macOS Ventura 13의 보안 콘텐츠에 관하여

이 문서에서는 macOS Ventura 13의 보안 콘텐츠에 대해 설명합니다.

Apple 보안 업데이트에 관하여

Apple은 고객 보호를 위해 조사를 마치고 패치 또는 출시 버전을 제공할 수 있을 때까지는 보안 문제를 공개하거나, 논의하거나, 확인해 주지 않습니다. 최신 출시 버전은 Apple 보안 업데이트 페이지에 나와 있습니다.

Apple 보안 문서에서는 가능한 경우 취약점을 CVE-ID로 표시합니다.

보안에 대한 자세한 내용은 Apple 제품 보안 페이지를 참조하십시오.

macOS Ventura 13

2022년 10월 24일 출시

Accelerate Framework

대상: Mac Studio(2022년), Mac Pro(2019년 및 이후 모델), MacBook Air(2018년 및 이후 모델), MacBook Pro(2017년 및 이후 모델), Mac mini(2018년 및 이후 모델), iMac(2017년 및 이후 모델), MacBook(2017년) 및 iMac Pro(2017년)

영향: 악의적으로 제작된 이미지를 처리하면 임의 코드가 실행될 수 있음

설명: 메모리 소모 문제는 향상된 메모리 처리를 통해 해결되었습니다.

CVE-2022-42795: ryuzaki

APFS

영향: 앱이 민감한 사용자 데이터에 접근할 수 있음

설명: 접근 문제는 향상된 접근 제한을 통해 해결되었습니다.

CVE-2022-48577: Offensive Security의 Csaba Fitzl(@theevilbit)

2023년 12월 21일에 추가된 항목

Apple Neural Engine

영향: 앱이 중요한 커널 상태를 유출할 수 있음

설명: 향상된 메모리 처리를 통해 문제가 해결되었습니다.

CVE-2022-32858: Mohamed Ghannam(@_simo36)

Apple Neural Engine

영향: 앱이 커널 권한을 사용하여 임의 코드를 실행할 수 있음

설명: 향상된 메모리 처리를 통해 문제가 해결되었습니다.

CVE-2022-32898: Mohamed Ghannam(@_simo36)

CVE-2022-32899: Mohamed Ghannam(@_simo36)

CVE-2022-46721: Mohamed Ghannam(@_simo36)

CVE-2022-47915: Mohamed Ghannam(@_simo36)

CVE-2022-47965: Mohamed Ghannam(@_simo36)

CVE-2022-32889: Mohamed Ghannam(@_simo36)

2023년 12월 21일에 업데이트된 항목

AppleAVD

영향: 앱이 커널 권한을 사용하여 임의 코드를 실행할 수 있음

설명: 이 문제는 향상된 검사를 통해 해결되었습니다.

CVE-2022-32907: ABC Research s.r.o의 Yinyi Wu, Google Project Zero의 Natalie Silvanovich, Tommaso Bianco(@cutesmilee__), Antonio Zekic(@antoniozekic) 및 John Aakerblom(@jaakerblom)

2023년 3월 16일에 추가된 항목

AppleAVD

영향: 앱이 서비스 거부를 야기할 수 있음

설명: 메모리 손상 문제는 향상된 상태 관리를 통해 해결되었습니다.

CVE-2022-32827: Antonio Zekic(@antoniozekic), Google Project Zero의 Natalie Silvanovich 및 익명의 연구원

AppleMobileFileIntegrity

영향: 앱이 민감한 사용자 데이터에 접근할 수 있음

설명: 구성 문제는 추가 제한을 적용하여 해결되었습니다.

CVE-2022-32877: SecuRing의 Wojciech Reguła(@_r3ggi)

2023년 3월 16일에 추가된 항목

AppleMobileFileIntegrity

영향: 앱이 민감한 사용자 데이터에 접근할 수 있음

설명: 코드 서명 유효성 확인 문제는 향상된 검사를 통해 해결되었습니다.

CVE-2022-42789: FFRI Security, Inc.의 Koh M. Nakagawa

AppleMobileFileIntegrity

영향: 앱이 파일 시스템의 보호된 부분을 수정할 수 있음

설명: 이 문제는 추가 권한을 제거하여 해결되었습니다.

CVE-2022-42825: Mickey Jin(@patch1t)

Assets

영향: 앱이 파일 시스템의 보호된 부분을 수정할 수 있음

설명: 로직 문제는 향상된 검사를 통해 해결되었습니다.

CVE-2022-46722: Mickey Jin(@patch1t)

2023년 8월 1일에 추가된 항목

ATS

영향: 앱이 개인정보 보호 환경설정을 우회할 수 있음

설명: 로직 문제는 향상된 상태 관리를 통해 해결되었습니다.

CVE-2022-32902: Mickey Jin(@patch1t)

ATS

영향: 앱이 민감한 사용자 데이터에 접근할 수 있음

설명: 접근 문제는 추가적인 샌드 박스 제한을 통해 해결되었습니다.

CVE-2022-32904: Mickey Jin(@patch1t)

ATS

영향: 샌드 박스가 적용된 프로세스에서 샌드 박스 제한을 우회할 수 있음

설명: 로직 문제는 향상된 검사를 통해 해결되었습니다.

CVE-2022-32890: Mickey Jin(@patch1t)

Audio

영향: 앱의 권한이 상승될 수 있음

설명: 이 문제는 취약한 코드를 제거하여 해결되었습니다.

CVE-2022-42796: Mickey Jin(@patch1t)

2023년 3월 16일에 업데이트된 항목

Audio

영향: 악의적으로 제작된 오디오 파일을 구문 분석하면 사용자 정보가 공개될 수 있음

설명: 향상된 메모리 처리를 통해 문제가 해결되었습니다.

CVE-2022-42798: Trend Micro Zero Day Initiative에 참여 중인 익명의 연구원

2022년 10월 27일에 추가된 항목

AVEVideoEncoder

영향: 앱이 커널 권한을 사용하여 임의 코드를 실행할 수 있음

설명: 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

CVE-2022-32940: ABC Research s.r.o.

Beta Access Utility

영향: 앱이 파일 시스템의 보호된 부분을 수정할 수 있음

설명: 로직 문제는 향상된 상태 관리를 통해 해결되었습니다.

CVE-2022-42816: Mickey Jin(@patch1t)

2023년 12월 21일에 추가된 항목

BOM

영향: 앱이 Gatekeeper 확인을 우회할 수 있음

설명: 로직 문제는 향상된 검사를 통해 해결되었습니다.

CVE-2022-42821: Microsoft의 Jonathan Bar Or

2022년 12월 13일에 추가된 항목

Boot Camp

영향: 앱이 파일 시스템의 보호된 부분을 수정할 수 있음

설명: 이 문제는 승인되지 않은 활동을 차단하는 향상된 검사를 통해 해결되었습니다.

CVE-2022-42860: Trend Micro의 Mickey Jin(@patch1t)

2023년 3월 16일에 추가된 항목

Calendar

영향: 앱이 중요한 위치 정보를 읽을 수 있음

설명: 접근 문제는 향상된 접근 제한을 통해 해결되었습니다.

CVE-2022-42819: 익명의 연구원

CFNetwork

영향: 악의적으로 제작된 인증서를 처리하면 임의 코드가 실행될 수 있음

설명: WKWebView를 처리할 때 인증서 유효성 확인 문제가 발생했으나 이 문제는 향상된 유효성 확인을 통해 해결되었습니다.

CVE-2022-42813: Open Computing Facility(ocf.berkeley.edu)의 Jonathan Zhang

ColorSync

영향: 악의적으로 제작된 이미지를 처리하면 임의 코드가 실행될 수 있음

설명: ICC 프로파일을 처리할 때 메모리 손상 문제가 발생했으나 이 문제는 향상된 입력 유효성 확인을 통해 해결되었습니다.

CVE-2022-26730: Hoyt LLC의 David Hoyt

Core Bluetooth

영향: 앱이 페어링된 AirPods으로 오디오를 녹음할 수 있음

설명: 접근 문제는 타사 앱에 대한 추가적인 샌드 박스 제한을 통해 해결되었습니다.

CVE-2022-32945: Best Buddy Apps의 Guilherme Rambo(rambo.codes)

2022년 11월 9일에 추가된 항목

CoreMedia

영향: 활성화된 앱이 종료된 후에도 카메라 확장이 비디오를 계속 수신할 수 있음

설명: 앱이 카메라 데이터에 접근하는 문제는 향상된 로직을 통해 해결되었습니다.

CVE-2022-42838: Politepix의 Halle Winkler(@hallewinkler)

2022년 12월 22일에 추가된 항목

CoreTypes

영향: 악성 응용 프로그램이 Gatekeeper 확인을 우회할 수 있음

설명: 이 문제는 승인되지 않은 활동을 차단하는 향상된 검사를 통해 해결되었습니다.

CVE-2022-22663: Arsenii Kostromin(0x3c3e)

2023년 3월 16일에 추가된 항목

Crash Reporter

영향: iOS 기기에 물리적으로 접근할 수 있는 사용자가 이전 진단 로그를 읽을 수 있음

설명: 이 문제는 향상된 데이터 보호를 통해 해결되었습니다.

CVE-2022-32867: Crowdstrike의 Kshitij Kumar 및 Jai Musunuri

curl

영향: curl에서 여러 문제가 발생함

설명: curl을 7.84.0 버전으로 업데이트하여 여러 문제가 해결되었습니다.

CVE-2022-32205

CVE-2022-32206

CVE-2022-32207

CVE-2022-32208

Directory Utility

영향: 앱이 민감한 사용자 데이터에 접근할 수 있음

설명: 로직 문제는 향상된 검사를 통해 해결되었습니다.

CVE-2022-42814: MacPaw Inc.의 Sergii Kryvoblotskyi

DriverKit

영향: 앱이 커널 권한을 사용하여 임의 코드를 실행할 수 있음

설명: 향상된 메모리 처리를 통해 문제가 해결되었습니다.

CVE-2022-32865: Pinauten GmbH(pinauten.de)의 Linus Henze

DriverKit

영향: 앱이 커널 권한을 사용하여 임의 코드를 실행할 수 있음

설명: 유형 혼동 문제는 향상된 검사를 통해 해결되었습니다.

CVE-2022-32915: Tommy Muir(@Muirey03)

Exchange

영향: 네트워크에서 권한 있는 위치에 있는 사용자가 메일 자격 증명을 가로챌 수 있음

설명: 로직 문제는 향상된 제한 조치를 통해 해결되었습니다.

CVE-2022-32928: Check Point Research의 Jiří Vinopal(@vinopaljiri)

2023년 3월 16일에 업데이트된 항목

FaceTime

영향: 사용자가 FaceTime 통화 중에 자신도 모르게 오디오 및 비디오를 전송할 수 있음

설명: 이 문제는 향상된 검사를 통해 해결되었습니다.

CVE-2022-22643: University of Virginia의 Sonali Luthar, University of Illinois Urbana-Champaign의 Michael Liao, Rutgers University의 Rohan Pahwa 및 University of Florida의 Bao Nguyen

2023년 3월 16일에 추가된 항목

FaceTime

영향: 사용자가 잠금 화면에서 제한된 콘텐츠를 볼 수 있음

설명: 잠금 화면 문제는 향상된 상태 관리를 통해 해결되었습니다.

CVE-2022-32935: Bistrit Dahal

2022년 10월 27일에 추가된 항목

Find My

영향: 악성 응용 프로그램이 민감한 위치 정보를 읽을 수 있음

설명: 권한 문제가 발생했으나 이 문제는 향상된 권한 유효성 확인을 통해 해결되었습니다.

CVE-2022-42788: Offensive Security의 Csaba Fitzl(@theevilbit), SecuRing(wojciechregula.blog)의 Wojciech Reguła

Find My

영향: 앱이 민감한 사용자 데이터에 접근할 수 있음

설명: 향상된 캐시 처리를 통해 문제가 해결되었습니다.

CVE-2022-48504: Offensive Security의 Csaba Fitzl(@theevilbit)

2023년 12월 21일에 추가된 항목

Finder

영향: 악의적으로 제작된 DMG 파일을 처리하면 시스템 권한을 사용하여 임의 코드가 실행될 수 있음

설명: 이 문제는 symlink에 대한 향상된 유효성 확인을 통해 해결되었습니다.

CVE-2022-32905: BreakPoint Technologies LTD의 Ron Masas(breakpoint.sh)

GPU Drivers

영향: 앱이 커널 권한을 사용하여 임의 코드를 실행할 수 있음

설명: 범위를 벗어난 읽기는 향상된 입력 유효성 확인을 통해 해결되었습니다.

CVE-2022-42833: Pan ZhenPeng(@Peterpan0927)

2022년 12월 22일에 추가된 항목

GPU Drivers

영향: 앱이 커널 권한을 사용하여 임의 코드를 실행할 수 있음

설명: 향상된 메모리 처리를 통해 문제가 해결되었습니다.

CVE-2022-32947: Asahi Lina(@LinaAsahi)

Grapher

영향: 악의적으로 제작된 gcx 파일을 처리하면 예기치 않게 앱이 종료되거나 임의 코드가 실행될 수 있음

설명: 향상된 메모리 처리를 통해 문제가 해결되었습니다.

CVE-2022-42809: Yutao Wang(@Jack) 및 Yu Zhou(@yuzhou6666)

Heimdal

영향: 사용자가 앱을 예기치 않게 종료하거나 임의 코드를 실행할 수 있음

설명: 이 문제는 향상된 검사를 통해 해결되었습니다.

CVE-2022-3437: Intevydis의 Evgeny Legerov

2022년 10월 25일에 추가된 항목

iCloud 사진 보관함

영향: 앱이 민감한 사용자 데이터에 접근할 수 있음

설명: 정보 공개 문제는 취약 코드 제거를 통해 해결되었습니다.

CVE-2022-32849: Joshua Jones

2022년 11월 9일에 추가된 항목

Image Processing

영향: 샌드 박스가 적용된 앱에서 현재 카메라를 사용 중인 앱을 확인할 수 있음

설명: 이 문제는 앱 상태의 가관측성에 대한 추가 제한을 적용하여 해결되었습니다.

CVE-2022-32913: Yiğit Can YILMAZ(@yilmazcanyigit)

ImageIO

영향: 이미지를 처리하면 서비스 거부가 발생할 수 있음

설명: 범위를 벗어난 읽기는 향상된 입력 유효성 확인을 통해 해결되었습니다.

CVE-2022-32809: Mickey Jin(@patch1t)

2023년 8월 1일에 추가된 항목

ImageIO

영향: 이미지를 처리하면 서비스 거부가 발생할 수 있음

설명: 서비스 거부 문제는 향상된 유효성 확인을 통해 해결되었습니다.

CVE-2022-1622

Intel Graphics Driver

영향: 앱이 커널 메모리를 공개할 수 있음

설명: 범위를 벗어난 읽기는 향상된 입력 유효성 확인을 통해 해결되었습니다.

CVE-2022-32936: Antonio Zekic(@antoniozekic)

IOHIDFamily

영향: 앱으로 인해 앱이 예기치 않게 종료되거나 임의 코드가 실행될 수 있음

설명: 메모리 손상 문제는 향상된 상태 관리를 통해 해결되었습니다.

CVE-2022-42820: STAR Labs의 Peter Pan ZhenPeng

IOKit

영향: 앱이 커널 권한을 사용하여 임의 코드를 실행할 수 있음

설명: 경합 상태는 잠금 개선을 통해 해결되었습니다.

CVE-2022-42806: Tsinghua University의 Tingting Yin

Kernel

영향: 앱이 커널 메모리를 공개할 수 있음

설명: 향상된 메모리 처리를 통해 문제가 해결되었습니다.

CVE-2022-32864: Pinauten GmbH(pinauten.de)의 Linus Henze

Kernel

영향: 앱이 커널 권한을 사용하여 임의 코드를 실행할 수 있음

설명: 향상된 메모리 처리를 통해 문제가 해결되었습니다.

CVE-2022-32866: Pinauten GmbH(pinauten.de)의 Linus Henze

CVE-2022-32911: Kunlun Lab의 Zweig

CVE-2022-32924: Google Project Zero의 Ian Beer

Kernel

영향: 앱이 커널 권한을 사용하여 임의 코드를 실행할 수 있음

설명: use-after-free 문제는 향상된 메모리 관리를 통해 해결되었습니다.

CVE-2022-32914: Kunlun Lab의 Zweig

Kernel

영향: 원격 사용자가 임의 코드를 실행할 수 있음

설명: 범위를 벗어난 쓰기 문제는 향상된 범위 검사를 통해 해결되었습니다.

CVE-2022-42808: Kunlun Lab의 Zweig

Kernel

영향: 앱이 커널 권한을 사용하여 임의 코드를 실행할 수 있음

설명: 메모리 손상 문제는 향상된 상태 관리를 통해 해결되었습니다.

CVE-2022-32944: Moveworks.ai의 Tim Michaud(@TimGMichaud)

2022년 10월 27일에 추가된 항목

Kernel

영향: 앱이 커널 권한을 사용하여 임의 코드를 실행할 수 있음

설명: 경합 상태는 잠금 개선을 통해 해결되었습니다.

CVE-2022-42803: Pangu Lab의 Xinru Chi, John Aakerblom(@jaakerblom)

2022년 10월 27일에 추가된 항목

Kernel

영향: 루트 권한을 가진 앱이 커널 권한을 사용하여 임의 코드를 실행할 수 있음

설명: 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

CVE-2022-32926: Moveworks.ai의 Tim Michaud(@TimGMichaud)

2022년 10월 27일에 추가된 항목

Kernel

영향: 앱이 커널 권한을 사용하여 임의 코드를 실행할 수 있음

설명: 로직 문제는 향상된 검사를 통해 해결되었습니다.

CVE-2022-42801: Google Project Zero의 Ian Beer

2022년 10월 27일에 추가된 항목

Kernel

영향: 앱이 예기치 않은 시스템 종료를 야기하거나 잠재적으로 커널 권한을 사용하여 코드를 실행할 수 있음

설명: use-after-free 문제는 향상된 메모리 관리를 통해 해결되었습니다.

CVE-2022-46712: Tommy Muir(@Muirey03)

2023년 2월 20일에 추가된 항목

Mail

영향: 앱이 민감한 사용자 데이터에 접근할 수 있음

설명: 이 문제는 향상된 데이터 보호를 통해 해결되었습니다.

CVE-2022-42815: Offensive Security의 Csaba Fitzl(@theevilbit)

Mail

영향: 앱이 압축 중에 사용되는 임시 디렉토리를 통해 메일 폴더 첨부 파일에 접근할 수 있음

설명: 접근 문제는 향상된 접근 제한을 통해 해결되었습니다.

CVE-2022-42834: SecuRing의 Wojciech Reguła(@_r3ggi)

2023년 5월 1일에 추가된 항목

Maps

영향: 앱이 중요한 위치 정보를 읽을 수 있음

설명: 이 문제는 민감한 정보에 대한 향상된 제한을 통해 해결되었습니다.

CVE-2022-46707: Offensive Security의 Csaba Fitzl(@theevilbit)

2023년 8월 1일에 추가된 항목

Maps

영향: 앱이 중요한 위치 정보를 읽을 수 있음

설명: 로직 문제는 향상된 제한 조치를 통해 해결되었습니다.

CVE-2022-32883: breakpointhq.com의 Ron Masas

MediaLibrary

영향: 사용자가 권한을 높일 수 있음

설명: 메모리 손상 문제는 향상된 입력 유효성 확인을 통해 해결되었습니다.

CVE-2022-32908: 익명의 연구원

Model I/O

영향: 악의적으로 제작된 USD 파일을 처리하면 메모리 내용이 공개될 수 있음

설명: 향상된 메모리 처리를 통해 문제가 해결되었습니다.

CVE-2022-42810: Xingwei Lin(@xwlin_roy) 및 Ant Security Light-Year Lab의 Yinyi Wu

2022년 10월 27일에 추가된 항목

ncurses

영향: 사용자가 앱을 예기치 않게 종료하거나 임의 코드를 실행할 수 있음

설명: 버퍼 오버플로우는 향상된 범위 검사를 통해 해결되었습니다.

CVE-2021-39537

ncurses

영향: 악의적으로 제작된 파일을 처리하면 서비스 거부가 발생하거나 메모리 콘텐츠가 잠재적으로 노출될 수 있음

설명: 서비스 거부 문제는 향상된 유효성 확인을 통해 해결되었습니다.

CVE-2022-29458

Notes

영향: 네트워크에서 권한 있는 위치에 있는 사용자가 사용자 활동을 추적할 수 있음

설명: 이 문제는 향상된 데이터 보호를 통해 해결되었습니다.

CVE-2022-42818: WithSecure의 Gustav Hansen

Notifications

영향: 기기에 물리적으로 접근할 수 있는 사용자가 잠금 화면에서 연락처에 접근할 수 있음

설명: 로직 문제는 향상된 상태 관리를 통해 해결되었습니다.

CVE-2022-32879: Ubeydullah Sümer

PackageKit

영향: 앱이 파일 시스템의 보호된 부분을 수정할 수 있음

설명: 경합 상태는 향상된 상태 처리를 통해 해결되었습니다.

CVE-2022-32895: Trend Micro의 Mickey Jin(@patch1t), Mickey Jin(@patch1t)

PackageKit

영향: 앱이 파일 시스템의 보호된 부분을 수정할 수 있음

설명: 경합 상태는 추가 유효성 확인을 통해 해결되었습니다.

CVE-2022-46713: Trend Micro의 Mickey Jin(@patch1t)

2023년 2월 20일에 추가된 항목

Photos

영향: 사용자가 Delete 키를 눌러 실수로 공유 앨범에 참여자를 추가할 수 있음

설명: 로직 문제는 향상된 상태 관리를 통해 해결되었습니다.

CVE-2022-42807: Ezekiel Elin

2023년 5월 1일에 추가되고 2023년 8월 1일에 업데이트된 항목

Photos

영향: 앱이 개인정보 보호 환경설정을 우회할 수 있음

설명: 이 문제는 향상된 데이터 보호를 통해 해결되었습니다.

CVE-2022-32918: Nagarro Software Pvt. Ltd의 Ashwani Rajput, The Hack Report의 Srijan Shivam Mishra, Aastha Technologies의 Jugal Goradia, Invalid Web Security의 Evan Ricafort(evanricafort.com), Shesha Sai C(linkedin.com/in/shesha-sai-c-18585b125) 및 Pune(India)의 Amod Raghunath Patwardhan

2023년 3월 16일에 업데이트된 항목

ppp

영향: 루트 권한을 가진 앱이 커널 권한을 사용하여 임의 코드를 실행할 수 있음

설명: use-after-free 문제는 향상된 메모리 관리를 통해 해결되었습니다.

CVE-2022-42829: 익명의 연구원

ppp

영향: 루트 권한을 가진 앱이 커널 권한을 사용하여 임의 코드를 실행할 수 있음

설명: 향상된 메모리 처리를 통해 문제가 해결되었습니다.

CVE-2022-42830: 익명의 연구원

ppp

영향: 루트 권한을 가진 앱이 커널 권한을 사용하여 임의 코드를 실행할 수 있음

설명: 경합 상태는 잠금 개선을 통해 해결되었습니다.

CVE-2022-42831: 익명의 연구원

CVE-2022-42832: 익명의 연구원

ppp

영향: 버퍼 오버플로우로 인해 임의 코드가 실행될 수 있음

설명: 이 문제는 향상된 범위 검사를 통해 해결되었습니다.

CVE-2022-32941: 익명의 연구원

2022년 10월 27일에 추가된 항목

Ruby

영향: 원격 사용자가 앱을 예기치 않게 종료하거나 임의 코드를 실행할 수 있음

설명: 메모리 손상 문제는 Ruby를 2.6.10 버전으로 업데이트하여 해결되었습니다.

CVE-2022-28739

Sandbox

영향: 앱이 파일 시스템의 보호된 부분을 수정할 수 있음

설명: 로직 문제는 향상된 제한 조치를 통해 해결되었습니다.

CVE-2022-32881: Offensive Security의 Csaba Fitzl(@theevilbit)

Sandbox

영향: 루트 권한을 가진 앱이 개인 정보에 접근할 수 있음

설명: 이 문제는 향상된 데이터 보호를 통해 해결되었습니다.

CVE-2022-32862: University of Illinois Urbana-Champaign의 Rohit Chatterjee

CVE-2022-32931: 익명의 연구원

2023년 3월 16일에 업데이트되고, 2023년 12월 21일에 업데이트된 항목

Sandbox

영향: 앱이 민감한 사용자 데이터에 접근할 수 있음

설명: 접근 문제는 추가적인 샌드 박스 제한을 통해 해결되었습니다.

CVE-2022-42811: Snowflake의 Justin Bui(@slyd0g)

Security

영향: 앱에서 코드 서명 확인이 우회될 수 있음

설명: 코드 서명 유효성 확인 문제는 향상된 검사를 통해 해결되었습니다.

CVE-2022-42793: Pinauten GmbH(pinauten.de)의 Linus Henze

Shortcuts

영향: 단축어가 인증 없이 가려진 사진 앨범을 볼 수 있음

설명: 로직 문제는 향상된 제한 조치를 통해 해결되었습니다.

CVE-2022-32876: 익명의 연구원

2023년 8월 1일에 추가된 항목

Shortcuts

영향: 단축어가 파일 시스템에서 임의 경로가 있는지 확인할 수 있음

설명: 디렉토리 경로를 처리할 때 발생하는 구문 분석 문제는 향상된 경로 유효성 확인을 통해 해결되었습니다.

CVE-2022-32938: Tudor Vianu National High School of Computer Science(Romania)의 루마니아

Sidecar

영향: 사용자가 잠금 화면에서 제한된 콘텐츠를 볼 수 있음

설명: 로직 문제는 향상된 상태 관리를 통해 해결되었습니다.

CVE-2022-42790: Zaprico Digital의 Om kothawade

Siri

영향: 기기에 물리적으로 접근할 수 있는 사용자가 Siri를 사용하여 통화 기록 정보를 얻을 수 있음

설명: 로직 문제는 향상된 상태 관리를 통해 해결되었습니다.

CVE-2022-32870: The University of Texas at Austin의 The McCombs School of Business 소속 Andrew Goldberg(linkedin.com/in/andrew-goldberg-/)

SMB

영향: 원격 사용자가 임의 코드를 실행할 수 있음

설명: 향상된 메모리 처리를 통해 문제가 해결되었습니다.

CVE-2022-32934: Felix Poulin-Belanger

Software Update

영향: 앱이 커널 권한을 사용하여 임의 코드를 실행할 수 있음

설명: 경합 상태는 향상된 상태 처리를 통해 해결되었습니다.

CVE-2022-42791: Trend Micro의 Mickey Jin(@patch1t)

SQLite

영향: 원격 사용자가 서비스 거부를 야기할 수 있음

설명: 이 문제는 향상된 검사를 통해 해결되었습니다.

CVE-2021-36690

System Settings

영향: 앱이 파일 시스템의 보호된 부분을 수정할 수 있음

설명: 이 문제는 향상된 데이터 보호를 통해 해결되었습니다.

CVE-2022-48505: TrustedSec의 Adam Chester 및 Computest Sector 7의 Thijs Alkemade(@xnyhps)

2023년 6월 26일에 추가된 항목

TCC

영향: 앱이 엔드포인트 보안 클라이언트에 대한 서비스 거부를 야기할 수 있음

설명: 로직 문제는 향상된 상태 관리를 통해 해결되었습니다.

CVE-2022-26699: Offensive Security의 Csaba Fitzl(@theevilbit)

2023년 8월 1일에 추가된 항목

Vim

영향: Vim에서 여러 문제가 발생함

설명: Vim을 업데이트하여 여러 문제가 해결되었습니다.

CVE-2022-0261

CVE-2022-0318

CVE-2022-0319

CVE-2022-0351

CVE-2022-0359

CVE-2022-0361

CVE-2022-0368

CVE-2022-0392

CVE-2022-0554

CVE-2022-0572

CVE-2022-0629

CVE-2022-0685

CVE-2022-0696

CVE-2022-0714

CVE-2022-0729

CVE-2022-0943

CVE-2022-1381

CVE-2022-1420

CVE-2022-1725

CVE-2022-1616

CVE-2022-1619

CVE-2022-1620

CVE-2022-1621

CVE-2022-1629

CVE-2022-1674

CVE-2022-1733

CVE-2022-1735

CVE-2022-1769

CVE-2022-1927

CVE-2022-1942

CVE-2022-1968

CVE-2022-1851

CVE-2022-1897

CVE-2022-1898

CVE-2022-1720

CVE-2022-2000

CVE-2022-2042

CVE-2022-2124

CVE-2022-2125

CVE-2022-2126

VPN

영향: 앱이 커널 권한을 사용하여 임의 코드를 실행할 수 있음

설명: 향상된 메모리 처리를 통해 문제가 해결되었습니다.

CVE-2022-42828: 익명의 연구원

2023년 8월 1일에 추가된 항목

Weather

영향: 앱이 중요한 위치 정보를 읽을 수 있음

설명: 로직 문제는 향상된 상태 관리를 통해 해결되었습니다.

CVE-2022-32875: 익명의 연구원

WebKit

영향: 악의적으로 제작된 웹 콘텐츠를 처리하면 임의 코드가 실행될 수 있음

설명: use-after-free 문제는 향상된 메모리 관리를 통해 해결되었습니다.

WebKit Bugzilla: 246669
CVE-2022-42826: Francisco Alonso(@revskills)

2022년 12월 22일에 추가된 항목

WebKit

영향: 악의적으로 제작된 웹 콘텐츠를 처리하면 임의 코드가 실행될 수 있음

설명: 버퍼 오버플로우 문제는 향상된 메모리 처리를 통해 해결되었습니다.

WebKit Bugzilla: 241969
CVE-2022-32886: P1umer(@p1umer), afang(@afang5472), xmzyshypnc(@xmzyshypnc1)

WebKit

영향: 악의적으로 제작된 웹 콘텐츠를 처리하면 임의 코드가 실행될 수 있음

설명: 범위를 벗어난 쓰기 문제는 향상된 범위 검사를 통해 해결되었습니다.

WebKit Bugzilla: 242047
CVE-2022-32888: P1umer(@p1umer)

WebKit

영향: 악의적으로 제작된 웹 콘텐츠를 처리하면 임의 코드가 실행될 수 있음

설명: 범위를 벗어난 읽기는 향상된 범위 검사를 통해 해결되었습니다.

WebKit Bugzilla: 242762
CVE-2022-32912: Trend Micro Zero Day Initiative에 참여 중인 Theori의 Jeonghoon Shin(@singi21a)

WebKit

영향: 악의적인 웹 사이트를 방문하면 사용자 인터페이스 스푸핑이 발생할 수 있음

설명: UI 처리가 개선되어 문제가 해결되었습니다.

WebKit Bugzilla: 243693
CVE-2022-42799: Jihwan Kim(@gPayl0ad), Dohyun Lee(@l33d0hyun)

WebKit

영향: 악의적으로 제작된 웹 콘텐츠를 처리하면 임의 코드가 실행될 수 있음

설명: 유형 혼동 문제는 향상된 메모리 처리를 통해 해결되었습니다.

WebKit Bugzilla: 244622
CVE-2022-42823: SSD Labs의 Dohyun Lee(@l33d0hyun)

WebKit

영향: 악의적으로 제작된 웹 콘텐츠를 처리하면 중요한 사용자 정보가 공개될 수 있음

설명: 로직 문제는 향상된 상태 관리를 통해 해결되었습니다.

WebKit Bugzilla: 245058
CVE-2022-42824: Microsoft Browser Vulnerability Research의 Abdulrahman Alqabandi, 고려대학교 IAAI SecLab 소속 Ryan Shin, 고려대학교 DNSLab 소속 Dohyun Lee(@l33d0hyun)

WebKit

영향: 악의적으로 제작된 웹 콘텐츠를 처리하면 앱의 내부 상태가 공개될 수 있음

설명: JIT에서 올바름 문제는 향상된 검사를 통해 해결되었습니다.

WebKit Bugzilla: 242964
CVE-2022-32923: KAIST Hacking Lab의 Wonyoung Jung(@nonetype_pwn)

2022년 10월 27일에 추가된 항목

WebKit PDF

영향: 악의적으로 제작된 웹 콘텐츠를 처리하면 임의 코드가 실행될 수 있음

설명: use-after-free 문제는 향상된 메모리 관리를 통해 해결되었습니다.

WebKit Bugzilla: 242781
CVE-2022-32922: Trend Micro Zero Day Initiative에 참여 중인 Theori의 Yonghwi Jin(@jinmo123)

WebKit Sandboxing

영향: 샌드 박스가 적용된 프로세스에서 샌드 박스 제한을 우회할 수 있음

설명: 접근 문제는 샌드 박스에 대한 개선 사항을 통해 해결되었습니다.

WebKit Bugzilla: 243181
CVE-2022-32892: DBAppSecurity's WeBin lab의 @18楼梦想改造家 및 @jq0904

WebKit Storage

영향: 앱이 개인정보 보호 환경설정을 우회할 수 있음

설명: 향상된 캐시 처리를 통해 문제가 해결되었습니다.

CVE-2022-32833: Offensive Security의 Csaba Fitzl(@theevilbit), Jeff Johnson

2022년 12월 22일에 추가된 항목

Wi-Fi

영향: 앱이 커널 권한을 사용하여 임의 코드를 실행할 수 있음

설명: 메모리 손상 문제는 향상된 상태 관리를 통해 해결되었습니다.

CVE-2022-46709: Cyberserval의 Wang Yu

2023년 3월 16일에 추가된 항목

zlib

영향: 사용자가 앱을 예기치 않게 종료하거나 임의 코드를 실행할 수 있음

설명: 이 문제는 향상된 검사를 통해 해결되었습니다.

CVE-2022-37434: Evgeny Legerov

CVE-2022-42800: Evgeny Legerov

2022년 10월 27일에 추가된 항목

감사의 말

AirPort

도움을 주신 Intrado-Life & Safety/Globant의 Joseph Salazar Acuña 및 Renato Llamoca 님께 감사드립니다.

apache

도움을 주신 Enterprise Service Center의 Tricia Lee 님께 감사드립니다.

2023년 3월 16일에 추가된 항목

AppleCredentialManager

도움을 주신 @jonathandata1 님께 감사드립니다.

ATS

도움을 주신 Mickey Jin(@patch1t) 님께 감사드립니다.

2023년 8월 1일에 추가된 항목

FaceTime

도움을 주신 익명의 연구원님께 감사드립니다.

FileVault

도움을 주신 Twocanoes Software의 Timothy Perfitt 님께 감사드립니다.

Find My

도움을 주신 익명의 연구원님께 감사드립니다.

Identity Services

도움을 주신 Joshua Jones 님께 감사드립니다.

IOAcceleratorFamily

도움을 주신 Antonio Zekic(@antoniozekic) 님께 감사드립니다.

IOGPUFamily

도움을 주신 cyberserval의 Wang Yu 님께 감사드립니다.

2022년 11월 9일에 추가된 항목

Kernel

도움을 주신 STAR Labs의 Peter Nguyen, Moveworks.ai의 Tim Michaud(@TimGMichaud), Tsinghua University의 Tingting Yin 및 Ant Group의 Min Zheng, Tommy Muir(@Muirey03) 및 익명의 연구원님께 감사드립니다.

로그인 윈도우

도움을 주신 Simon Tang(simontang.dev) 님께 감사드립니다.

2022년 11월 9일에 추가된 항목

Mail

도움을 주신 Zone Media OÜ의 Taavi Eomäe 님과 익명의 연구원님께 감사드립니다.

2023년 12월 21일에 업데이트된 항목

Mail Drafts

도움을 주신 익명의 연구원님께 감사드립니다.

Networking

도움을 주신 Zoom Video Communications의 Tim Michaud(@TimGMichaud) 님께 감사드립니다.

Photo Booth

도움을 주신 Dremio의 Prashanth Kannan 님께 감사드립니다.

Quick Look

도움을 주신 Hilary 'It’s off by a Pixel' Street에 감사드립니다.

Safari

도움을 주신 Sub-Zero Group의 Scott Hatfield 님께 감사드립니다.

2023년 3월 16일에 추가된 항목

Sandbox

도움을 주신 Offensive Security의 Csaba Fitzl(@theevilbit) 님께 감사드립니다.

SecurityAgent

도움을 주신 Security Team Netservice de Toekomst와 익명의 연구원님께 감사드립니다.

2023년 12월 21일에 추가된 항목

smbx

도움을 주신 runZero Asset Inventory의 HD Moore 님께 감사드립니다.

System

도움을 주신 Trend Micro의 Mickey Jin(@patch1t) 님께 감사드립니다.

System Settings

도움을 주신 Bjorn Hellenbrand 님께 감사드립니다.

UIKit

도움을 주신 Aleczander Ewing 님께 감사드립니다.

WebKit

도움을 주신 Google Project Zero의 Maddie Stone, Suma Soft Pvt. Ltd.의 Narendra Bhati(@imnarendrabhati), 익명의 연구원님께 감사드립니다.

WebRTC

도움을 주신 익명의 연구원님께 감사드립니다.

Apple이 제조하지 않은 제품에 관한 정보 또는 Apple의 관리 또는 테스트 대상이 아닌 독립적인 웹 사이트는 권장 또는 보증 없이 제공되는 것입니다. Apple은 타사 웹 사이트 또는 제품에 대한 선택, 성능 및 사용과 관련하여 발생하는 결과에 대해 책임을 지지 않습니다. Apple은 타사 웹 사이트의 정확성 또는 신뢰도에 대해 어떠한 언급도 하지 않습니다. 자세한 내용은 해당 업체에 문의하시기 바랍니다.

게시일: 2024년 01월 03일