Informazioni sui contenuti di sicurezza di macOS Ventura 13

In questo documento vengono descritti i contenuti di sicurezza di macOS Ventura 13.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

macOS Ventura 13

Data di rilascio: 24 ottobre 2022

Accelerate Framework

Disponibile per: Mac Studio (2022), Mac Pro (2019 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2017 e successivi), Mac mini (2018 e successivi), iMac (2017 e successivi), MacBook (2017) e iMac Pro (2017)

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di consumo della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2022-42795: ryuzaki

APFS

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: un problema di accesso è stato risolto attraverso migliori restrizioni di accesso.

CVE-2022-48577: Csaba Fitzl (@theevilbit) di Offensive Security

Voce aggiunta il 21 dicembre 2023

Apple Neural Engine

Impatto: un'app potrebbe divulgare lo stato sensibile del kernel

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2022-32858: Mohamed Ghannam (@_simo36)

Apple Neural Engine

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2022-32898: Mohamed Ghannam (@_simo36)

CVE-2022-32899: Mohamed Ghannam (@_simo36)

CVE-2022-46721: Mohamed Ghannam (@_simo36)

CVE-2022-47915: Mohamed Ghannam (@_simo36)

CVE-2022-47965: Mohamed Ghannam (@_simo36)

CVE-2022-32889: Mohamed Ghannam (@_simo36)

Voce aggiornata il 21 dicembre 2023

AppleAVD

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2022-32907: Yinyi Wu, ABC Research s.r.o, Natalie Silvanovich di Google Project Zero, Tommaso Bianco (@cutesmilee__), Antonio Zekic (@antoniozekic) e John Aakerblom (@jaakerblom)

Voce aggiunta il 16 marzo 2023

AppleAVD

Impatto: un'app può essere in grado di causare l'interruzione del servizio.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2022-32827: Antonio Zekic (@antoniozekic), Natalie Silvanovich di Google Project Zero e un ricercatore anonimo

AppleMobileFileIntegrity

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: un problema di configurazione è stato risolto attraverso restrizioni aggiuntive.

CVE-2022-32877: Wojciech Reguła (@_r3ggi) di SecuRing

Voce aggiunta il 16 marzo 2023

AppleMobileFileIntegrity

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: un problema nella convalida della firma del codice è stato risolto attraverso migliori controlli.

CVE-2022-42789: Koh M. Nakagawa di FFRI Security, Inc.

AppleMobileFileIntegrity

Impatto: un'app potrebbe modificare parti protette del file system.

Descrizione: questo problema è stato risolto attraverso la rimozione dei diritti aggiuntivi.

CVE-2022-42825: Mickey Jin (@patch1t)

Assets

Impatto: un'app potrebbe modificare parti protette del file system.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2022-46722: Mickey Jin (@patch1t)

Voce aggiunta il 1° agosto 2023

ATS

Impatto: un'app potrebbe bypassare le preferenze sulla privacy.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2022-32902: Mickey Jin (@patch1t)

ATS

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: un problema di accesso è stato risolto attraverso ulteriori restrizioni della sandbox.

CVE-2022-32904: Mickey Jin (@patch1t)

ATS

Impatto: un processo sandbox può essere in grado di eludere le restrizioni della sandbox.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2022-32890: Mickey Jin (@patch1t)

Audio

Impatto: un'app potrebbe riuscire ad acquisire privilegi elevati

Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.

CVE-2022-42796: Mickey Jin (@patch1t)

Voce aggiornata il 16 marzo 2023

Audio

Impatto: l'analisi di un file audio dannoso può causare la divulgazione delle informazioni utente.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2022-42798: anonimo in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiunta il 27 ottobre 2022

AVEVideoEncoder

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

CVE-2022-32940: ABC Research s.r.o.

Beta Access Utility

Impatto: un'app potrebbe modificare parti protette del file system.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2022-42816: Mickey Jin (@patch1t)

Voce aggiunta il 21 dicembre 2023

BOM

Impatto: un'app può bypassare i controlli di Gatekeeper.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2022-42821: Jonathan Bar Or di Microsoft

Voce aggiunta il 13 dicembre 2022

Boot Camp

Impatto: un'app potrebbe modificare parti protette del file system.

Descrizione: questo problema è stato risolto attraverso migliori controlli in modo da evitare azioni non autorizzate.

CVE-2022-42860: Mickey Jin (@patch1t) di Trend Micro

Voce aggiunta il 16 marzo 2023

Calendar

Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.

Descrizione: un problema di accesso è stato risolto attraverso migliori restrizioni di accesso.

CVE-2022-42819: un ricercatore anonimo

CFNetwork

Impatto: l'elaborazione di un certificato dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: si verifica un problema relativo alla convalida di un certificato nella gestione di WKWebViewgestione dei certificati WKWebView. Il problema è stato risolto attraverso una migliore convalida.

CVE-2022-42813: Jonathan Zhang di Open Computing Facility (ocf.berkeley.edu)

ColorSync

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: si verificava un problema di danneggiamento della memoria durante l'elaborazione dei profili ICC. Il problema è stato risolto attraverso una migliore convalida dell'input.

CVE-2022-26730: David Hoyt di Hoyt LLC

Core Bluetooth

Impatto: un'app potrebbe essere in grado di registrare l'audio con gli AirPods abbinati.

Descrizione: un problema di accesso è stato risolto attraverso restrizioni della sandbox aggiuntive su applicazioni di terze parti.

CVE-2022-32945: Guilherme Rambo di Best Buddy Apps (rambo.codes)

Voce aggiunta il 9 novembre 2022

CoreMedia

Impatto: un'estensione della fotocamera potrebbe continuare a ricevere video dopo che l'app attivata è stata chiusa

Descrizione: un problema con l'accesso di un'app ai dati della fotocamera è stato risolto attraverso una migliore logica.

CVE-2022-42838: Halle Winkler (@hallewinkler) di Politepix

Voce aggiunta il 22 dicembre 2022

CoreTypes

Impatto: un'applicazione dannosa può riuscire a bypassare i controlli di Gatekeeper.

Descrizione: questo problema è stato risolto attraverso migliori controlli in modo da evitare azioni non autorizzate.

CVE-2022-22663: Arsenii Kostromin (0x3c3e)

Voce aggiunta il 16 marzo 2023

Crash Reporter

Impatto: un utente con accesso fisico a un dispositivo iOS può essere in grado di leggere i log diagnostici passati.

Descrizione: il problema è stato risolto attraverso una migliore protezione dei dati.

CVE-2022-32867: Kshitij Kumar e Jai Musunuri di Crowdstrike

curl

Impatto: diversi problemi in curl.

Descrizione: diversi problemi sono stati risolti con l'aggiornamento di curl alla versione 7.84.0.

CVE-2022-32205

CVE-2022-32206

CVE-2022-32207

CVE-2022-32208

Directory Utility

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2022-42814: Sergii Kryvoblotskyi di MacPaw Inc.

DriverKit

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2022-32865: Linus Henze di Pinauten GmbH (pinauten.de)

DriverKit

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di confusione dei tipi è stato risolto con migliori controlli.

CVE-2022-32915: Tommy Muir (@Muirey03)

Exchange

Impatto: un utente in una posizione privilegiata nella rete potrebbe intercettare le credenziali della posta.

Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.

CVE-2022-32928: Jiří Vinopal (@vinopaljiri) di Check Point Research

Voce aggiornata il 16 marzo 2023

FaceTime

Impatto: un utente può inviare a sua insaputa audio e video in una chiamata FaceTime.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2022-22643: Sonali Luthar dell'Università della Virginia, Michael Liao dell'Università dell'Illinois a Urbana-Champaign, Rohan Pahwa della Rutgers University e Bao Nguyen dell'Università della Florida

Voce aggiunta il 16 marzo 2023

FaceTime

Impatto: un utente potrebbe visualizzare i contenuti con restrizioni dalla schermata di blocco

Descrizione: un problema della schermata di blocco è stato risolto con una migliore gestione dello stato.

CVE-2022-32935: Bistrit Dahal

Voce aggiunta il 27 ottobre 2022

Find My

Impatto: un'applicazione dannosa può essere in grado di leggere informazioni sensibili sulla posizione.

Descrizione: esisteva un problema di autorizzazioni che è stato risolto attraverso una migliore convalida dell'autorizzazione.

CVE-2022-42788: Csaba Fitzl (@theevilbit) di Offensive Security, Wojciech Reguła di SecuRing (wojciechregula.blog)

Find My

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.

CVE-2022-48504: Csaba Fitzl (@theevilbit) di Offensive Security

Voce aggiunta il 21 dicembre 2023

Finder

Impatto: l'elaborazione di un file DMG dannoso potrebbe portare all'esecuzione di codice arbitrario con i privilegi di sistema.

Descrizione: il problema è stato risolto attraverso una migliore convalida dei link simbolici.

CVE-2022-32905: Ron Masas (breakpoint.sh) di BreakPoint Technologies LTD

GPU Drivers

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2022-42833: Pan ZhenPeng (@Peterpan0927)

Voce aggiunta il 22 dicembre 2022

GPU Drivers

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2022-32947: Asahi Lina (@LinaAsahi)

Grapher

Impatto: l'elaborazione di un file gcx dannoso può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2022-42809: Yutao Wang (@Jack) e Yu Zhou (@yuzhou6666)

Heimdal

Impatto: un utente può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2022-3437: Evgeny Legerov di Intevydis

Voce aggiunta il 25 ottobre 2022

iCloud Photo Library

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: un problema di divulgazione delle informazioni è stato risolto rimuovendo il codice vulnerabile.

CVE-2022-32849: Joshua Jones

Voce aggiunta il 9 novembre 2022

Image Processing

Impatto: un'applicazione sandbox potrebbe essere in grado di determinare quale app utilizza la fotocamera.

Descrizione: il problema è stato risolto attraverso restrizioni aggiuntive sull'osservabilità degli stati delle app.

CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)

ImageIO

Impatto: l'elaborazione di un'immagine potrebbe causare l'interruzione del servizio

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2022-32809: Mickey Jin (@patch1t)

Voce aggiunta il 1° agosto 2023

ImageIO

Impatto: l'elaborazione di un'immagine potrebbe causare l'interruzione del servizio

Descrizione: un problema di interruzione del servizio è stato risolto attraverso una migliore convalida.

CVE-2022-1622

Intel Graphics Driver

Impatto: un'app potrebbe rivelare la memoria kernel.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2022-32936: Antonio Zekic (@antoniozekic)

IOHIDFamily

Impatto: un'app potrebbe causare la chiusura improvvisa di un'app o l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2022-42820: Peter Pan ZhenPeng di STAR Labs

IOKit

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: una race condition è stata risolta attraverso un blocco migliore.

CVE-2022-42806: Tingting Yin della Tsinghua University

Kernel

Impatto: un'app potrebbe rivelare la memoria kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2022-32864: Linus Henze di Pinauten GmbH (pinauten.de)

Kernel

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2022-32866: Linus Henze di Pinauten GmbH (pinauten.de)

CVE-2022-32911: Zweig di Kunlun Lab

CVE-2022-32924: Ian Beer di Google Project Zero

Kernel

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2022-32914: Zweig di Kunlun Lab

Kernel

Impatto: un utente collegato in remoto potrebbe provocare l'esecuzione del codice kernel.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2022-42808: Zweig di Kunlun Lab

Kernel

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2022-32944: Tim Michaud (@TimGMichaud) di Moveworks.ai

Voce aggiunta il 27 ottobre 2022

Kernel

Impatto: un'app potrebbe eseguire un codice arbitrario con privilegi kernel

Descrizione: una race condition è stata risolta attraverso un blocco migliore.

CVE-2022-42803: Xinru Chi di Pangu Lab, John Aakerblom (@jaakerblom)

Voce aggiunta il 27 ottobre 2022

Kernel

Impatto: un'app con privilegi root potrebbe eseguire codice arbitrario con privilegi kernel

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

CVE-2022-32926: Tim Michaud (@TimGMichaud) di Moveworks.ai

Voce aggiunta il 27 ottobre 2022

Kernel

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2022-42801: Ian Beer di Google Project Zero

Voce aggiunta il 27 ottobre 2022

Kernel

Impatto: un'app potrebbe causare l'arresto improvviso del sistema o eseguire codice con privilegi kernel

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2022-46712: Tommy Muir (@Muirey03)

Voce aggiunta il 20 febbraio 2023

Mail

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: il problema è stato risolto attraverso una migliore protezione dei dati.

CVE-2022-42815: Csaba Fitzl (@theevilbit) di Offensive Security

Mail

Impatto: un'app potrebbe accedere agli allegati delle cartelle di posta tramite una directory temporanea utilizzata durante la compressione.

Descrizione: un problema di accesso è stato risolto attraverso migliori restrizioni di accesso.

CVE-2022-42834: Wojciech Reguła (@_r3ggi) di SecuRing

Voce aggiunta il 1 maggio 2023

Maps

Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.

Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.

CVE-2022-46707: Csaba Fitzl (@theevilbit) di Offensive Security

Voce aggiunta il 1° agosto 2023

Maps

Impatto: un'app può essere in grado di leggere informazioni sensibili sulla posizione.

Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.

CVE-2022-32883: Ron Masas di breakpointhq.com

MediaLibrary

Impatto: un utente può essere in grado di rendere più elevati i privilegi.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2022-32908: un ricercatore anonimo

Model I/O

Impatto: l'elaborazione di un file USD dannoso potrebbe causare la divulgazione di contenuti presenti in memoria.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2022-42810: Xingwei Lin (@xwlin_roy) e Yinyi Wu di Ant Security Light-Year Lab

Voce aggiunta il 27 ottobre 2022

ncurses

Impatto: un utente può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.

Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.

CVE-2021-39537

ncurses

Impatto: l'elaborazione di un file dannoso può causare l'interruzione del servizio o la divulgazione di contenuti presenti in memoria.

Descrizione: un problema di interruzione del servizio è stato risolto attraverso una migliore convalida.

CVE-2022-29458

Notes

Impatto: un utente in una posizione privilegiata nella rete potrebbe monitorare l'attività dell'utente.

Descrizione: il problema è stato risolto attraverso una migliore protezione dei dati.

CVE-2022-42818: Gustav Hansen di WithSecure

Notifications

Impatto: una utente con accesso fisico a un dispositivo può essere in grado di accedere ai contatti dalla schermata di blocco.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2022-32879: Ubeydullah Sümer

PackageKit

Impatto: un'app potrebbe modificare parti protette del file system.

Descrizione: una race condition è stata risolta attraverso una migliore gestione dello stato.

CVE-2022-32895: Mickey Jin (@patch1t) di Trend Micro, Mickey Jin (@patch1t)

PackageKit

Impatto: un'app potrebbe modificare parti protette del file system.

Descrizione: una race condition è stata risolta con un'ulteriore convalida.

CVE-2022-46713: Mickey Jin (@patch1t) di Trend Micro

Voce aggiunta il 20 febbraio 2023

Photos

Impatto: un utente può aggiungere accidentalmente una persona partecipante a un album condiviso premendo il tasto Canc

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2022-42807: Ezekiel Elin

Voce aggiunta il 1 maggio 2023, aggiornata il 1 agosto 2023

Photos

Impatto: un'app potrebbe bypassare le preferenze sulla privacy.

Descrizione: il problema è stato risolto attraverso una migliore protezione dei dati.

CVE-2022-32918: Ashwani Rajput di Nagarro Software Pvt. Ltd, Srijan Shivam Mishra di The Hack Report, Jugal Goradia di Aastha Technologies, Evan Ricafort (evanricafort.com) di Invalid Web Security, Shesha Sai C (linkedin.com/in/shesha-sai-c-18585b125) e Amod Raghunath Patwardhan di Pune, India

Voce aggiornata il 16 marzo 2023

ppp

Impatto: un'app con privilegi root potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2022-42829: un ricercatore anonimo

ppp

Impatto: un'app con privilegi root potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2022-42830: un ricercatore anonimo

ppp

Impatto: un'app con privilegi root potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: una race condition è stata risolta attraverso un blocco migliore.

CVE-2022-42831: un ricercatore anonimo

CVE-2022-42832: un ricercatore anonimo

ppp

Impatto: un overflow del buffer può causare l'esecuzione di codice arbitrario

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

CVE-2022-32941: un ricercatore anonimo

Voce aggiunta il 27 ottobre 2022

Ruby

Impatto: un utente collegato in remoto può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto aggiornando Ruby alla versione 2.6.10.

CVE-2022-28739

Sandbox

Impatto: un'app potrebbe modificare parti protette del file system.

Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.

CVE-2022-32881: Csaba Fitzl (@theevilbit) di Offensive Security

Sandbox

Impatto: un'app con privilegi root potrebbe accedere a informazioni private.

Descrizione: il problema è stato risolto attraverso una migliore protezione dei dati.

CVE-2022-32862: Rohit Chatterjee dell'Università dell'Illinois Urbana-Champaign

CVE-2022-32931: un ricercatore anonimo

Voce aggiornata il 16 marzo 2023 e il 21 dicembre 2023

Sandbox

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: un problema di accesso è stato risolto attraverso ulteriori restrizioni della sandbox.

CVE-2022-42811: Justin Bui (@slyd0g) di Snowflake

Security

Impatto: un'app potrebbe bypassare i controlli di firma del codice.

Descrizione: un problema nella convalida della firma del codice è stato risolto attraverso migliori controlli.

CVE-2022-42793: Linus Henze di Pinauten GmbH (pinauten.de)

Shortcuts

Impatto: un comando rapido può essere in grado di visualizzare gli album fotografici nascosti senza autenticazione.

Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.

CVE-2022-32876: un ricercatore anonimo

Voce aggiunta il 1° agosto 2023

Shortcuts

Impatto: un comando rapido può essere in grado di verificare l'esistenza di un percorso arbitrario sul file system.

Descrizione: un problema di analisi nella gestione dei percorsi di directory è stato risolto attraverso una migliore convalida dei percorsi.

CVE-2022-32938: Cristian Dinca della Tudor Vianu National High School of Computer Science della Romania

Sidecar

Impatto: un utente potrebbe visualizzare i contenuti con restrizioni dalla schermata di blocco

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2022-42790: Om kothawade di Zaprico Digital

Siri

Impatto: un utente con accesso fisico a un dispositivo può essere in grado di usare Siri per ottenere alcune informazioni sulla cronologia delle chiamate.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2022-32870: Andrew Goldberg della McCombs School of Business della University of Texas di Austin (linkedin.com/in/andrew-goldberg-/)

SMB

Impatto: un utente collegato in remoto potrebbe provocare l'esecuzione del codice kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2022-32934: Felix Poulin-Belanger

Software Update

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: una race condition è stata risolta attraverso una migliore gestione dello stato.

CVE-2022-42791: Mickey Jin (@patch1t) di Trend Micro

SQLite

Impatto: un utente collegato in remoto potrebbe causare l'interruzione del servizio.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2021-36690

System Settings

Impatto: un'app potrebbe modificare parti protette del file system.

Descrizione: il problema è stato risolto attraverso una migliore protezione dei dati.

CVE-2022-48505: Adam Chester di TrustedSec e Thijs Alkemade (@xnyhps) di Computest Sector 7

Voce aggiunta il 26 giugno 2023

TCC

Impatto: un'app potrebbe causare una negazione del servizio ai client Endpoint Security.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2022-26699: Csaba Fitzl (@theevilbit) di Offensive Security

Voce aggiunta il 1° agosto 2023

Vim

Impatto: diversi problemi presenti in Vim.

Descrizione: diversi problemi sono stati risolti con l'aggiornamento di Vim.

CVE-2022-0261

CVE-2022-0318

CVE-2022-0319

CVE-2022-0351

CVE-2022-0359

CVE-2022-0361

CVE-2022-0368

CVE-2022-0392

CVE-2022-0554

CVE-2022-0572

CVE-2022-0629

CVE-2022-0685

CVE-2022-0696

CVE-2022-0714

CVE-2022-0729

CVE-2022-0943

CVE-2022-1381

CVE-2022-1420

CVE-2022-1725

CVE-2022-1616

CVE-2022-1619

CVE-2022-1620

CVE-2022-1621

CVE-2022-1629

CVE-2022-1674

CVE-2022-1733

CVE-2022-1735

CVE-2022-1769

CVE-2022-1927

CVE-2022-1942

CVE-2022-1968

CVE-2022-1851

CVE-2022-1897

CVE-2022-1898

CVE-2022-1720

CVE-2022-2000

CVE-2022-2042

CVE-2022-2124

CVE-2022-2125

CVE-2022-2126

VPN

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2022-42828: un ricercatore anonimo

Voce aggiunta il 1° agosto 2023

Weather

Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2022-32875: un ricercatore anonimo

WebKit

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

WebKit Bugzilla: 246669
CVE-2022-42826: Francisco Alonso (@revskills)

Voce aggiunta il 22 dicembre 2022

WebKit

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.

WebKit Bugzilla: 241969
CVE-2022-32886: P1umer (@p1umer), afang (@afang5472), xmzyshypnc (@xmzyshypnc1)

WebKit

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)

WebKit

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a) di Theori in collaborazione con Trend Micro Zero Day Initiative

WebKit

Impatto: l'accesso a un sito web dannoso può causare lo spoofing dell'interfaccia utente.

Descrizione: il problema è stato risolto attraverso una migliore gestione dell'interfaccia utente.

WebKit Bugzilla: 243693
CVE-2022-42799: Jihwan Kim (@gPayl0ad), Dohyun Lee (@l33d0hyun)

WebKit

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.

WebKit Bugzilla: 244622
CVE-2022-42823: Dohyun Lee (@l33d0hyun) di SSD Labs

WebKit

Impatto: l'elaborazione di contenuti web dannosi può divulgare informazioni sensibili dell'utente.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

WebKit Bugzilla: 245058
CVE-2022-42824: Abdulrahman Alqabandi di Microsoft Browser Vulnerability Research, Ryan Shin di IAAI SecLab dell'Università della Corea, Dohyun Lee (@l33d0hyun) di DNSLab dell'Università della Corea

WebKit

Impatto: l'elaborazione di contenuti web dannosi potrebbe rivelare gli stati interni dell'app.

Descrizione: un problema di correttezza nel JIT è stato risolto attraverso migliori controlli.

WebKit Bugzilla: 242964
CVE-2022-32923: Wonyoung Jung (@nonetype_pwn) di KAIST Hacking Lab

Voce aggiunta il 27 ottobre 2022

WebKit PDF

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

WebKit Bugzilla: 242781
CVE-2022-32922: Yonghwi Jin (@jinmo123) di Theori in collaborazione con Zero Day Initiative di Trend Micro

WebKit Sandboxing

Impatto: un processo sandbox può essere in grado di eludere le restrizioni della sandbox.

Descrizione: un problema di accesso è stato risolto con miglioramenti alla sandbox.

WebKit Bugzilla: 243181
CVE-2022-32892: @18楼梦想改造家 e @jq0904 del WeBin lab di DBAppSecurity

WebKit Storage

Impatto: un'app potrebbe bypassare le preferenze sulla privacy.

Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.

CVE-2022-32833: Csaba Fitzl (@theevilbit) di Offensive Security, Jeff Johnson

Voce aggiunta il 22 dicembre 2022

Wi-Fi

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2022-46709: Wang Yu di Cyberserval

Voce aggiunta il 16 marzo 2023

zlib

Impatto: un utente può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2022-37434: Evgeny Legerov

CVE-2022-42800: Evgeny Legerov

Voce aggiunta il 27 ottobre 2022

Altri riconoscimenti

AirPort

Ringraziamo Joseph Salazar Acuña e Renato Llamoca di Intrado-Life & Safety/Globant per l'assistenza.

Apache

Ringraziamo Tricia Lee di Enterprise Service Center per l'assistenza.

Voce aggiunta il 16 marzo 2023

AppleCredentialManager

Ringraziamo @jonathandata1 per l'assistenza.

ATS

Ringraziamo Mickey Jin (@patch1t) per l'assistenza.

Voce aggiunta il 1° agosto 2023

FaceTime

Ringraziamo un ricercatore anonimo per l'assistenza.

FileVault

Ringraziamo Timothy Perfitt di Twocanoes Software per l'assistenza.

Find My

Ringraziamo un ricercatore anonimo per l'assistenza.

Identity Services

Ringraziamo Joshua Jones per l'assistenza.

IOAcceleratorFamily

Ringraziamo Antonio Zekic (@antoniozekic) per l'assistenza.

IOGPUFamily

Ringraziamo Wang Yu di cyberserval per l'assistenza.

Voce aggiunta il 9 novembre 2022

Kernel

Ringraziamo Peter Nguyen di STAR Labs, Tim Michaud (@TimGMichaud) di Moveworks.ai, Tingting Yin della Tsinghua University, Min Zheng di Ant Group, Tommy Muir (@Muirey03) e un ricercatore anonimo per l'assistenza.

Login Window

Ringraziamo Simon Tang (simontang.dev) per l'assistenza.

Voce aggiunta il 9 novembre 2022

Mail

Ringraziamo Taavi Eomäe di Zone Media OÜ e un ricercatore anonimo per l'assistenza.

Voce aggiornata il 21 dicembre 2023

Mail Drafts

Ringraziamo un ricercatore anonimo per l'assistenza.

Networking

Ringraziamo Tim Michaud (@TimGMichaud) di Zoom Video Communications per l'assistenza.

Photo Booth

Ringraziamo Prashanth Kannan di Dremio per l'assistenza.

Quick Look

Ringraziamo Hilary "It's off by a Pixel" Street per l'assistenza.

Safari

Ringraziamo Scott Hatfield di Sub-Zero Group per l'assistenza.

Voce aggiunta il 16 marzo 2023

Sandbox

Ringraziamo Csaba Fitzl (@theevilbit) di Offensive Security per l'assistenza.

SecurityAgent

Ringraziamo Security Team Netservice di Toekomst e un ricercatore anonimo per l'assistenza.

Voce aggiunta il 21 dicembre 2023

smbx

Ringraziamo HD Moore di runZero Asset Inventory per l'assistenza.

Sistema

Ringraziamo Mickey Jin (@patch1t) di Trend Micro per l'assistenza.

System Settings

Ringraziamo Bjorn Hellenbrand per l'assistenza.

UIKit

Ringraziamo Aleczander Ewing per l'assistenza.

WebKit

Ringraziamo Maddie Stone di Google Project Zero, Narendra Bhati (@imnarendrabhati) di Suma Soft Pvt. Ltd. e un ricercatore anonimo per l'assistenza.

WebRTC

Ringraziamo un ricercatore anonimo per l'assistenza.

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: 3 gennaio 2024