Over de beveiligingsinhoud van macOS Ventura 13.1

In dit document wordt de beveiligingsinhoud van macOS Ventura 13.1 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

macOS Ventura 13.1

Releasedatum: 13 december 2022

Accounts

Beschikbaar voor: macOS Ventura

Impact: een gebruiker kan mogelijk vertrouwelijke gebruikersinformatie bekijken

Beschrijving: dit probleem is verholpen door middel van verbeterde gegevensbescherming.

CVE-2022-42843: Mickey Jin (@patch1t)

AMD

Beschikbaar voor: macOS Ventura

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde invoervalidatie.

CVE-2022-42858: ABC Research s.r.o.

Toegevoegd op 16 maart 2023

AMD

Beschikbaar voor: macOS Ventura

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door verbeterde invoervalidatie.

CVE-2022-42847: ABC Research s.r.o.

AppleMobileFileIntegrity

Beschikbaar voor: macOS Ventura

Impact: een app kan mogelijk privacyvoorkeuren omzeilen

Beschrijving: dit probleem is verholpen door hardened runtime in te schakelen.

CVE-2022-42865: Wojciech Reguła (@_r3ggi) van SecuRing

Bluetooth

Beschikbaar voor: macOS Ventura

Impact: een app kan mogelijk het kernelgeheugen vrijgeven

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2022-42854: Pan ZhenPeng (@Peterpan0927) van STAR Labs SG Pte. Ltd. (@starlabs_sg)

Boot Camp

Beschikbaar voor: macOS Ventura

Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen

Beschrijving: een toegangsprobleem is verholpen door verbeterde toegangsbeperkingen.

CVE-2022-42853: Mickey Jin (@patch1t) van Trend Micro

CoreServices

Beschikbaar voor: macOS Ventura

Impact: een app kan mogelijk privacyvoorkeuren omzeilen

Beschrijving: meerdere problemen zijn verholpen door de kwetsbare code te verwijderen.

CVE-2022-42859: Mickey Jin (@patch1t), Csaba Fitzl (@theevilbit) van Offensive Security

curl

Beschikbaar voor: macOS Ventura

Impact: meerdere problemen in curl

Beschrijving: meerdere problemen zijn verholpen door bij te werken naar curl-versie 7.85.0.

CVE-2022-35252

Toegevoegd op 31 oktober 2023

DriverKit

Beschikbaar voor: macOS Ventura

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2022-32942: Linus Henze van Pinauten GmbH (pinauten.de)

dyld

Beschikbaar voor: macOS Ventura

Impact: een app kan mogelijk buiten zijn sandbox komen

Beschrijving: een probleem met overloop van gehele getallen is verholpen door verbeterde invoervalidatie.

CVE-2022-46720: Yonghwi Jin (@jinmo123) van Theori

Toegevoegd op 16 maart 2023

iCloud Photo Library

Beschikbaar voor: macOS Ventura

Impact: locatiegegevens worden mogelijk gedeeld via iCloud-links, zelfs als locatie-metadata zijn uitgeschakeld in het deelpaneel

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2022-46710: John Balestrieri van Tinrocket

Toegevoegd op 31 oktober 2023

ImageIO

Beschikbaar voor: macOS Ventura

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door verbeterde invoervalidatie.

CVE-2022-46693: Mickey Jin (@patch1t)

IOHIDFamily

Beschikbaar voor: macOS Ventura

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een racevoorwaarde is verholpen door een verbeterde statusverwerking.

CVE-2022-42864: Tommy Muir (@Muirey03)

IOMobileFrameBuffer

Beschikbaar voor: macOS Ventura

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door verbeterde invoervalidatie.

CVE-2022-46690: John Aakerblom (@jaakerblom)

IOMobileFrameBuffer

Beschikbaar voor: macOS Ventura

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.

CVE-2022-46697: John Aakerblom (@jaakerblom) en Antonio Zekic (@antoniozekic)

iTunes Store

Beschikbaar voor: macOS Ventura

Impact: een externe gebruiker kan het onverwacht beëindigen van apps of het uitvoeren van willekeurige code veroorzaken

Beschrijving: er was een probleem met het parseren van URL's. Dit probleem is verholpen door een verbeterde invoervalidatie.

CVE-2022-42837: Weijia Dai (@dwj1210) van Momo Security

Kernel

Beschikbaar voor: macOS Ventura

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een racevoorwaarde is verholpen met aanvullende validatie.

CVE-2022-46689: Ian Beer van Google Project Zero

Kernel

Beschikbaar voor: macOS Ventura

Impact: verbinding maken met een kwaadaardige NFS-server kan leiden tot het uitvoeren van willekeurige code met kernelbevoegdheden

Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.

CVE-2022-46701: Felix Poulin-Belanger

Kernel

Beschikbaar voor: macOS Ventura

Impact: een externe gebruiker kan het uitvoeren van kernelcode veroorzaken

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2022-42842: pattern-f (@pattern_F_) van Ant Security Light-Year Lab

Kernel

Beschikbaar voor: macOS Ventura

Impact: een app kan buiten zijn sandbox komen

Beschrijving: dit probleem is verholpen door verbeterde controles.

CVE-2022-42861: pattern-f (@pattern_F_) van Ant Security Light-Year Lab

Kernel

Beschikbaar voor: macOS Ventura

Impact: een app met rootbevoegdheden kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2022-42845: Adam Doupé van ASU SEFCOM

Kernel

Beschikbaar voor: macOS Ventura

Impact: een aanvaller met willekeurige lees- en schrijfcapaciteiten kan Pointer Authentication omzeilen. Apple is op de hoogte van een melding dat er mogelijk misbruik is gemaakt van dit probleem in versies van iOS die zijn uitgebracht vóór iOS 15.7.1.

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2022-48618: Apple

Toegevoegd op 9 januari 2024

Networking

Beschikbaar voor: macOS Ventura

Impact: een app kan mogelijk vertrouwelijke locatiegegevens lezen

Beschrijving: dit probleem is verholpen door een verbeterde manier van onleesbaar maken van vertrouwelijke informatie.

CVE-2022-42839: Adam M.

Toegevoegd op 31 oktober 2023, bijgewerkt op 31 mei 2024

Networking

Beschikbaar voor: macOS Ventura

Impact: de functionaliteit van privédoorgifte komt niet overeen met de systeeminstellingen

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2022-46716

Toegevoegd op 16 maart 2023

PackageKit

Beschikbaar voor: macOS Ventura

Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2022-46704: Mickey Jin (@patch1t), Csaba Fitzl (@theevilbit) van Offensive Security

Toegevoegd op 22 december 2022

Photos

Beschikbaar voor: macOS Ventura

Impact: met 'Herstel door schudden' kan een verwijderde foto zonder authenticatie weer beschikbaar worden gemaakt

Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.

CVE-2022-32943: Jiwon Park, Mieszko Wawrzyniak en een anonieme onderzoeker

Bijgewerkt op 31 oktober 2023

ppp

Beschikbaar voor: macOS Ventura

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2022-42840: een anonieme onderzoeker

Preferences

Beschikbaar voor: macOS Ventura

Impact: een app kan mogelijk arbitraire bevoegdheden gebruiken

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2022-42855: Ivan Fratric van Google Project Zero

Printing

Beschikbaar voor: macOS Ventura

Impact: een app kan mogelijk privacyvoorkeuren omzeilen

Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.

CVE-2022-42862: Mickey Jin (@patch1t)

Ruby

Beschikbaar voor: macOS Ventura

Impact: een externe gebruiker kan mogelijk het onverwacht beëindigen van apps of het uitvoeren van willekeurige code veroorzaken

Beschrijving: dit probleem is verholpen door verbeterde controles.

CVE-2022-24836

CVE-2022-29181

Safari

Beschikbaar voor: macOS Ventura

Impact: een bezoek aan een website met kwaadaardige inhoud kan leiden tot het vervalsen van de gebruikersinterface

Beschrijving: er was een probleem met vervalsing bij de verwerking van URL's. Dit probleem is verholpen door een verbeterde invoervalidatie.

CVE-2022-46695: KirtiKumar Anandrao Ramchandani

TCC

Beschikbaar voor: macOS Ventura

Impact: een app kan mogelijk vertrouwelijke locatiegegevens lezen

Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.

CVE-2022-46718: Michael (Biscuit) Thomas

Toegevoegd op 1 mei 2023

Weather

Beschikbaar voor: macOS Ventura

Impact: een app kan mogelijk vertrouwelijke locatiegegevens lezen

Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.

CVE-2022-46703: Wojciech Reguła (@_r3ggi) van SecuRing en Adam M.

Toegevoegd op 16 maart 2023, bijgewerkt op 31 mei 2024

Weather

Beschikbaar voor: macOS Ventura

Impact: een app kan vertrouwelijke locatiegegevens lezen

Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.

CVE-2022-42866: een anonieme onderzoeker

WebKit

Beschikbaar voor: macOS Ventura

Impact: een bezoek aan een website met kwaadaardige inhoud kan leiden tot het vervalsen van de gebruikersinterface

Beschrijving: het probleem is verholpen door een verbeterde verwerking in de gebruikersinterface.

WebKit Bugzilla: 247461

CVE-2022-32919: @real_as3617

Toegevoegd op 31 oktober 2023

WebKit

Beschikbaar voor: macOS Ventura

Impact: het bezoeken van een kwaadaardige website kan leiden tot adresbalkvervalsing

Beschrijving: er was een probleem met vervalsing bij de verwerking van URL's. Dit probleem is verholpen door een verbeterde invoervalidatie.

WebKit Bugzilla: 247289

CVE-2022-46725: Hyeon Park (@tree_segment) van Team ApplePIE

WebKit Bugzilla: 247287

CVE-2022-46705: Hyeon Park (@tree_segment) van Team ApplePIE

Toegevoegd op 22 december 2022, bijgewerkt op 31 oktober 2023

WebKit

Beschikbaar voor: macOS Ventura

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

WebKit Bugzilla: 245521

CVE-2022-42867: Maddie Stone van Google Project Zero

WebKit

Beschikbaar voor: macOS Ventura

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met geheugengebruik is verholpen door verbeterde geheugenverwerking.

WebKit Bugzilla: 245466

CVE-2022-46691: ChengGang Wu, Yan Kang, YuHao Hu, Yue Sun, Jiming Wang, en JiKai Ren en Hang Shu van Institute of Computing Technology, Chinese Academy of Sciences

Bijgewerkt op 31 oktober 2023

WebKit

Beschikbaar voor: macOS Ventura

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan het Same Origin-beleid omzeilen

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

WebKit Bugzilla: 246783

CVE-2022-46692: KirtiKumar Anandrao Ramchandani (kirtikumarar.com)

Bijgewerkt op 31 oktober 2023

WebKit

Beschikbaar voor: macOS Ventura

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot het vrijgeven van procesgeheugen

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

WebKit Bugzilla: 246721

CVE-2022-42852: hazbinhotel in samenwerking met Trend Micro Zero Day Initiative

Bijgewerkt: 22 december 2022

WebKit

Beschikbaar voor: macOS Ventura

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde invoervalidatie.

WebKit Bugzilla: 246942

CVE-2022-46696: Samuel Groß van Google V8 Security

WebKit Bugzilla: 247562

CVE-2022-46700: Samuel Groß van Google V8 Security

WebKit

Beschikbaar voor: macOS Ventura

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan gevoelige gebruikersgegevens openbaar maken

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

WebKit Bugzilla: 247066

CVE-2022-46698: Dohyun Lee (@l33d0hyun) van DNSLab bij Korea University, Ryan Shin van IAAI SecLab bij Korea University

Bijgewerkt: 22 december 2022

WebKit

Beschikbaar voor: macOS Ventura

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.

WebKit Bugzilla: 247420

CVE-2022-46699: Samuel Groß van Google V8 Security

WebKit Bugzilla: 244622

CVE-2022-42863: een anonieme onderzoeker

WebKit

Beschikbaar voor: macOS Ventura

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot het uitvoeren van willekeurige code. Apple is op de hoogte van een melding dat er mogelijk actief misbruik is gemaakt van dit probleem in versies van iOS die zijn uitgebracht vóór iOS 15.1.

Beschrijving: een type confusion-probleem is verholpen door een verbeterde statusverwerking.

WebKit Bugzilla: 248266

CVE-2022-42856: Clément Lecigne van de Threat Analysis Group van Google

xar

Beschikbaar voor: macOS Ventura

Impact: het verwerken van een kwaadwillig vervaardigd pakket kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een type confusion-probleem is verholpen door verbeterde controles.

CVE-2022-42841: Thijs Alkemade (@xnyhps) van Computest Sector 7

Aanvullende erkenning

Kernel

Met dank aan Zweig van Kunlun Lab voor de hulp.

Lock Screen

Met dank aan Kevin Mann voor de hulp.

Safari Extensions

Met dank aan Oliver Dunk en Christian R. van 1Password voor de hulp.

WebKit

Met dank aan een anonieme onderzoeker en Scarlet voor de hulp.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: