Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
macOS Ventura 13
Wydano 24 października 2022 r.
Accelerate Framework
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący zużycie pamięci przez poprawienie procedury obsługi pamięci.
CVE-2022-42795: ryuzaki
APFS
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: usunięto błąd dostępu przez poprawienie ograniczeń dostępu.
CVE-2022-48577: Csaba Fitzl (@theevilbit) z Offensive Security
Wpis dodano 21 grudnia 2023 r.
Apple Neural Engine
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może być w stanie ujawnić poufny stan jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2022-32858: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2022-32898: Mohamed Ghannam (@_simo36)
CVE-2022-32899: Mohamed Ghannam (@_simo36)
CVE-2022-46721: Mohamed Ghannam (@_simo36)
CVE-2022-47915: Mohamed Ghannam (@_simo36)
CVE-2022-47965: Mohamed Ghannam (@_simo36)
CVE-2022-32889: Mohamed Ghannam (@_simo36)
Wpis dodano 21 grudnia 2023 r.
AppleAVD
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2022-32907: Yinyi Wu, ABC Research s.r.o, Natalie Silvanovich z Google Project Zero, Tommaso Bianco (@cutesmilee__), Antonio Zekic (@antoniozekic) i John Aakerblom (@jaakerblom)
Wpis dodano 16 marca 2023 r.
AppleAVD
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może doprowadzić do ataku typu „odmowa usługi”
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.
CVE-2022-32827: Antonio Zekic (@antoniozekic), Natalie Silvanovich z Google Project Zero i anonimowy badacz
AppleMobileFileIntegrity
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: naprawiono błąd konfiguracji przez wprowadzenie dodatkowych ograniczeń.
CVE-2022-32877: Wojciech Reguła (@_r3ggi) z SecuRing
Wpis dodano 16 marca 2023 r.
AppleMobileFileIntegrity
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: usunięto błąd sprawdzania poprawności podpisu kodu przez poprawienie sprawdzania.
CVE-2022-42789: Koh M. Nakagawa z FFRI Security, Inc.
AppleMobileFileIntegrity
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.
Opis: ten problem rozwiązano przez usunięcie dodatkowych uprawnień.
CVE-2022-42825: Mickey Jin (@patch1t)
Assets
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.
Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.
CVE-2022-46722: Mickey Jin (@patch1t)
Wpis dodano 1 sierpnia 2023 r.
ATS
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może być w stanie pominąć ustawienia prywatności.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2022-32902: Mickey Jin (@patch1t)
ATS
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: usunięto błąd dostępu przez wprowadzenie dodatkowych ograniczeń piaskownicy.
CVE-2022-32904: Mickey Jin (@patch1t)
ATS
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: proces działający w piaskownicy może być w stanie obejść ograniczenia piaskownicy.
Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.
CVE-2022-32890: Mickey Jin (@patch1t)
Audio
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.
Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.
CVE-2022-42796: Mickey Jin (@patch1t)
Wpis uaktualniono 16 marca 2023 r.
Audio
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: analiza składni złośliwie spreparowanego pliku audio może doprowadzić do ujawnienia informacji o użytkowniku.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2022-42798: anonimowy użytkownik w ramach programu Zero Day Initiative firmy Trend Micro
Wpis dodano 27 października 2022 r.
AVEVideoEncoder
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.
CVE-2022-32940: ABC Research s.r.o.
Beta Access Utility
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2022-42816: Mickey Jin (@patch1t)
Wpis dodano 21 grudnia 2023 r.
BOM
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może ominąć kontrole funkcji Gatekeeper.
Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.
CVE-2022-42821: Jonathan Bar Or z Microsoft
Wpis dodano 13 grudnia 2022 r.
Boot Camp
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.
Opis: ten błąd naprawiono przez poprawienie sprawdzania w celu uniemożliwienia wykonywania nieautoryzowanych czynności.
CVE-2022-42860: Mickey Jin (@patch1t) z Trend Micro
Wpis dodano 16 marca 2023 r.
Calendar
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.
Opis: usunięto błąd dostępu przez poprawienie ograniczeń dostępu.
CVE-2022-42819: anonimowy badacz
CFNetwork
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: przetworzenie złośliwie spreparowanego certyfikatu może doprowadzić do wykonania dowolnego kodu
Opis: w procedurach obsługi WKWebView występował błąd sprawdzania poprawności certyfikatów. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności adresów.
CVE-2022-42813: Jonathan Zhang z Open Computing Facility (ocf.berkeley.edu)
ColorSync
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.
Opis: w procedurze przetwarzania profilów ICC występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2022-26730: David Hoyt z Hoyt LLC
Core Bluetooth
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może być w stanie zarejestrować dźwięk z połączonych w parę słuchawek AirPods.
Opis: naprawiono błąd dostępu przez wprowadzenie dodatkowych ograniczeń piaskownicy w aplikacjach innych firm.
CVE-2022-32945: Guilherme Rambo z Best Buddy Apps (rambo.codes)
Wpis dodano 9 listopada 2022 r.
CoreMedia
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: rozszerzenie kamery może być w stanie kontynuować odbieranie wideo po zamknięciu aplikacji, która je aktywowała.
Opis: naprawiono błąd z dostępem aplikacji do danych kamery przez poprawienie procedur obsługi procesów logicznych.
CVE-2022-42838: Halle Winkler (@hallewinkler) z Politepix
Wpis dodano 22 grudnia 2022 r.
CoreTypes
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: złośliwa aplikacja może ominąć kontrolę przeprowadzaną przez funkcję Gatekeeper.
Opis: ten błąd naprawiono przez poprawienie sprawdzania w celu uniemożliwienia wykonywania nieautoryzowanych czynności.
CVE-2022-22663: Arsenii Kostromin (0x3c3e)
Wpis dodano 16 marca 2023 r.
Crash Reporter
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: użytkownik mający fizyczny dostęp do urządzenia z systemem iOS może być w stanie odczytać dzienniki diagnostyczne z przeszłości.
Opis: ten błąd naprawiono przez ulepszenie ochrony danych.
CVE-2022-32867: Kshitij Kumar i Jai Musunuri z Crowdstrike
curl
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: wiele błędów w komponentach curl.
Opis: naprawiono liczne błędy przez uaktualnienie biblioteki curl do wersji 7.84.0.
CVE-2022-32205
CVE-2022-32206
CVE-2022-32207
CVE-2022-32208
Directory Utility
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.
CVE-2022-42814: Sergii Kryvoblotskyi z MacPaw Inc.
DriverKit
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2022-32865: Linus Henze z Pinauten GmbH (pinauten.de)
DriverKit
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie mechanizmów kontrolnych.
CVE-2022-32915: Tommy Muir (@Muirey03)
Exchange
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: użytkownik z uprzywilejowanym dostępem do sieci może być w stanie przechwycić poświadczenia poczty.
Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.
CVE-2022-32928: Jiří Vinopal (@vinopaljiri) z Check Point Research
Wpis uaktualniono 16 marca 2023 r.
FaceTime
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: użytkownik może wysyłać treści audio i wideo w rozmowie FaceTime, nie wiedząc, że to zrobił.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2022-22643: Sonali Luthar z University of Virginia, Michael Liao z University of Illinois at Urbana-Champaign, Rohan Pahwa z Rutgers University i Bao Nguyen z University of Florida
Wpis dodano 16 marca 2023 r.
FaceTime
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: użytkownik może być w stanie przeglądać treści objęte ograniczeniami z poziomu zablokowanego ekranu.
Opis: naprawiono błąd ekranu blokady przez poprawienie procedury zarządzania stanem.
CVE-2022-32935: Bistrit Dahal
Wpis dodano 27 października 2022 r.
Find My
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: złośliwa aplikacja może być w stanie odczytać poufne informacje o lokalizacji.
Opis: występował błąd uprawnień. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności uprawnień.
CVE-2022-42788: Csaba Fitzl (@theevilbit) z Offensive Security, Wojciech Reguła z SecuRing (wojciechregula.blog)
Find My
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: ten problem rozwiązano przez poprawienie obsługi pamięci podręcznych.
CVE-2022-48504: Csaba Fitzl (@theevilbit) z Offensive Security
Wpis dodano 21 grudnia 2023 r.
Finder
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: przetworzenie złośliwie spreparowanego pliku DMG może doprowadzić do wykonania dowolnego kodu z uprawnieniami systemowymi.
Opis: ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności łączy symbolicznych.
CVE-2022-32905: Ron Masas (breakpoint.sh) z BreakPoint Technologies LTD
GPU Drivers
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2022-42833: Pan ZhenPeng (@Peterpan0927)
Wpis dodano 22 grudnia 2022 r.
GPU Drivers
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2022-32947: Asahi Lina (@LinaAsahi)
Grapher
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: przetworzenie złośliwie spreparowanego pliku gcx może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2022-42809: Yutao Wang (@Jack) i Yu Zhou (@yuzhou6666)
Heimdal
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: użytkownik może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2022-3437: Evgeny Legerov z Intevydis
Wpis dodano wtorek, 25 października 2022 r.
iCloud Photo Library
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: usunięto błąd powodujący ujawnianie informacji przez usunięcie kodu związanego z luką w zabezpieczeniach.
CVE-2022-32849: Joshua Jones
Wpis dodano 9 listopada 2022 r.
Image Processing
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja w piaskownicy może być w stanie ustalić, która aplikacja korzysta obecnie z kamery.
Opis: problem został rozwiązany przez wprowadzenie dodatkowych ograniczeń dotyczących obserwowalności stanów aplikacji.
CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)
ImageIO
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: przetworzenie obrazu może doprowadzić do ataku typu „odmowa usługi”.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2022-32809: Mickey Jin (@patch1t)
Wpis dodano 1 sierpnia 2023 r.
ImageIO
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: przetworzenie obrazu może doprowadzić do ataku typu „odmowa usługi”.
Opis: usunięto błąd typu „odmowa usługi” przez poprawienie procedury sprawdzania poprawności.
CVE-2022-1622
Intel Graphics Driver
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może być w stanie ujawnić pamięć jądra.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2022-32936: Antonio Zekic (@antoniozekic)
IOHIDFamily
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.
CVE-2022-42820: Peter Pan ZhenPeng z STAR Labs
IOKit
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: usunięto sytuację wyścigu przez poprawienie mechanizmu blokowania.
CVE-2022-42806: Tingting Yin z Tsinghua University
Kernel
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może być w stanie ujawnić pamięć jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2022-32864: Linus Henze z Pinauten GmbH (pinauten.de)
Kernel
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2022-32866: Linus Henze z Pinauten GmbH (pinauten.de)
CVE-2022-32911: Zweig z Kunlun Lab
CVE-2022-32924: Ian Beer z Google Project Zero
Kernel
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
CVE-2022-32914: Zweig z Kunlun Lab
Kernel
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: zdalny użytkownik może być w stanie doprowadzić do wykonania kodu jądra.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2022-42808: Zweig z Kunlun Lab
Kernel
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.
CVE-2022-32944: Tim Michaud (@TimGMichaud) z Moveworks.ai
Wpis dodano 27 października 2022 r.
Kernel
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra
Opis: usunięto sytuację wyścigu przez poprawienie mechanizmu blokowania.
CVE-2022-42803: Xinru Chi z Pangu Lab, John Aakerblom (@jaakerblom)
Wpis dodano 27 października 2022 r.
Kernel
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja z uprawnieniami użytkownika root może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.
CVE-2022-32926: Tim Michaud (@TimGMichaud) z Moveworks.ai
Wpis dodano 27 października 2022 r.
Kernel
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.
CVE-2022-42801: Ian Beer z Google Project Zero
Wpis dodano 27 października 2022 r.
Kernel
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub wykonać kod z uprawnieniami jądra.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
CVE-2022-46712: Tommy Muir (@Muirey03)
Wpis dodano 20 lutego 2023 r.
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: ten błąd naprawiono przez ulepszenie ochrony danych.
CVE-2022-42815: Csaba Fitzl (@theevilbit) z Offensive Security
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do folderu z załącznikami do wiadomości e-mai, używając folderu tymczasowego potrzebnego podczas kompresji.
Opis: usunięto błąd dostępu przez poprawienie ograniczeń dostępu.
CVE-2022-42834: Wojciech Reguła (@_r3ggi) z SecuRing
Wpis dodano 1 maja 2023 r.
Maps
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.
Opis: ten błąd naprawiono przez poprawienie ograniczeń dotyczących poufnych informacji.
CVE-2022-46707: Csaba Fitzl (@theevilbit) z Offensive Security
Wpis dodano 1 sierpnia 2023 r.
Maps
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.
Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.
CVE-2022-32883: Ron Masas z breakpointhq.com
MediaLibrary
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: użytkownik może być w stanie podwyższyć uprawnienia.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2022-32908: anonimowy badacz
Model I/O
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: przetwarzanie złośliwie spreparowanego pliku USD może spowodować ujawnienie zawartości pamięci
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2022-42810: Xingwei Lin (@xwlin_roy) i Yinyi Wu z Ant Security Light-Year Lab
Wpis dodano 27 października 2022 r.
ncurses
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: użytkownik może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: usunięto błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2021-39537
ncurses
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: przetworzenie złośliwie spreparowanego pliku może doprowadzić do ataku typu „odmowa usługi” lub potencjalnego ujawnienia zawartości pamięci.
Opis: usunięto błąd typu „odmowa usługi” przez poprawienie procedury sprawdzania poprawności.
CVE-2022-29458
Notes
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: użytkownik z uprzywilejowanym dostępem do sieci może być w stanie śledzić aktywność użytkownika.
Opis: ten błąd naprawiono przez ulepszenie ochrony danych.
CVE-2022-42818: Gustav Hansen z WithSecure
Notifications
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: użytkownik mający fizyczny dostęp do urządzenia może uzyskać dostęp do kontaktów z poziomu zablokowanego ekranu.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2022-32879: Ubeydullah Sümer
PackageKit
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.
Opis: usunięto zjawisko wyścigu przez poprawienie obsługi stanu.
CVE-2022-32895: Mickey Jin (@patch1t) z Trend Micro, Mickey Jin (@patch1t)
PackageKit
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.
Opis: usunięto zjawisko wyścigu przez wprowadzenie dodatkowego sprawdzania poprawności.
CVE-2022-46713: Mickey Jin (@patch1t) z firmy Trend Micro
Wpis dodano 20 lutego 2023 r.
Photos
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: użytkownik może przypadkowo dodać uczestnika do udostępnionego albumu, naciskając klawisz Delete.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2022-42807: Ezekiel Elin
Wpis dodano 1 maja 2023 r, uaktualniono 1 sierpnia 2023 r.
Photos
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może być w stanie pominąć ustawienia prywatności.
Opis: ten błąd naprawiono przez ulepszenie ochrony danych.
CVE-2022-32918: Ashwani Rajput z Nagarro Software Pvt. Ltd, Srijan Shivam Mishra z The Hack Report, Jugal Goradia z Aastha Technologies, Evan Ricafort (evanricafort.com) z Invalid Web Security, Shesha Sai C (linkedin.com/in/shesha-sai-c-18585b125), Amod Raghunath Patwardhan z Pune, India
Wpis uaktualniono 16 marca 2023 r.
ppp
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja z uprawnieniami użytkownika root może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
CVE-2022-42829: anonimowy badacz
ppp
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja z uprawnieniami użytkownika root może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2022-42830: anonimowy badacz
ppp
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja z uprawnieniami użytkownika root może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: usunięto sytuację wyścigu przez poprawienie mechanizmu blokowania.
CVE-2022-42831: anonimowy badacz
CVE-2022-42832: anonimowy badacz
ppp
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: przepełnienie buforu może spowodować wykonanie dowolnego kodu.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.
CVE-2022-32941: anonimowy badacz
Wpis dodano 27 października 2022 r.
Ruby
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: użytkownik zdalny może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: błąd powodujący uszkodzenie zawartości pamięci rozwiązano przez uaktualnienie biblioteki Ruby do wersji 2.6.10.
CVE-2022-28739
Sandbox
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.
Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.
CVE-2022-32881: Csaba Fitzl (@theevilbit) z Offensive Security
Sandbox
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja z uprawnieniami administratora może uzyskać dostęp do prywatnych informacji.
Opis: ten błąd naprawiono przez ulepszenie ochrony danych.
CVE-2022-32862: Rohit Chatterjee z University of Illinois Urbana-Champaign
CVE-2022-32931: anonimowy badacz
Wpis dodano 16 marca 2023 r., uaktualniono 21 grudnia 2023 r.
Sandbox
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: usunięto błąd dostępu przez wprowadzenie dodatkowych ograniczeń piaskownicy.
CVE-2022-42811: Justin Bui (@slyd0g) z Snowflake
Security
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może być w stanie obejść sprawdzanie podpisywania kodu.
Opis: usunięto błąd sprawdzania poprawności podpisu kodu przez poprawienie sprawdzania.
CVE-2022-42793: Linus Henze z Pinauten GmbH (pinauten.de)
Shortcuts
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: skrót może umożliwiać wyświetlanie ukrytego albumu ze zdjęciami bez uwierzytelniania.
Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.
CVE-2022-32876: anonimowy badacz
Wpis dodano 1 sierpnia 2023 r.
Shortcuts
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: skrót może być w stanie sprawdzić istnienie dowolnej ścieżki w systemie plików.
Opis: poprawiono mechanizm sprawdzania poprawności ścieżek w celu naprawiono błędu analizy składniowej w obsłudze ścieżek katalogowych.
CVE-2022-32938: Cristian Dinca z Tudor Vianu National High School of Computer Science of. Rumunia
Sidecar
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: użytkownik może być w stanie przeglądać treści objęte ograniczeniami z poziomu zablokowanego ekranu.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2022-42790: Om kothawade z Zaprico Digital
Siri
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: użytkownik z fizycznym dostępem do urządzenia może być w stanie użyć Siri w celu uzyskania informacji o historii połączeń.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2022-32870: Andrew Goldberg z The McCombs School of Business, The University of Texas w Austin (linkedin.com/in/andrew-goldberg-/)
SMB
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: zdalny użytkownik może być w stanie doprowadzić do wykonania kodu jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2022-32934: Felix Poulin-Belanger
Software Update
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: usunięto zjawisko wyścigu przez poprawienie obsługi stanu.
CVE-2022-42791: Mickey Jin (@patch1t) z Trend Micro
SQLite
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: zdalny użytkownik może doprowadzić do ataku typu „odmowa usługi”
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2021-36690
System Settings
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.
Opis: ten błąd naprawiono przez ulepszenie ochrony danych.
CVE-2022-48505: Adam Chester z TrustedSec i Thijs Alkemade (@xnyhps) z Computest Sector 7
Wpis dodano 26 czerwca 2023 r.
TCC
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może doprowadzić do ataku typu „odmowa usługi” na klientów zabezpieczeń punktów końcowych.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2022-26699: Csaba Fitzl (@theevilbit) z Offensive Security
Wpis dodano 1 sierpnia 2023 r.
Vim
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: liczne błędy w aplikacji Vim.
Opis: naprawiono liczne błędy przez uaktualnienie oprogramowania Vim.
CVE-2022-0261
CVE-2022-0318
CVE-2022-0319
CVE-2022-0351
CVE-2022-0359
CVE-2022-0361
CVE-2022-0368
CVE-2022-0392
CVE-2022-0554
CVE-2022-0572
CVE-2022-0629
CVE-2022-0685
CVE-2022-0696
CVE-2022-0714
CVE-2022-0729
CVE-2022-0943
CVE-2022-1381
CVE-2022-1420
CVE-2022-1725
CVE-2022-1616
CVE-2022-1619
CVE-2022-1620
CVE-2022-1621
CVE-2022-1629
CVE-2022-1674
CVE-2022-1733
CVE-2022-1735
CVE-2022-1769
CVE-2022-1927
CVE-2022-1942
CVE-2022-1968
CVE-2022-1851
CVE-2022-1897
CVE-2022-1898
CVE-2022-1720
CVE-2022-2000
CVE-2022-2042
CVE-2022-2124
CVE-2022-2125
CVE-2022-2126
VPN
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2022-42828: anonimowy badacz
Wpis dodano 1 sierpnia 2023 r.
Weather
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2022-32875: anonimowy badacz
WebKit
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
WebKit Bugzilla: 246669
CVE-2022-42826: Francisco Alonso (@revskills)
Wpis dodano 22 grudnia 2022 r.
WebKit
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu.
Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.
WebKit Bugzilla: 241969
CVE-2022-32886: P1umer (@p1umer), afang (@afang5472), xmzyshypnc (@xmzyshypnc1)
WebKit
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)
WebKit
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a) z Theori w ramach programu Zero Day Initiative firmy Trend Micro
WebKit
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do spreparowania interfejsu użytkownika.
Opis: błąd naprawiono przez poprawienie obsługi interfejsu użytkownika.
WebKit Bugzilla: 243693
CVE-2022-42799: Jihwan Kim (@gPayl0ad), Dohyun Lee (@l33d0hyun)
WebKit
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.
WebKit Bugzilla: 244622
CVE-2022-42823: Dohyun Lee (@l33d0hyun) z SSD Labs
WebKit
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości www może ujawnić poufne informacje użytkownika.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
WebKit Bugzilla: 245058
CVE-2022-42824: Abdulrahman Alqabandi z Microsoft Browser Vulnerability Research, Ryan Shin z IAAI SecLab w Korea University, Dohyun Lee (@l33d0hyun) z DNSLab w Korea University
WebKit
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości www może ujawnić wewnętrzne stany aplikacji.
Opis: naprawiono błąd dotyczący poprawności w JIT przez poprawienie procedur sprawdzania.
WebKit Bugzilla: 242964
CVE-2022-32923: Wonyoung Jung (@nonetype_pwn) z KAIST Hacking Lab
Wpis dodano 27 października 2022 r.
WebKit PDF
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
WebKit Bugzilla: 242781
CVE-2022-32922: Yonghwi Jin (@jinmo123) z Theori w ramach programu Zero Day Initiative firmy Trend Micro
WebKit Sandboxing
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: proces działający w piaskownicy może być w stanie obejść ograniczenia piaskownicy.
Opis: problem z dostępem rozwiązano przez ulepszenie piaskownicy.
WebKit Bugzilla: 243181
CVE-2022-32892: @18楼梦想改造家 and @jq0904 z DBAppSecurity's WeBin lab
WebKit Storage
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może być w stanie pominąć ustawienia prywatności.
Opis: ten problem rozwiązano przez poprawienie obsługi pamięci podręcznych.
CVE-2022-32833: Csaba Fitzl (@theevilbit) z Offensive Security, Jeff Johnson
Wpis dodano 22 grudnia 2022 r.
Wi-Fi
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.
CVE-2022-46709: Wang Yu z Cyberserval
Wpis dodano 16 marca 2023 r.
zlib
Dostępne dla: Maca Studio (2022 r.), Maca Pro (2019 r. i nowszych), MacBooka Air (2018 r. i nowszych), MacBooka Pro (2017 r. i nowszych), Maca mini (2018 r. i nowszych), iMaca (2017 r. i nowszych), MacBooka (2017 r.) i iMaca Pro (2017 r.)
Zagrożenie: użytkownik może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2022-37434: Evgeny Legerov
CVE-2022-42800: Evgeny Legerov
Wpis dodano 27 października 2022 r.
Dodatkowe podziękowania
AirPort
Dziękujemy za udzieloną pomoc: Joseph Salazar Acuña i Renato Llamoca z Intrado-Life & Safety/Globant
apache
Dziękujemy za udzieloną pomoc: Tricia Lee z Enterprise Service Center.
Wpis dodano 16 marca 2023 r.
AppleCredentialManager
Dziękujemy za udzieloną pomoc: @jonathandata1.
ATS
Dziękujemy za udzieloną pomoc: Mickey Jin (@patch1t).
Wpis dodano 1 sierpnia 2023 r.
FaceTime
Dziękujemy anonimowemu badaczowi za pomoc.
FileVault
Dziękujemy za udzieloną pomoc: Timothy Perfitt z Twocanoes Software.
Find My
Dziękujemy anonimowemu badaczowi za pomoc.
Identity Services
Dziękujemy za udzieloną pomoc: Joshua Jones.
IOAcceleratorFamily
Dziękujemy za udzieloną pomoc: Antonio Zekic (@antoniozekic).
IOGPUFamily
Dziękujemy za udzieloną pomoc: Wang Yu z cyberserval.
Wpis dodano 9 listopada 2022 r.
Kernel
Dziękujemy za udzieloną pomoc: Peter Nguyen ze STAR Labs, Tim Michaud (@TimGMichaud) z Moveworks.ai, Tingting Yin z Tsinghua University oraz Min Zheng z Ant Group, Tommy Muir (@Muirey03), anonimowy badacz.
Login Window
Dziękujemy za udzieloną pomoc: Simon Tang (simontang.dev).
Wpis dodano 9 listopada 2022 r.
Dziękujemy za udzieloną pomoc: Taavi Eomäe z Zone Media OÜ, anonimowy badacz.
Wpis dodano 21 grudnia 2023 r.
Mail Drafts
Dziękujemy anonimowemu badaczowi za pomoc.
Networking
Dziękujemy za udzieloną pomoc: Tim Michaud (@TimGMichaud) z Zoom Video Communications.
Photo Booth
Dziękujemy za udzieloną pomoc: Prashanth Kannan z Dremio.
Quick Look
Dziękujemy za udzieloną pomoc: Hilary “It’s off by a Pixel” Street
Safari
Dziękujemy za udzieloną pomoc: Scott Hatfield z Sub-Zero Group.
Wpis dodano 16 marca 2023 r.
Sandbox
Dziękujemy za udzieloną pomoc: Csaba Fitzl (@theevilbit) z Offensive Security.
SecurityAgent
Dziękujemy za udzieloną pomoc: Security Team Netservice de Toekomst, anonimowy badacz.
Wpis dodano 21 grudnia 2023 r.
smbx
Dziękujemy za udzieloną pomoc: HD Moore z runZero Asset Inventory.
System
Dziękujemy za udzieloną pomoc: Mickey Jin (@patch1t) z Trend Micro.
System Settings
Dziękujemy za udzieloną pomoc: Bjorn Hellenbrand.
UIKit
Dziękujemy za udzieloną pomoc: Aleczander Ewing.
WebKit
Dziękujemy za udzieloną pomoc: Maddie Stone z Google Project Zero, Narendra Bhati (@imnarendrabhati) z Suma Soft Pvt. Ltd. oraz anonimowy badacz.
WebRTC
Dziękujemy anonimowemu badaczowi za pomoc.