Informazioni sui contenuti di sicurezza di macOS Ventura 13
In questo documento vengono descritti i contenuti di sicurezza di macOS Ventura 13.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
macOS Ventura 13
Data di rilascio: 24 ottobre 2022
Accelerate Framework
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di consumo della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2022-42795: ryuzaki
APFS
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: un problema di accesso è stato risolto attraverso migliori restrizioni di accesso.
CVE-2022-48577: Csaba Fitzl (@theevilbit) di Offensive Security
Voce aggiunta il 21 dicembre 2023
Apple Neural Engine
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe divulgare lo stato sensibile del kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2022-32858: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2022-32898: Mohamed Ghannam (@_simo36)
CVE-2022-32899: Mohamed Ghannam (@_simo36)
CVE-2022-46721: Mohamed Ghannam (@_simo36)
CVE-2022-47915: Mohamed Ghannam (@_simo36)
CVE-2022-47965: Mohamed Ghannam (@_simo36)
CVE-2022-32889: Mohamed Ghannam (@_simo36)
Voce aggiornata il 21 dicembre 2023
AppleAVD
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2022-32907: Yinyi Wu, ABC Research s.r.o, Natalie Silvanovich di Google Project Zero, Tommaso Bianco (@cutesmilee__), Antonio Zekic (@antoniozekic) e John Aakerblom (@jaakerblom)
Voce aggiunta il 16 marzo 2023
AppleAVD
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe causare l'interruzione del servizio.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-32827: Antonio Zekic (@antoniozekic), Natalie Silvanovich di Google Project Zero e un ricercatore anonimo
AppleMobileFileIntegrity
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: un problema di configurazione è stato risolto attraverso restrizioni aggiuntive.
CVE-2022-32877: Wojciech Reguła (@_r3ggi) di SecuRing
Voce aggiunta il 16 marzo 2023
AppleMobileFileIntegrity
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: un problema nella convalida della firma del codice è stato risolto attraverso migliori controlli.
CVE-2022-42789: Koh M. Nakagawa di FFRI Security, Inc.
AppleMobileFileIntegrity
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: questo problema è stato risolto attraverso la rimozione dei diritti aggiuntivi.
CVE-2022-42825: Mickey Jin (@patch1t)
Assets
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2022-46722: Mickey Jin (@patch1t)
Voce aggiunta il 1° agosto 2023
ATS
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe bypassare le preferenze sulla privacy.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-32902: Mickey Jin (@patch1t)
ATS
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: un problema di accesso è stato risolto attraverso ulteriori restrizioni della sandbox.
CVE-2022-32904: Mickey Jin (@patch1t)
ATS
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un processo sandbox può essere in grado di eludere le restrizioni della sandbox.
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2022-32890: Mickey Jin (@patch1t)
Audio
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe riuscire ad acquisire privilegi elevati.
Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.
CVE-2022-42796: Mickey Jin (@patch1t)
Voce aggiornata il 16 marzo 2023
Audio
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: l'analisi di un file audio dannoso può causare la divulgazione delle informazioni utente.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2022-42798: anonimo in collaborazione con Zero Day Initiative di Trend Micro
Voce aggiunta il 27 ottobre 2022
AVEVideoEncoder
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con migliori controlli dei limiti.
CVE-2022-32940: ABC Research s.r.o.
Beta Access Utility
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-42816: Mickey Jin (@patch1t)
Voce aggiunta il 21 dicembre 2023
BOM
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app può bypassare i controlli di Gatekeeper.
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2022-42821: Jonathan Bar Or di Microsoft
Voce aggiunta il 13 dicembre 2022
Boot Camp
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: questo problema è stato risolto attraverso migliori controlli in modo da evitare azioni non autorizzate.
CVE-2022-42860: Mickey Jin (@patch1t) di Trend Micro
Voce aggiunta il 16 marzo 2023
Calendar
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: un problema di accesso è stato risolto attraverso migliori restrizioni di accesso.
CVE-2022-42819: un ricercatore anonimo
CFNetwork
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: l'elaborazione di un certificato dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: si verifica un problema relativo alla convalida di un certificato nella gestione di WKWebViewgestione dei certificati WKWebView. Il problema è stato risolto attraverso una migliore convalida.
CVE-2022-42813: Jonathan Zhang di Open Computing Facility (ocf.berkeley.edu)
ColorSync
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: si verificava un problema di danneggiamento della memoria durante l'elaborazione dei profili ICC. Il problema è stato risolto attraverso una migliore convalida dell'input.
CVE-2022-26730: David Hoyt di Hoyt LLC
Core Bluetooth
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe essere in grado di registrare l'audio con gli AirPods abbinati.
Descrizione: un problema di accesso è stato risolto attraverso restrizioni della sandbox aggiuntive su applicazioni di terze parti.
CVE-2022-32945: Guilherme Rambo di Best Buddy Apps (rambo.codes)
Voce aggiunta il 9 novembre 2022
CoreMedia
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'estensione della fotocamera potrebbe continuare a ricevere video dopo che l'app attivata è stata chiusa.
Descrizione: un problema con l'accesso di un'app ai dati della fotocamera è stato risolto attraverso una migliore logica.
CVE-2022-42838: Halle Winkler (@hallewinkler) di Politepix
Voce aggiunta il 22 dicembre 2022
CoreServices
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe essere in grado di uscire dalla sandbox.
Descrizione: un problema di accesso è stato risolto attraverso ulteriori restrizioni della sandbox.
CVE-2022-48683: Thijs Alkemade di Computest Sector 7, Wojciech Reguła (@_r3ggi) di SecuRing e Arsenii Kostromin
Voce aggiunta il 29 maggio 2024
CoreTypes
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'applicazione dannosa può riuscire a bypassare i controlli di Gatekeeper.
Descrizione: questo problema è stato risolto attraverso migliori controlli in modo da evitare azioni non autorizzate.
CVE-2022-22663: Arsenii Kostromin (0x3c3e)
Voce aggiunta il 16 marzo 2023
Crash Reporter
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un utente con accesso fisico a un dispositivo iOS può essere in grado di leggere i log diagnostici passati.
Descrizione: il problema è stato risolto attraverso una migliore protezione dei dati.
CVE-2022-32867: Kshitij Kumar e Jai Musunuri di Crowdstrike
curl
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: diversi problemi in curl.
Descrizione: diversi problemi sono stati risolti con l'aggiornamento di curl alla versione 7.84.0.
CVE-2022-32205
CVE-2022-32206
CVE-2022-32207
CVE-2022-32208
Directory Utility
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2022-42814: Sergii Kryvoblotskyi di MacPaw Inc.
DriverKit
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2022-32865: Linus Henze di Pinauten GmbH (pinauten.de)
DriverKit
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di confusione dei tipi è stato risolto con migliori controlli.
CVE-2022-32915: Tommy Muir (@Muirey03)
Exchange
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un utente in una posizione privilegiata nella rete potrebbe intercettare le credenziali della posta.
Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.
CVE-2022-32928: Jiří Vinopal (@vinopaljiri) di Check Point Research
Voce aggiornata il 16 marzo 2023
FaceTime
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un utente può inviare a sua insaputa audio e video in una chiamata FaceTime.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2022-22643: Sonali Luthar dell'Università della Virginia, Michael Liao dell'Università dell'Illinois a Urbana-Champaign, Rohan Pahwa della Rutgers University e Bao Nguyen dell'Università della Florida
Voce aggiunta il 16 marzo 2023
FaceTime
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un utente potrebbe visualizzare i contenuti con restrizioni dalla schermata di blocco
Descrizione: un problema della schermata di blocco è stato risolto con una migliore gestione dello stato.
CVE-2022-32935: Bistrit Dahal
Voce aggiunta il 27 ottobre 2022
Find My
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'applicazione dannosa può essere in grado di leggere informazioni sensibili sulla posizione.
Descrizione: esisteva un problema di autorizzazioni che è stato risolto attraverso una migliore convalida dell'autorizzazione.
CVE-2022-42788: Csaba Fitzl (@theevilbit) di Offensive Security, Wojciech Reguła di SecuRing (wojciechregula.blog)
Find My
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.
CVE-2022-48504: Csaba Fitzl (@theevilbit) di Offensive Security
Voce aggiunta il 21 dicembre 2023
Finder
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: l'elaborazione di un file DMG dannoso potrebbe portare all'esecuzione di codice arbitrario con i privilegi di sistema.
Descrizione: il problema è stato risolto attraverso una migliore convalida dei link simbolici.
CVE-2022-32905: Ron Masas (breakpoint.sh) di BreakPoint Technologies LTD
GPU Drivers
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2022-42833: Pan ZhenPeng (@Peterpan0927)
Voce aggiunta il 22 dicembre 2022
GPU Drivers
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2022-32947: Asahi Lina (@LinaAsahi)
Grapher
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: l'elaborazione di un file gcx dannoso può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2022-42809: Yutao Wang (@Jack) e Yu Zhou (@yuzhou6666)
Heimdal
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un utente può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2022-3437: Evgeny Legerov di Intevydis
Voce aggiunta il 25 ottobre 2022
iCloud Photo Library
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: un problema di divulgazione delle informazioni è stato risolto rimuovendo il codice vulnerabile.
CVE-2022-32849: Joshua Jones
Voce aggiunta il 9 novembre 2022
Image Processing
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'applicazione sandbox potrebbe essere in grado di determinare quale app utilizza la fotocamera.
Descrizione: il problema è stato risolto attraverso restrizioni aggiuntive sull'osservabilità degli stati delle app.
CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)
ImageIO
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: l'elaborazione di un'immagine potrebbe causare l'interruzione del servizio
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2022-32809: Mickey Jin (@patch1t)
Voce aggiunta il 1° agosto 2023
ImageIO
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: l'elaborazione di un'immagine potrebbe causare l'interruzione del servizio
Descrizione: un problema di interruzione del servizio è stato risolto attraverso una migliore convalida.
CVE-2022-1622
Intel Graphics Driver
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe rivelare la memoria kernel.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2022-32936: Antonio Zekic (@antoniozekic)
IOHIDFamily
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe causare la chiusura improvvisa di un'app o l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-42820: Peter Pan ZhenPeng di STAR Labs
IOKit
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: una race condition è stata risolta attraverso un blocco migliore.
CVE-2022-42806: Tingting Yin della Tsinghua University
Kernel
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe rivelare la memoria kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2022-32864: Linus Henze di Pinauten GmbH (pinauten.de)
Kernel
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2022-32866: Linus Henze di Pinauten GmbH (pinauten.de)
CVE-2022-32911: Zweig di Kunlun Lab
CVE-2022-32924: Ian Beer di Google Project Zero
Kernel
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2022-32914: Zweig di Kunlun Lab
Kernel
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un utente collegato in remoto potrebbe provocare l'esecuzione del codice kernel.
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2022-42808: Zweig di Kunlun Lab
Kernel
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-32944: Tim Michaud (@TimGMichaud) di Moveworks.ai
Voce aggiunta il 27 ottobre 2022
Kernel
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: una race condition è stata risolta attraverso un blocco migliore.
CVE-2022-42803: Xinru Chi di Pangu Lab, John Aakerblom (@jaakerblom)
Voce aggiunta il 27 ottobre 2022
Kernel
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app con privilegi root potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con migliori controlli dei limiti.
CVE-2022-32926: Tim Michaud (@TimGMichaud) di Moveworks.ai
Voce aggiunta il 27 ottobre 2022
Kernel
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2022-42801: Ian Beer di Google Project Zero
Voce aggiunta il 27 ottobre 2022
Kernel
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe causare l'arresto improvviso del sistema o eseguire codice con privilegi kernel.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2022-46712: Tommy Muir (@Muirey03)
Voce aggiunta il 20 febbraio 2023
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: il problema è stato risolto attraverso una migliore protezione dei dati.
CVE-2022-42815: Csaba Fitzl (@theevilbit) di Offensive Security
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe accedere agli allegati delle cartelle di posta tramite una directory temporanea utilizzata durante la compressione.
Descrizione: un problema di accesso è stato risolto attraverso migliori restrizioni di accesso.
CVE-2022-42834: Wojciech Reguła (@_r3ggi) di SecuRing
Voce aggiunta il 1 maggio 2023
Maps
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.
CVE-2022-46707: Csaba Fitzl (@theevilbit) di Offensive Security
Voce aggiunta il 1° agosto 2023
Maps
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.
CVE-2022-32883: Ron Masas di breakpointhq.com
MediaLibrary
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un utente può essere in grado di rendere più elevati i privilegi.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2022-32908: un ricercatore anonimo
Model I/O
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: l'elaborazione di un file USD dannoso potrebbe causare la divulgazione di contenuti presenti in memoria.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2022-42810: Xingwei Lin (@xwlin_roy) e Yinyi Wu di Ant Security Light-Year Lab
Voce aggiunta il 27 ottobre 2022
ncurses
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un utente può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.
CVE-2021-39537
ncurses
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: l'elaborazione di un file dannoso può causare l'interruzione del servizio o la divulgazione di contenuti presenti in memoria.
Descrizione: un problema di interruzione del servizio è stato risolto attraverso una migliore convalida.
CVE-2022-29458
Notes
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un utente in una posizione privilegiata nella rete potrebbe monitorare l'attività dell'utente.
Descrizione: il problema è stato risolto attraverso una migliore protezione dei dati.
CVE-2022-42818: Gustav Hansen di WithSecure
Notifications
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: una utente con accesso fisico a un dispositivo può essere in grado di accedere ai contatti dalla schermata di blocco.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-32879: Ubeydullah Sümer
PackageKit
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: una race condition è stata risolta attraverso una migliore gestione dello stato.
CVE-2022-32895: Mickey Jin (@patch1t) di Trend Micro, Mickey Jin (@patch1t)
PackageKit
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: una race condition è stata risolta con un'ulteriore convalida.
CVE-2022-46713: Mickey Jin (@patch1t) di Trend Micro
Voce aggiunta il 20 febbraio 2023
Photos
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un utente può aggiungere accidentalmente una persona partecipante a un album condiviso premendo il tasto Canc
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-42807: Ezekiel Elin
Voce aggiunta il 1 maggio 2023, aggiornata il 1 agosto 2023
Photos
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe bypassare le preferenze sulla privacy.
Descrizione: il problema è stato risolto attraverso una migliore protezione dei dati.
CVE-2022-32918: Ashwani Rajput di Nagarro Software Pvt. Ltd, Srijan Shivam Mishra di The Hack Report, Jugal Goradia di Aastha Technologies, Evan Ricafort (evanricafort.com) di Invalid Web Security, Shesha Sai C (linkedin.com/in/shesha-sai-c-18585b125) e Amod Raghunath Patwardhan di Pune, India
Voce aggiornata il 16 marzo 2023
ppp
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app con privilegi root potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2022-42829: un ricercatore anonimo
ppp
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app con privilegi root potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2022-42830: un ricercatore anonimo
ppp
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app con privilegi root potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: una race condition è stata risolta attraverso un blocco migliore.
CVE-2022-42831: un ricercatore anonimo
CVE-2022-42832: un ricercatore anonimo
ppp
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un overflow del buffer può causare l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto con migliori controlli dei limiti.
CVE-2022-32941: un ricercatore anonimo
Voce aggiunta il 27 ottobre 2022
Ruby
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un utente collegato in remoto può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto aggiornando Ruby alla versione 2.6.10.
CVE-2022-28739
Sandbox
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.
CVE-2022-32881: Csaba Fitzl (@theevilbit) di Offensive Security
Sandbox
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app con privilegi root potrebbe accedere a informazioni private.
Descrizione: il problema è stato risolto attraverso una migliore protezione dei dati.
CVE-2022-32862: Rohit Chatterjee dell'Università dell'Illinois Urbana-Champaign
CVE-2022-32931: un ricercatore anonimo
Voce aggiornata il 16 marzo 2023 e il 21 dicembre 2023
Sandbox
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: un problema di accesso è stato risolto attraverso ulteriori restrizioni della sandbox.
CVE-2022-42811: Justin Bui (@slyd0g) di Snowflake
Security
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe bypassare i controlli di firma del codice.
Descrizione: un problema nella convalida della firma del codice è stato risolto attraverso migliori controlli.
CVE-2022-42793: Linus Henze di Pinauten GmbH (pinauten.de)
Shortcuts
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un comando rapido può essere in grado di visualizzare gli album fotografici nascosti senza autenticazione.
Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.
CVE-2022-32876: un ricercatore anonimo
Voce aggiunta il 1° agosto 2023
Shortcuts
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un comando rapido può essere in grado di verificare l'esistenza di un percorso arbitrario sul file system.
Descrizione: un problema di analisi nella gestione dei percorsi di directory è stato risolto attraverso una migliore convalida dei percorsi.
CVE-2022-32938: Cristian Dinca della Tudor Vianu National High School of Computer Science della Romania
Sidecar
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un utente potrebbe visualizzare i contenuti con restrizioni dalla schermata di blocco
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-42790: Om kothawade di Zaprico Digital
Siri
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un utente con accesso fisico a un dispositivo può essere in grado di usare Siri per ottenere alcune informazioni sulla cronologia delle chiamate.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-32870: Andrew Goldberg della McCombs School of Business della University of Texas di Austin (linkedin.com/in/andrew-goldberg-/)
SMB
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un utente collegato in remoto potrebbe provocare l'esecuzione del codice kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2022-32934: Felix Poulin-Belanger
Software Update
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: una race condition è stata risolta attraverso una migliore gestione dello stato.
CVE-2022-42791: Mickey Jin (@patch1t) di Trend Micro
SQLite
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un utente collegato in remoto potrebbe causare l'interruzione del servizio.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2021-36690
System Settings
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: il problema è stato risolto attraverso una migliore protezione dei dati.
CVE-2022-48505: Adam Chester di TrustedSec e Thijs Alkemade (@xnyhps) di Computest Sector 7
Voce aggiunta il 26 giugno 2023
TCC
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe causare una negazione del servizio ai client Endpoint Security
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-26699: Csaba Fitzl (@theevilbit) di Offensive Security
Voce aggiunta il 1° agosto 2023
Vim
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: diversi problemi presenti in Vim.
Descrizione: diversi problemi sono stati risolti con l'aggiornamento di Vim.
CVE-2022-0261
CVE-2022-0318
CVE-2022-0319
CVE-2022-0351
CVE-2022-0359
CVE-2022-0361
CVE-2022-0368
CVE-2022-0392
CVE-2022-0554
CVE-2022-0572
CVE-2022-0629
CVE-2022-0685
CVE-2022-0696
CVE-2022-0714
CVE-2022-0729
CVE-2022-0943
CVE-2022-1381
CVE-2022-1420
CVE-2022-1725
CVE-2022-1616
CVE-2022-1619
CVE-2022-1620
CVE-2022-1621
CVE-2022-1629
CVE-2022-1674
CVE-2022-1733
CVE-2022-1735
CVE-2022-1769
CVE-2022-1927
CVE-2022-1942
CVE-2022-1968
CVE-2022-1851
CVE-2022-1897
CVE-2022-1898
CVE-2022-1720
CVE-2022-2000
CVE-2022-2042
CVE-2022-2124
CVE-2022-2125
CVE-2022-2126
VPN
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2022-42828: un ricercatore anonimo
Voce aggiunta il 1° agosto 2023
Weather
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-32875: un ricercatore anonimo
WebKit
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
WebKit Bugzilla: 246669
CVE-2022-42826: Francisco Alonso (@revskills)
Voce aggiunta il 22 dicembre 2022
WebKit
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.
WebKit Bugzilla: 241969
CVE-2022-32886: P1umer (@p1umer), afang (@afang5472), xmzyshypnc (@xmzyshypnc1)
WebKit
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)
WebKit
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a) di Theori in collaborazione con Trend Micro Zero Day Initiative
WebKit
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: l'accesso a un sito web dannoso può causare lo spoofing dell'interfaccia utente.
Descrizione: il problema è stato risolto attraverso una migliore gestione dell'interfaccia utente.
WebKit Bugzilla: 243693
CVE-2022-42799: Jihwan Kim (@gPayl0ad), Dohyun Lee (@l33d0hyun)
WebKit
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.
WebKit Bugzilla: 244622
CVE-2022-42823: Dohyun Lee (@l33d0hyun) di SSD Labs
WebKit
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: l'elaborazione di contenuti web dannosi può divulgare informazioni sensibili dell'utente.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
WebKit Bugzilla: 245058
CVE-2022-42824: Abdulrahman Alqabandi di Microsoft Browser Vulnerability Research, Ryan Shin di IAAI SecLab dell'Università della Corea, Dohyun Lee (@l33d0hyun) di DNSLab dell'Università della Corea
WebKit
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: l'elaborazione di contenuti web dannosi potrebbe rivelare gli stati interni dell'app.
Descrizione: un problema di correttezza nel JIT è stato risolto attraverso migliori controlli.
WebKit Bugzilla: 242964
CVE-2022-32923: Wonyoung Jung (@nonetype_pwn) di KAIST Hacking Lab
Voce aggiunta il 27 ottobre 2022
WebKit PDF
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
WebKit Bugzilla: 242781
CVE-2022-32922: Yonghwi Jin (@jinmo123) di Theori in collaborazione con Zero Day Initiative di Trend Micro
WebKit Sandboxing
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un processo sandbox può essere in grado di eludere le restrizioni della sandbox.
Descrizione: un problema di accesso è stato risolto con miglioramenti alla sandbox.
WebKit Bugzilla: 243181
CVE-2022-32892: @18楼梦想改造家 e @jq0904 del WeBin lab di DBAppSecurity
WebKit Storage
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe bypassare le preferenze sulla privacy.
Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.
CVE-2022-32833: Csaba Fitzl (@theevilbit) di Offensive Security, Jeff Johnson
Voce aggiunta il 22 dicembre 2022
Wi-Fi
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-46709: Wang Yu di Cyberserval
Voce aggiunta il 16 marzo 2023
zlib
Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)
Impatto: un utente può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2022-37434: Evgeny Legerov
CVE-2022-42800: Evgeny Legerov
Voce aggiunta il 27 ottobre 2022
Altri riconoscimenti
AirPort
Ringraziamo Joseph Salazar Acuña e Renato Llamoca di Intrado-Life & Safety/Globant per l'assistenza.
Apache
Ringraziamo Tricia Lee di Enterprise Service Center per l'assistenza.
Voce aggiunta il 16 marzo 2023
AppleCredentialManager
Ringraziamo @jonathandata1 per l'assistenza.
ATS
Ringraziamo Mickey Jin (@patch1t) per l'assistenza.
Voce aggiunta il 1° agosto 2023
FaceTime
Ringraziamo un ricercatore anonimo per l'assistenza.
FileVault
Ringraziamo Timothy Perfitt di Twocanoes Software per l'assistenza.
Find My
Ringraziamo un ricercatore anonimo per l'assistenza.
Identity Services
Ringraziamo Joshua Jones per l'assistenza.
IOAcceleratorFamily
Ringraziamo Antonio Zekic (@antoniozekic) per l'assistenza.
IOGPUFamily
Ringraziamo Wang Yu di cyberserval per l'assistenza.
Voce aggiunta il 9 novembre 2022
Kernel
Ringraziamo Peter Nguyen di STAR Labs, Tim Michaud (@TimGMichaud) di Moveworks.ai, Tingting Yin della Tsinghua University, Min Zheng di Ant Group, Tommy Muir (@Muirey03) e un ricercatore anonimo per l'assistenza.
Login Window
Ringraziamo Simon Tang (simontang.dev) per l'assistenza.
Voce aggiunta il 9 novembre 2022
Ringraziamo Taavi Eomäe di Zone Media OÜ e un ricercatore anonimo per l'assistenza.
Voce aggiornata il 21 dicembre 2023
Mail Drafts
Ringraziamo un ricercatore anonimo per l'assistenza.
Networking
Ringraziamo Tim Michaud (@TimGMichaud) di Zoom Video Communications per l'assistenza.
Photo Booth
Ringraziamo Prashanth Kannan di Dremio per l'assistenza.
Quick Look
Ringraziamo Hilary "It's off by a Pixel" Street per l'assistenza.
Safari
Ringraziamo Scott Hatfield di Sub-Zero Group per l'assistenza.
Voce aggiunta il 16 marzo 2023
Sandbox
Ringraziamo Csaba Fitzl (@theevilbit) di Offensive Security per l'assistenza.
SecurityAgent
Ringraziamo Security Team Netservice di Toekomst e un ricercatore anonimo per l'assistenza.
Voce aggiunta il 21 dicembre 2023
smbx
Ringraziamo HD Moore di runZero Asset Inventory per l'assistenza.
Sistema
Ringraziamo Mickey Jin (@patch1t) di Trend Micro per l'assistenza.
System Settings
Ringraziamo Bjorn Hellenbrand per l'assistenza.
UIKit
Ringraziamo Aleczander Ewing per l'assistenza.
WebKit
Ringraziamo Maddie Stone di Google Project Zero, Narendra Bhati (@imnarendrabhati) di Suma Soft Pvt. Ltd. e un ricercatore anonimo per l'assistenza.
WebRTC
Ringraziamo un ricercatore anonimo per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.