Over de beveiligingsinhoud van macOS Ventura 13.1
In dit document wordt de beveiligingsinhoud van macOS Ventura 13.1 beschreven.
Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.
Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.
macOS Ventura 13.1
Releasedatum: 13 december 2022
Accounts
Beschikbaar voor: macOS Ventura
Impact: een gebruiker kan mogelijk vertrouwelijke gebruikersinformatie bekijken
Beschrijving: dit probleem is verholpen door middel van verbeterde gegevensbescherming.
CVE-2022-42843: Mickey Jin (@patch1t)
AMD
Beschikbaar voor: macOS Ventura
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde invoervalidatie.
CVE-2022-42858: ABC Research s.r.o.
Toegevoegd op 16 maart 2023
AMD
Beschikbaar voor: macOS Ventura
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door verbeterde invoervalidatie.
CVE-2022-42847: ABC Research s.r.o.
AppleMobileFileIntegrity
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk privacyvoorkeuren omzeilen
Beschrijving: dit probleem is verholpen door hardened runtime in te schakelen.
CVE-2022-42865: Wojciech Reguła (@_r3ggi) van SecuRing
Bluetooth
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk het kernelgeheugen vrijgeven
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2022-42854: Pan ZhenPeng (@Peterpan0927) van STAR Labs SG Pte. Ltd. (@starlabs_sg)
Boot Camp
Beschikbaar voor: macOS Ventura
Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen
Beschrijving: een toegangsprobleem is verholpen door verbeterde toegangsbeperkingen.
CVE-2022-42853: Mickey Jin (@patch1t) van Trend Micro
CoreServices
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk privacyvoorkeuren omzeilen
Beschrijving: meerdere problemen zijn verholpen door de kwetsbare code te verwijderen.
CVE-2022-42859: Mickey Jin (@patch1t), Csaba Fitzl (@theevilbit) van Offensive Security
curl
Beschikbaar voor: macOS Ventura
Impact: meerdere problemen in curl
Beschrijving: meerdere problemen zijn verholpen door bij te werken naar curl-versie 7.85.0.
CVE-2022-35252
Toegevoegd op 31 oktober 2023
DriverKit
Beschikbaar voor: macOS Ventura
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2022-32942: Linus Henze van Pinauten GmbH (pinauten.de)
dyld
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk buiten zijn sandbox komen
Beschrijving: een probleem met overloop van gehele getallen is verholpen door verbeterde invoervalidatie.
CVE-2022-46720: Yonghwi Jin (@jinmo123) van Theori
Toegevoegd op 16 maart 2023
iCloud Photo Library
Beschikbaar voor: macOS Ventura
Impact: locatiegegevens worden mogelijk gedeeld via iCloud-links, zelfs als locatie-metadata zijn uitgeschakeld in het deelpaneel
Beschrijving: een logicaprobleem is verholpen door verbeterde controles.
CVE-2022-46710: John Balestrieri van Tinrocket
Toegevoegd op 31 oktober 2023
ImageIO
Beschikbaar voor: macOS Ventura
Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door verbeterde invoervalidatie.
CVE-2022-46693: Mickey Jin (@patch1t)
IOHIDFamily
Beschikbaar voor: macOS Ventura
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een racevoorwaarde is verholpen door een verbeterde statusverwerking.
CVE-2022-42864: Tommy Muir (@Muirey03)
IOMobileFrameBuffer
Beschikbaar voor: macOS Ventura
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door verbeterde invoervalidatie.
CVE-2022-46690: John Aakerblom (@jaakerblom)
IOMobileFrameBuffer
Beschikbaar voor: macOS Ventura
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.
CVE-2022-46697: John Aakerblom (@jaakerblom) en Antonio Zekic (@antoniozekic)
iTunes Store
Beschikbaar voor: macOS Ventura
Impact: een externe gebruiker kan het onverwacht beëindigen van apps of het uitvoeren van willekeurige code veroorzaken
Beschrijving: er was een probleem met het parseren van URL's. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-2022-42837: Weijia Dai (@dwj1210) van Momo Security
Kernel
Beschikbaar voor: macOS Ventura
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een racevoorwaarde is verholpen met aanvullende validatie.
CVE-2022-46689: Ian Beer van Google Project Zero
Kernel
Beschikbaar voor: macOS Ventura
Impact: verbinding maken met een kwaadaardige NFS-server kan leiden tot het uitvoeren van willekeurige code met kernelbevoegdheden
Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.
CVE-2022-46701: Felix Poulin-Belanger
Kernel
Beschikbaar voor: macOS Ventura
Impact: een externe gebruiker kan het uitvoeren van kernelcode veroorzaken
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2022-42842: pattern-f (@pattern_F_) van Ant Security Light-Year Lab
Kernel
Beschikbaar voor: macOS Ventura
Impact: een app kan buiten zijn sandbox komen
Beschrijving: dit probleem is verholpen door verbeterde controles.
CVE-2022-42861: pattern-f (@pattern_F_) van Ant Security Light-Year Lab
Kernel
Beschikbaar voor: macOS Ventura
Impact: een app met rootbevoegdheden kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2022-42845: Adam Doupé van ASU SEFCOM
Kernel
Beschikbaar voor: macOS Ventura
Impact: een aanvaller met willekeurige lees- en schrijfcapaciteiten kan Pointer Authentication omzeilen. Apple is op de hoogte van een melding dat er mogelijk misbruik is gemaakt van dit probleem in versies van iOS die zijn uitgebracht vóór iOS 15.7.1.
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2022-48618: Apple
Toegevoegd op 9 januari 2024
Networking
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk vertrouwelijke locatiegegevens lezen
Beschrijving: dit probleem is verholpen door een verbeterde manier van onleesbaar maken van vertrouwelijke informatie.
CVE-2022-42839: Adam M.
Toegevoegd op 31 oktober 2023, bijgewerkt op 31 mei 2024
Networking
Beschikbaar voor: macOS Ventura
Impact: de functionaliteit van privédoorgifte komt niet overeen met de systeeminstellingen
Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.
CVE-2022-46716
Toegevoegd op 16 maart 2023
PackageKit
Beschikbaar voor: macOS Ventura
Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen
Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.
CVE-2022-46704: Mickey Jin (@patch1t), Csaba Fitzl (@theevilbit) van Offensive Security
Toegevoegd op 22 december 2022
Photos
Beschikbaar voor: macOS Ventura
Impact: met 'Herstel door schudden' kan een verwijderde foto zonder authenticatie weer beschikbaar worden gemaakt
Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.
CVE-2022-32943: Jiwon Park, Mieszko Wawrzyniak en een anonieme onderzoeker
Bijgewerkt op 31 oktober 2023
ppp
Beschikbaar voor: macOS Ventura
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2022-42840: een anonieme onderzoeker
Preferences
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk arbitraire bevoegdheden gebruiken
Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.
CVE-2022-42855: Ivan Fratric van Google Project Zero
Printing
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk privacyvoorkeuren omzeilen
Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.
CVE-2022-42862: Mickey Jin (@patch1t)
Ruby
Beschikbaar voor: macOS Ventura
Impact: een externe gebruiker kan mogelijk het onverwacht beëindigen van apps of het uitvoeren van willekeurige code veroorzaken
Beschrijving: dit probleem is verholpen door verbeterde controles.
CVE-2022-24836
CVE-2022-29181
Safari
Beschikbaar voor: macOS Ventura
Impact: een bezoek aan een website met kwaadaardige inhoud kan leiden tot het vervalsen van de gebruikersinterface
Beschrijving: er was een probleem met vervalsing bij de verwerking van URL's. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-2022-46695: KirtiKumar Anandrao Ramchandani
TCC
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk vertrouwelijke locatiegegevens lezen
Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.
CVE-2022-46718: Michael (Biscuit) Thomas
Toegevoegd op 1 mei 2023
Weather
Beschikbaar voor: macOS Ventura
Impact: een app kan mogelijk vertrouwelijke locatiegegevens lezen
Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.
CVE-2022-46703: Wojciech Reguła (@_r3ggi) van SecuRing en Adam M.
Toegevoegd op 16 maart 2023, bijgewerkt op 31 mei 2024
Weather
Beschikbaar voor: macOS Ventura
Impact: een app kan vertrouwelijke locatiegegevens lezen
Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.
CVE-2022-42866: een anonieme onderzoeker
WebKit
Beschikbaar voor: macOS Ventura
Impact: een bezoek aan een website met kwaadaardige inhoud kan leiden tot het vervalsen van de gebruikersinterface
Beschrijving: het probleem is verholpen door een verbeterde verwerking in de gebruikersinterface.
WebKit Bugzilla: 247461
CVE-2022-32919: @real_as3617
Toegevoegd op 31 oktober 2023
WebKit
Beschikbaar voor: macOS Ventura
Impact: het bezoeken van een kwaadaardige website kan leiden tot adresbalkvervalsing
Beschrijving: er was een probleem met vervalsing bij de verwerking van URL's. Dit probleem is verholpen door een verbeterde invoervalidatie.
WebKit Bugzilla: 247289
CVE-2022-46725: Hyeon Park (@tree_segment) van Team ApplePIE
WebKit Bugzilla: 247287
CVE-2022-46705: Hyeon Park (@tree_segment) van Team ApplePIE
Toegevoegd op 22 december 2022, bijgewerkt op 31 oktober 2023
WebKit
Beschikbaar voor: macOS Ventura
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
WebKit Bugzilla: 245521
CVE-2022-42867: Maddie Stone van Google Project Zero
WebKit
Beschikbaar voor: macOS Ventura
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met geheugengebruik is verholpen door verbeterde geheugenverwerking.
WebKit Bugzilla: 245466
CVE-2022-46691: ChengGang Wu, Yan Kang, YuHao Hu, Yue Sun, Jiming Wang, en JiKai Ren en Hang Shu van Institute of Computing Technology, Chinese Academy of Sciences
Bijgewerkt op 31 oktober 2023
WebKit
Beschikbaar voor: macOS Ventura
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan het Same Origin-beleid omzeilen
Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.
WebKit Bugzilla: 246783
CVE-2022-46692: KirtiKumar Anandrao Ramchandani (kirtikumarar.com)
Bijgewerkt op 31 oktober 2023
WebKit
Beschikbaar voor: macOS Ventura
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot het vrijgeven van procesgeheugen
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
WebKit Bugzilla: 246721
CVE-2022-42852: hazbinhotel in samenwerking met Trend Micro Zero Day Initiative
Bijgewerkt: 22 december 2022
WebKit
Beschikbaar voor: macOS Ventura
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde invoervalidatie.
WebKit Bugzilla: 246942
CVE-2022-46696: Samuel Groß van Google V8 Security
WebKit Bugzilla: 247562
CVE-2022-46700: Samuel Groß van Google V8 Security
WebKit
Beschikbaar voor: macOS Ventura
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan gevoelige gebruikersgegevens openbaar maken
Beschrijving: een logicaprobleem is verholpen door verbeterde controles.
WebKit Bugzilla: 247066
CVE-2022-46698: Dohyun Lee (@l33d0hyun) van DNSLab bij Korea University, Ryan Shin van IAAI SecLab bij Korea University
Bijgewerkt: 22 december 2022
WebKit
Beschikbaar voor: macOS Ventura
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.
WebKit Bugzilla: 247420
CVE-2022-46699: Samuel Groß van Google V8 Security
WebKit Bugzilla: 244622
CVE-2022-42863: een anonieme onderzoeker
WebKit
Beschikbaar voor: macOS Ventura
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot het uitvoeren van willekeurige code. Apple is op de hoogte van een melding dat er mogelijk actief misbruik is gemaakt van dit probleem in versies van iOS die zijn uitgebracht vóór iOS 15.1.
Beschrijving: een type confusion-probleem is verholpen door een verbeterde statusverwerking.
WebKit Bugzilla: 248266
CVE-2022-42856: Clément Lecigne van de Threat Analysis Group van Google
xar
Beschikbaar voor: macOS Ventura
Impact: het verwerken van een kwaadwillig vervaardigd pakket kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een type confusion-probleem is verholpen door verbeterde controles.
CVE-2022-42841: Thijs Alkemade (@xnyhps) van Computest Sector 7
Aanvullende erkenning
Kernel
Met dank aan Zweig van Kunlun Lab voor de hulp.
Lock Screen
Met dank aan Kevin Mann voor de hulp.
Safari Extensions
Met dank aan Oliver Dunk en Christian R. van 1Password voor de hulp.
WebKit
Met dank aan een anonieme onderzoeker en Scarlet voor de hulp.
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.