Despre conținutul de securitate din macOS Ventura 13

Acest document descrie conținutul de securitate din macOS Ventura 13.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.

macOS Ventura 13

Lansare: 24 octombrie 2022

Accelerate Framework

Disponibilitate pentru: Mac Studio (2022), Mac Pro (2019 și modele ulterioare), MacBook Air (2018 și modele ulterioare), MacBook Pro (2017 și modele ulterioare), Mac mini (2018 și modele ulterioare), iMac (2017 și modele ulterioare), MacBook (2017) și iMac Pro (2017)

Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de consumare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2022-42795: ryuzaki

APFS

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru acces.

CVE-2022-48577: Csaba Fitzl (@theevilbit) (Offensive Security)

Intrare adăugată la 21 decembrie 2023

Apple Neural Engine

Impact: o aplicație poate scurge informații sensibile privind starea kernelului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2022-32858: Mohamed Ghannam (@_simo36)

Apple Neural Engine

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2022-32898: Mohamed Ghannam (@_simo36)

CVE-2022-32899: Mohamed Ghannam (@_simo36)

CVE-2022-46721: Mohamed Ghannam (@_simo36)

CVE-2022-47915: Mohamed Ghannam (@_simo36)

CVE-2022-47965: Mohamed Ghannam (@_simo36)

CVE-2022-32889: Mohamed Ghannam (@_simo36)

Intrare actualizată la 21 decembrie 2023

AppleAVD

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2022-32907: Yinyi Wu, ABC Research s.r.o, Natalie Silvanovich de la Google Project Zero, Tommaso Bianco (@cutesmilee__), Antonio Zekic (@antoniozekic) și John Aakerblom (@jaakerblom)

Adăugare intrare: 16 martie 2023

AppleAVD

Impact: o aplicație poate provoca o refuzare a serviciului

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2022-32827: Antonio Zekic (@antoniozekic), Natalie Silvanovich (Google Project Zero) și un cercetător anonim

AppleMobileFileIntegrity

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: o problemă de configurare a fost rezolvată prin restricții suplimentare.

CVE-2022-32877: Wojciech Reguła (@_r3ggi) (SecuRing)

Adăugare intrare: 16 martie 2023

AppleMobileFileIntegrity

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: a fost rezolvată o problemă la validarea semnăturii codului prin verificări îmbunătățite.

CVE-2022-42789: Koh M. Nakagawa (FFRI Security, Inc.)

AppleMobileFileIntegrity

Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere

Descriere: această problemă a fost rezolvată prin eliminarea drepturilor suplimentare.

CVE-2022-42825: Mickey Jin (@patch1t)

Assets

Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2022-46722: Mickey Jin (@patch1t)

Intrare adăugată pe 1 august 2023

ATS

Impact: o aplicație poate să ocolească preferințele de confidențialitate

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2022-32902: Mickey Jin (@patch1t)

ATS

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru sandbox.

CVE-2022-32904: Mickey Jin (@patch1t)

ATS

Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2022-32890: Mickey Jin (@patch1t)

Audio

Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat

Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.

CVE-2022-42796: Mickey Jin (@patch1t)

Actualizare intrare: 16 martie 2023

Audio

Impact: analizarea unui fișier audio creat cu rea intenție poate cauza divulgarea informațiilor despre utilizator

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2022-42798: anonim, în colaborare cu Trend Micro Zero Day Initiative

Adăugare intrare: 27 octombrie 2022

AVEVideoEncoder

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.

CVE-2022-32940: ABC Research s.r.o.

Beta Access Utility

Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2022-42816: Mickey Jin (@patch1t)

Intrare adăugată la 21 decembrie 2023

BOM

Impact: o aplicație poate ocoli verificările Gatekeeper

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2022-42821: Jonathan Bar Or de la Microsoft

Adăugare intrare: 13 decembrie 2022

Boot Camp

Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite pentru a preveni acțiunile neautorizate.

CVE-2022-42860: Mickey Jin (@patch1t) (Trend Micro)

Adăugare intrare: 16 martie 2023

Calendar

Impact: o aplicație poate citi informații de localizare sensibile

Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru acces.

CVE-2022-42819: un cercetător anonim

CFNetwork

Impact: procesarea unui certificat creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a existat o problemă de validare a certificatelor la tratarea WKWebView. Această problemă a fost rezolvată prin îmbunătățirea validării.

CVE-2022-42813: Jonathan Zhang (Open Computing Facility) (ocf.berkeley.edu)

ColorSync

Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a existat o problemă de alterare a memoriei la procesarea profilurilor ICC. Această problemă a fost rezolvată prin îmbunătățirea validării datelor de intrare.

CVE-2022-26730: David Hoyt (Hoyt LLC)

Core Bluetooth

Impact: o aplicație poate fi capabilă să înregistreze audio folosind căști AirPods asociate

Descriere: o problemă legată de acces a fost rezolvată cu restricții suplimentare la nivel de sandbox aplicate aplicațiilor terțe.

CVE-2022-32945: Guilherme Rambo de la Best Buddy Apps (rambo.codes)

Adăugare intrare: 9 noiembrie 2022

CoreMedia

Impact: o extensie pentru cameră poate continua să primească imagini video după ce aplicația care a activat-o a fost închisă

Descriere: a fost rezolvată o problemă legată de accesul aplicației la datele camerei printr-o logică îmbunătățită.

CVE-2022-42838: Halle Winkler (@hallewinkler) (Politepix)

Adăugare intrare: 22 decembrie 2022

CoreTypes

Impact: o aplicație rău intenționată poate ocoli verificările Gatekeeper

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite pentru a preveni acțiunile neautorizate.

CVE-2022-22663: Arsenii Kostromin (0x3c3e)

Adăugare intrare: 16 martie 2023

Crash Reporter

Impact: un utilizator cu acces fizic la un dispozitiv iOS poate fi capabil să citească jurnalele de diagnosticare anterioare

Descriere: această problemă a fost rezolvată prin protecția îmbunătățită a datelor.

CVE-2022-32867: Kshitij Kumar și Jai Musunuri (Crowdstrike)

curl

Impact: mai multe probleme în curl

Descriere: au fost rezolvate mai multe probleme prin actualizarea curl la versiunea 7.84.0.

CVE-2022-32205

CVE-2022-32206

CVE-2022-32207

CVE-2022-32208

Directory Utility

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2022-42814: Sergii Kryvoblotskyi (MacPaw Inc.)

DriverKit

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2022-32865: Linus Henze (Pinauten GmbH) (pinauten.de)

DriverKit

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea verificărilor.

CVE-2022-32915: Tommy Muir (@Muirey03)

Exchange

Impact: un utilizator cu o poziție privilegiată în rețea poate intercepta acreditări pentru e-mail

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.

CVE-2022-32928: Jiří Vinopal (@vinopaljiri) (Check Point Research)

Actualizare intrare: 16 martie 2023

FaceTime

Impact: un utilizator poate trimite conținut audio și video în apeluri FaceTime fără a ști că a făcut acest lucru

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2022-22643: Sonali Luthar (University of Virginia), Michael Liao (University of Illinois, Urbana-Champaign), Rohan Pahwa (Rutgers University) și Bao Nguyen (University of Florida)

Adăugare intrare: 16 martie 2023

FaceTime

Impact: un utilizator poate vizualiza conținut restricționat din ecranul de blocare

Descriere: a fost rezolvată o problemă legată de ecranul de blocare prin gestionarea îmbunătățită a stării.

CVE-2022-32935: Bistrit Dahal

Adăugare intrare: 27 octombrie 2022

Find My

Impact: o aplicație rău intenționată poate citi informații de localizare sensibile

Descriere: a existat o problemă de permisiune. Această problemă a fost rezolvată prin îmbunătățirea validării permisiunilor.

CVE-2022-42788: Csaba Fitzl (@theevilbit) (Offensive Security), Wojciech Reguła (SecuRing) (wojciechregula.blog)

Find My

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: problema a fost remediată printr-o manipulare îmbunătățită a cache-urilor.

CVE-2022-48504: Csaba Fitzl (@theevilbit) (Offensive Security)

Intrare adăugată la 21 decembrie 2023

Finder

Impact: procesarea unui fișier DMG creat cu rea intenție poate duce la executarea unui cod arbitrar cu privilegii de sistem

Descriere: această problemă a fost rezolvată prin îmbunătățirea validării linkurilor simbolice.

CVE-2022-32905: Ron Masas (breakpoint.sh) (BreakPoint Technologies LTD)

GPU Drivers

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2022-42833: Pan ZhenPeng (@Peterpan0927)

Adăugare intrare: 22 decembrie 2022

GPU Drivers

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2022-32947: Asahi Lina (@LinaAsahi)

Grapher

Impact: procesarea unui fișier gcx creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2022-42809: Yutao Wang (@Jack) și Yu Zhou (@yuzhou6666)

Heimdal

Impact: un utilizator poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2022-3437: Evgeny Legerov (Intevydis)

Adăugare intrare: 25 octombrie 2022

iCloud Photo Library

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: o problemă de divulgare a informațiilor a fost rezolvată prin eliminarea codului vulnerabil.

CVE-2022-32849: Joshua Jones

Adăugare intrare: 9 noiembrie 2022

Image Processing

Impact: o aplicație din sandbox poate fi capabilă să determine ce aplicație utilizează în prezent camera

Descriere: problema a fost rezolvată prin restricții suplimentare privind observabilitatea stărilor aplicațiilor.

CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)

ImageIO

Impact: procesarea unei imagini poate duce la refuzul serviciului

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2022-32809: Mickey Jin (@patch1t)

Intrare adăugată pe 1 august 2023

ImageIO

Impact: procesarea unei imagini poate duce la refuzul serviciului

Descriere: a fost rezolvată o problemă de refuzare a serviciului prin îmbunătățirea validării.

CVE-2022-1622

Intel Graphics Driver

Impact: o aplicație poate să divulge conținutul memoriei kernel

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2022-32936: Antonio Zekic (@antoniozekic)

IOHIDFamily

Impact: o aplicație poate cauza închiderea neașteptată a aplicației sau executarea arbitrară a codului

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2022-42820: Peter Pan ZhenPeng (STAR Labs)

IOKit

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea blocării.

CVE-2022-42806: Tingting Yin (Tsinghua University)

Kernel

Impact: o aplicație poate să divulge conținutul memoriei kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2022-32864: Linus Henze (Pinauten GmbH) (pinauten.de)

Kernel

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2022-32866: Linus Henze de la Pinauten GmbH (pinauten.de)

CVE-2022-32911: Zweig (Kunlun Lab)

CVE-2022-32924: Ian Beer (Google Project Zero)

Kernel

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2022-32914: Zweig de la Kunlun Lab

Kernel

Impact: un utilizator la distanță poate cauza executarea codului kernel

Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2022-42808: Zweig (Kunlun Lab)

Kernel

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2022-32944: Tim Michaud (@TimGMichaud) de la Moveworks.ai

Adăugare intrare: 27 octombrie 2022

Kernel

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea blocării.

CVE-2022-42803: Xinru Chi (Pangu Lab), John Aakerblom (@jaakerblom)

Adăugare intrare: 27 octombrie 2022

Kernel

Impact: o aplicație cu privilegii de root poate să execute cod arbitrar cu privilegii de kernel

Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.

CVE-2022-32926: Tim Michaud (@TimGMichaud) (Moveworks.ai)

Adăugare intrare: 27 octombrie 2022

Kernel

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2022-42801: Ian Beer de la Google Project Zero

Adăugare intrare: 27 octombrie 2022

Kernel

Impact: o aplicație poate provoca o închidere neașteptată a sistemului sau poate executa cod cu privilegii de kernel

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2022-46712: Tommy Muir (@Muirey03)

Adăugare intrare: 20 februarie 2023

Mail

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: această problemă a fost rezolvată prin protecția îmbunătățită a datelor.

CVE-2022-42815: Csaba Fitzl (@theevilbit) de la Offensive Security

Mail

Impact: o aplicație poate accesa atașamentele folderelor de mesaje primite printr-un director temporar utilizat în timpul comprimării

Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru acces.

CVE-2022-42834: Wojciech Reguła (@_r3ggi) (SecuRing)

Adăugare intrare: 1 mai 2023

Maps

Impact: o aplicație poate citi informații de localizare sensibile

Descriere: această problemă a fost rezolvată prin îmbunătățirea restricțiilor în jurul informațiilor sensibile.

CVE-2022-46707: Csaba Fitzl (@theevilbit) de la Offensive Security

Intrare adăugată pe 1 august 2023

Maps

Impact: o aplicație poate citi informații de localizare sensibile

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.

CVE-2022-32883: Ron Masas (breakpointhq.com)

MediaLibrary

Impact: un utilizator poate să acorde privilegii superioare

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2022-32908: un cercetător anonim

Model I/O

Impact: procesarea unui fișier USD creat cu rea intenție poate dezvălui conținutul memoriei

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2022-42810: Xingwei Lin (@xwlin_roy) și Yinyi Wu (Ant Security Light-Year Lab)

Adăugare intrare: 27 octombrie 2022

ncurses

Impact: un utilizator poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.

CVE-2021-39537

ncurses

Impact: procesarea unui fișier creat cu rea intenție ar putea provoca o refuzare a serviciului sau ar putea dezvălui conținutul memoriei

Descriere: a fost rezolvată o problemă de refuzare a serviciului prin îmbunătățirea validării.

CVE-2022-29458

Observații

Impact: un utilizator cu poziție privilegiată în rețea poate urmări activitatea utilizatorului

Descriere: această problemă a fost rezolvată prin protecția îmbunătățită a datelor.

CVE-2022-42818: Gustav Hansen (WithSecure)

Notificationsi

Impact: un utilizator cu acces fizic la un dispozitiv poate accesa contacte din ecranul de blocare

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2022-32879: Ubeydullah Sümer

PackageKit

Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere

Descriere: a fost tratată o condiție de rulare prin îmbunătățirea tratării stării.

CVE-2022-32895: Mickey Jin (@patch1t) (Trend Micro), Mickey Jin (@patch1t)

PackageKit

Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere

Descriere: a fost rezolvată o condiție de rulare prin validare suplimentară.

CVE-2022-46713: Mickey Jin (@patch1t) (Trend Micro)

Adăugare intrare: 20 februarie 2023

Photos

Impact: un utilizator poate adăuga din greșeală un participant la un album partajat apăsând tasta Șterge

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2022-42807: Ezekiel Elin

Adăugare intrare: 1 mai 2023, actualizată la data de 1 august 2023

Photos

Impact: o aplicație poate să ocolească preferințele de confidențialitate

Descriere: această problemă a fost rezolvată prin protecția îmbunătățită a datelor.

CVE-2022-32918: Ashwani Rajput (Nagarro Software Pvt. Ltd), Srijan Shivam Mishra (The Hack Report), Jugal Goradia (Aastha Technologies), Evan Ricafort (evanricafort.com) (Invalid Web Security), Shesha Sai C (linkedin.com/in/shesha-sai-c-18585b125) și Amod Raghunath Patwardhan (Pune, India)

Actualizare intrare: 16 martie 2023

ppp

Impact: o aplicație cu privilegii de root poate să execute cod arbitrar cu privilegii de kernel

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2022-42829: un cercetător anonim

ppp

Impact: o aplicație cu privilegii de root poate să execute cod arbitrar cu privilegii de kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2022-42830: un cercetător anonim

ppp

Impact: o aplicație cu privilegii de root poate să execute cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea blocării.

CVE-2022-42831: un cercetător anonim

CVE-2022-42832: un cercetător anonim

ppp

Impact: depășirea memoriei tampon poate avea ca rezutlat executarea de cod arbitrar

Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.

CVE-2022-32941: un cercetător anonim

Adăugare intrare: 27 octombrie 2022

Ruby

Impact: un utilizator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de corupere a memoriei prin actualizarea Ruby la versiunea 2.6.10.

CVE-2022-28739

Sandbox

Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.

CVE-2022-32881: Csaba Fitzl (@theevilbit) de la Offensive Security

Sandbox

Impact: o aplicație cu privilegii de rădăcină poate accesa informații private

Descriere: această problemă a fost rezolvată prin protecția îmbunătățită a datelor.

CVE-2022-32862: Rohit Chatterjee de la Universitatea Illinois Urbana-Champaign

CVE-2022-32931: un cercetător anonim

Intrare actualizată la 16 martie 2023, actualizată la 21 decembrie 2023

Sandbox

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru sandbox.

CVE-2022-42811: Justin Bui (@slyd0g) (Snowflake)

Securitate

Impact: o aplicație poate ocoli verificări de semnare a codului

Descriere: a fost rezolvată o problemă la validarea semnăturii codului prin verificări îmbunătățite.

CVE-2022-42793: Linus Henze (Pinauten GmbH) (pinauten.de)

Shortcuts

Impact: o scurtătură poate fi capabilă să vizualizeze albumul de poze ascunse fără autentificare

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.

CVE-2022-32876: un cercetător anonim

Intrare adăugată pe 1 august 2023

Shortcuts

Impact: o scurtătură poate fi capabilă să verifice existența unei căi arbitrare în sistemul de fișiere

Descriere: o problemă de autorizare la gestionarea căilor directoarelor a fost rezolvată prin îmbunătățirea validării căilor.

CVE-2022-32938: Cristian Dinca (Tudor Vianu National High School of Computer Science of România

Sidecar

Impact: un utilizator poate vizualiza conținut restricționat din ecranul de blocare

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2022-42790: Om kothawade (Zaprico Digital)

Siri

Impact: un utilizator cu acces fizic la un dispozitiv ar putea folosi Siri pentru a obține anumite informații despre istoricul apelurilor

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2022-32870: Andrew Goldberg (The McCombs School of Business, The University of Texas, Austin) (linkedin.com/in/andrew-goldberg-/)

SMB

Impact: un utilizator la distanță poate cauza executarea codului kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2022-32934: Felix Poulin-Belanger

Software Update

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: a fost tratată o condiție de rulare prin îmbunătățirea tratării stării.

CVE-2022-42791: Mickey Jin (@patch1t) (Trend Micro)

SQLite

Impact: un utilizator la distanță poate provoca un refuz al serviciului

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2021-36690

System Settings

Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere

Descriere: această problemă a fost rezolvată prin protecția îmbunătățită a datelor.

CVE-2022-48505: Adam Chester (TrustedSec) și Thijs Alkemade (@xnyhps) (Computest Sector 7)

Intrare adăugată la data de 26 iunie 2023

TCC

Impact: o aplicație poate cauza o refuzare a serviciului clienților Endpoint Security

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2022-26699: Csaba Fitzl (@theevilbit) de la Offensive Security

Intrare adăugată pe 1 august 2023

Vim

Impact: probleme multiple în Vim

Descriere: mai multe probleme au fost rezolvate prin actualizarea Vim.

CVE-2022-0261

CVE-2022-0318

CVE-2022-0319

CVE-2022-0351

CVE-2022-0359

CVE-2022-0361

CVE-2022-0368

CVE-2022-0392

CVE-2022-0554

CVE-2022-0572

CVE-2022-0629

CVE-2022-0685

CVE-2022-0696

CVE-2022-0714

CVE-2022-0729

CVE-2022-0943

CVE-2022-1381

CVE-2022-1420

CVE-2022-1725

CVE-2022-1616

CVE-2022-1619

CVE-2022-1620

CVE-2022-1621

CVE-2022-1629

CVE-2022-1674

CVE-2022-1733

CVE-2022-1735

CVE-2022-1769

CVE-2022-1927

CVE-2022-1942

CVE-2022-1968

CVE-2022-1851

CVE-2022-1897

CVE-2022-1898

CVE-2022-1720

CVE-2022-2000

CVE-2022-2042

CVE-2022-2124

CVE-2022-2125

CVE-2022-2126

VPN

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2022-42828: un cercetător anonim

Intrare adăugată pe 1 august 2023

Weather

Impact: o aplicație poate citi informații de localizare sensibile

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2022-32875: un cercetător anonim

WebKit

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

WebKit Bugzilla: 246669
CVE-2022-42826: Francisco Alonso (@revskills)

Adăugare intrare: 22 decembrie 2022

WebKit

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de depășire a memoriei-tampon prin îmbunătățirea tratării memoriei.

WebKit Bugzilla: 241969
CVE-2022-32886: P1umer (@p1umer), afang (@afang5472), xmzyshypnc (@xmzyshypnc1)

WebKit

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.

WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)

WebKit

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a) în colaborare cu Zero Day Initiative (Trend Micro)

WebKit

Impact: accesarea unui site web rău intenționat poate cauza falsificarea interfeței cu utilizatorul

Descriere: problema a fost remediată prin îmbunătățirea gestionării interfeței cu utilizatorul.

WebKit Bugzilla: 243693
CVE-2022-42799: Jihwan Kim (@gPayl0ad), Dohyun Lee (@l33d0hyun)

WebKit

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea tratării memoriei.

WebKit Bugzilla: 244622
CVE-2022-42823: Dohyun Lee (@l33d0hyun) (SSD Labs)

WebKit

Impact: procesarea conținutului unui site web rău intenționat poate dezvălui informații sensibile ale utilizatorului

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

WebKit Bugzilla: 245058
CVE-2022-42824: Abdulrahman Alqabandi (Microsoft Browser Vulnerability Research), Ryan Shin (IAAI SecLab, Korea University), Dohyun Lee (@l33d0hyun) (DNSLab, Korea University)

WebKit

Impact: procesarea conținutului unui site web creat cu rea intenție poate dezvălui stările interne ale aplicației

Descriere: a fost rezolvată o problemă de corectitudine în JIT prin îmbunătățirea verificărilor.

WebKit Bugzilla: 242964
CVE-2022-32923: Wonyoung Jung (@nonetype_pwn) de la KAIST Hacking Lab

Adăugare intrare: 27 octombrie 2022

WebKit PDF

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

WebKit Bugzilla: 242781
CVE-2022-32922: Yonghwi Jin (@jinmo123) (Theori) în colaborare cu Zero Day Initiative (Trend Micro)

WebKit Sandboxing

Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului

Descriere: o problemă de acces a fost rezolvată prin aducerea de îmbunătățiri la sandbox.

WebKit Bugzilla: 243181
CVE-2022-32892: @18楼梦想改造家 și @jq0904 (DBAppSecurity's WeBin lab)

WebKit Storage

Impact: o aplicație poate să ocolească preferințele de confidențialitate

Descriere: problema a fost remediată printr-o manipulare îmbunătățită a cache-urilor.

CVE-2022-32833: Csaba Fitzl (@theevilbit) (Offensive Security), Jeff Johnson

Adăugare intrare: 22 decembrie 2022

Wi-Fi

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2022-46709: Wang Yu de la Cyberserval

Adăugare intrare: 16 martie 2023

zlib

Impact: un utilizator poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2022-37434: Evgeny Legerov

CVE-2022-42800: Evgeny Legerov

Adăugare intrare: 27 octombrie 2022

Alte mențiuni

AirPort

Dorim să le mulțumim lui Joseph Salazar Acuña și lui Renato Llamoca (Intrado-Life & Safety/Globant) pentru asistența acordată.

apache

Dorim să îi mulțumim lui Tricia Lee (Enterprise Service Center) pentru asistență.

Adăugare intrare: 16 martie 2023

AppleCredentialManager

Dorim să îi mulțumim lui @jonathandata1 pentru asistența acordată.

ATS

Dorim să-i mulțumim lui Mickey Jin (@patch1t) pentru asistența acordată.

Intrare adăugată pe 1 august 2023

FaceTime

Dorim să îi mulțumim unui cercetător anonim pentru asistență.

FileVault

Dorim să îi mulțumim lui Timothy Perfitt (Twocanoes Software) pentru asistența acordată.

Find My

Dorim să îi mulțumim unui cercetător anonim pentru asistență.

Identity Services

Dorim să îi mulțumim lui Joshua Jones pentru asistență.

IOAcceleratorFamily

Dorim să îi mulțumim lui Antonio Zekic (@antoniozekic) pentru asistența acordată.

IOGPUFamily

Dorim să îi mulțumim lui Wang Yu (cyberserval) pentru asistența acordată.

Adăugare intrare: 9 noiembrie 2022

Kernel

Dorim să le mulțumim lui Peter Nguyen (STAR Labs), lui Tim Michaud (@TimGMichaud) (Moveworks.ai), lui Tingting Yin (Tsinghua University), lui Min Zheng (Ant Group), lui Tommy Muir (@Muirey03) și unui cercetător anonim pentru asistența acordată.

Login Window

Dorim să îi mulțumim lui Simon Tang (simontang.dev) pentru asistența acordată.

Adăugare intrare: 9 noiembrie 2022

Mail

Dorim să îi mulțumim lui Taavi Eomäe de la Zone Media OÜ și unui cercetător anonim pentru asistență.

Intrare actualizată la 21 decembrie 2023

Mail Drafts

Dorim să îi mulțumim unui cercetător anonim pentru asistență.

Networking

Dorim să îi mulțumim lui Tim Michaud (@TimGMichaud) (Zoom Video Communications) pentru asistența acordată.

Photo Booth

Dorim să îi mulțumim lui Prashanth Kannan (Dremio) pentru asistența acordată.

Quick Look

Dorim să îi mulțumim lui Hilary „It’s off by a Pixel” Street pentru asistența acordată.

Safari

Dorim să îi mulțumim lui Scott Hatfield (Sub-Zero Group) pentru asistența acordată.

Adăugare intrare: 16 martie 2023

Sandbox

Dorim să îi mulțumim lui Csaba Fitzl (@theevilbit) (Offensive Security) pentru asistență.

SecurityAgent

Dorim să mulțumim Security Team Netservice de Toekomst și unui cercetător anonim pentru asistență.

Intrare adăugată la 21 decembrie 2023

smbx

Dorim să îi mulțumim lui HD Moore (runZero Asset Inventory) pentru asistența acordată.

System

Dorim să-i mulțumim lui Mickey Jin (@patch1t) (Trend Micro) pentru asistența acordată.

System Settings

Dorim să îi mulțumim lui Bjorn Hellenbrand pentru asistența acordată.

UIKit

Dorim să îi mulțumim lui Aleczander Ewing pentru asistența acordată.

WebKit

Dorim să le mulțumim lui Maddie Stone (Google Project Zero), lui Narendra Bhati (@imnarendrabhati) (Suma Soft Pvt. Ltd.) și unui cercetător anonim pentru asistența acordată.

WebRTC

Dorim să îi mulțumim unui cercetător anonim pentru asistență.

Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.

Data publicării: 03 ianuarie 2024