Сведения о проблемах системы безопасности, устраняемых обновлением macOS Ventura 13

В этой статье описаны проблемы системы безопасности, устраняемые обновлением macOS Ventura 13.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительную информацию о безопасности см. на странице, посвященной безопасности продуктов Apple.

macOS Ventura 13

Дата выпуска: 24 октября 2022 г.

Accelerate Framework

Целевые продукты: Mac Studio (2022 г.), Mac Pro (2019 г. и более поздние модели), MacBook Air (2018 г. и более поздние модели), MacBook Pro (2017 г. и более поздние модели), Mac mini (2018 г. и более поздние модели), iMac (2017 г. и более поздние модели), MacBook (2017 г.) и iMac Pro (2017 г.)

Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.

Описание. Проблема с использованием памяти устранена путем улучшения обработки обращений к памяти.

CVE-2022-42795: пользователь ryuzaki

APFS

Воздействие. Приложение может получать доступ к конфиденциальным пользовательским данным.

Описание. Проблема доступа устранена путем улучшения ограничений доступа.

CVE-2022-48577: Csaba Fitzl (@theevilbit) из Offensive Security

Запись добавлена 21 декабря 2023 г.

Apple Neural Engine

Воздействие. Приложение может вызвать утечку конфиденциальных данных о состоянии ядра.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2022-32858: Mohamed Ghannam (@_simo36)

Apple Neural Engine

Воздействие. Приложение может выполнять произвольный код с правами ядра.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2022-32898: Mohamed Ghannam (@_simo36)

CVE-2022-32899: Mohamed Ghannam (@_simo36)

CVE-2022-46721: Mohamed Ghannam (@_simo36)

CVE-2022-47915: Mohamed Ghannam (@_simo36)

CVE-2022-47965: Mohamed Ghannam (@_simo36)

CVE-2022-32889: Mohamed Ghannam (@_simo36)

Запись обновлена 21 декабря 2023 г.

AppleAVD

Воздействие. Приложение может выполнять произвольный код с правами ядра.

Описание. Проблема устранена путем улучшения проверок.

CVE-2022-32907: Иньи Ву (Yinyi Wu), ABC Research s.r.o, Натали Сильванович (Natalie Silvanovich) из Google Project Zero, Томмазо Бьянко (Tommaso Bianco, @cutesmilee__), Антонио Зекич (Antonio Zekic, @antoniozekic) и Джон Аакерблом (John Aakerblom, @jaakerblom)

Запись добавлена 16 марта 2023 г.

AppleAVD

Воздействие. Приложение может вызывать отказ в обслуживании.

Описание. Проблема с повреждением данных в памяти устранена путем улучшения управления состояниями.

CVE-2022-32827: Антонио Зекич (Antonio Zekic, @antoniozekic), Натали Сильванович (Natalie Silvanovich) из Google Project Zero и анонимный исследователь

AppleMobileFileIntegrity

Воздействие. Приложение может получать доступ к конфиденциальным пользовательским данным.

Описание. Проблема конфигурации решена посредством добавления дополнительных ограничений.

CVE-2022-32877: Wojciech Reguła (@_r3ggi) из SecuRing

Запись добавлена 16 марта 2023 г.

AppleMobileFileIntegrity

Воздействие. Приложение может получать доступ к конфиденциальным пользовательским данным.

Описание. Проблема с проверкой подписания кода устранена путем улучшения проверок.

CVE-2022-42789: Koh M. Nakagawa из FFRI Security, Inc.

AppleMobileFileIntegrity

Воздействие. Приложение может изменять защищенные области файловой системы.

Описание. Проблема устранена путем удаления дополнительных прав.

CVE-2022-42825: Mickey Jin (@patch1t)

Assets

Воздействие. Приложение может изменять защищенные области файловой системы.

Описание. Проблема с логикой устранена путем улучшения проверок.

CVE-2022-46722: Mickey Jin (@patch1t)

Запись добавлена 1 августа 2023 г.

ATS

Воздействие. Приложение может обойти настройки конфиденциальности.

Описание. Проблема с логикой устранена путем улучшенного управления состояниями.

CVE-2022-32902: Mickey Jin (@patch1t)

ATS

Воздействие. Приложение может получать доступ к конфиденциальным пользовательским данным.

Описание. Проблема доступа устранена путем ввода дополнительных ограничений изолированной среды.

CVE-2022-32904: Mickey Jin (@patch1t)

ATS

Воздействие. Некий процесс в изолированной среде может обойти ограничения изолированной среды.

Описание. Проблема с логикой устранена путем улучшения проверок.

CVE-2022-32890: Mickey Jin (@patch1t)

Audio

Воздействие. Приложение может получать права более высокого уровня.

Описание. Проблема устранена путем удаления уязвимого кода.

CVE-2022-42796: Mickey Jin (@patch1t)

Запись обновлена 16 марта 2023 г.

Audio

Воздействие. Анализ вредоносного аудиофайла может приводить к раскрытию данных пользователя.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2022-42798: анонимный исследователь, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative

Запись добавлена 27 октября 2022 г.

AVEVideoEncoder

Воздействие. Приложение может выполнять произвольный код с правами ядра.

Описание. Проблема устранена путем улучшенной проверки границ.

CVE-2022-32940: ABC Research s.r.o.

Beta Access Utility

Воздействие. Приложение может изменять защищенные области файловой системы.

Описание. Проблема с логикой устранена путем улучшенного управления состояниями.

CVE-2022-42816: Mickey Jin (@patch1t)

Запись добавлена 21 декабря 2023 г.

BOM

Воздействие. Приложение может обойти проверки Gatekeeper.

Описание. Проблема с логикой устранена путем улучшения проверок.

CVE-2022-42821: Jonathan Bar Or из компании Microsoft

Запись добавлена 13 декабря 2022 г.

Boot Camp

Воздействие. Приложение может изменять защищенные области файловой системы.

Описание. Проблема устранена путем улучшенных проверок, чтобы предотвратить несанкционированные действия.

CVE-2022-42860: Mickey Jin (@patch1t) из Trend Micro

Запись добавлена 16 марта 2023 г.

Calendar

Воздействие. Приложение может получать доступ к конфиденциальным данным о геопозиции.

Описание. Проблема доступа устранена путем улучшения ограничений доступа.

CVE-2022-42819: анонимный исследователь

CFNetwork

Воздействие. Обработка вредоносного сертификата может приводить к выполнению произвольного кода.

Описание. При обработке WKWebView существовала проблема проверки сертификата. Проблема устранена путем улучшения процедуры проверки.

CVE-2022-42813: Jonathan Zhang из Open Computing Facility (ocf.berkeley.edu)

ColorSync

Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.

Описание. При обработке профилей ICC возникала проблема повреждения данных в памяти. Эта проблема устранена путем улучшенной проверки ввода.

CVE-2022-26730: David Hoyt из Hoyt LLC

Core Bluetooth

Воздействие. Приложение может записывать аудио с помощью сопряженных наушников AirPods

Описание. Проблема с доступом устранена путем ввода дополнительных ограничений песочницы для приложений сторонних разработчиков.

CVE-2022-32945: Guilherme Rambo из Best Buddy Apps (rambo.codes)

Запись добавлена 9 ноября 2022 г.

CoreMedia

Последствия. Расширение камеры может продолжать получать видео после закрытия активированного приложения.

Описание. Проблема с доступом приложения к данным камеры устранена путем улучшения логики.

CVE-2022-42838: Halle Winkler (@hallewinkler) из Politepix

Запись добавлена 22 декабря 2022 г.

CoreTypes

Воздействие. Вредоносное приложение может обходить проверки Gatekeeper.

Описание. Проблема устранена путем улучшенных проверок, чтобы предотвратить несанкционированные действия.

CVE-2022-22663: Арсений Костромин (Arsenii Kostromin, 0x3c3e)

Запись добавлена 16 марта 2023 г.

Crash Reporter

Воздействие. Пользователь с физическим доступом к устройству iOS может просматривать архивные журналы диагностики.

Описание. Проблема устранена путем улучшения защиты данных.

CVE-2022-32867: Kshitij Kumar и Jai Musunuri из Crowdstrike

curl

Воздействие. Обнаружен ряд проблем в curl.

Описание. Ряд проблем устранен путем обновления компонента curl до версии 7.84.0.

CVE-2022-32205

CVE-2022-32206

CVE-2022-32207

CVE-2022-32208

Directory Utility

Воздействие. Приложение может получать доступ к конфиденциальным пользовательским данным.

Описание. Проблема с логикой устранена путем улучшения проверок.

CVE-2022-42814: Sergii Kryvoblotskyi из MacPaw Inc.

DriverKit

Воздействие. Приложение может выполнять произвольный код с правами ядра.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2022-32865: Linus Henze из Pinauten GmbH (pinauten.de)

DriverKit

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема смешения типов устранена путем улучшенных проверок.

CVE-2022-32915: Tommy Muir (@Muirey03)

Exchange

Воздействие. Пользователь с преимущественным положением в сети может перехватывать учетные данные почты.

Описание. Проблема с логикой устранена путем улучшения ограничений.

CVE-2022-32928: Иржи Винопал (Jiří Vinopal, @vinopaljiri) из Check Point Research

Запись обновлена 16 марта 2023 г.

FaceTime

Воздействие. Пользователь может отправить аудио- или видеофайл во время вызова через FaceTime, не подозревая об этом.

Описание. Проблема устранена путем улучшения проверок.

CVE-2022-22643: Sonali Luthar из Виргинского университета, Michael Liao из Иллинойсского университета в Урбане и Шампейне, Rohan Pahwa из Рутгерского университета и Bao Nguyen из Флоридского университета

Запись добавлена 16 марта 2023 г.

FaceTime

Воздействие. Пользователь может просматривать содержимое с ограниченным доступом на экране блокировки.

Описание. Проблема с экраном блокировки решена путем улучшения управления состояниями.

CVE-2022-32935: Bistrit Dahal

Запись добавлена 27 октября 2022 г.

Find My

Воздействие. Вредоносное приложение может получить доступ к конфиденциальным данным о геопозиции.

Описание. Возникала проблема с правами доступа. Она была устранена путем улучшенной проверки прав доступа.

CVE-2022-42788: Csaba Fitzl (@theevilbit) из Offensive Security, Wojciech Reguła из SecuRing (wojciechregula.blog)

Find My

Воздействие. Приложение может получать доступ к конфиденциальным пользовательским данным.

Описание. Проблема устранена путем улучшенной обработки кэшей.

CVE-2022-48504: Csaba Fitzl (@theevilbit) из Offensive Security

Запись добавлена 21 декабря 2023 г.

Finder

Воздействие. Обработка вредоносного файла в формате DMG может приводить к выполнению произвольного кода с системными правами.

Описание. Проблема устранена путем улучшенной проверки символьных ссылок.

CVE-2022-32905: Ron Masas (breakpoint.sh) из BreakPoint Technologies LTD

GPU Drivers

Воздействие. Приложение может выполнять произвольный код с правами ядра.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2022-42833: Pan ZhenPeng (@Peterpan0927)

Запись добавлена 22 декабря 2022 г.

GPU Drivers

Воздействие. Приложение может выполнять произвольный код с правами ядра.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2022-32947: Asahi Lina (@LinaAsahi)

Grapher

Воздействие. Обработка вредоносного файла в формате GCX может приводить к неожиданному завершению работы приложения или выполнению произвольного кода.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2022-42809: Yutao Wang (@Jack) и Yu Zhou (@yuzhou6666)

Heimdal

Воздействие. Пользователь может выполнить произвольный код или вызвать неожиданное завершение работы приложения.

Описание. Проблема устранена путем улучшения проверок.

CVE-2022-3437: Evgeny Legerov из Intevydis

Запись добавлена 25 октября 2022 г.

iCloud Photo Library

Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.

Описание. Проблема утечки информации решена посредством удаления уязвимого кода.

CVE-2022-32849: Joshua Jones

Запись добавлена 9 ноября 2022 г.

Image Processing

Воздействие. Приложение в изолированной среде может определять, какое приложение в данный момент времени использует камеру.

Описание. Проблема устранена путем ввода дополнительных ограничений на возможность отслеживать состояния приложений.

CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)

ImageIO

Воздействие. Обработка изображения может приводить к отказу в обслуживании.

CVE-2022-32809: Mickey Jin (@patch1t)

Запись добавлена 1 августа 2023 г.

ImageIO

Воздействие. Обработка изображения может приводить к отказу в обслуживании.

Описание. Проблема с отказом в обслуживании устранена путем улучшения процедуры проверки.

CVE-2022-1622

Intel Graphics Driver

Воздействие. Приложение может раскрывать данные из памяти ядра.

CVE-2022-32936: Antonio Zekic (@antoniozekic)

IOHIDFamily

Воздействие. Приложение может удаленно выполнить произвольный код или вызвать неожиданное завершение работы приложения.

Описание. Проблема с повреждением данных в памяти устранена путем улучшения управления состояниями.

CVE-2022-42820: пользователь Peter Pan ZhenPeng из STAR Labs

IOKit

Воздействие. Приложение может выполнять произвольный код с правами ядра.

Описание. Условие состязания устранено путем улучшения блокировки.

CVE-2022-42806: Tingting Yin из Университета Цинхуа

Kernel

Воздействие. Приложение может раскрывать данные из памяти ядра.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2022-32864: Linus Henze из Pinauten GmbH (pinauten.de)

Kernel

Воздействие. Приложение может выполнять произвольный код с правами ядра.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2022-32866: Linus Henze из Pinauten GmbH (pinauten.de)

CVE-2022-32911: пользователь Zweig из Kunlun Lab

CVE-2022-32924: Ian Beer из Google Project Zero

Kernel

Воздействие. Приложение может выполнять произвольный код с правами ядра.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2022-32914: пользователь Zweig из Kunlun Lab

Kernel

Воздействие. Удаленный пользователь может вызвать выполнение кода ядра.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2022-42808: пользователь Zweig из Kunlun Lab

Kernel

Воздействие. Приложение может выполнять произвольный код с правами ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшения управления состояниями.

CVE-2022-32944: Tim Michaud (@TimGMichaud) из Moveworks.ai

Запись добавлена 27 октября 2022 г.

Kernel

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра

Описание. Условие состязания устранено путем улучшения блокировки.

CVE-2022-42803: Xinru Chi из Pangu Lab, John Aakerblom (@jaakerblom)

Запись добавлена 27 октября 2022 г.

Kernel

Воздействие. Приложение с правами пользователя root может выполнять произвольный код с правами ядра.

Описание. Проблема устранена путем улучшенной проверки границ.

CVE-2022-32926: Tim Michaud (@TimGMichaud) из Moveworks.ai

Запись добавлена 27 октября 2022 г.

Kernel

Воздействие. Приложение может выполнять произвольный код с правами ядра.

Описание. Проблема с логикой устранена путем улучшения проверок.

CVE-2022-42801: Ian Beer из Google Project Zero

Запись добавлена 27 октября 2022 г.

Kernel

Воздействие: приложение потенциально может вызывать неожиданное завершение работы системы или выполнять код с правами ядра.

CVE-2022-46712: Tommy Muir (@Muirey03)

Запись добавлена 20 февраля 2023 г.

Mail

Воздействие. Приложение может получать доступ к конфиденциальным пользовательским данным.

Описание. Проблема устранена путем улучшения защиты данных.

CVE-2022-42815: Csaba Fitzl (@theevilbit) из Offensive Security

Mail

Воздействие. Приложение может получать доступ к вложениям в папке электронной почты через временный каталог, используемый во время сжатия.

Описание. Проблема доступа устранена путем улучшения ограничений доступа.

CVE-2022-42834: Wojciech Reguła (@_r3ggi) из SecuRing

Запись добавлена 1 мая 2023 г.

Maps

Воздействие. Приложение может получать доступ к конфиденциальным данным о геопозиции.

Описание. Эта проблема устранена путём усиленных ограничений на доступ к конфиденциальной информации.

CVE-2022-46707: Csaba Fitzl (@theevilbit) из Offensive Security

Запись добавлена 1 августа 2023 г.

Maps

Воздействие. Приложение может получать доступ к конфиденциальным данным о геопозиции.

Описание. Проблема с логикой устранена путем улучшения ограничений.

CVE-2022-32883: Ron Masas из breakpointhq.com

MediaLibrary

Воздействие. Пользователь может повышать уровень прав.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.

CVE-2022-32908: анонимный исследователь

Model I/O

Воздействие. Обработка вредоносного файла USD может приводить к раскрытию содержимого памяти.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2022-42810: Xingwei Lin (@xwlin_roy) и Yinyi Wu из отдела Light-Year Security Lab компании Ant Group

Запись добавлена 27 октября 2022 г.

ncurses

Описание. Проблема переполнения буфера устранена посредством улучшенной проверки границ.

CVE-2021-39537

ncurses

Воздействие. Обработка вредоносного файла может вызывать отказ в обслуживании или раскрывать содержимое памяти.

Описание. Проблема с отказом в обслуживании устранена путем улучшения процедуры проверки.

CVE-2022-29458

Notes

Воздействие. Пользователь с преимущественным положением в сети может отслеживать активность других пользователей.

Описание. Проблема устранена путем улучшения защиты данных.

CVE-2022-42818: Gustav Hansen из WithSecure

Notifications

Воздействие. Пользователь с физическим доступом к устройству может получать доступ к списку контактов с экрана блокировки.

Описание. Проблема с логикой устранена путем улучшенного управления состояниями.

CVE-2022-32879: Ubeydullah Sümer

PackageKit

Воздействие. Приложение может изменять защищенные области файловой системы.

Описание. Условие состязания устранено путем улучшения обработки состояний.

CVE-2022-32895: Mickey Jin (@patch1t) из Trend Micro, Mickey Jin (@patch1t)

PackageKit

Воздействие. Приложение может изменять защищенные области файловой системы.

Описание. Проблема с возникновением условия состязания устранена путем дополнительной проверки.

CVE-2022-46713: Mickey Jin (@patch1t) из Trend Micro

Запись добавлена 20 февраля 2023 г.

Photos

Воздействие. Пользователь может случайно добавить участника в общий альбом, нажав клавишу Delete.

Описание. Проблема с логикой устранена путем улучшенного управления состояниями.

CVE-2022-42807: Ezekiel Elin

Запись добавлена 1 мая 2023 г., а обновлена — 1 августа 2023 г.

Photos

Воздействие. Приложение может обойти настройки конфиденциальности.

Описание. Проблема устранена путем улучшения защиты данных.

CVE-2022-32918: Ashwani Rajput из Nagarro Software Pvt. Ltd, Сриджан Шивам Мишра (Srijan Shivam Mishra) из The Hack Report, Югаль Горадия (Jugal Goradia) из Aastha Technologies, Эван Рикафорт (Evan Ricafort, evanricafort.com) из Invalid Web Security, Шеша Сай Си (Shesha Sai C) (linkedin.com/in/shesha-sai-c-18585b125), Амод Рагхунатх Патвардхан (Amod Raghunath Patwardhan) из Пуне (Индия)

Запись обновлена 16 марта 2023 г.

ppp

Воздействие. Приложение с привилегиями пользователя root может выполнять произвольный код с привилегиями ядра.

CVE-2022-42829: анонимный исследователь

ppp

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2022-42830: анонимный исследователь

ppp

Воздействие. Приложение с правами пользователя root может выполнять произвольный код с правами ядра.

Описание. Условие состязания устранено путем улучшения блокировки.

CVE-2022-42831: анонимный исследователь

CVE-2022-42832: анонимный исследователь

ppp

Воздействие. Переполнение буфера может привести к выполнению произвольного кода

Описание. Проблема устранена путем улучшенной проверки границ.

CVE-2022-32941: анонимный исследователь

Запись добавлена 27 октября 2022 г.

Ruby

Воздействие. Удаленный пользователь может выполнить произвольный код или вызвать неожиданное завершение работы приложения.

Описание. Проблема повреждения данных в памяти устранена путем обновления Ruby до версии 2.6.10.

CVE-2022-28739

Sandbox

Воздействие. Приложение может изменять защищенные области файловой системы.

Описание. Проблема с логикой устранена путем улучшения ограничений.

CVE-2022-32881: Csaba Fitzl (@theevilbit) из Offensive Security

Sandbox

Воздействие. Приложение с правами root может получать доступ к личной информации.

Описание. Проблема устранена путем улучшения защиты данных.

CVE-2022-32862: Рохит Чаттерджи (Rohit Chatterjee) из Иллинойсского университета в Урбане-Шампейне

CVE-2022-32931: анонимный исследователь

Запись обновлена 16 марта 2023 г. и 21 декабря 2023 г.

Sandbox

Воздействие. Приложение может получать доступ к конфиденциальным пользовательским данным.

Описание. Проблема доступа устранена путем ввода дополнительных ограничений изолированной среды.

CVE-2022-42811: Justin Bui (@slyd0g) из Snowflake

Security

Воздействие. Приложение может обходить проверки подписания кода.

Описание. Проблема с проверкой подписания кода устранена путем улучшения проверок.

CVE-2022-42793: Linus Henze из Pinauten GmbH (pinauten.de)

Shortcuts

Воздействие. С помощью сочетаний клавиш можно просмотреть скрытый фотоальбом без прохождения аутентификации.

Описание. Проблема с логикой устранена путем улучшения ограничений.

CVE-2022-32876: анонимный исследователь

Запись добавлена 1 августа 2023 г.

Shortcuts

Воздействие. Ярлык может проверять наличие произвольного пути в файловой системе.

Описание. Проблема анализа при обработке путей к каталогам устранена путем улучшенной проверки путей.

CVE-2022-32938: Cristian Dinca из Tudor Vianu National High School of Computer Science of Romania

Sidecar

Воздействие. Пользователь может просматривать содержимое с ограниченным доступом на экране блокировки.

Описание. Проблема с логикой устранена путем улучшенного управления состояниями.

CVE-2022-42790: Om kothawade из Zaprico Digital

Siri

Воздействие. Пользователь с физическим доступом к устройству может использовать Siri для получения некоторых данных из журнала вызовов.

Описание. Проблема с логикой устранена путем улучшенного управления состояниями.

CVE-2022-32870: Andrew Goldberg из Школы бизнеса Маккомбса на базе Техасского университета в Остине (linkedin.com/in/andrew-goldberg-/)

SMB

Воздействие. Удаленный пользователь может вызвать выполнение кода ядра.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2022-32934: Felix Poulin-Belanger

Software Update

Воздействие. Приложение может выполнять произвольный код с правами ядра.

Описание. Условие состязания устранено путем улучшения обработки состояний.

CVE-2022-42791: Mickey Jin (@patch1t) из Trend Micro

SQLite

Воздействие. Удаленный пользователь может вызывать отказ в обслуживании.

Описание. Проблема устранена путем улучшения проверок.

CVE-2021-36690

System Settings

Воздействие. Приложение может изменять защищенные области файловой системы.

Описание. Проблема устранена путем улучшения защиты данных.

CVE-2022-48505: Адам Честер (Adam Chester) из TrustedSec и Тийс Алкемаде (Thijs Alkemade, @xnyhps) из Computest Sector 7

Запись добавлена 26 июня 2023 г.

TCC

Воздействие. Приложение может вызывать отказ в обслуживании клиентов конечных устройств.

Описание. Проблема с логикой устранена путем улучшенного управления состояниями.

CVE-2022-26699: Csaba Fitzl (@theevilbit) из Offensive Security

Запись добавлена 1 августа 2023 г.

Vim

Воздействие. Обнаружен ряд проблем в Vim.

Описание. Ряд проблем устранен путем обновления компонента Vim.

CVE-2022-0261

CVE-2022-0318

CVE-2022-0319

CVE-2022-0351

CVE-2022-0359

CVE-2022-0361

CVE-2022-0368

CVE-2022-0392

CVE-2022-0554

CVE-2022-0572

CVE-2022-0629

CVE-2022-0685

CVE-2022-0696

CVE-2022-0714

CVE-2022-0729

CVE-2022-0943

CVE-2022-1381

CVE-2022-1420

CVE-2022-1725

CVE-2022-1616

CVE-2022-1619

CVE-2022-1620

CVE-2022-1621

CVE-2022-1629

CVE-2022-1674

CVE-2022-1733

CVE-2022-1735

CVE-2022-1769

CVE-2022-1927

CVE-2022-1942

CVE-2022-1968

CVE-2022-1851

CVE-2022-1897

CVE-2022-1898

CVE-2022-1720

CVE-2022-2000

CVE-2022-2042

CVE-2022-2124

CVE-2022-2125

CVE-2022-2126

VPN

Воздействие. Приложение может выполнять произвольный код с правами ядра.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2022-42828: анонимный исследователь

Запись добавлена 1 августа 2023 г.

Weather

Воздействие. Приложение может получать доступ к конфиденциальным данным о геопозиции.

Описание. Проблема с логикой устранена путем улучшенного управления состояниями.

CVE-2022-32875: анонимный исследователь

WebKit

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

WebKit Bugzilla: 246669
CVE-2022-42826: Франциско Алонсо (Francisco Alonso, @revskills)

Запись добавлена 22 декабря 2022 г.

WebKit

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.

WebKit Bugzilla: 241969
CVE-2022-32886: пользователи P1umer (@p1umer), afang (@afang5472) и xmzyshypnc (@xmzyshypnc1)

WebKit

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

WebKit Bugzilla: 242047
CVE-2022-32888: пользователь P1umer (@p1umer)

WebKit

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.

WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a) из Theori, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative

WebKit

Воздействие. Посещение вредоносного веб-сайта может привести к подмене пользовательского интерфейса.

Описание. Проблема устранена путем улучшения обработки пользовательского интерфейса.

WebKit Bugzilla: 243693
CVE-2022-42799: Jihwan Kim (@gPayl0ad), Dohyun Lee (@l33d0hyun)

WebKit

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Проблема смешения типов устранена путем улучшенной обработки памяти.

WebKit Bugzilla: 244622
CVE-2022-42823: Dohyun Lee (@l33d0hyun) из SSD Labs

WebKit

Воздействие. Обработка вредоносного веб-содержимого может привести к раскрытию конфиденциальных данных пользователя.

Описание. Проблема с логикой устранена путем улучшенного управления состояниями.

WebKit Bugzilla: 245058
CVE-2022-42824: Abdulrahman Alqabandi из подразделения Microsoft Browser Vulnerability Research, Ryan Shin из лаборатории Корейского университета IAAI SecLab, Dohyun Lee (@l33d0hyun) из лаборатории Корейского университета DNSLab

WebKit

Воздействие. Обработка вредоносного веб-содержимого может приводить к раскрытию внутренних состояний приложения.

Описание. Проблема корректности в JIT устранена путем улучшения проверок.

WebKit Bugzilla: 242964
CVE-2022-32923: Wonyoung Jung (@nonetype_pwn) из KAIST Hacking Lab

Запись добавлена 27 октября 2022 г.

WebKit PDF

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

WebKit Bugzilla: 242781
CVE-2022-32922: Yonghwi Jin (@jinmo123) из Theori в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative

WebKit Sandboxing

Воздействие. Некий процесс в изолированной среде может обойти ограничения изолированной среды.

Описание. Проблема доступа устранена путем улучшения изолированной среды.

WebKit Bugzilla: 243181
CVE-2022-32892: пользователи @18楼梦想改造家 и @jq0904 из лаборатории WeBin компании DBAppSecurity

WebKit Storage

Воздействие. Приложение может обойти настройки конфиденциальности.

Описание. Проблема устранена путем улучшенной обработки кэшей.

CVE-2022-32833: Csaba Fitzl (@theevilbit) из Offensive Security, Jeff Johnson

Запись добавлена 22 декабря 2022 г.

Wi-Fi

Воздействие. Приложение может выполнять произвольный код с правами ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшения управления состояниями.

CVE-2022-46709: Wang Yu из CyberServal

Запись добавлена 16 марта 2023 г.

zlib

Описание. Проблема устранена путем улучшения проверок.

CVE-2022-37434: Evgeny Legerov

CVE-2022-42800: Evgeny Legerov

Запись добавлена 27 октября 2022 г.

Дополнительные благодарности

AirPort

Выражаем благодарность за помощь Joseph Salazar Acuña и Renato Llamoca из Intrado-Life & Safety/Globant.

Apache

Выражаем благодарность за помощь Tricia Lee из Enterprise Service Center.

Запись добавлена 16 марта 2023 г.

AppleCredentialManager

Выражаем благодарность за помощь пользователю @jonathandata1.

ATS

Выражаем благодарность за помощь Mickey Jin (@patch1t).

Запись добавлена 1 августа 2023 г.

FaceTime

Выражаем благодарность за помощь анонимному исследователю.

FileVault

Выражаем благодарность за помощь Timothy Perfitt из Twocanoes Software.

Find My

Выражаем благодарность за помощь анонимному исследователю.

Identity Services

Выражаем благодарность за помощь Joshua Jones.

IOAcceleratorFamily

Выражаем благодарность за помощь Antonio Zekic (@antoniozekic).

IOGPUFamily

Выражаем благодарность за помощь Wang Yu из cyberserval.

Запись добавлена 9 ноября 2022 г.

Kernel

Выражаем благодарность за помощь Питеру Нгуйену (Peter Nguyen) из STAR Labs, Тиму Мишо (Tim Michaud, @TimGMichaud) из Moveworks.ai, Тингтинг Йину (Tingting Yin) из Университета Цинхуа, Мин Женгу (Min Zheng) из Ant Group, Томми Мьюру (Tommy Muir, @Muirey03) и анонимному исследователю.

Login Window

Выражаем благодарность за помощь Simon Tang (simontang.dev).

Запись добавлена 9 ноября 2022 г.

Mail

Выражаем благодарность за помощь Taavi Eomäe из Zone Media OÜ и анонимному исследователю.

Запись обновлена 21 декабря 2023 г.

Mail Drafts

Выражаем благодарность за помощь анонимному исследователю.

Networking

Выражаем благодарность за помощь Tim Michaud (@TimGMichaud) из Zoom Video Communications.

Photo Booth

Выражаем благодарность за помощь Prashanth Kannan из Dremio.

Quick Look

Выражаем благодарность за помощь Hilary "It’s off by a Pixel" Street.

Safari

Выражаем благодарность за помощь Scott Hattfield из Sub-Zero Group.

Запись добавлена 16 марта 2023 г.

Sandbox

Выражаем благодарность за помощь Чабе Фицлю (Csaba Fitzl) (@theevilbit) из Offensive Security.

SecurityAgent

Выражаем благодарность за помощь Security Team Netservice de Toekomst и анонимному исследователю.

Запись добавлена 21 декабря 2023 г.

smbx

Выражаем благодарность за помощь HD Moore из runZero Asset Inventory.

System

Выражаем благодарность за помощь Mickey Jin (@patch1t) из Trend Micro.

System Settings

Выражаем благодарность за помощь Bjorn Hellenbrand.

UIKit

Выражаем благодарность за помощь Aleczander Ewing.

WebKit

Выражаем благодарность за помощь Maddie Stone из Google Project Zero, Narendra Bhati (@imnarendrabhati) из Suma Soft Pvt. Ltd. и анонимному исследователю.

WebRTC

Выражаем благодарность за помощь анонимному исследователю.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: 03 января 2024 г.