Over de beveiligingsinhoud van macOS Ventura 13

In dit document wordt de beveiligingsinhoud van macOS Ventura 13 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

macOS Ventura 13

Releasedatum: 24 oktober 2022

Accelerate Framework

Beschikbaar voor: Mac Studio (2022), Mac Pro (2019 en nieuwer), MacBook Air (2018 en nieuwer), MacBook Pro (2017 en nieuwer), Mac mini (2018 en nieuwer), iMac (2017 en nieuwer), MacBook (2017) en iMac Pro (2017)

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met geheugengebruik is verholpen door verbeterde geheugenverwerking.

CVE-2022-42795: ryuzaki

APFS

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een toegangsprobleem is verholpen door verbeterde toegangsbeperkingen.

CVE-2022-48577: Csaba Fitzl (@theevilbit) van Offensive Security

Toegevoegd op 21 december 2023

Apple Neural Engine

Impact: een app kan gevoelige kernelstatus vrijgeven

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2022-32858: Mohamed Ghannam (@_simo36)

Apple Neural Engine

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2022-32898: Mohamed Ghannam (@_simo36)

CVE-2022-32899: Mohamed Ghannam (@_simo36)

CVE-2022-46721: Mohamed Ghannam (@_simo36)

CVE-2022-47915: Mohamed Ghannam (@_simo36)

CVE-2022-47965: Mohamed Ghannam (@_simo36)

CVE-2022-32889: Mohamed Ghannam (@_simo36)

Bijgewerkt op 21 december 2023

AppleAVD

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: dit probleem is verholpen door verbeterde controles.

CVE-2022-32907: Yinyi Wu, ABC Research s.r.o, Natalie Silvanovich van Google Project Zero, Tommaso Bianco (@cutesmilee__), Antonio Zekic (@antoniozekic) en John Aakerblom (@jaakerblom)

Toegevoegd op 16 maart 2023

AppleAVD

Impact: een app kan een denial-of-service veroorzaken

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.

CVE-2022-32827: Antonio Zekic (@antoniozekic), Natalie Silvanovich van Google Project Zero en een anonieme onderzoeker

AppleMobileFileIntegrity

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een configuratieprobleem is verholpen door extra beperkingen.

CVE-2022-32877: Wojciech Reguła (@_r3ggi) van SecuRing

Toegevoegd op 16 maart 2023

AppleMobileFileIntegrity

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een probleem met de ondertekening van code is verholpen door verbeterde controles.

CVE-2022-42789: Koh M. Nakagawa van FFRI Security, Inc.

AppleMobileFileIntegrity

Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen

Beschrijving: dit probleem is verholpen door aanvullende rechten te verwijderen.

CVE-2022-42825: Mickey Jin (@patch1t)

Assets

Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2022-46722: Mickey Jin (@patch1t)

Toegevoegd op 1 augustus 2023

ATS

Impact: een app kan mogelijk privacyvoorkeuren omzeilen

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2022-32902: Mickey Jin (@patch1t)

ATS

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een toegangsprobleem is verholpen door aanvullende sandboxbeperkingen.

CVE-2022-32904: Mickey Jin (@patch1t)

ATS

Impact: een proces in de sandbox kan de sandboxbeperkingen omzeilen

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2022-32890: Mickey Jin (@patch1t)

Audio

Impact: een app kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.

CVE-2022-42796: Mickey Jin (@patch1t)

Bijgewerkt op donderdag 16 maart 2023

Audio

Impact: het parseren van een kwaadwillig vervaardigd audiobestand kan leiden tot het vrijgeven van gebruikersinformatie

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2022-42798: anoniem in samenwerking met het Zero Day Initiative van Trend Micro

Toegevoegd op 27 oktober 2022

AVEVideoEncoder

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.

CVE-2022-32940: ABC Research s.r.o.

Beta Access Utility

Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2022-42816: Mickey Jin (@patch1t)

Toegevoegd op 21 december 2023

BOM

Impact: een app kan Gatekeeper-controles omzeilen

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2022-42821: Jonathan Bar Or van Microsoft

Toegevoegd op 13 december 2022

Boot Camp

Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen

Beschrijving: dit probleem is verholpen door middel van verbeterde controles om ongeautoriseerde acties te voorkomen.

CVE-2022-42860: Mickey Jin (@patch1t) van Trend Micro

Toegevoegd op 16 maart 2023

Agenda

Impact: een app kan mogelijk vertrouwelijke locatiegegevens lezen

Beschrijving: een toegangsprobleem is verholpen door verbeterde toegangsbeperkingen.

CVE-2022-42819: een anonieme onderzoeker

CFNetwork

Impact: het verwerken van een kwaadwillig vervaardigd certificaat kan leiden tot het uitvoeren van willekeurige code

Beschrijving: er was een probleem met de validatie van de certificaatketen bij de verwerking van WKWebView. Dit probleem is verholpen door een verbeterde validatie.

CVE-2022-42813: Jonathan Zhang van Open Computing Facility (ocf.berkeley.edu)

ColorSync

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: er was een probleem met geheugenbeschadiging tijdens de verwerking van ICC-profielen. Dit probleem is verholpen door een verbeterde invoervalidatie.

CVE-2022-26730: David Hoyt van Hoyt LLC

Core Bluetooth

Impact: een app kan mogelijk audio opnemen met gekoppelde AirPods

Beschrijving: een toegangsprobleem is verholpen met aanvullende sandboxbeperkingen in programma's van derden.

CVE-2022-32945: Guilherme Rambo van Best Buddy Apps (rambo.codes)

Toegevoegd op 9 november 2022

CoreMedia

Impact: een cameraextensie kan video blijven ontvangen nadat de app die de camera heeft geactiveerd, is afgesloten

Beschrijving: een probleem met de toegang van apps tot de gegevens van de camera is opgelost door verbeterde logica.

CVE-2022-42838: Halle Winkler (@hallewinkler) van Politepix

Toegevoegd op 22 december 2022

CoreTypes

Impact: een kwaadaardig programma kan Gatekeeper-controles omzeilen

Beschrijving: dit probleem is verholpen door middel van verbeterde controles om ongeautoriseerde acties te voorkomen.

CVE-2022-22663: Arsenii Kostromin (0x3c3e)

Toegevoegd op 16 maart 2023

Crash Reporter

Impact: een gebruiker met fysieke toegang tot een iOS-apparaat kan diagnostische logboeken uit het verleden lezen

Beschrijving: dit probleem is verholpen door middel van verbeterde gegevensbescherming.

CVE-2022-32867: Kshitij Kumar en Jai Musunuri van Crowdstrike

curl

Impact: meerdere problemen in curl

Beschrijving: meerdere problemen zijn verholpen door bij te werken naar curl-versie 7.84.0.

CVE-2022-32205

CVE-2022-32206

CVE-2022-32207

CVE-2022-32208

Directory Utility

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2022-42814: Sergii Kryvoblotskyi van MacPaw Inc.

DriverKit

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2022-32865: Linus Henze van Pinauten GmbH (pinauten.de)

DriverKit

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een type confusion-probleem is verholpen door verbeterde controles.

CVE-2022-32915: Tommy Muir (@Muirey03)

Exchange

Impact: een gebruiker in een geprivilegieerde netwerkpositie kan Mail-inloggegevens onderscheppen

Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.

CVE-2022-32928: Jiří Vinopal (@vinopaljiri) van Check Point Research

Bijgewerkt op donderdag 16 maart 2023

FaceTime

Impact: een gebruiker kan zonder zich daarvan bewust te zijn, audio en video versturen tijdens een FaceTime-gesprek

Beschrijving: dit probleem is verholpen door verbeterde controles.

CVE-2022-22643: Sonali Luthar van de University of Virginia, Michael Liao van de University of Illinois at Urbana-Champaign, Rohan Pahwa van Rutgers University en Bao Nguyen van University of Florida

Toegevoegd op 16 maart 2023

FaceTime

Impact: een gebruiker kan mogelijk beperkte inhoud bekijken via het toegangsscherm

Beschrijving: een probleem met het toegangsscherm is verholpen door een verbeterd statusbeheer.

CVE-2022-32935: Bistrit Dahal

Toegevoegd op 27 oktober 2022

Find My

Impact: een kwaadaardig programma kan vertrouwelijke locatiegegevens lezen

Beschrijving: er was een probleem met bevoegdheden. Dit probleem is verholpen door een verbeterde validatie van bevoegdheden.

CVE-2022-42788: Csaba Fitzl (@theevilbit) van Offensive Security, Wojciech Reguła van SecuRing (wojciechregula.blog)

Find My

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.

CVE-2022-48504: Csaba Fitzl (@theevilbit) van Offensive Security

Toegevoegd op 21 december 2023

Finder

Impact: het verwerken van een kwaadwillig vervaardigd DMG-bestand kan leiden tot het uitvoeren van willekeurige code met systeembevoegdheden

Beschrijving: dit probleem is verholpen door een verbeterde validatie van symlinks.

CVE-2022-32905: Ron Masas (breakpoint.sh) van BreakPoint Technologies LTD

GPU Drivers

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2022-42833: Pan ZhenPeng (@Peterpan0927)

Toegevoegd op 22 december 2022

GPU Drivers

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2022-32947: Asahi Lina (@LinaAsahi)

Grapher

Impact: het verwerken van een kwaadwillig vervaardigd gcx-bestand kan het onverwacht beëindigen van een app of het uitvoeren van willekeurige code veroorzaken

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2022-42809: Yutao Wang (@Jack) en Yu Zhou (@yuzhou6666)

Heimdal

Impact: een gebruiker kan het onverwacht beëindigen van een app of het uitvoeren van willekeurige code veroorzaken

Beschrijving: dit probleem is verholpen door verbeterde controles.

CVE-2022-3437: Evgeny Legerov van Intevydis

Toegevoegd op 25 oktober 2022

iCloud Photo Library

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een probleem met vrijgave van gegevens is opgelost door de kwetsbare code te verwijderen.

CVE-2022-32849: Joshua Jones

Toegevoegd op 9 november 2022

Image Processing

Impact: een app in de sandbox kan achterhalen welke app momenteel de camera gebruikt

Beschrijving: het probleem is verholpen door aanvullende beperkingen voor de waarneembaarheid van appstatussen.

CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)

ImageIO

Impact: het verwerken van een afbeelding kan leiden tot een denial-of-service

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2022-32809: Mickey Jin (@patch1t)

Toegevoegd op 1 augustus 2023

ImageIO

Impact: het verwerken van een afbeelding kan leiden tot een denial-of-service

Beschrijving: een probleem met denial-of-service is verholpen door verbeterde validatie.

CVE-2022-1622

Intel Graphics Driver

Impact: een app kan mogelijk het kernelgeheugen vrijgeven

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2022-32936: Antonio Zekic (@antoniozekic)

IOHIDFamily

Impact: een app kan onverwachte beëindiging van de app of willekeurige code-uitvoering veroorzaken

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.

CVE-2022-42820: Peter Pan ZhenPeng van STAR Labs

IOKit

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een racevoorwaarde is verholpen door verbeterde vergrendeling.

CVE-2022-42806: Tingting Yin van Tsinghua University

Kernel

Impact: een app kan mogelijk het kernelgeheugen vrijgeven

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2022-32864: Linus Henze van Pinauten GmbH (pinauten.de)

Kernel

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2022-32866: Linus Henze van Pinauten GmbH (pinauten.de)

CVE-2022-32911: Zweig van Kunlun Lab

CVE-2022-32924: Ian Beer van Google Project Zero

Kernel

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2022-32914: Zweig van Kunlun Lab

Kernel

Impact: een externe gebruiker kan het uitvoeren van kernelcode veroorzaken

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2022-42808: Zweig van Kunlun Lab

Kernel

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.

CVE-2022-32944: Tim Michaud (@TimGMichaud) van Moveworks.ai

Toegevoegd op 27 oktober 2022

Kernel

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een racevoorwaarde is verholpen door verbeterde vergrendeling.

CVE-2022-42803: Xinru Chi van Pangu Lab, John Aakerblom (@jaakerblom)

Toegevoegd op 27 oktober 2022

Kernel

Impact: een app met rootbevoegdheden kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.

CVE-2022-32926: Tim Michaud (@TimGMichaud) van Moveworks.ai

Toegevoegd op 27 oktober 2022

Kernel

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2022-42801: Ian Beer van Google Project Zero

Toegevoegd op 27 oktober 2022

Kernel

Impact: een app kan het onverwacht beëindigen van het systeem veroorzaken of mogelijk code uitvoeren met kernelbevoegdheden

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2022-46712: Tommy Muir (@Muirey03)

Toegevoegd op 20 februari 2023

Mail

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: dit probleem is verholpen door middel van verbeterde gegevensbescherming.

CVE-2022-42815: Csaba Fitzl (@theevilbit) van Offensive Security

Mail

Impact: een app kan toegang krijgen tot bijlagen in e-mailmappen via een tijdelijke directory die wordt gebruikt tijdens compressie

Beschrijving: een toegangsprobleem is verholpen door verbeterde toegangsbeperkingen.

CVE-2022-42834: Wojciech Reguła (@_r3ggi) van SecuRing

Toegevoegd op 1 mei 2023

Maps

Impact: een app kan mogelijk vertrouwelijke locatiegegevens lezen

Beschrijving: dit probleem is verholpen door verbeterde beperkingen met betrekking tot gevoelige gegevens.

CVE-2022-46707: Csaba Fitzl (@theevilbit) van Offensive Security

Toegevoegd op 1 augustus 2023

Maps

Impact: een app kan mogelijk vertrouwelijke locatiegegevens lezen

Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.

CVE-2022-32883: Ron Masas van breakpointhq.com

MediaLibrary

Impact: een gebruiker kan de bevoegdheden verhogen

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2022-32908: een anonieme onderzoeker

Model I/O

Impact: het verwerken van een kwaadwillig vervaardigd USD-bestand kan geheugeninhoud vrijgeven

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2022-42810: Xingwei Lin (@xwlin_roy) en Yinyi Wu van Ant Security Light-Year Lab

Toegevoegd op 27 oktober 2022

ncurses

Impact: een gebruiker kan het onverwacht beëindigen van een app of het uitvoeren van willekeurige code veroorzaken

Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.

CVE-2021-39537

ncurses

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot denial-of-service of kan geheugeninhoud vrijgeven

Beschrijving: een probleem met denial-of-service is verholpen door verbeterde validatie.

CVE-2022-29458

Notes

Impact: een gebruiker in een geprivilegieerde netwerkpositie kan gebruikersactiviteit volgen

Beschrijving: dit probleem is verholpen door middel van verbeterde gegevensbescherming.

CVE-2022-42818: Gustav Hansen van WithSecure

Notifications

Impact: een gebruiker met fysieke toegang tot een apparaat heeft toegang tot contacten vanaf het toegangsscherm

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2022-32879: Ubeydullah Sümer

PackageKit

Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen

Beschrijving: een racevoorwaarde is verholpen door een verbeterde statusverwerking.

CVE-2022-32895: Mickey Jin (@patch1t) van Trend Micro, Mickey Jin (@patch1t)

PackageKit

Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen

Beschrijving: een racevoorwaarde is verholpen met aanvullende validatie.

CVE-2022-46713: Mickey Jin (@patch1t) van Trend Micro

Toegevoegd op 20 februari 2023

Photos

Impact: een gebruiker kan onbedoeld een deelnemer toevoegen aan een gedeeld album door op de Delete-toets te drukken

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2022-42807: Ezekiel Elin

Toegevoegd op 1 mei 2023, bijgewerkt op 1 augustus 2023

Photos

Impact: een app kan mogelijk privacyvoorkeuren omzeilen

Beschrijving: dit probleem is verholpen door middel van verbeterde gegevensbescherming.

CVE-2022-32918: Ashwani Rajput van Nagarro Software Pvt. Ltd, Srijan Shivam Mishra van The Hack Report, Jugal Goradia van Aastha Technologies, Evan Ricafort (evanricafort.com) van Invalid Web Security, Shesha Sai C (linkedin.com/in/shesha-sai-c-18585b125) en Amod Raghunath Patwardhan uit Pune, India

Bijgewerkt op donderdag 16 maart 2023

ppp

Impact: een app met rootbevoegdheden kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2022-42829: een anonieme onderzoeker

ppp

Impact: een app met rootbevoegdheden kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2022-42830: een anonieme onderzoeker

ppp

Impact: een app met rootbevoegdheden kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een racevoorwaarde is verholpen door verbeterde vergrendeling.

CVE-2022-42831: een anonieme onderzoeker

CVE-2022-42832: een anonieme onderzoeker

ppp

Impact: een bufferoverloop kan leiden tot het uitvoeren van willekeurige code

Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.

CVE-2022-32941: een anonieme onderzoeker

Toegevoegd op 27 oktober 2022

Ruby

Impact: een externe gebruiker kan het onverwacht beëindigen van apps of het uitvoeren van willekeurige code veroorzaken

Beschrijving: een probleem met geheugenbeschadiging is verholpen door Ruby bij te werken naar versie 2.6.10.

CVE-2022-28739

Sandbox

Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen

Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.

CVE-2022-32881: Csaba Fitzl (@theevilbit) van Offensive Security

Sandbox

Impact: een app met rootbevoegdheden kan mogelijk toegang verkrijgen tot privégegevens

Beschrijving: dit probleem is verholpen door middel van verbeterde gegevensbescherming.

CVE-2022-32862: Rohit Chatterjee van de University of Illinois in Urbana-Champaign

CVE-2022-32931: een anonieme onderzoeker

Toegevoegd op 16 maart 2023, bijgewerkt op 21 december 2023

Sandbox

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een toegangsprobleem is verholpen door aanvullende sandboxbeperkingen.

CVE-2022-42811: Justin Bui (@slyd0g) van Snowflake

Security

Impact: een app kan codeondertekeningscontroles omzeilen

Beschrijving: een probleem met de ondertekening van code is verholpen door verbeterde controles.

CVE-2022-42793: Linus Henze van Pinauten GmbH (pinauten.de)

Shortcuts

Impact: met een opdracht kan het album met verborgen foto's zonder authenticatie worden bekeken

Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.

CVE-2022-32876: een anonieme onderzoeker

Toegevoegd op 1 augustus 2023

Shortcuts

Impact: een shortcut kan het bestaan van een willekeurig pad in het bestandssysteem controleren

Beschrijving: een probleem met het parseren bij de verwerking van directorypaden is verholpen door een verbeterde padvalidatie.

CVE-2022-32938: Cristian Dinca van Tudor Vianu National High School of Computer Science. Romania

Sidecar

Impact: een gebruiker kan mogelijk beperkte inhoud bekijken via het toegangsscherm

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2022-42790: Om kothawade van Zaprico Digital

Siri

Impact: een gebruiker met fysieke toegang tot een apparaat kan Siri gebruiken om belgeschiedenisinformatie te achterhalen

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2022-32870: Andrew Goldberg van The McCombs School of Business, The University of Texas at Austin (linkedin.com/in/andrew-goldberg-/)

SMB

Impact: een externe gebruiker kan het uitvoeren van kernelcode veroorzaken

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2022-32934: Felix Poulin-Belanger

Software Update

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een racevoorwaarde is verholpen door een verbeterde statusverwerking.

CVE-2022-42791: Mickey Jin (@patch1t) van Trend Micro

SQLite

Impact: een externe gebruiker kan een denial-of-service veroorzaken

Beschrijving: dit probleem is verholpen door verbeterde controles.

CVE-2021-36690

System Settings

Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen

Beschrijving: dit probleem is verholpen door middel van verbeterde gegevensbescherming.

CVE-2022-48505: Adam Chester van TrustedSec en Thijs Alkemade (@xnyhps) van Computest Sector 7

Toegevoegd op 26 juni 2023

TCC

Impact: een app kan een denial-of-service veroorzaken voor eindpuntbeveiligingsclients

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2022-26699: Csaba Fitzl (@theevilbit) van Offensive Security

Toegevoegd op 1 augustus 2023

Vim

Impact: meerdere problemen in Vim

Beschrijving: meerdere problemen zijn verholpen door Vim bij te werken.

CVE-2022-0261

CVE-2022-0318

CVE-2022-0319

CVE-2022-0351

CVE-2022-0359

CVE-2022-0361

CVE-2022-0368

CVE-2022-0392

CVE-2022-0554

CVE-2022-0572

CVE-2022-0629

CVE-2022-0685

CVE-2022-0696

CVE-2022-0714

CVE-2022-0729

CVE-2022-0943

CVE-2022-1381

CVE-2022-1420

CVE-2022-1725

CVE-2022-1616

CVE-2022-1619

CVE-2022-1620

CVE-2022-1621

CVE-2022-1629

CVE-2022-1674

CVE-2022-1733

CVE-2022-1735

CVE-2022-1769

CVE-2022-1927

CVE-2022-1942

CVE-2022-1968

CVE-2022-1851

CVE-2022-1897

CVE-2022-1898

CVE-2022-1720

CVE-2022-2000

CVE-2022-2042

CVE-2022-2124

CVE-2022-2125

CVE-2022-2126

VPN

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2022-42828: een anonieme onderzoeker

Toegevoegd op 1 augustus 2023

Weather

Impact: een app kan mogelijk vertrouwelijke locatiegegevens lezen

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2022-32875: een anonieme onderzoeker

WebKit

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

WebKit Bugzilla: 246669
CVE-2022-42826: Francisco Alonso (@revskills)

Toegevoegd op 22 december 2022

WebKit

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met bufferoverloop is verholpen door verbeterde verwerking van het geheugen.

WebKit Bugzilla: 241969
CVE-2022-32886: P1umer (@p1umer), afang (@afang5472), xmzyshypnc (@xmzyshypnc1)

WebKit

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.

WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)

WebKit

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.

WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a) bij Theori in samenwerking met Trend Micro Zero Day Initiative

WebKit

Impact: een bezoek aan een kwaadaardige website kan leiden tot vervalsing van de gebruikersinterface

Beschrijving: het probleem is verholpen door een verbeterde verwerking in de gebruikersinterface.

WebKit Bugzilla: 243693
CVE-2022-42799: Jihwan Kim (@gPayl0ad), Dohyun Lee (@l33d0hyun)

WebKit

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een type confusion-probleem is verholpen door verbeterde geheugenverwerking.

WebKit Bugzilla: 244622
CVE-2022-42823: Dohyun Lee (@l33d0hyun) van SSD Labs

WebKit

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan gevoelige gebruikersgegevens openbaar maken

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

WebKit Bugzilla: 245058
CVE-2022-42824: Abdulrahman Alqabandi van Microsoft Browser Vulnerability Research, Ryan Shin van IAAI SecLab van de Universiteit van Korea, Dohyun Lee (@l33d0hyun) van DNSLab van Universiteit van Korea

WebKit

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan interne statussen van de app vrijgeven

Beschrijving: een correctheidsprobleem in JIT is verholpen door verbeterde controles.

WebKit Bugzilla: 242964
CVE-2022-32923: Wonyoung Jung (@nonetype_pwn) van KAIST Hacking Lab

Toegevoegd op 27 oktober 2022

WebKit PDF

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

WebKit Bugzilla: 242781
CVE-2022-32922: Yonghwi Jin (@jinmo123) van Theori in samenwerking met Trend Micro Zero Day Initiative

WebKit Sandboxing

Impact: een proces in de sandbox kan de sandboxbeperkingen omzeilen

Beschrijving: een toegangsprobleem is verholpen door verbeteringen aan de sandbox.

WebKit Bugzilla: 243181
CVE-2022-32892: @18楼梦想改造家 en @jq0904 van DBAppSecurity's WeBin lab

WebKit Storage

Impact: een app kan mogelijk privacyvoorkeuren omzeilen

Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.

CVE-2022-32833: Csaba Fitzl (@theevilbit) van Offensive Security, Jeff Johnson

Toegevoegd op 22 december 2022

Wi-Fi

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.

CVE-2022-46709: Wang Yu van Cyberserval

Toegevoegd op 16 maart 2023

zlib

Impact: een gebruiker kan het onverwacht beëindigen van een app of het uitvoeren van willekeurige code veroorzaken

Beschrijving: dit probleem is verholpen door verbeterde controles.

CVE-2022-37434: Evgeny Legerov

CVE-2022-42800: Evgeny Legerov

Toegevoegd op 27 oktober 2022

Aanvullende erkenning

AirPort

Met dank aan Joseph Salazar Acuña en Renato Llamoca van Intrado-Life & Safety/Globant voor de hulp.

apache

Met dank van Tricia Lee van Enterprise Service Center voor de hulp.

Toegevoegd op 16 maart 2023

AppleCredentialManager

Met dank aan @jonathandata1 voor de hulp.

ATS

Met dank aan Mickey Jin (@patch1t) voor de hulp.

Toegevoegd op 1 augustus 2023

FaceTime

Met dank aan een anonieme onderzoeker voor de hulp.

FileVault

Met dank aan Timothy Perfitt van Twocanoes Software voor de hulp.

Find My

Met dank aan een anonieme onderzoeker voor de hulp.

Identity Services

Met dank aan Joshua Jones voor de hulp.

IOAcceleratorFamily

Met dank aan Antonio Zekic (@antoniozekic) voor de hulp.

IOGPUFamily

Met dank aan Wang Yu van cyberserval voor de hulp.

Toegevoegd op 9 november 2022

Kernel

Met dank aan Peter Nguyen van STAR Labs, Tim Michaud (@TimGMichaud) van Moveworks.ai, Tingting Yin van Tsinghua University en Min Zheng van Ant Group, Tommy Muir (@Muirey03) en een anonieme onderzoeker voor de hulp.

Login Window

Met dank aan Simon Tang (simontang.dev) voor de hulp.

Toegevoegd op 9 november 2022

Mail

Met dank aan Taavi Eomäe van Zone Media OÜ en een anonieme onderzoeker voor de hulp.

Bijgewerkt op 21 december 2023

Mail Drafts

Met dank aan een anonieme onderzoeker voor de hulp.

Networking

Met dank aan Tim Michaud (@TimGMichaud) van Zoom Video Communications voor de hulp.

Photo Booth

Met dank aan Prashanth Kannan van Dremio voor de hulp.

Quick Look

Met dank aan Hilary “It’s off by a Pixel” Street voor de hulp.

Safari

Met dank aan Scott Hatfield van Sub-Zero Group voor de hulp.

Toegevoegd op 16 maart 2023

Sandbox

Met dank aan Csaba Fitzl (@theevilbit) van Offensive Security voor de hulp.

SecurityAgent

Met dank aan beveiligingsteam Netservice de Toekomst en een anonieme onderzoeker voor de hulp.

Toegevoegd op 21 december 2023

smbx

Met dank aan HD Moore van runZero Asset Inventory voor de hulp.

System

Met dank aan Mickey Jin (@patch1t) van Trend Micro voor de hulp.

System Settings

Met dank aan Bjorn Hellenbrand voor de hulp.

UIKit

Met dank aan Aleczander Ewing voor de hulp.

WebKit

Met dank aan Maddie Stone van Google Project Zero, Narendra Bhati (@imnarendrabhati) van Suma Soft Pvt. Ltd. en een anonieme onderzoeker voor hun hulp.

WebRTC

Met dank aan een anonieme onderzoeker voor de hulp.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: januari 10, 2024