Om sikkerhetsinnholdet i macOS Ventura 13

Dette dokumentet beskriver sikkerhetsinnholdet i macOS Ventura 13.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.

Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.

For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.

macOS Ventura 13

Utgitt 24. oktober 2022

Accelerate Framework

Tilgjengelig for: Mac Studio (2022), Mac Pro (2019 og nyere), MacBook Air (2018 og nyere), MacBook Pro (2017 og nyere), Mac mini (2018 og nyere), iMac (2017 og nyere), MacBook (2017) og iMac Pro (2017)

Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode

Beskrivelse: Et problem med minnebruk ble løst gjennom forbedret minnehåndtering.

CVE-2022-42795: ryuzaki

APFS

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Et problem med tilgang ble løst med forbedrede tilgangsrestriksjoner.

CVE-2022-48577: Csaba Fitzl (@theevilbit) fra Offensive Security

Oppføring lagt til 21. desember 2023

Apple Neural Engine

Virkning: En app kan lekke sensitiv kjernetilstand

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2022-32858: Mohamed Ghannam (@_simo36)

Apple Neural Engine

Virkning: Et program kan utilsiktet kjøre kode med kjernerettigheter

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2022-32898: Mohamed Ghannam (@_simo36)

CVE-2022-32899: Mohamed Ghannam (@_simo36)

CVE-2022-46721: Mohamed Ghannam (@_simo36)

CVE-2022-47915: Mohamed Ghannam (@_simo36)

CVE-2022-47965: Mohamed Ghannam (@_simo36)

CVE-2022-32889: Mohamed Ghannam (@_simo36)

Oppføring oppdatert 21. desember 2023

AppleAVD

Virkning: Et program kan utilsiktet kjøre kode med kjernerettigheter

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2022-32907: Yinyi Wu, ABC Research s.r.o, Natalie Silvanovich fra Google Project Zero, Tommaso Bianco (@cutesmilee__), Antonio Zekic (@antoniozekic) og John Aakerblom (@jaakerblom)

Oppføring lagt til 16. mars 2023

AppleAVD

Virkning: Et program kan være i stand til å forårsake tjenestenekt

Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret tilstandshåndtering.

CVE-2022-32827: Antonio Zekic (@antoniozekic), Natalie Silvanovich fra Google Project Zero og en anonym forsker

AppleMobileFileIntegrity

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Et konfigurasjonsproblem ble løst gjennom ekstra restriksjoner.

CVE-2022-32877: Wojciech Reguła (@_r3ggi) fra SecuRing

Oppføring lagt til 16. mars 2023

AppleMobileFileIntegrity

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Et problem med validering av kodesignaturer ble løst gjennom bedre kontroller.

CVE-2022-42789: Koh M. Nakagawa fra FFRI Security, Inc.

AppleMobileFileIntegrity

Virkning: En app kan endre beskyttede deler av filsystemet

Beskrivelse: Dette problemet ble løst gjennom fjerning av ekstra rettigheter.

CVE-2022-42825: Mickey Jin (@patch1t)

Assets

Virkning: En app kan endre beskyttede deler av filsystemet

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

CVE-2022-46722: Mickey Jin (@patch1t)

Oppføring lagt til 1. august 2023

ATS

Virkning: En app kan være i stand til å omgå personvernpreferanser

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

CVE-2022-32902: Mickey Jin (@patch1t)

ATS

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Et problem med tilgang ble løst gjennom ekstra sandkasserestriksjoner.

CVE-2022-32904: Mickey Jin (@patch1t)

ATS

Virkning: En sandkasseprosess kan omgå sandkasserestriksjoner

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

CVE-2022-32890: Mickey Jin (@patch1t)

Audio

Virkning: Et program kan være i stand til å få opphøyde rettigheter

Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.

CVE-2022-42796: Mickey Jin (@patch1t)

Oppføring oppdatert 16. mars 2023

Audio

Virkning: Behandling av en skadelig lydfil kan føre til at brukerinformasjon avsløres

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2022-42798: Anonym i samarbeid med Trend Micro Zero Day Initiative

Oppføring lagt til 27. oktober 2022

AVEVideoEncoder

Virkning: Et program kan utilsiktet kjøre kode med kjernerettigheter

Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.

CVE-2022-32940: ABC Research s.r.o.

Beta Access Utility

Virkning: En app kan endre beskyttede deler av filsystemet

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

CVE-2022-42816: Mickey Jin (@patch1t)

Oppføring lagt til 21. desember 2023

BOM

Virkning: Et program kan omgå Gatekeeper-kontroller

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

CVE-2022-42821: Jonathan Bar Or fra Microsoft

Oppføring lagt til 13. desember 2022

Boot Camp

Virkning: En app kan endre beskyttede deler av filsystemet

Beskrivelse: Problemet ble løst med forbedrede kontroller for å forhindre uautoriserte handlinger.

CVE-2022-42860: Mickey Jin (@patch1t) fra Trend Micro

Oppføring lagt til 16. mars 2023

Calendar

Virkning: En app kan få tilgang til sensitiv stedsinformasjon

Beskrivelse: Et problem med tilgang ble løst med forbedrede tilgangsrestriksjoner.

CVE-2022-42819: en anonym forsker

CFNetwork

Virkning: Behandling av et skadelig sertifikat kan føre til kjøring av vilkårlig kode

Beskrivelse: Det var et problem med sertifikatvalidering i håndteringen av WKWebView. Problemet ble løst gjennom forbedret validering.

CVE-2022-42813: Jonathan Zhang fra Open Computing Facility (ocf.berkeley.edu)

ColorSync

Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode

Beskrivelse: Det var et problem med minnekorrumpering i behandlingen av ICC-profiler. Problemet ble løst gjennom forbedret validering av inndata.

CVE-2022-26730: David Hoyt fra Hoyt LLC

Core Bluetooth

Virkning: En app kan kanskje ta opp lyd med sammenkoblede AirPods

Beskrivelse: Et problem med tilgang ble løst gjennom ekstra sandkasserestriksjoner på apper fra tredjeparter.

CVE-2022-32945: Guilherme Rambo fra Best Buddy Apps (rambo.codes)

Oppføring lagt til 9. november 2022

CoreMedia

Virkning: En kamerautvidelse kan være i stand til å fortsette å motta video etter at den aktiverende appen er lukket

Beskrivelse: Et problem med apptilgang til kameradata ble løst gjennom forbedret logikk.

CVE-2022-42838: Halle Winkler (@hallewinkler) fra Politepix

Oppføring lagt til 22. desember 2022

CoreServices

Virkning: En app kan bryte ut av sandkassen

Beskrivelse: Et problem med tilgang ble løst gjennom ekstra sandkasserestriksjoner.

CVE-2022-48683: Thijs Alkemade fra Computest Sector 7, Wojciech Reguła (@_r3ggi) fra SecuRing og Arsenii Kostromin

Oppføring lagt til 29. mai 2024

CoreTypes

Virkning: Et skadelig program kan omgå Gatekeeper-kontroller

Beskrivelse: Problemet ble løst med forbedrede kontroller for å forhindre uautoriserte handlinger.

CVE-2022-22663: Arsenii Kostromin (0x3c3e)

Oppføring lagt til 16. mars 2023

Crash Reporter

Virkning: En bruker med fysisk tilgang til en iOS-enhet kan være i stand til å lese tidligere feilsøkingslogger

Beskrivelse: Problemet ble løst med forbedret databeskyttelse.

CVE-2022-32867: Kshitij Kumar og Jai Musunuri fra Crowdstrike

curl

Virkning: Flere problemer i curl

Beskrivelse: Flere problemer ble løst ved å oppdatere til curl-versjon 7.84.0.

CVE-2022-32205

CVE-2022-32206

CVE-2022-32207

CVE-2022-32208

Directory Utility

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

CVE-2022-42814: Sergii Kryvoblotskyi fra MacPaw Inc.

DriverKit

Virkning: Et program kan utilsiktet kjøre kode med kjernerettigheter

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2022-32865: Linus Henze fra Pinauten GmbH (pinauten.de)

DriverKit

Virkning: Et program kan utilsiktet kjøre kode med kjernerettigheter

Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret kontroll.

CVE-2022-32915: Tommy Muir (@Muirey03)

Exchange

Virkning: En bruker i en privilegert nettverksposisjon kan være i stand til å fange opp e-postlegitimasjon

Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.

CVE-2022-32928: Jiří Vinopal (@vinopaljiri) fra Check Point Research

Oppføring oppdatert 16. mars 2023

FaceTime

Virkning: En bruker kan sende lyd og video i et FaceTime-anrop uten å være klar over det

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2022-22643: Sonali Luthar fra University of Virginia, Michael Liao fra University of Illinois ved Urbana-Champaign, Rohan Pahwa fra Rutgers University og Bao Nguyen fra University of Florida

Oppføring lagt til 16. mars 2023

FaceTime

Virkning: En bruker kan se begrenset innhold på låst skjerm

Beskrivelse: Et problem med låseskjermen ble løst gjennom forbedret tilstandshåndtering.

CVE-2022-32935: Bistrit Dahal

Oppføring lagt til 27. oktober 2022

Find My

Virkning: Et ondsinnet program kan være i stand til å lese sensitiv stedsinformasjon

Beskrivelse: Det var et problem med tillatelser. Problemet ble løst gjennom forbedret validering av tillatelser.

CVE-2022-42788: Csaba Fitzl (@theevilbit) fra Offensive Security og Wojciech Reguła fra SecuRing (wojciechregula.blog)

Find My

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av buffere.

CVE-2022-48504: Csaba Fitzl (@theevilbit) fra Offensive Security

Oppføring lagt til 21. desember 2023

Finder

Virkning: Behandling av en skadelig DMG-fil kan føre til kjøring av vilkårlig kode med systemrettigheter

Beskrivelse: Problemet ble løst gjennom forbedret symlink-validering.

CVE-2022-32905: Ron Masas (breakpoint.sh) fra BreakPoint Technologies LTD

GPU Drivers

Virkning: Et program kan utilsiktet kjøre kode med kjernerettigheter

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2022-42833: Pan ZhenPeng (@Peterpan0927)

Oppføring lagt til 22. desember 2022

GPU Drivers

Virkning: Et program kan utilsiktet kjøre kode med kjernerettigheter

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2022-32947: Asahi Lina (@LinaAsahi)

Grapher

Virkning: Behandling av en skadelig gcx-fil kan føre til uventet appavslutning eller kjøring av vilkårlig kode

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2022-42809: Yutao Wang (@Jack) og Yu Zhou (@yuzhou6666)

Heimdal

Virkning: En bruker kan forårsake uventet appavslutning eller kjøring av vilkårlig kode

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2022-3437: Evgeny Legerov fra Intevydis

Oppføring lagt til 25. oktober 2022

iCloud Photo Library

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Et problem med avdekking av informasjon ble løst gjennom fjerning av den sårbare koden.

CVE-2022-32849: Joshua Jones

Oppføring lagt til 9. november 2022

Image Processing

Virkning: En sandkasseapp kan være i stand til å finne ut hvilken app som bruker kameraet for øyeblikket

Beskrivelse: Problemet ble løst gjennom tilleggsbegrensninger for observerbarheten av apptilstander.

CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)

ImageIO

Virkning: Behandling av et bilde kan føre til tjenestenekt

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2022-32809: Mickey Jin (@patch1t)

Oppføring lagt til 1. august 2023

ImageIO

Virkning: Behandling av et bilde kan føre til tjenestenekt

Beskrivelse: Et problem med tjenestenekt ble løst gjennom forbedret validering.

CVE-2022-1622

Intel Graphics Driver

Virkning: En app kan avsløre kjerneminne

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2022-32936: Antonio Zekic (@antoniozekic)

IOHIDFamily

Virkning: En app kan forårsake uventet avslutning av en app eller kjøring av vilkårlig kode

Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret tilstandshåndtering.

CVE-2022-42820: Peter Pan ZhenPeng fra STAR Labs

IOKit

Virkning: Et program kan utilsiktet kjøre kode med kjernerettigheter

Beskrivelse: En kappløpssituasjon ble løst gjennom forbedret låsing.

CVE-2022-42806: Tingting Yin fra Tsinghua University

Kernel

Virkning: En app kan avsløre kjerneminne

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2022-32864: Linus Henze fra Pinauten GmbH (pinauten.de)

Kernel

Virkning: Et program kan utilsiktet kjøre kode med kjernerettigheter

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2022-32866: Linus Henze fra Pinauten GmbH (pinauten.de)

CVE-2022-32911: Zweig fra Kunlun Lab

CVE-2022-32924: Ian Beer fra Google Project Zero

Kernel

Virkning: Et program kan utilsiktet kjøre kode med kjernerettigheter

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2022-32914: Zweig fra Kunlun Lab

Kernel

Virkning: En ekstern bruker kan være i stand til å kjøre kjernekode

Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2022-42808: Zweig fra Kunlun Lab

Kernel

Virkning: Et program kan utilsiktet kjøre kode med kjernerettigheter

Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret tilstandshåndtering.

CVE-2022-32944: Tim Michaud (@TimGMichaud) fra Moveworks.ai

Oppføring lagt til 27. oktober 2022

Kernel

Virkning: Et program kan utilsiktet kjøre kode med kjernerettigheter

Beskrivelse: En kappløpssituasjon ble løst gjennom forbedret låsing.

CVE-2022-42803: Xinru Chi fra Pangu Lab, John Aakerblom (@jaakerblom)

Oppføring lagt til 27. oktober 2022

Kernel

Virkning: En app med rotrettigheter kan være i stand til å kjøre utilsiktet kode med kjernerettigheter

Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.

CVE-2022-32926: Tim Michaud (@TimGMichaud) fra Moveworks.ai

Oppføring lagt til 27. oktober 2022

Kernel

Virkning: Et program kan utilsiktet kjøre kode med kjernerettigheter

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

CVE-2022-42801: Ian Beer fra Google Project Zero

Oppføring lagt til 27. oktober 2022

Kernel

Virkning: En app kan forårsake uventet avslutning av et system eller kjøring av kode med kjernerettigheter

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2022-46712: Tommy Muir (@Muirey03)

Oppføring lagt til 20. februar 2023

Mail

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Problemet ble løst med forbedret databeskyttelse.

CVE-2022-42815: Csaba Fitzl (@theevilbit) fra Offensive Security

Mail

Virkning: Et program kan få tilgang til e-postmappevedlegg gjennom en midlertidig katalog som brukes under komprimering

Beskrivelse: Et problem med tilgang ble løst med forbedrede tilgangsrestriksjoner.

CVE-2022-42834: Wojciech Reguła (@_r3ggi) fra SecuRing

Oppføring lagt til 1. mai 2023

Maps

Virkning: En app kan få tilgang til sensitiv stedsinformasjon

Beskrivelse: Dette problemet ble løst gjennom bedre restriksjoner rundt sensitiv informasjon.

CVE-2022-46707: Csaba Fitzl (@theevilbit) fra Offensive Security

Oppføring lagt til 1. august 2023

Maps

Virkning: En app kan få tilgang til sensitiv stedsinformasjon

Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.

CVE-2022-32883: Ron Masas fra breakpointhq.com

MediaLibrary

Virkning: En bruker kan være i stand til å heve rettigheter

Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret validering av inndata.

CVE-2022-32908: en anonym forsker

Model I/O

Virkning: Behandlingen av en skadelig USD-fil kan avsløre minneinnhold

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2022-42810: Xingwei Lin (@xwlin_roy) og Yinyi Wu fra Ant Security Light-Year Lab

Oppføring lagt til 27. oktober 2022

ncurses

Virkning: En bruker kan forårsake uventet appavslutning eller kjøring av vilkårlig kode

Beskrivelse: En bufferoverflyt ble løst gjennom forbedret grenseverdikontroll.

CVE-2021-39537

ncurses

Virkning: Behandling av en skadelig fil kan føre til tjenestenekt eller potensiell avsløring av minneinnhold

Beskrivelse: Et problem med tjenestenekt ble løst gjennom forbedret validering.

CVE-2022-29458

Notes

Virkning: En bruker i en privilegert nettverksposisjon kan være i stand til å spore brukeraktivitet

Beskrivelse: Problemet ble løst med forbedret databeskyttelse.

CVE-2022-42818: Gustav Hansen fra WithSecure

Notifications

Virkning: En bruker med fysisk tilgang til en enhet kan få tilgang til kontakter fra låst skjerm

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

CVE-2022-32879: Ubeydullah Sümer

PackageKit

Virkning: En app kan endre beskyttede deler av filsystemet

Beskrivelse: En kappløpssituasjon ble løst med forbedret tilstandshåndtering.

CVE-2022-32895: Mickey Jin (@patch1t) fra Trend Micro og Mickey Jin (@patch1t)

PackageKit

Virkning: En app kan endre beskyttede deler av filsystemet

Beskrivelse: En kappløpssituasjon ble løst gjennom tilleggsvalidering.

CVE-2022-46713: Mickey Jin (@patch1t) fra Trend Micro

Oppføring lagt til 20. februar 2023

Photos

Virkning: En bruker kan utilsiktet legge til en deltaker i et Delt album ved å trykke på Slett-tasten

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

CVE-2022-42807: Ezekiel Elin

Oppføring lagt til 1. mai 2023, oppdatert 1. august 2023

Photos

Virkning: En app kan være i stand til å omgå personvernpreferanser

Beskrivelse: Problemet ble løst med forbedret databeskyttelse.

CVE-2022-32918: Ashwani Rajput fra Nagarro Software Pvt. Ltd, Srijan Shivam Mishra fra The Hack Report, Jugal Goradia fra Aastha Technologies, Evan Ricafort (evanricafort.com) fra Invalid Web Security, Shesha Sai C (linkedin.com/in/shesha-sai-c-18585b125) og Amod Raghunath Patwardhan fra Pune, India

Oppføring oppdatert 16. mars 2023

ppp

Virkning: En app med rotrettigheter kan være i stand til å kjøre utilsiktet kode med kjernerettigheter

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2022-42829: en anonym forsker

ppp

Virkning: En app med rotrettigheter kan være i stand til å kjøre utilsiktet kode med kjernerettigheter

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2022-42830: en anonym forsker

ppp

Virkning: En app med rotrettigheter kan være i stand til å kjøre utilsiktet kode med kjernerettigheter

Beskrivelse: En kappløpssituasjon ble løst gjennom forbedret låsing.

CVE-2022-42831: en anonym forsker

CVE-2022-42832: en anonym forsker

ppp

Virkning: En bufferoverflyt kan føre til kjøring av vilkårlig kode

Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.

CVE-2022-32941: en anonym forsker

Oppføring lagt til 27. oktober 2022

Ruby

Virkning: En ekstern bruker kan forårsake uventet appavslutning eller kjøring av vilkårlig kode

Beskrivelse: Et problem med minnekorrumpering ble løst ved å oppdatere Ruby til versjon 2.6.10.

CVE-2022-28739

Sandbox

Virkning: En app kan endre beskyttede deler av filsystemet

Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.

CVE-2022-32881: Csaba Fitzl (@theevilbit) fra Offensive Security

Sandbox

Virkning: Apper med rotrettigheter kan få tilgang til privat informasjon

Beskrivelse: Problemet ble løst med forbedret databeskyttelse.

CVE-2022-32862: Rohit Chatterjee fra University of Illinois Urbana-Champaign

CVE-2022-32931: en anonym forsker

Oppføring oppdatert 16. mars 2023, oppdatert 21. desember 2023

Sandbox

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Et problem med tilgang ble løst gjennom ekstra sandkasserestriksjoner.

CVE-2022-42811: Justin Bui (@slyd0g) fra Snowflake

Security

Virkning: En app kan være i stand til å omgå kode-signeringskontroller

Beskrivelse: Et problem med validering av kodesignaturer ble løst gjennom bedre kontroller.

CVE-2022-42793: Linus Henze fra Pinauten GmbH (pinauten.de)

Shortcuts

Virkning: En snarvei kan være i stand til å vise det skjulte fotoalbumet uten autentisering

Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.

CVE-2022-32876: en anonym forsker

Oppføring lagt til 1. august 2023

Shortcuts

Virkning: En snarvei kan være i stand til å kontrollere eksistensen av en vilkårlig bane i filsystemet

Beskrivelse: Et problem med analyse i behandlingen av registerbaner ble løst med forbedret validering av baner.

CVE-2022-32938: Cristian Dinca fra Tudor Vianu National High School of Computer Science of. Romania

Sidecar

Virkning: En bruker kan se begrenset innhold på låst skjerm

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

CVE-2022-42790: Om kothawade fra Zaprico Digital

Siri

Virkning: En bruker med fysisk tilgang til en enhet kan være i stand til å bruke Siri til å få tak i enkelte opplysninger om anropsloggen

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

CVE-2022-32870: Andrew Goldberg fra The McCombs School of Business, The University of Texas i Austin (linkedin.com/in/andrew-goldberg-/)

SMB

Virkning: En ekstern bruker kan være i stand til å kjøre kjernekode

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2022-32934: Felix Poulin-Belanger

Software Update

Virkning: Et program kan utilsiktet kjøre kode med kjernerettigheter

Beskrivelse: En kappløpssituasjon ble løst med forbedret tilstandshåndtering.

CVE-2022-42791: Mickey Jin (@patch1t) fra Trend Micro

SQLite

Virkning: En ekstern bruker kan forårsake tjenestenekt

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2021-36690

System Settings

Virkning: En app kan endre beskyttede deler av filsystemet

Beskrivelse: Problemet ble løst med forbedret databeskyttelse.

CVE-2022-48505: Adam Chester fra TrustedSec og Thijs Alkemade (@xnyhps) fra Computest Sector 7

Oppføring lagt til 26. juni 2023

TCC

Virkning: En app kan være i stand til å forårsake tjenestenekt for Endpoint Security-klienter

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

CVE-2022-26699: Csaba Fitzl (@theevilbit) fra Offensive Security

Oppføring lagt til 1. august 2023

Vim

Virkning: Flere problemer i Vim

Beskrivelse: Flere problemer ble løst ved å oppdatere Vim.

CVE-2022-0261

CVE-2022-0318

CVE-2022-0319

CVE-2022-0351

CVE-2022-0359

CVE-2022-0361

CVE-2022-0368

CVE-2022-0392

CVE-2022-0554

CVE-2022-0572

CVE-2022-0629

CVE-2022-0685

CVE-2022-0696

CVE-2022-0714

CVE-2022-0729

CVE-2022-0943

CVE-2022-1381

CVE-2022-1420

CVE-2022-1725

CVE-2022-1616

CVE-2022-1619

CVE-2022-1620

CVE-2022-1621

CVE-2022-1629

CVE-2022-1674

CVE-2022-1733

CVE-2022-1735

CVE-2022-1769

CVE-2022-1927

CVE-2022-1942

CVE-2022-1968

CVE-2022-1851

CVE-2022-1897

CVE-2022-1898

CVE-2022-1720

CVE-2022-2000

CVE-2022-2042

CVE-2022-2124

CVE-2022-2125

CVE-2022-2126

VPN

Virkning: Et program kan utilsiktet kjøre kode med kjernerettigheter

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2022-42828: en anonym forsker

Oppføring lagt til 1. august 2023

Weather

Virkning: En app kan få tilgang til sensitiv stedsinformasjon

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

CVE-2022-32875: en anonym forsker

WebKit

Virkning: Behandling av skadelig nettinnhold kan føre til kjøring av vilkårlig kode

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

WebKit Bugzilla: 246669
CVE-2022-42826: Francisco Alonso (@revskills)

Oppføring lagt til 22. desember 2022

WebKit

Virkning: Behandling av skadelig nettinnhold kan føre til kjøring av vilkårlig kode

Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.

WebKit Bugzilla: 241969
CVE-2022-32886: P1umer (@p1umer), afang (@afang5472) og xmzyshypnc (@xmzyshypnc1)

WebKit

Virkning: Behandling av skadelig nettinnhold kan føre til kjøring av vilkårlig kode

Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.

WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)

WebKit

Virkning: Behandling av skadelig nettinnhold kan føre til kjøring av vilkårlig kode

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.

WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a) hos Theori som jobber med Trend Micro Zero Day Initiative

WebKit

Virkning: Besøk på et skadelig nettsted kan føre til grensesnittsvindel

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av grensesnittet.

WebKit Bugzilla: 243693
CVE-2022-42799: Jihwan Kim (@gPayl0ad), Dohyun Lee (@l33d0hyun)

WebKit

Virkning: Behandling av skadelig nettinnhold kan føre til kjøring av vilkårlig kode

Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret minnehåndtering.

WebKit Bugzilla: 244622
CVE-2022-42823: Dohyun Lee (@l33d0hyun) fra SSD Labs

WebKit

Virkning: Behandling av skadelig nettinnhold kan avsløre sensitiv brukerinformasjon

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

WebKit Bugzilla: 245058
CVE-2022-42824: Abdulrahman Alqabandi fra Microsoft Browser Vulnerability Research, Ryan Shin fra IAAI SecLab ved Korea University, Dohyun Lee (@l33d0hyun) fra DNSLab ved Korea University

WebKit

Virkning: Behandling av skadelig nettinnhold kan avsløre interne tilstander i appen

Beskrivelse: Et korrekthetsproblem i JIT ble løst gjennom forbedrede kontroller.

WebKit Bugzilla: 242964
CVE-2022-32923: Wonyoung Jung (@nonetype_pwn) fra KAIST Hacking Lab

Oppføring lagt til 27. oktober 2022

WebKit PDF

Virkning: Behandling av skadelig nettinnhold kan føre til kjøring av vilkårlig kode

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

WebKit Bugzilla: 242781
CVE-2022-32922: Yonghwi Jin (@jinmo123) fra Theori i samarbeid med Trend Micro Zero Day Initiative

WebKit Sandboxing

Virkning: En sandkasseprosess kan omgå sandkasserestriksjoner

Beskrivelse: Et tilgangsproblem ble løst med forbedringer av sandkassen.

WebKit Bugzilla: 243181
CVE-2022-32892: @18楼梦想改造家 og @jq0904 fra DBAppSecurity's WeBin lab

WebKit Storage

Virkning: En app kan være i stand til å omgå personvernpreferanser

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av buffere.

CVE-2022-32833: Csaba Fitzl (@theevilbit) fra Offensive Security, Jeff Johnson

Oppføring lagt til 22. desember 2022

Wi-Fi

Virkning: Et program kan utilsiktet kjøre kode med kjernerettigheter

Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret tilstandshåndtering.

CVE-2022-46709: Wang Yu fra Cyberserval

Oppføring lagt til 16. mars 2023

zlib

Virkning: En bruker kan forårsake uventet appavslutning eller kjøring av vilkårlig kode

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2022-37434: Evgeny Legerov

CVE-2022-42800: Evgeny Legerov

Oppføring lagt til 27. oktober 2022

Ytterligere anerkjennelser

AirPort

Vi vil gjerne takke Joseph Salazar Acuña og Renato Llamoca fra Intrado-Life & Safety/Globant for hjelpen.

apache

Vi vil gjerne takke Tricia Lee fra Enterprise Service Center for hjelpen.

Oppføring lagt til 16. mars 2023

AppleCredentialManager

Vi vil gjerne takke @jonathandata1 for hjelpen.

ATS

Vi vil gjerne takke Mickey Jin (@patch1t) for hjelpen.

Oppføring lagt til 1. august 2023

FaceTime

Vi vil gjerne takke en anonym forsker for hjelpen.

FileVault

Vi vil gjerne takke Timothy Perfitt fra Twocanoes Software for hjelpen.

Find My

Vi vil gjerne takke en anonym forsker for hjelpen.

Identity Services

Vi vil gjerne takke Joshua Jones for hjelpen.

IOAcceleratorFamily

Vi vil gjerne takke Antonio Zekic (@antoniozekic) for hjelpen.

IOGPUFamily

Vi vil gjerne takke Wang Yu fra cyberserval for hjelpen.

Oppføring lagt til 9. november 2022

Kernel

Vi vil gjerne takke Peter Nguyen fra STAR Labs, Tim Michaud (@TimGMichaud) fra Moveworks.ai, Tingting Yin fra Tsinghua University, Min Zheng fra Ant Group, Tommy Muir (@Muirey03) og en anonym forsker for hjelpen.

Login Window

Vi vil gjerne takke Simon Tang (simontang.dev) for hjelpen.

Oppføring lagt til 9. november 2022

Mail

Vi vil gjerne takke Taavi Eomäe fra Zone Media OÜ og en anonym forsker for hjelpen.

Oppføring oppdatert 21. desember 2023

Mail Drafts

Vi vil gjerne takke en anonym forsker for hjelpen.

Networking

Vi vil gjerne takke Tim Michaud (@TimGMichaud) fra Zoom Video Communications for hjelpen.

Photo Booth

Vi vil gjerne takke Prashanth Kannan fra Dremio for hjelpen.

Quick Look

Vi vil gjerne takke Hilary «It’s off by a Pixel» Street for hjelpen.

Safari

Vi vil gjerne takke Scott Hatfield fra Sub-Zero Group for hjelpen.

Oppføring lagt til 16. mars 2023

Sandbox

Vi vil gjerne takke Csaba Fitzl (@theevilbit) fra Offensive Security for hjelpen.

SecurityAgent

Vi vil gjerne takke Security Team Netservice de Toekomst og en anonym forsker for hjelpen.

Oppføring lagt til 21. desember 2023

smbx

Vi vil gjerne takke HD Moore fra runZero Asset Inventory for hjelpen.

System

Vi vil gjerne takke Mickey Jin (@patch1t) fra Trend Micro for hjelpen.

System Settings

Vi vil gjerne takke Bjorn Hellenbrand for hjelpen.

UIKit

Vi vil gjerne takke Aleczander Ewing for hjelpen.

WebKit

Vi vil gjerne takke Maddie Stone fra Google Project Zero, Narendra Bhati (@imnarendrabhati) fra Suma Soft Pvt. Ltd. og en anonym forsker for hjelpen.

WebRTC

Vi vil gjerne takke en anonym forsker for hjelpen.

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: 06. juni 2024