte Bereiche des Dateisystems ändern.

Beschreibung: Dieses Problem wurde durch verbesserten Datenschutz behoben.

CVE-2022-48505: Adam Chester von TrustedSec und Thijs Alkemade (@xnyhps) von Computest Sector 7

Eintrag hinzugefügt am 26. Juni 2023

TCC

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann möglicherweise einen Denial-of-Service bei Endpoint Security-Clients verursachen

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-26699: Csaba Fitzl (@theevilbit) von Offensive Security

Eintrag am 1. August 2023 hinzugefügt

Vim

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Mehrere Probleme in Vim

Beschreibung: Mehrere Probleme wurden durch ein Update von Vim behoben.

CVE-2022-0261

CVE-2022-0318

CVE-2022-0319

CVE-2022-0351

CVE-2022-0359

CVE-2022-0361

CVE-2022-0368

CVE-2022-0392

CVE-2022-0554

CVE-2022-0572

CVE-2022-0629

CVE-2022-0685

CVE-2022-0696

CVE-2022-0714

CVE-2022-0729

CVE-2022-0943

CVE-2022-1381

CVE-2022-1420

CVE-2022-1725

CVE-2022-1616

CVE-2022-1619

CVE-2022-1620

CVE-2022-1621

CVE-2022-1629

CVE-2022-1674

CVE-2022-1733

CVE-2022-1735

CVE-2022-1769

CVE-2022-1927

CVE-2022-1942

CVE-2022-1968

CVE-2022-1851

CVE-2022-1897

CVE-2022-1898

CVE-2022-1720

CVE-2022-2000

CVE-2022-2042

CVE-2022-2124

CVE-2022-2125

CVE-2022-2126

VPN

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-42828: Ein anonymer Forscher

Eintrag am 1. August 2023 hinzugefügt

Weather

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-32875: ein anonymer Forscher

WebKit

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

WebKit Bugzilla: 246669

CVE-2022-42826: Francisco Alonso (@revskills)

Eintrag am 22. Dezember 2022 hinzugefügt

WebKit

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.

WebKit Bugzilla: 241969

CVE-2022-32886: P1umer (@p1umer), afang (@afang5472), xmzyshypnc (@xmzyshypnc1)

WebKit

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

WebKit Bugzilla: 242047

CVE-2022-32888: P1umer (@p1umer)

WebKit

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

WebKit Bugzilla: 242762

CVE-2022-32912: Jeonghoon Shin (@singi21a) bei Theori in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

WebKit

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine in böser Absicht erstellte Website kann Elemente der Benutzeroberfläche fälschen (UI-Spoofing).

Beschreibung: Das Problem wurde durch verbesserte UI-Verwaltung behoben.

WebKit Bugzilla: 243693

CVE-2022-42799: Jihwan Kim (@gPayl0ad) und Dohyun Lee (@l33d0hyun)

WebKit

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Typenverwechslungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.

WebKit Bugzilla: 244622

CVE-2022-42823: Dohyun Lee (@l33d0hyun) von SSD Labs

WebKit

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Bei der Verarbeitung von in böser Absicht erstellten Webinhalten können vertrauliche Benutzerdaten offengelegt werden.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

WebKit Bugzilla: 245058

CVE-2022-42824: Abdulrahman Alqabandi von Microsoft Browser Vulnerability Research, Ryan Shin vom IAAI SecLab an der Korea University und Dohyun Lee (@l33d0hyun) vom DNSLab an der Korea University

WebKit

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Bei der Verarbeitung von in böser Absicht erstellten Webinhalten kann der interne Status der App offengelegt werden.

Beschreibung: Ein Problem in Bezug auf die Korrektheit in der JIT wurde durch verbesserte Prüfungen behoben.

WebKit Bugzilla: 242964

CVE-2022-32923: Wonyoung Jung (@nonetype_pwn) von KAIST Hacking Lab

Eintrag hinzugefügt am 27. Oktober 2022

WebKit PDF

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

WebKit Bugzilla: 242781

CVE-2022-32922: Yonghwi Jin (@jinmo123) von Theori in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

WebKit Sandboxing

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Ein in der Sandbox ausgeführter Prozess kann möglicherweise Sandbox-Einschränkungen umgehen.

Beschreibung: Ein Zugriffsproblem wurde durch Verbesserungen an der Sandbox behoben.

WebKit Bugzilla: 243181

CVE-2022-32892: @18楼梦想改造家 und @jq0904 vom WeBin Lab von DBAppSecurity

WebKit Storage

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Die Privatsphäre-Einstellungen können von einer App möglicherweise umgangen werden.

Beschreibung: Das Problem wurde durch eine verbesserte Verarbeitung der Caches behoben.

CVE-2022-32833: Csaba Fitzl (@theevilbit) von Offensive Security, Jeff Johnson

Eintrag am 22. Dezember 2022 hinzugefügt

Wi-Fi

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-46709: Wang Yu von Cyberserval

Eintrag hinzugefügt am 16. März 2023

zlib

Verfügbar für: Mac Studio (2022), Mac Pro (2019 und neuer), MacBook Air (2018 und neuer), MacBook Pro (2017 und neuer), Mac mini (2018 und neuer), iMac (2017 und neuer), MacBook (2017) und iMac Pro (2017)

Auswirkung: Ein lokaler Benutzer kann einen unerwarteten App-Abbruch oder die willkürliche Ausführung von Code verursachen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2022-37434: Evgeny Legerov

CVE-2022-42800: Evgeny Legerov

Eintrag hinzugefügt am 27. Oktober 2022

Zusätzliche Danksagung

AirPort

Wir möchten uns bei Joseph Salazar Acuña und Renato Llamoca von Intrado-Life & Safety/Globant für die Unterstützung bedanken.

Apache

Wir möchten uns bei Tricia Lee von Enterprise Service Center für die Unterstützung bedanken.

Eintrag hinzugefügt am 16. März 2023

AppleCredentialManager

Wir möchten uns bei @jonathandata1 für die Unterstützung bedanken.

ATS

Wir möchten uns bei Mickey Jin (@patch1t) für die Unterstützung bedanken.

Eintrag am 1. August 2023 hinzugefügt

FaceTime

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.

FileVault

Wir möchten uns bei Timothy Perfitt von Twocanoes Software für die Unterstützung bedanken.

Find My

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.

Identity Services

Wir möchten uns bei Joshua Jones für die Unterstützung bedanken.

IOAcceleratorFamily

Wir möchten uns bei Antonio Zekic (@antoniozekic) für die Unterstützung bedanken.

IOGPUFamily

Wir möchten uns bei Wang Yu von cyberserval für die Unterstützung bedanken.

Eintrag hinzugefügt am 9. November 2022

Kernel

Wir möchten uns bei Peter Nguyen von STAR Labs, Tim Michaud (@TimGMichaud) von Moveworks.ai, Tingting Yin von der Tsinghua-Universität, Min Zheng von Ant Group, Tommy Muir (@Muirey03) und einem anonymen Forscher für die Unterstützung bedanken.

Login Window

Wir möchten uns bei Simon Tang (simontang.dev) für die Unterstützung bedanken.

Eintrag hinzugefügt am 9. November 2022

Mail

Wir möchten uns bei Taavi Eomäe von Zone Media OÜ und einem anonymen Forscher für die Unterstützung bedanken.

Eintrag aktualisiert am 21. Dezember 2023

Mail Drafts

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.

Networking

Wir möchten uns bei Tim Michaud (@TimGMichaud) von Zoom Video Communications für die Unterstützung bedanken.

Photo Booth

Wir möchten uns bei Prashanth Kannan von Dremio für die Unterstützung bedanken.

Quick Look

Wir möchten uns bei Hilary “It’s off by a Pixel” Street für die Unterstützung bedanken.

Safari

Wir möchten uns bei Scott Hatfield von Sub-Zero Group für die Unterstützung bedanken.

Eintrag hinzugefügt am 16. März 2023

Sandbox

Wir möchten uns bei Csaba Fitzl (@theevilbit) von Offensive Security für die Unterstützung bedanken.

SecurityAgent

Wir möchten uns bei Security Team Netservice de Toekomst, einem anonymen Forscher für die Unterstützung bedanken.

Eintrag am 21. Dezember 2023 hinzugefügt

smbx

Wir möchten uns bei HD Moore von runZero Asset Inventory für die Unterstützung bedanken.

System

Wir möchten uns bei Mickey Jin (@patch1t) von Trend Micro für die Unterstützung bedanken.

System Settings

Wir möchten uns bei Bjorn Hellenbrand für die Unterstützung bedanken.

UIKit

Wir möchten uns bei Aleczander Ewing für die Unterstützung bedanken.

WebKit

Wir möchten uns bei Maddie Stone von Google Project Zero, Narendra Bhati (@imnarendrabhati) von Suma Soft Pvt. Ltd. und einem anonymen Forscher für die Unterstützung bedanken.

WebRTC

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.

Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.

Veröffentlichungsdatum: