Acerca dos conteúdos de segurança do macOS Ventura 13
Este documento descreve os conteúdos de segurança do macOS Ventura 13.
Acerca das atualizações de segurança da Apple
Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação e não estiverem disponíveis as correções ou os lançamentos necessários. Os lançamentos recentes são apresentados na página Atualizações de segurança da Apple.
Sempre que possível, os documentos de segurança da Apple designam as vulnerabilidades através de ID CVE.
Para obter mais informações acerca da segurança, consulte a página Segurança dos produtos Apple.
macOS Ventura 13
Data de lançamento: 24 de outubro de 2022
Accelerate Framework
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: o processamento de uma imagem criada com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: foi resolvido um problema de consumo de memória através do processamento melhorado da memória.
CVE-2022-42795: ryuzaki
APFS
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador
Descrição: um problema de acesso foi resolvido através da melhoria das restrições de acesso.
CVE-2022-48577: Csaba Fitzl (@theevilbit) da Offensive Security
Entrada adicionada a 21 de dezembro de 2023
Apple Neural Engine
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir divulgar o estado confidencial do kernel
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2022-32858: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2022-32898: Mohamed Ghannam (@_simo36)
CVE-2022-32899: Mohamed Ghannam (@_simo36)
CVE-2022-46721: Mohamed Ghannam (@_simo36)
CVE-2022-47915: Mohamed Ghannam (@_simo36)
CVE-2022-47965: Mohamed Ghannam (@_simo36)
CVE-2022-32889: Mohamed Ghannam (@_simo36)
Entrada adicionada a 21 de dezembro de 2023
AppleAVD
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: este problema foi resolvido através de verificações melhoradas.
CVE-2022-32907: Yinyi Wu, ABC Research s.r.o, Natalie Silvanovich do Google Project Zero, Tommaso Bianco (@cutesmilee__), Antonio Zekic (@antoniozekic) e John Aakerblom (@jaakerblom)
Entrada adicionada a 16 de março de 2023
AppleAVD
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá causar uma recusa de serviço
Descrição: foi resolvido um problema de corrupção de memória através da gestão melhorada do estado.
CVE-2022-32827: Antonio Zekic (@antoniozekic), Natalie Silvanovich do Google Project Zero e um investigador anónimo
AppleMobileFileIntegrity
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador
Descrição: foi resolvido um problema de configuração com restrições adicionais.
CVE-2022-32877: Wojciech Reguła (@_r3ggi) da SecuRing
Entrada adicionada a 16 de março de 2023
AppleMobileFileIntegrity
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador
Descrição: foi resolvido um problema na validação da assinatura de código através de verificações melhoradas.
CVE-2022-42789: Koh M. Nakagawa da FFRI Security, Inc.
AppleMobileFileIntegrity
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir modificar partes protegidas do sistema de ficheiros
Descrição: este problema foi resolvido através da remoção de direitos adicionais.
CVE-2022-42825: Mickey Jin (@patch1t)
Assets
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir modificar partes protegidas do sistema de ficheiros
Descrição: foi resolvido um problema de lógica através de verificações melhoradas.
CVE-2022-46722: Mickey Jin (@patch1t)
Entrada adicionada a 1 de agosto de 2023
ATS
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir contornar as preferências de privacidade
Descrição: foi resolvido um problema de lógica através da gestão melhorada do estado.
CVE-2022-32902: Mickey Jin (@patch1t)
ATS
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador
Descrição: foi resolvido um problema de acesso através de restrições adicionais da sandbox.
CVE-2022-32904: Mickey Jin (@patch1t)
ATS
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: um processo na sandbox poderá ser capaz de contornar as restrições da sandbox
Descrição: foi resolvido um problema de lógica através de verificações melhoradas.
CVE-2022-32890: Mickey Jin (@patch1t)
Audio
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir obter privilégios elevados
Descrição: este problema foi resolvido através da remoção de código vulnerável.
CVE-2022-42796: Mickey Jin (@patch1t)
Entrada atualizada a 16 de março de 2023
Audio
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: a análise de um ficheiro de áudio criado com intuito malicioso poderá provocar a divulgação de informações do utilizador
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2022-42798: investigador anónimo em colaboração com o programa Zero Day Initiative da Trend Micro
Entrada adicionada a 27 de outubro de 2022
AVEVideoEncoder
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: o problema foi resolvido através de verificações melhoradas dos limites.
CVE-2022-32940: ABC Research s.r.o.
Beta Access Utility
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir modificar partes protegidas do sistema de ficheiros
Descrição: foi resolvido um problema de lógica através da gestão melhorada do estado.
CVE-2022-42816: Mickey Jin (@patch1t)
Entrada adicionada a 21 de dezembro de 2023
BOM
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá ignorar as verificações do Gatekeeper
Descrição: foi resolvido um problema de lógica através de verificações melhoradas.
CVE-2022-42821: Jonathan Bar Or da Microsoft
Entrada adicionada a 13 de dezembro de 2022
Boot Camp
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir modificar partes protegidas do sistema de ficheiros
Descrição: este problema foi resolvido através de verificações melhoradas para impedir ações não autorizadas.
CVE-2022-42860: Mickey Jin (@patch1t) da Trend Micro
Entrada adicionada a 16 de março de 2023
Calendar
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir ler informações confidenciais de localização
Descrição: um problema de acesso foi resolvido através da melhoria das restrições de acesso.
CVE-2022-42819: um investigador anónimo
CFNetwork
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: o processamento de um certificado criado com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: existia um problema na validação de certificados no processamento do WKWebView. Este problema foi resolvido através da validação melhorada.
CVE-2022-42813: Jonathan Zhang da Open Computing Facility (ocf.berkeley.edu)
ColorSync
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: o processamento de uma imagem criada com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: existia um problema de corrupção de memória no processamento de perfis ICC. Este problema foi resolvido através da validação melhorada da entrada.
CVE-2022-26730: David Hoyt da Hoyt LLC
Core Bluetooth
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá gravar áudio através de AirPods emparelhados
Descrição: foi resolvido um problema de acesso com restrições adicionais da sandbox em aplicações de terceiros.
CVE-2022-32945: Guilherme Rambo da Best Buddy Apps (rambo.codes)
Entrada adicionada a 09 de novembro de 2022
CoreMedia
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma extensão de câmara pode continuar a receber vídeo depois de a app que estava ativada ser fechada
Descrição: foi resolvido um problema com o acesso de apps aos dados da câmara através da lógica melhorada.
CVE-2022-42838: Halle Winkler (@hallewinkler) da Politepix
Entrada adicionada a 22 de dezembro de 2022
CoreServices
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir infringir a sandbox
Descrição: foi resolvido um problema de acesso através de restrições adicionais da sandbox.
CVE-2022-48683: Thijs Alkemade da Computest Sector 7, Wojciech Reguła (@_r3ggi) da SecuRing e Arsenii Kostromin
Entrada adicionada a 29 de maio de 2024
CoreTypes
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma aplicação maliciosa poderá ignorar as verificações do Gatekeeper
Descrição: este problema foi resolvido através de verificações melhoradas para impedir ações não autorizadas.
CVE-2022-22663: Arsenii Kostromin (0x3c3e)
Entrada adicionada a 16 de março de 2023
Crash Reporter
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: um utilizador com acesso físico a um dispositivo iOS poderá conseguir ler registos de diagnóstico anteriores
Descrição: este problema foi resolvido através da proteção de dados melhorada.
CVE-2022-32867: Kshitij Kumar e Jai Musunuri da Crowdstrike
curl
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: vários problemas no curl
Descrição: foram corrigidos vários problemas ao atualizar para a versão 7.84.0 do curl.
CVE-2022-32205
CVE-2022-32206
CVE-2022-32207
CVE-2022-32208
Directory Utility
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador
Descrição: foi resolvido um problema de lógica através de verificações melhoradas.
CVE-2022-42814: Sergii Kryvoblotskyi da MacPaw Inc.
DriverKit
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2022-32865: Linus Henze da Pinauten GmbH (pinauten.de)
DriverKit
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foi resolvido um problema de confusão de tipos através de verificações melhoradas.
CVE-2022-32915: Tommy Muir (@Muirey03)
Exchange
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: um utilizador com uma posição privilegiada na rede poderá conseguir intercetar credenciais de e-mails
Descrição: foi resolvido um problema de lógica através de restrições melhoradas.
CVE-2022-32928: Jiří Vinopal (@vinopaljiri) da Check Point Research
Entrada atualizada a 16 de março de 2023
FaceTime
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: um utilizador poderá enviar áudios e vídeos numa chamada FaceTime sem se aperceber
Descrição: este problema foi resolvido através de verificações melhoradas.
CVE-2022-22643: Sonali Luthar da Universidade da Virgínia, Michael Liao da Universidade de Illinois em Urbana-Champaign, Rohan Pahwa da Universidade Rutgers e Bao Nguyen da Universidade da Florida
Entrada adicionada a 16 de março de 2023
FaceTime
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: um utilizador poderá conseguir ver conteúdos restritos a partir do ecrã bloqueado
Descrição: foi resolvido um problema no ecrã bloqueado através da gestão melhorada do estado.
CVE-2022-32935: Bistrit Dahal
Entrada adicionada a 27 de outubro de 2022
Find My
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app maliciosa poderá conseguir ler informações confidenciais de localização
Descrição: existia um problema de permissões. Este problema foi resolvido através da validação melhorada de permissões.
CVE-2022-42788: Csaba Fitzl (@theevilbit) da Offensive Security, Wojciech Reguła of SecuRing (wojciechregula.blog)
Find My
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador
Descrição: o problema foi resolvido através do processamento melhorado de caches.
CVE-2022-48504: Csaba Fitzl (@theevilbit) da Offensive Security
Entrada adicionada a 21 de dezembro de 2023
Finder
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: o processamento de um ficheiro DMG criado com intuito malicioso poderá levar à execução de um código arbitrário com privilégios de sistema
Descrição: este problema foi resolvido através da validação melhorada de ligações simbólicas.
CVE-2022-32905: Ron Masas (breakpoint.sh) da BreakPoint Technologies LTD
GPU Drivers
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foi resolvido um problema de leitura fora dos limites através da validação melhorada da entrada.
CVE-2022-42833: Pan ZhenPeng (@Peterpan0927)
Entrada adicionada a 22 de dezembro de 2022
GPU Drivers
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2022-32947: Asahi Lina (@LinaAsahi)
Grapher
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: o processamento de um ficheiro gcx criado com intuito malicioso poderá provocar o encerramento inesperado da app ou a execução de um código arbitrário
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2022-42809: Yutao Wang (@Jack) e Yu Zhou (@yuzhou6666)
Heimdal
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: um utilizador poderá conseguir provocar o encerramento inesperado da app ou a execução de um código arbitrário
Descrição: este problema foi resolvido através de verificações melhoradas.
CVE-2022-3437: Evgeny Legerov of Intevydis
Entrada adicionada a 25 de outubro de 2022
iCloud Photo Library
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador
Descrição: foi resolvido um problema de divulgação de informações através da remoção do código vulnerável.
CVE-2022-32849: Joshua Jones
Entrada adicionada a 09 de novembro de 2022
Image Processing
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app em sandbox poderá conseguir determinar a app que está a utilizar atualmente a câmara
Descrição: o problema foi resolvido com restrições adicionais à observabilidade dos estados das apps.
CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)
ImageIO
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: o processamento de uma imagem pode resultar numa recusa de serviço
Descrição: foi resolvido um problema de leitura fora dos limites através da validação melhorada da entrada.
CVE-2022-32809: Mickey Jin (@patch1t)
Entrada adicionada a 1 de agosto de 2023
ImageIO
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: o processamento de uma imagem pode resultar numa recusa de serviço
Descrição: foi resolvido um problema de recusa de serviço através da validação melhorada.
CVE-2022-1622
Intel Graphics Driver
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir divulgar a memória do kernel
Descrição: foi resolvido um problema de leitura fora dos limites através da validação melhorada da entrada.
CVE-2022-32936: Antonio Zekic (@antoniozekic)
IOHIDFamily
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá provocar o encerramento inesperado da app ou a execução de um código arbitrário
Descrição: foi resolvido um problema de corrupção de memória através da gestão melhorada do estado.
CVE-2022-42820: Peter Pan ZhenPeng da STAR Labs
IOKit
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foi resolvida uma condição de disputa através do bloqueio melhorado.
CVE-2022-42806: Tingting Yin da Universidade de Tsinghua
Kernel
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir divulgar a memória do kernel
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2022-32864: Linus Henze da Pinauten GmbH (pinauten.de)
Kernel
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2022-32866: Linus Henze da Pinauten GmbH (pinauten.de)
CVE-2022-32911: Zweig do Kunlun Lab
CVE-2022-32924: Ian Beer do Google Project Zero
Kernel
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foi resolvido um problema do tipo use after free (utilização após libertação de memória) com a gestão melhorada da memória.
CVE-2022-32914: Zweig do Kunlun Lab
Kernel
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: um utilizador remoto poderá conseguir provocar a execução de um código de kernel
Descrição: foi resolvido um problema de escrita fora dos limites através da verificação melhorada dos limites.
CVE-2022-42808: Zweig da Kunlun Lab
Kernel
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foi resolvido um problema de corrupção de memória através da gestão melhorada do estado.
CVE-2022-32944: Tim Michaud (@TimGMichaud) da Moveworks.ai
Entrada adicionada a 27 de outubro de 2022
Kernel
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foi resolvida uma condição de disputa através do bloqueio melhorado.
CVE-2022-42803: Xinru Chi do Pangu Lab, John Aakerblom (@jaakerblom)
Entrada adicionada a 27 de outubro de 2022
Kernel
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app com privilégios de raiz poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: o problema foi resolvido através de verificações melhoradas dos limites.
CVE-2022-32926: Tim Michaud (@TimGMichaud) da Moveworks.ai
Entrada adicionada a 27 de outubro de 2022
Kernel
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foi resolvido um problema de lógica através de verificações melhoradas.
CVE-2022-42801: Ian Beer do Google Project Zero
Entrada adicionada a 27 de outubro de 2022
Kernel
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir provocar o encerramento inesperado do sistema ou potencialmente executar código com privilégios do kernel
Descrição: foi resolvido um problema do tipo "use after free" (utilização após libertação de memória) com a gestão melhorada da memória.
CVE-2022-46712: Tommy Muir (@Muirey03)
Entrada adicionada a 20 de fevereiro de 2023
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador
Descrição: este problema foi resolvido através da proteção de dados melhorada.
CVE-2022-42815: Csaba Fitzl (@theevilbit) da Offensive Security
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir aceder a anexos de pastas de e-mail através de um diretório temporário utilizado durante a compressão
Descrição: um problema de acesso foi resolvido através da melhoria das restrições de acesso.
CVE-2022-42834: Wojciech Reguła (@_r3ggi) da SecuRing
Entrada adicionada a 1 de maio de 2023
Maps
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir ler informações confidenciais de localização
Descrição: este problema foi resolvido através de restrições melhoradas relativas às informações sensíveis.
CVE-2022-46707: Csaba Fitzl (@theevilbit) da Offensive Security
Entrada adicionada a 1 de agosto de 2023
Maps
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir ler informações confidenciais de localização
Descrição: foi resolvido um problema de lógica através de restrições melhoradas.
CVE-2022-32883: Ron Masas da breakpointhq.com
MediaLibrary
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: um utilizador poderá conseguir aumentar privilégios
Descrição: foi resolvido um problema de corrupção de memória através da validação melhorada da entrada.
CVE-2022-32908: um investigador anónimo
Model I/O
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: o processamento de um ficheiro USD criado com intuito malicioso poderá divulgar conteúdos da memória
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2022-42810: Xingwei Lin (@xwlin_roy) e Yinyi Wu do Ant-financial Light-Year Security Lab
Entrada adicionada a 27 de outubro de 2022
ncurses
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: um utilizador poderá conseguir provocar o encerramento inesperado da app ou a execução de um código arbitrário
Descrição: foi resolvido um problema de ultrapassagem do limite máximo do buffer através da verificação melhorada dos limites.
CVE-2021-39537
ncurses
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: o processamento de um ficheiro criado com intuito malicioso poderá provocar uma recusa de serviço ou a divulgação de conteúdos da memória
Descrição: foi resolvido um problema de recusa de serviço através da validação melhorada.
CVE-2022-29458
Notes
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: um utilizador numa posição privilegiada na rede poderá controlar a atividade de utilizadores
Descrição: este problema foi resolvido através da proteção de dados melhorada.
CVE-2022-42818: Gustav Hansen da WithSecure
Notifications
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: um utilizador com acesso físico a um dispositivo poderá conseguir aceder aos contactos a partir do ecrã bloqueado
Descrição: foi resolvido um problema de lógica através da gestão melhorada do estado.
CVE-2022-32879: Ubeydullah Sümer
PackageKit
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir modificar partes protegidas do sistema de ficheiros
Descrição: foi resolvida uma condição de disputa através do processamento melhorado do estado.
CVE-2022-32895: Mickey Jin (@patch1t) da Trend Micro, Mickey Jin (@patch1t)
PackageKit
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir modificar partes protegidas do sistema de ficheiros
Descrição: foi resolvida uma condição de disputa através de validação adicional.
CVE-2022-46713: Mickey Jin (@patch1t) da Trend Micro
Entrada adicionada a 20 de fevereiro de 2023
Photos
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: um utilizador pode adicionar acidentalmente um participante a um álbum partilhado ao premir a tecla Delete
Descrição: foi resolvido um problema de lógica através da gestão melhorada do estado.
CVE-2022-42807: Ezekiel Elin
Entrada adicionada a 1 de maio de 2023, atualizada a 1 de agosto de 2023
Photos
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir contornar as preferências de privacidade
Descrição: este problema foi resolvido através da proteção de dados melhorada.
CVE-2022-32918: Ashwani Rajput da Nagarro Software Pvt. Ltd, Srijan Shivam Mishra da The Hack Report, Jugal Goradia da Aastha Technologies, Evan Ricafort (evanricafort.com) da Invalid Web Security, Shesha Sai C (linkedin.com/in/shesha-sai-c-18585b125) e Amod Raghunath Patwardhan de Pune, Índia
Entrada atualizada a 16 de março de 2023
ppp
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app com privilégios de raiz poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foi resolvido um problema do tipo "use after free" (utilização após libertação de memória) com a gestão melhorada da memória.
CVE-2022-42829: um investigador anónimo
ppp
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app com privilégios de raiz poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2022-42830: um investigador anónimo
ppp
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app com privilégios de raiz poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foi resolvida uma condição de disputa através do bloqueio melhorado.
CVE-2022-42831: um investigador anónimo
CVE-2022-42832: um investigador anónimo
ppp
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: se ultrapassar o limite máximo do buffer, poderá ser executado um código arbitrário
Descrição: o problema foi resolvido através de verificações melhoradas dos limites.
CVE-2022-32941: um investigador anónimo
Entrada adicionada a 27 de outubro de 2022
Ruby
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: um utilizador remoto poderá conseguir provocar o encerramento inesperado da app ou a execução de um código arbitrário
Descrição: um problema de corrupção de memória foi resolvido através da atualização do Ruby para a versão 2.6.10.
CVE-2022-28739
Sandbox
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir modificar partes protegidas do sistema de ficheiros
Descrição: foi resolvido um problema de lógica através de restrições melhoradas.
CVE-2022-32881: Csaba Fitzl (@theevilbit) da Offensive Security
Sandbox
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app com privilégios de raiz poderá conseguir aceder a informações privadas
Descrição: este problema foi resolvido através da proteção de dados melhorada.
CVE-2022-32862: Rohit Chatterjee da University of Illinois Urbana-Champaign
CVE-2022-32931: um investigador anónimo
Entrada adicionada a 16 de março de 2023, atualizada a 21 de dezembro de 2023
Sandbox
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador
Descrição: foi resolvido um problema de acesso através de restrições adicionais da sandbox.
CVE-2022-42811: Justin Bui (@slyd0g) da Snowflake
Security
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir contornar as verificações da assinatura de código
Descrição: foi resolvido um problema na validação da assinatura de código através de verificações melhoradas.
CVE-2022-42793: Linus Henze da Pinauten GmbH (pinauten.de)
Shortcuts
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: um atalho poderá conseguir visualizar o álbum de fotografias oculto sem autenticação
Descrição: foi resolvido um problema de lógica através de restrições melhoradas.
CVE-2022-32876: investigador anónimo
Entrada adicionada a 1 de agosto de 2023
Shortcuts
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: um atalho poderá conseguir verificar a existência de um caminho arbitrário no sistema de ficheiros
Descrição: foi resolvido um problema de análise no processamento dos caminhos de diretório com a validação melhorada do caminho.
CVE-2022-32938: Cristian Dinca da Tudor Vianu National High School of Computer Science. Roménia
Sidecar
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: um utilizador poderá conseguir ver conteúdos restritos a partir do ecrã bloqueado
Descrição: foi resolvido um problema de lógica através da gestão melhorada do estado.
CVE-2022-42790: Om kothawade da Zaprico Digital
Siri
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: um utilizador com acesso físico a um dispositivo poderá conseguir utilizar a Siri para obter algumas informações do histórico de chamadas
Descrição: foi resolvido um problema de lógica através da gestão melhorada do estado.
CVE-2022-32870: Andrew Goldberg da The McCombs School of Business, Universidade do Texas em Austin (linkedin.com/in/andrew-goldberg-/)
SMB
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: um utilizador remoto poderá conseguir provocar a execução de um código de kernel
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2022-32934: Felix Poulin-Belanger
Software Update
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foi resolvida uma condição de disputa através do processamento melhorado do estado.
CVE-2022-42791: Mickey Jin (@patch1t) da Trend Micro
SQLite
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: um utilizador remoto poderá conseguir provocar uma recusa de serviço
Descrição: este problema foi resolvido através de verificações melhoradas.
CVE-2021-36690
System Settings
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir modificar partes protegidas do sistema de ficheiros
Descrição: este problema foi resolvido através da proteção de dados melhorada.
CVE-2022-48505: Adam Chester da TrustedSec e Thijs Alkemade (@xnyhps) da Computest Sector 7
Entrada adicionada a 26 de junho de 2023
TCC
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma aplicação maliciosa poderá conseguir provocar uma recusa de serviço aos clientes do Endpoint Security
Descrição: foi resolvido um problema de lógica através da gestão melhorada do estado.
CVE-2022-26699: Csaba Fitzl (@theevilbit) da Offensive Security
Entrada adicionada a 1 de agosto de 2023
Vim
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: vários problemas no Vim
Descrição: foram resolvidos vários problemas através da atualização do Vim.
CVE-2022-0261
CVE-2022-0318
CVE-2022-0319
CVE-2022-0351
CVE-2022-0359
CVE-2022-0361
CVE-2022-0368
CVE-2022-0392
CVE-2022-0554
CVE-2022-0572
CVE-2022-0629
CVE-2022-0685
CVE-2022-0696
CVE-2022-0714
CVE-2022-0729
CVE-2022-0943
CVE-2022-1381
CVE-2022-1420
CVE-2022-1725
CVE-2022-1616
CVE-2022-1619
CVE-2022-1620
CVE-2022-1621
CVE-2022-1629
CVE-2022-1674
CVE-2022-1733
CVE-2022-1735
CVE-2022-1769
CVE-2022-1927
CVE-2022-1942
CVE-2022-1968
CVE-2022-1851
CVE-2022-1897
CVE-2022-1898
CVE-2022-1720
CVE-2022-2000
CVE-2022-2042
CVE-2022-2124
CVE-2022-2125
CVE-2022-2126
VPN
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2022-42828: investigador anónimo
Entrada adicionada a 1 de agosto de 2023
Weather
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir ler informações confidenciais de localização
Descrição: foi resolvido um problema de lógica através da gestão melhorada do estado.
CVE-2022-32875: um investigador anónimo
WebKit
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: foi resolvido um problema do tipo "use after free" (utilização após libertação de memória) com a gestão melhorada da memória.
WebKit Bugzilla: 246669
CVE-2022-42826: Francisco Alonso (@revskills)
Entrada adicionada a 22 de dezembro de 2022
WebKit
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: foi resolvido um problema de ultrapassagem do limite máximo do buffer através do processamento melhorado da memória.
WebKit Bugzilla: 241969
CVE-2022-32886: P1umer (@p1umer), afang (@afang5472), xmzyshypnc (@xmzyshypnc1)
WebKit
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: foi resolvido um problema de escrita fora dos limites através da verificação melhorada dos limites.
WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)
WebKit
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: foi resolvido um problema de leitura fora dos limites através da verificação melhorada dos limites.
WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a) da Theori em colaboração com o programa Zero Day Initiative da Trend Micro
WebKit
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: aceder a um site malicioso poderá provocar a falsificação da interface do utilizador
Descrição: o problema foi resolvido através do processamento da IU melhorado.
WebKit Bugzilla: 243693
CVE-2022-42799: Jihwan Kim (@gPayl0ad), Dohyun Lee (@l33d0hyun)
WebKit
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: foi resolvido um problema de confusão de tipos através do processamento melhorado da memória.
WebKit Bugzilla: 244622
CVE-2022-42823: Dohyun Lee (@l33d0hyun) da SSD Labs
WebKit
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: o processamento de conteúdos web criados com intuito malicioso poderá divulgar informações confidenciais do utilizador
Descrição: foi resolvido um problema de lógica através da gestão melhorada do estado.
WebKit Bugzilla: 245058
CVE-2022-42824: Abdulrahman Alqabandi da Microsoft Browser Vulnerability Research, Ryan Shin da IAAI SecLab na Universidade da Coreia, Dohyun Lee (@l33d0hyun) da DNSLab na Universidade da Coreia
WebKit
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: o processamento de conteúdos web criados com intuito malicioso poderá divulgar estados internos da app
Descrição: foi resolvido um problema de correção no JIT através de verificações melhoradas.
WebKit Bugzilla: 242964
CVE-2022-32923: Wonyoung Jung (@nonetype_pwn) do KAIST Hacking Lab
Entrada adicionada a 27 de outubro de 2022
WebKit PDF
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: foi resolvido um problema do tipo "use after free" (utilização após libertação de memória) com a gestão melhorada da memória.
WebKit Bugzilla: 242781
CVE-2022-32922: Yonghwi Jin (@jinmo123) na Theori em colaboração com o programa Zero Day Initiative da Trend Micro
WebKit Sandboxing
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: um processo na sandbox poderá ser capaz de contornar as restrições da sandbox
Descrição: um problema de acesso foi resolvido com melhoramentos na sandbox.
WebKit Bugzilla: 243181
CVE-2022-32892: @18楼梦想改造家 e @jq0904 do laboratório WeBin da DBAppSecurity
WebKit Storage
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir contornar as preferências de privacidade
Descrição: o problema foi resolvido através do processamento melhorado de caches.
CVE-2022-32833: Csaba Fitzl (@theevilbit) da Offensive Security, Jeff Johnson
Entrada adicionada a 22 de dezembro de 2022
Wi-Fi
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foi resolvido um problema de corrupção de memória através da gestão melhorada do estado.
CVE-2022-46709: Wang Yu da Cyberserval
Entrada adicionada a 16 de março de 2023
zlib
Disponível para: Mac Studio (2022), Mac Pro (2019 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2017 e posterior), Mac mini (2018 e posterior), iMac (2017 e posterior), MacBook (2017) e iMac Pro (2017)
Impacto: um utilizador poderá conseguir provocar o encerramento inesperado da app ou a execução de um código arbitrário
Descrição: este problema foi resolvido através de verificações melhoradas.
CVE-2022-37434: Evgeny Legerov
CVE-2022-42800: Evgeny Legerov
Entrada adicionada a 27 de outubro de 2022
Agradecimentos adicionais
AirPort
Gostaríamos de agradecer a Joseph Salazar Acuña e Renato Llamoca da Intrado-Life & Safety/Globant pela sua colaboração.
apache
Gostaríamos de agradecer a Tricia Lee do Enterprise Service Center pela sua colaboração.
Entrada adicionada a 16 de março de 2023
AppleCredentialManager
Gostaríamos de agradecer a @jonathandata1 pela sua colaboração.
ATS
Gostaríamos de agradecer a Mickey Jin (@patch1t) pela sua colaboração.
Entrada adicionada a 1 de agosto de 2023
FaceTime
Gostaríamos de agradecer a um investigador anónimo pela sua colaboração.
FileVault
Gostaríamos de agradecer a Timothy Perfitt da Twocanoes Software pela sua colaboração.
Find My
Gostaríamos de agradecer a um investigador anónimo pela sua colaboração.
Identity Services
Gostaríamos de agradecer a Joshua Jones pela sua colaboração.
IOAcceleratorFamily
Gostaríamos de agradecer a Antonio Zekic (@antoniozekic) pela sua colaboração.
IOGPUFamily
Gostaríamos de agradecer a Wang Yu, da cyberserval, pelo seu apoio.
Entrada adicionada a 09 de novembro de 2022
Kernel
Gostaríamos de agradecer a Peter Nguyen da STAR Labs, Tim Michaud (@TimGMichaud) da Moveworks.ai, Tingting Yin da Universidade de Tsinghua e Min Zheng da Ant Group, Tommy Muir (@Muirey03) e um investigador anónimo pela sua colaboração.
Login Window
Gostaríamos de agradecer a Simon Tang (simontang.dev) pela sua colaboração.
Entrada adicionada a 09 de novembro de 2022
Gostaríamos de agradecer a Taavi Eomäe da Zone Media OÜ e a um investigador anónimo pela sua colaboração.
Entrada adicionada a 21 de dezembro de 2023
Mail Drafts
Gostaríamos de agradecer a um investigador anónimo pela sua colaboração.
Networking
Gostaríamos de agradecer a Tim Michaud (@TimGMichaud) da Zoom Video Communications pela sua colaboração.
Photo Booth
Gostaríamos de agradecer a Prashanth Kannan da Dremio pela sua colaboração.
Quick Look
Gostaríamos de agradecer a Hilary “It’s off by a Pixel” Street pela sua colaboração.
Safari
Gostaríamos de agradecer a Scott Hatfield do Sub-Zero Group pela sua colaboração.
Entrada adicionada a 16 de março de 2023
Sandbox
Gostaríamos de agradecer a Csaba Fitzl (@theevilbit) da Offensive Security pela sua colaboração.
SecurityAgent
Gostaríamos de agradecer à Security Team Netservice de Toekomst, um investigador anónimo pela sua colaboração.
Entrada adicionada a 21 de dezembro de 2023
smbx
Gostaríamos de agradecer a HD Moore da runZero Asset Inventory pela sua colaboração.
Sistema
Gostaríamos de agradecer a Mickey Jin (@patch1t) da Trend Micro pela sua colaboração.
System Settings
Gostaríamos de agradecer a Bjorn Hellenbrand pela sua colaboração.
UIKit
Gostaríamos de agradecer a Aleczander Ewing pela sua colaboração.
WebKit
Gostaríamos de agradecer a Maddie Stone do Google Project Zero, Narendra Bhati (@imnarendrabhati) da Suma Soft Pvt. Ltd. e um investigador anónimo pela sua colaboração.
WebRTC
Gostaríamos de agradecer a um investigador anónimo pela sua colaboração.
As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Contacte o fornecedor para obter mais informações.