Apple セキュリティアップデートについて
Apple では、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最近のリリースについては、「Apple セキュリティアップデート」ページに一覧形式でまとめています。
Apple のセキュリティ関連の文書では、可能な場合、脆弱性の CVE-ID に言及しています。
セキュリティについて詳しくは、Apple 製品のセキュリティに関するページを参照してください。
macOS Ventura 13
2022 年 10 月 24 日リリース
Accelerate Framework
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:悪意を持って作成された画像を処理すると、任意のコードが実行される可能性がある。
説明:メモリ処理を強化し、メモリ消費の脆弱性に対処しました。
CVE-2022-42795:ryuzaki 氏
APFS
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:アプリが重要なユーザデータにアクセスできる可能性がある。
説明:アクセス制限を改善し、アクセス関連の脆弱性に対処しました。
CVE-2022-48577:Offensive Security の Csaba Fitzl 氏 (@theevilbit)
2023 年 12 月 21 日に追加
Apple Neural Engine
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:アプリが重要なカーネル状態を漏洩させる可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2022-32858:Mohamed Ghannam 氏 (@_simo36)
Apple Neural Engine
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2022-32898:Mohamed Ghannam 氏 (@_simo36)
CVE-2022-32899:Mohamed Ghannam 氏 (@_simo36)
CVE-2022-46721:Mohamed Ghannam 氏 (@_simo36)
CVE-2022-47915:Mohamed Ghannam 氏 (@_simo36)
CVE-2022-47965:Mohamed Ghannam 氏 (@_simo36)
CVE-2022-32889:Mohamed Ghannam 氏 (@_simo36)
2023 年 12 月 21 日に更新
AppleAVD
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。
説明:この問題は、チェックを強化することで解決されました。
CVE-2022-32907:Yinyi Wu 氏、ABC Research s.r.o、Google Project Zero の Natalie Silvanovich 氏、Tommaso Bianco 氏 (@cutesmilee__)、Antonio Zekic 氏 (@antoniozekic)、John Aakerblom 氏 (@jaakerblom)
2023 年 3 月 16 日に追加
AppleAVD
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:アプリからサービス運用妨害を受ける可能性がある。
説明:ステート管理を改善し、メモリ破損の脆弱性に対処しました。
CVE-2022-32827:Antonio Zekic 氏 (@antoniozekic)、Google Project Zero の Natalie Silvanovich 氏、匿名の研究者
AppleMobileFileIntegrity
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:アプリが重要なユーザデータにアクセスできる可能性がある。
説明:制限を強化し、構成の問題に対処しました。
CVE-2022-32877:SecuRing の Wojciech Reguła 氏 (@_r3ggi)
2023 年 3 月 16 日に追加
AppleMobileFileIntegrity
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:アプリが重要なユーザデータにアクセスできる可能性がある。
説明:チェックを強化し、コード署名の検証における脆弱性に対処しました。
CVE-2022-42789:FFRI Security, Inc. の Koh M. Nakagawa 氏
AppleMobileFileIntegrity
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:ファイルシステムの保護された部分をアプリに変更されるおそれがある。
説明:この問題は、追加のエンタイトルメントを削除することで解決されました。
CVE-2022-42825:Mickey Jin 氏 (@patch1t)
Assets
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:ファイルシステムの保護された部分をアプリに変更されるおそれがある。
説明:チェックを強化し、ロジックの脆弱性に対処しました。
CVE-2022-46722:Mickey Jin 氏 (@patch1t)
2023 年 8 月 1 日に追加
ATS
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:アプリがプライバシーの環境設定を回避する可能性がある。
説明:ステート管理を改善し、ロジックの問題に対処しました。
CVE-2022-32902:Mickey Jin 氏 (@patch1t)
ATS
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:アプリが重要なユーザデータにアクセスできる可能性がある。
説明:サンドボックスの制限を追加で設けて、アクセス関連の脆弱性に対処しました。
CVE-2022-32904:Mickey Jin 氏 (@patch1t)
ATS
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:サンドボックス化されたプロセスが、サンドボックスの制約を回避できる可能性がある。
説明:チェックを強化し、ロジックの脆弱性に対処しました。
CVE-2022-32890:Mickey Jin 氏 (@patch1t)
Audio
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:アプリに昇格した権限を取得される可能性がある。
説明:この問題は、脆弱なコードを削除することで解決されました。
CVE-2022-42796:Mickey Jin 氏 (@patch1t)
2023 年 3 月 16 日に更新
Audio
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:悪意を持って作成されたオーディオファイルを解析すると、ユーザ情報が漏洩する可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2022-42798:Trend Micro Zero Day Initiative に協力する匿名者
2022 年 10 月 27 日に追加
AVEVideoEncoder
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。
説明:配列境界チェック機能を改善することで、この問題に対処しました。
CVE-2022-32940:ABC Research s.r.o.
Beta Access Utility
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:ファイルシステムの保護された部分をアプリに変更されるおそれがある。
説明:ステート管理を改善し、ロジックの問題に対処しました。
CVE-2022-42816:Mickey Jin 氏 (@patch1t)
2023 年 12 月 21 日に追加
BOM
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:アプリに Gatekeeper のチェックを回避される可能性がある。
説明:チェックを強化し、ロジックの脆弱性に対処しました。
CVE-2022-42821:Microsoft の Jonathan Bar Or 氏
2022 年 12 月 13 日に追加
Boot Camp
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:ファイルシステムの保護された部分をアプリに変更されるおそれがある。
説明:チェックを強化し、不正な処理を防止することで、この問題に対処しました。
CVE-2022-42860:Trend Micro の Mickey Jin 氏 (@patch1t)
2023 年 3 月 16 日に追加
Calendar
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:アプリが重要な位置情報を読み取れる可能性がある。
説明:アクセス制限を改善し、アクセス関連の脆弱性に対処しました。
CVE-2022-42819:匿名の研究者
CFNetwork
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:悪意を持って作成された証明書を処理すると、任意のコードが実行される可能性がある。
説明:WKWebView の処理における証明書の検証に問題がありました。検証を強化し、この脆弱性に対処しました。
CVE-2022-42813:Open Computing Facility (ocf.berkeley.edu) の Jonathan Zhang 氏
ColorSync
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:悪意を持って作成された画像を処理すると、任意のコードが実行される可能性がある。
説明:ICC プロファイルの処理に、メモリ破損の脆弱性がありました。入力検証を強化し、この脆弱性に対処しました。
CVE-2022-26730:Hoyt LLC の David Hoyt 氏
Core Bluetooth
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:アプリが、ペアリング済みの AirPods を使ってオーディオを録音できる可能性がある。
説明:他社製のアプリに対してサンドボックスの制限を追加で設けて、アクセスの問題に対処しました。
CVE-2022-32945:Best Buddy Apps の Guilherme Rambo 氏 (rambo.codes)
2022 年 11 月 9 日に追加
CoreMedia
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:カメラの機能拡張を有効にしたアプリを閉じた後も、その機能拡張がビデオの受信を継続できる可能性がある。
説明:アプリからカメラのデータへのアクセスに問題がありましたが、ロジックを改良してこの問題に対処しました。
CVE-2022-42838:Politepix の Halle Winkler 氏 (@hallewinkler)
2022 年 12 月 22 日に追加
CoreTypes
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:悪意のあるアプリケーションに Gatekeeper チェックを回避される可能性がある。
説明:チェックを強化し、不正な処理を防止することで、この問題に対処しました。
CVE-2022-22663:Arsenii Kostromin 氏 (0x3c3e)
2023 年 3 月 16 日に追加
Crash Reporter
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:iOS デバイスに物理的にアクセスできるユーザが、過去の診断ログを読み取れる可能性がある。
説明:この問題は、データ保護を強化することで解決されました。
CVE-2022-32867:Crowdstrike の Kshitij Kumar 氏および Jai Musunuri 氏
curl
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:curl に複数の脆弱性がある。
説明:curl をバージョン 7.84.0 にアップデートして、複数の脆弱性に対処しました。
CVE-2022-32205
CVE-2022-32206
CVE-2022-32207
CVE-2022-32208
Directory Utility
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:アプリが重要なユーザデータにアクセスできる可能性がある。
説明:チェックを強化し、ロジックの脆弱性に対処しました。
CVE-2022-42814:MacPaw Inc. の Sergii Kryvoblotskyi 氏
DriverKit
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2022-32865:Pinauten GmbH (pinauten.de) の Linus Henze 氏
DriverKit
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。
説明:チェックを強化し、型の取り違え (type confusion) の脆弱性に対処しました。
CVE-2022-32915:Tommy Muir 氏 (@Muirey03)
Exchange
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:ネットワーク上の特権的な地位を悪用したユーザに、メールの資格情報を傍受される可能性がある。
説明:制限を強化し、ロジックの脆弱性に対処しました。
CVE-2022-32928:Check Point Research の Jiří Vinopal 氏 (@vinopaljiri)
2023 年 3 月 16 日に更新
FaceTime
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:ユーザが FaceTime 通話で、自分では送った自覚のないまま音声や映像を送信してしまう場合がある。
説明:この問題は、チェックを強化することで解決されました。
CVE-2022-22643:バージニア大学の Sonali Luthar 氏、イリノイ大学アーバナ・シャンペーン校 (University of Illinois at Urbana-Champaign) の Michael Liao 氏、ラトガース大学 (Rutgers University) の Rohan Pahwa 氏、フロリダ大学の Bao Nguyen 氏
2023 年 3 月 16 日に追加
FaceTime
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:制限されたコンテンツをロック画面からユーザが閲覧できる可能性がある。
説明:ステート管理を改善し、ロック画面の脆弱性に対処しました。
CVE-2022-32935:Bistrit Dahal 氏
2022 年 10 月 27 日に追加
Find My
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:悪意のあるアプリケーションが、重要な位置情報を読み取れる可能性がある。
説明:アクセス権の問題がありました。この問題は、アクセス権の検証を強化することで解決されました。
CVE-2022-42788:Offensive Security の Csaba Fitzl 氏 (@theevilbit)、SecuRing の Wojciech Reguła 氏 (wojciechregula.blog)
Find My
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:アプリが重要なユーザデータにアクセスできる可能性がある。
説明:キャッシュの処理を改善することで、この問題に対処しました。
CVE-2022-48504:Offensive Security の Csaba Fitzl 氏 (@theevilbit)
2023 年 12 月 21 日に追加
Finder
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:悪意を持って作成された DMG ファイルを処理すると、システム権限で任意のコードが実行される可能性がある。
説明:シンボリックリンクの検証を改善することで、この問題に対処しました。
CVE-2022-32905:BreakPoint Technologies LTD の Ron Masas 氏 (breakpoint.sh)
GPU Drivers
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。
説明:入力検証を強化することで、領域外読み込みに対処しました。
CVE-2022-42833:Pan ZhenPeng 氏 (@Peterpan0927)
2022 年 12 月 22 日に追加
GPU Drivers
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2022-32947:Asahi Lina 氏 (@LinaAsahi)
Grapher
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:悪意を持って作成された gcx ファイルを処理すると、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2022-42809:Yutao Wang 氏 (@Jack) および Yu Zhou 氏 (@yuzhou6666)
Heimdal
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:ユーザによってアプリが突然終了されたり、任意のコードが実行されたりする可能性がある。
説明:この問題は、チェックを強化することで解決されました。
CVE-2022-3437:Intevydis の Evgeny Legerov 氏
2022 年 10 月 25 日に追加
iCloud Photo Library
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:アプリが重要なユーザデータにアクセスできる可能性がある。
説明:脆弱なコードを削除することで、情報漏洩の脆弱性に対処しました。
CVE-2022-32849:Joshua Jones 氏
2022 年 11 月 9 日に追加
Image Processing
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:サンドボックス化されたアプリが、カメラを使用中のアプリを判断できる可能性がある。
説明:アプリの状態のオブザーバビリティ (可観測性) について追加で制限を設けて、この問題に対処しました。
CVE-2022-32913:Yiğit Can YILMAZ 氏 (@yilmazcanyigit)
ImageIO
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:画像を処理すると、サービス運用妨害を受ける可能性がある。
説明:入力検証を強化することで、領域外読み込みに対処しました。
CVE-2022-32809:Mickey Jin 氏 (@patch1t)
2023 年 8 月 1 日に追加
ImageIO
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:画像を処理すると、サービス運用妨害を受ける可能性がある。
説明:検証を改善し、サービス運用妨害の脆弱性に対処しました。
CVE-2022-1622
Intel Graphics Driver
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:アプリがカーネルメモリを漏洩させる可能性がある。
説明:入力検証を強化することで、領域外読み込みに対処しました。
CVE-2022-32936:Antonio Zekic 氏 (@antoniozekic)
IOHIDFamily
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:アプリによって、アプリを突然終了されたり、任意のコードを実行されたりする可能性がある。
説明:ステート管理を改善し、メモリ破損の脆弱性に対処しました。
CVE-2022-42820:STAR Labs の Peter Pan ZhenPeng 氏
IOKit
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。
説明:ロック処理を強化することで、競合状態の脆弱性に対処しました。
CVE-2022-42806:清華大学 (Tsinghua University) の Tingting Yin 氏
Kernel
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:アプリがカーネルメモリを漏洩させる可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2022-32864:Pinauten GmbH (pinauten.de) の Linus Henze 氏
Kernel
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2022-32866:Pinauten GmbH (pinauten.de) の Linus Henze 氏
CVE-2022-32911:Kunlun Lab の Zweig 氏
CVE-2022-32924:Google Project Zero の Ian Beer 氏
Kernel
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。
説明:メモリ管理を強化し、解放済みメモリ使用 (use-after-free) の脆弱性に対処しました。
CVE-2022-32914:Kunlun Lab の Zweig 氏
Kernel
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:リモートユーザによってカーネルコードが実行される可能性がある。
説明:配列境界チェック機能を改善することで、領域外書き込みの脆弱性に対処しました。
CVE-2022-42808:Kunlun Lab の Zweig 氏
Kernel
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。
説明:ステート管理を改善し、メモリ破損の脆弱性に対処しました。
CVE-2022-32944:Moveworks.ai の Tim Michaud 氏 (@TimGMichaud)
2022 年 10 月 27 日に追加
Kernel
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。
説明:ロック処理を強化することで、競合状態の脆弱性に対処しました。
CVE-2022-42803:Pangu Lab の Xinru Chi 氏、John Aakerblom 氏 (@jaakerblom)
2022 年 10 月 27 日に追加
Kernel
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:ルート権限を持つアプリが、カーネル権限で任意のコードを実行できる可能性がある。
説明:配列境界チェック機能を改善することで、この問題に対処しました。
CVE-2022-32926:Moveworks.ai の Tim Michaud 氏 (@TimGMichaud)
2022 年 10 月 27 日に追加
Kernel
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。
説明:チェックを強化し、ロジックの脆弱性に対処しました。
CVE-2022-42801:Google Project Zero の Ian Beer 氏
2022 年 10 月 27 日に追加
Kernel
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:アプリがシステムを突然終了させたり、カーネル権限でコードを実行したりする可能性がある。
説明:メモリ管理を強化し、解放済みメモリ使用 (use-after-free) の脆弱性に対処しました。
CVE-2022-46712:Tommy Muir 氏 (@Muirey03)
2023 年 2 月 20 日に追加
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:アプリが重要なユーザデータにアクセスできる可能性がある。
説明:この問題は、データ保護を強化することで解決されました。
CVE-2022-42815:Offensive Security の Csaba Fitzl 氏 (@theevilbit)
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:アプリが、圧縮中に使用された一時的なディレクトリを通じて、メールフォルダの添付ファイルにアクセスできる可能性がある。
説明:アクセス制限を改善し、アクセス関連の脆弱性に対処しました。
CVE-2022-42834:SecuRing の Wojciech Reguła 氏 (@_r3ggi)
2023 年 5 月 1 日に追加
Maps
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:アプリが重要な位置情報を読み取れる可能性がある。
説明:機微な情報に関する制限を強化することで、この問題に対処しました。
CVE-2022-46707:Offensive Security の Csaba Fitzl 氏 (@theevilbit)
2023 年 8 月 1 日に追加
Maps
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:アプリが重要な位置情報を読み取れる可能性がある。
説明:制限を強化し、ロジックの脆弱性に対処しました。
CVE-2022-32883:breakpointhq.com の Ron Masas 氏
MediaLibrary
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:ユーザが権限を昇格できる場合がある。
説明:入力検証を強化し、メモリ破損の脆弱性に対処しました。
CVE-2022-32908:匿名の研究者
Model I/O
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:悪意を持って作成された USD ファイルを処理すると、メモリのコンテンツが漏洩する可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2022-42810:Ant Security Light-Year Lab の Xingwei Lin 氏 (@xwlin_roy) および Yinyi Wu 氏
2022 年 10 月 27 日に追加
ncurses
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:ユーザによってアプリが突然終了されたり、任意のコードが実行されたりする可能性がある。
説明:配列境界チェック機能を改善することで、バッファオーバーフローに対処しました。
CVE-2021-39537
ncurses
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:悪意を持って作成された ファイルを処理すると、サービス運用妨害を受ける可能性や、メモリのコンテンツが漏洩する可能性がある。
説明:検証を改善し、サービス運用妨害の脆弱性に対処しました。
CVE-2022-29458
Notes
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:ネットワーク上の特権的な地位を利用したユーザが、ユーザアクティビティを追跡できる可能性がある。
説明:この問題は、データ保護を強化することで解決されました。
CVE-2022-42818:WithSecure の Gustav Hansen 氏
Notifications
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:デバイスに物理的にアクセスできるユーザが、ロック画面から連絡先にアクセスできる可能性がある。
説明:ステート管理を改善し、ロジックの問題に対処しました。
CVE-2022-32879:Ubeydullah Sümer 氏
PackageKit
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:ファイルシステムの保護された部分をアプリに変更されるおそれがある。
説明:ステート処理を強化することで、競合状態の脆弱性に対処しました。
CVE-2022-32895:Trend Micro の Mickey Jin 氏 (@patch1t)、Mickey Jin 氏 (@patch1t)
PackageKit
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:ファイルシステムの保護された部分をアプリに変更されるおそれがある。
説明:検証を追加することで、競合状態に対処しました。
CVE-2022-46713:Mickey Jin 氏 (@patch1t)
2023 年 2 月 20 日に追加
Photos
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:ユーザが「delete」キーを押して、誤って参加者を共有アルバムに追加してしまう可能性がある。
説明:ステート管理を改善し、ロジックの問題に対処しました。
CVE-2022-42807:Ezekiel Elin 氏
2023 年 5 月 1 日に追加、2023 年 8 月 1 日に更新
Photos
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:アプリがプライバシーの環境設定を回避する可能性がある。
説明:この問題は、データ保護を強化することで解決されました。
CVE-2022-32918:Nagarro Software Pvt. Ltd の Ashwani Rajput 氏、The Hack Report の Srijan Shivam Mishra 氏、Aastha Technologies の Jugal Goradia 氏、Invalid Web Security の Evan Ricafort 氏 (evanricafort.com)、Shesha Sai C 氏 (linkedin.com/in/shesha-sai-c-18585b125)、Amod Raghunath Patwardhan 氏 (インド、プネー)
2023 年 3 月 16 日に更新
ppp
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:ルート権限を持つアプリが、カーネル権限で任意のコードを実行できる可能性がある。
説明:メモリ管理を強化し、解放済みメモリ使用 (use-after-free) の脆弱性に対処しました。
CVE-2022-42829:匿名の研究者
ppp
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:ルート権限を持つアプリが、カーネル権限で任意のコードを実行できる可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2022-42830:匿名の研究者
ppp
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:ルート権限を持つアプリが、カーネル権限で任意のコードを実行できる可能性がある。
説明:ロック処理を強化することで、競合状態の脆弱性に対処しました。
CVE-2022-42831:匿名の研究者
CVE-2022-42832:匿名の研究者
ppp
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:バッファオーバーフローが原因で任意のコードが実行される可能性がある。
説明:配列境界チェック機能を改善することで、この問題に対処しました。
CVE-2022-32941:匿名の研究者
2022 年 10 月 27 日に追加
Ruby
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:リモートユーザによって、アプリが突然終了されたり、任意のコードが実行されたりする可能性がある。
説明:Ruby をバージョン 2.6.10 にアップデートして、メモリ破損の問題に対処しました。
CVE-2022-28739
Sandbox
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:ファイルシステムの保護された部分をアプリに変更されるおそれがある。
説明:制限を強化し、ロジックの脆弱性に対処しました。
CVE-2022-32881:Offensive Security の Csaba Fitzl 氏 (@theevilbit)
Sandbox
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:アプリにルート権限を取得され、非公開の情報にアクセスされる可能性がある。
説明:この問題は、データ保護を強化することで解決されました。
CVE-2022-32862:イリノイ大学アーバナ・シャンペーン校 (University of Illinois Urbana-Champaign) の Rohit Chatterjee 氏
CVE-2022-32931:匿名の研究者
2023 年 3 月 16 日に更新、2023 年 12 月 21 日に更新
Sandbox
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:アプリが重要なユーザデータにアクセスできる可能性がある。
説明:サンドボックスの制限を追加で設けて、アクセス関連の脆弱性に対処しました。
CVE-2022-42811:Snowflake の Justin Bui 氏 (@slyd0g)
Security
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:アプリにコード署名チェックを回避される可能性がある。
説明:チェックを強化し、コード署名の検証における脆弱性に対処しました。
CVE-2022-42793:Pinauten GmbH (pinauten.de) の Linus Henze 氏
Shortcuts
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:ショートカットによって、非表示の写真アルバムを認証をしなくても表示できる可能性がある。
説明:制限を強化し、ロジックの脆弱性に対処しました。
CVE-2022-32876:匿名の研究者
2023 年 8 月 1 日に追加
Shortcuts
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:ショートカットが、ファイルシステム上の任意のパスの有無をチェックできる可能性がある。
説明:ディレクトリパスの処理における解析不備の脆弱性に、パス検証を強化することで対処しました。
CVE-2022-32938:Tudor Vianu National High School of Computer Science (ルーマニア) の Cristian Dinca 氏
Sidecar
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:制限されたコンテンツをロック画面からユーザが閲覧できる可能性がある。
説明:ステート管理を改善し、ロジックの問題に対処しました。
CVE-2022-42790:Zaprico Digital の Om kothawade 氏
Siri
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:デバイスに物理的にアクセスできるユーザが、Siri を使って、一部の通話履歴情報を取得できる可能性がある。
説明:ステート管理を改善し、ロジックの問題に対処しました。
CVE-2022-32870:テキサス大学オースティン校 McCombs School of Business の Andrew Goldberg 氏 (linkedin.com/in/andrew-goldberg-/)
SMB
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:リモートユーザによってカーネルコードが実行される可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2022-32934:Felix Poulin-Belanger 氏
Software Update
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。
説明:ステート処理を強化することで、競合状態の脆弱性に対処しました。
CVE-2022-42791:Trend Micro の Mickey Jin 氏 (@patch1t)
SQLite
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:リモートのユーザから、サービス運用妨害を受ける可能性がある。
説明:この問題は、チェックを強化することで解決されました。
CVE-2021-36690
System Settings
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:ファイルシステムの保護された部分をアプリに変更されるおそれがある。
説明:この問題は、データ保護を強化することで解決されました。
CVE-2022-48505:TrustedSec の Adam Chester 氏、Computest Sector 7 の Thijs Alkemade 氏 (@xnyhps)
2023 年 6 月 26 日に追加
TCC
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:アプリがエンドポイントセキュリティクライアントに対するサービス運用妨害を引き起こす可能性がある。
説明:ステート管理を改善し、ロジックの問題に対処しました。
CVE-2022-26699:Offensive Security の Csaba Fitzl 氏 (@theevilbit)
2023 年 8 月 1 日に追加
Vim
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:Vim に複数の脆弱性がある。
説明:Vim をアップデートして、複数の脆弱性に対処しました。
CVE-2022-0261
CVE-2022-0318
CVE-2022-0319
CVE-2022-0351
CVE-2022-0359
CVE-2022-0361
CVE-2022-0368
CVE-2022-0392
CVE-2022-0554
CVE-2022-0572
CVE-2022-0629
CVE-2022-0685
CVE-2022-0696
CVE-2022-0714
CVE-2022-0729
CVE-2022-0943
CVE-2022-1381
CVE-2022-1420
CVE-2022-1725
CVE-2022-1616
CVE-2022-1619
CVE-2022-1620
CVE-2022-1621
CVE-2022-1629
CVE-2022-1674
CVE-2022-1733
CVE-2022-1735
CVE-2022-1769
CVE-2022-1927
CVE-2022-1942
CVE-2022-1968
CVE-2022-1851
CVE-2022-1897
CVE-2022-1898
CVE-2022-1720
CVE-2022-2000
CVE-2022-2042
CVE-2022-2124
CVE-2022-2125
CVE-2022-2126
VPN
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2022-42828:匿名の研究者
2023 年 8 月 1 日に追加
Weather
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:アプリが重要な位置情報を読み取れる可能性がある。
説明:ステート管理を改善し、ロジックの問題に対処しました。
CVE-2022-32875:匿名の研究者
WebKit
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:悪意を持って作成された Web コンテンツを処理すると、任意のコードを実行される可能性がある。
説明:メモリ管理を強化し、解放済みメモリ使用 (use-after-free) の脆弱性に対処しました。
WebKit Bugzilla:246669
CVE-2022-42826:Francisco Alonso 氏 (@revskills)
2022 年 12 月 22 日に追加
WebKit
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:悪意を持って作成された Web コンテンツを処理すると、任意のコードを実行される可能性がある。
説明:メモリ処理を強化し、バッファオーバーフローの脆弱性に対処しました。
WebKit Bugzilla:241969
CVE-2022-32886:P1umer 氏 (@p1umer)、afang 氏 (@afang5472)、xmzyshypnc 氏 (@xmzyshypnc1)
WebKit
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:悪意を持って作成された Web コンテンツを処理すると、任意のコードを実行される可能性がある。
説明:配列境界チェック機能を改善することで、領域外書き込みの脆弱性に対処しました。
WebKit Bugzilla:242047
CVE-2022-32888:P1umer 氏 (@p1umer)
WebKit
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:悪意を持って作成された Web コンテンツを処理すると、任意のコードを実行される可能性がある。
説明:配列境界チェック機能を改善することで、領域外読み込みの脆弱性に対処しました。
WebKit Bugzilla:242762
CVE-2022-32912:Trend Micro Zero Day Initiative に協力する Theori の Jeonghoon Shin 氏 (@singi21a)
WebKit
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:悪意のある Web サイトにアクセスすると、ユーザインターフェイスを偽装される可能性がある。
説明:UI の処理を改善することで、この問題を解決しました。
WebKit Bugzilla:243693
CVE-2022-42799:Jihwan Kim 氏 (@gPayl0ad)、Dohyun Lee 氏 (@l33d0hyun)
WebKit
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:悪意を持って作成された Web コンテンツを処理すると、任意のコードを実行される可能性がある。
説明:メモリ処理を強化し、型の取り違え (type confusion) の脆弱性に対処しました。
WebKit Bugzilla:244622
CVE-2022-42823:SSD Labs の Dohyun Lee 氏 (@l33d0hyun)
WebKit
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:悪意を持って作成された Web コンテンツを処理すると、ユーザの機微情報が漏洩する可能性がある。
説明:ステート管理を改善し、ロジックの問題に対処しました。
WebKit Bugzilla:245058
CVE-2022-42824:Microsoft Browser Vulnerability Research の Abdulrahman Alqabandi 氏、高麗大学校 (Korea University) の IAAI SecLab の Ryan Shin 氏、高麗大学校 (Korea University) の DNSLab の Dohyun Lee 氏 (@l33d0hyun)
WebKit
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:悪意を持って作成された Web コンテンツを処理すると、アプリの内部の状態情報が漏洩する可能性がある。
説明:チェックを改善して、JIT の精度の問題に対処しました。
WebKit Bugzilla:242964
CVE-2022-32923:KAIST Hacking Lab の Wonyoung Jung 氏 (@nonetype_pwn)
2022 年 10 月 27 日に追加
WebKit PDF
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:悪意を持って作成された Web コンテンツを処理すると、任意のコードを実行される可能性がある。
説明:メモリ管理を強化し、解放済みメモリ使用 (use-after-free) の脆弱性に対処しました。
WebKit Bugzilla:242781
CVE-2022-32922:Trend Micro Zero Day Initiative に協力する Theori の Yonghwi Jin 氏 (@jinmo123)
WebKit Sandboxing
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:サンドボックス化されたプロセスが、サンドボックスの制約を回避できる可能性がある。
説明:サンドボックスを改善して、アクセス関連の脆弱性に対処しました。
WebKit Bugzilla:243181
CVE-2022-32892:DBAppSecurity's WeBin lab の @18楼梦想改造家 氏および @jq0904 氏
WebKit Storage
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:アプリがプライバシーの環境設定を回避する可能性がある。
説明:キャッシュの処理を改善することで、この問題に対処しました。
CVE-2022-32833:Offensive Security の Csaba Fitzl 氏 (@theevilbit)、Jeff Johnson 氏
2022 年 12 月 22 日に追加
Wi-Fi
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。
説明:ステート管理を改善し、メモリ破損の脆弱性に対処しました。
CVE-2022-46709:Cyberserval の Wang Yu 氏
2023 年 3 月 16 日に追加
zlib
対象:Mac Studio (2022)、Mac Pro (2019 以降)、MacBook Air (2018 以降)、MacBook Pro (2017 以降)、Mac mini (2018 以降)、iMac (2017 以降)、MacBook (2017)、iMac Pro (2017)
影響:ユーザによってアプリが突然終了されたり、任意のコードが実行されたりする可能性がある。
説明:この問題は、チェックを強化することで解決されました。
CVE-2022-37434:Evgeny Legerov 氏
CVE-2022-42800:Evgeny Legerov 氏
2022 年 10 月 27 日に追加
ご協力いただいたその他の方々
AirMac
Intrado-Life & Safety/Globant の Joseph Salazar Acuña 氏および Renato Llamoca 氏のご協力に感謝いたします。
Apache
Enterprise Service Center の Tricia Lee 氏のご協力に感謝いたします。
2023 年 3 月 16 日に追加
AppleCredentialManager
@jonathandata1 氏のご協力に感謝いたします。
ATS
Mickey Jin 氏 (@patch1t) のご協力に感謝いたします。
2023 年 8 月 1 日に追加
FaceTime
匿名の研究者のご協力に感謝いたします。
FileVault
Twocanoes Software の Timothy Perfitt 氏のご協力に感謝いたします。
Find My
匿名の研究者のご協力に感謝いたします。
Identity Services
Joshua Jones 氏のご協力に感謝いたします。
IOAcceleratorFamily
Antonio Zekic 氏 (@antoniozekic) のご協力に感謝いたします。
IOGPUFamily
cyberserval の Wang Yu 氏のご協力に感謝いたします。
2022 年 11 月 9 日に追加
Kernel
STAR Labs の Peter Nguyen 氏、Moveworks.ai の Tim Michaud 氏 (@TimGMichaud)、清華大学 (Tsinghua University) の Tingting Yin 氏、Ant Group の Min Zheng 氏、Tommy Muir 氏 (@Muirey03)、匿名の研究者のご協力に感謝いたします。
Login Window
Simon Tang 氏 (simontang.dev) のご協力に感謝いたします。
2022 年 11 月 9 日に追加
Zone Media OÜ の Taavi Eomäe 氏、匿名の研究者のご協力に感謝いたします。
2023 年 12 月 21 日に更新
Mail Drafts
匿名の研究者のご協力に感謝いたします。
Networking
Zoom Video Communications の Tim Michaud 氏 (@TimGMichaud) のご協力に感謝いたします。
Photo Booth
Dremio の Prashanth Kannan 氏のご協力に感謝いたします。
Quick Look
Hilary “It’s off by a Pixel” Street 氏のご協力に感謝いたします。
Safari
Sub-Zero Group の Scott Hatfield 氏のご協力に感謝いたします。
2023 年 3 月 16 日に追加
Sandbox
Offensive Security の Csaba Fitzl 氏 (@theevilbit) のご協力に感謝いたします。
SecurityAgent
Security Team Netservice de Toekomst、匿名の研究者のご協力に感謝いたします。
2023 年 12 月 21 日に追加
smbx
runZero Asset Inventory の HD Moore 氏のご協力に感謝いたします。
System
Trend Micro の Mickey Jin 氏 (@patch1t) のご協力に感謝いたします。
System Settings
Bjorn Hellenbrand 氏のご協力に感謝いたします。
UIKit
Aleczander Ewing 氏のご協力に感謝いたします。
WebKit
Google Project Zero の Maddie Stone 氏、Suma Soft Pvt. Ltd. の Narendra Bhati 氏 (@imnarendrabhati)、匿名の研究者のご協力に感謝いたします。
WebRTC
匿名の研究者のご協力に感謝いたします。