Obsah zabezpečenia v systéme macOS Ventura 13

V tomto dokumente sa opisuje obsah zabezpečenia v systéme macOS Ventura 13.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.

macOS Ventura 13

Dátum vydania: 24. októbra 2022

Accelerate Framework

Dostupné pre: Mac Studio (2022), Mac Pro (2019 a novší), MacBook Air (2018 a novší), MacBook Pro (2017 a novší), Mac mini (2018 a novší), iMac (2017 a novší), MacBook (2017) a iMac Pro (2017)

Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu so spotrebou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2022-42795: ryuzaki

APFS

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený vylepšením obmedzení prístupu.

CVE-2022-48577: Csaba Fitzl (@theevilbit, Offensive Security)

Dátum pridania záznamu: 21. decembra 2023

Apple Neural Engine

Dopad: Apka môže byť schopná spôsobiť únik citlivých informácií o stave jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2022-32858: Mohamed Ghannam (@_simo36)

Apple Neural Engine

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2022-32898: Mohamed Ghannam (@_simo36)

CVE-2022-32899: Mohamed Ghannam (@_simo36)

CVE-2022-46721: Mohamed Ghannam (@_simo36)

CVE-2022-47915: Mohamed Ghannam (@_simo36)

CVE-2022-47965: Mohamed Ghannam (@_simo36)

CVE-2022-32889: Mohamed Ghannam (@_simo36)

Dátum aktualizovania záznamu: 21. decembra 2023

AppleAVD

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2022-32907: Yinyi Wu, ABC Research s.r.o, Natalie Silvanovich z tímu Google Project Zero, Tommaso Bianco (@cutesmilee__), Antonio Zekic (@antoniozekic) a John Aakerblom (@jaakerblom)

Dátum pridania záznamu: 16. marca 2023

AppleAVD

Dopad: Apka môže byť schopná spôsobiť odopretie služby

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.

CVE-2022-32827: Antonio Zekic (@antoniozekic), Natalie Silvanovich z tímu Google Project Zero a anonymný výskumník

AppleMobileFileIntegrity

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Dochádzalo k problému s konfiguráciou, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2022-32877: Wojciech Reguła (@_r3ggi) z tímu SecuRing

Dátum pridania záznamu: 16. marca 2023

AppleMobileFileIntegrity

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Dochádzalo k problému s overovaním podpisu kódu, ktorý bol vyriešený vylepšením kontrol.

CVE-2022-42789: Koh M. Nakagawa (FFRI Security, Inc.)

AppleMobileFileIntegrity

Dopad: Apka môže byť schopná upravovať chránené časti súborového systému

Popis: Tento problém bol vyriešený odstránením dodatočných oprávnení.

CVE-2022-42825: Mickey Jin (@patch1t)

Assets

Dopad: Apka môže byť schopná upravovať chránené časti súborového systému

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2022-46722: Mickey Jin (@patch1t)

Dátum pridania záznamu: 1. augusta 2023

ATS

Dopad: Apka môže byť schopná obísť nastavenia súkromia

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2022-32902: Mickey Jin (@patch1t)

ATS

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený používaním ďalších obmedzení sandboxu.

CVE-2022-32904: Mickey Jin (@patch1t)

ATS

Dopad: Proces sandboxu môže byť schopný obísť obmedzenia sandboxu

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2022-32890: Mickey Jin (@patch1t)

Audio

Dopad: Apka môže byť schopná získať oprávnenia vyššej úrovne

Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2022-42796: Mickey Jin (@patch1t)

Dátum aktualizovania záznamu: 16. marca 2023

Audio

Dopad: Analýza zvukového súboru so škodlivým kódom môže viesť k sprístupneniu informácií používateľa

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2022-42798: Hnutie Anonymous v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Dátum pridania záznamu: 27. októbra 2022

AVEVideoEncoder

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.

CVE-2022-32940: ABC Research s.r.o.

Beta Access Utility

Dopad: Apka môže byť schopná upravovať chránené časti súborového systému

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2022-42816: Mickey Jin (@patch1t)

Dátum pridania záznamu: 21. decembra 2023

BOM

Dopad: Apka môže obísť kontroly služby Gatekeeper

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2022-42821: Jonathan Bar Or zo spoločnosti Microsoft

Dátum pridania záznamu: 13. decembra 2022

Boot Camp

Dopad: Apka môže byť schopná upravovať chránené časti súborového systému

Popis: Tento problém bol vyriešený vylepšením kontrol, aby sa zabránilo neoprávneným akciám.

CVE-2022-42860: Mickey Jin (@patch1t) z tímu Trend Micro

Dátum pridania záznamu: 16. marca 2023

Calendar

Dopad: Apka môže byť schopná čítať citlivé informácie o polohe

Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený vylepšením obmedzení prístupu.

CVE-2022-42819: Anonymný výskumník

CFNetwork

Dopad: Spracovanie certifikátu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Pri spracovávaní zobrazenia WKWebView dochádzalo k problému s overením certifikátu. Tento problém bol vyriešený vylepšením overovania.

CVE-2022-42813: Jonathan Zhang (Open Computing Facility, ocf.berkeley.edu)

ColorSync

Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Pri spracovávaní profilov ICC dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2022-26730: David Hoyt (Hoyt LLC)

Core Bluetooth

Dopad: Apka môže byť schopná nahrávať zvuk pomocou spárovaných slúchadiel AirPods

Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený pridaním ďalších obmedzení sandboxu pre apky tretích strán.

CVE-2022-32945: Guilherme Rambo (Best Buddy Apps, rambo.codes)

Dátum pridania záznamu: 9. novembra 2022

CoreMedia

Dopad: Rozšírenie kamery môže prijímať video aj po zatvorení apky, ktorá ho aktivovala

Popis: Dochádzalo k problému s prístupom apky k dátam kamery, ktorý bol vyriešený vylepšením logiky.

CVE-2022-42838: Halle Winkler (@hallewinkler, Politepix)

Dátum pridania záznamu: 22. decembra 2022

CoreServices

Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu

Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený používaním ďalších obmedzení sandboxu.

CVE-2022-48683: Thijs Alkemade z tímu Computest Sector 7, Wojciech Reguła (@_r3ggi) z tímu SecuRing a Arsenii Kostromin

Dátum pridania záznamu: 29. mája 2024

CoreTypes

Dopad: Apka so škodlivým kódom môže obísť kontroly modulu Gatekeeper

Popis: Tento problém bol vyriešený vylepšením kontrol, aby sa zabránilo neoprávneným akciám.

CVE-2022-22663: Arsenii Kostromin (0x3c3e)

Dátum pridania záznamu: 16. marca 2023

Crash Reporter

Dopad: Používateľ s fyzickým prístupom k iOS zariadeniu môže byť schopný čítať minulé diagnostické protokoly

Popis: Tento problém bol vyriešený vylepšením ochrany dát.

CVE-2022-32867: Kshitij Kumar a Jai Musunuri (Crowdstrike)

curl

Dopad: Viacero problémov v súčasti curl

Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizáciou curl na verziu 7.84.0.

CVE-2022-32205

CVE-2022-32206

CVE-2022-32207

CVE-2022-32208

Directory Utility

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2022-42814: Sergii Kryvoblotskyi (MacPaw Inc.)

DriverKit

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2022-32865: Linus Henze (Pinauten GmbH, pinauten.de)

DriverKit

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením kontrol.

CVE-2022-32915: Tommy Muir (@Muirey03)

Exchange

Dopad: Používateľ s oprávneniami v sieti môže byť schopný zachytávať prihlasovacie údaje apky Mail

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2022-32928: Jiří Vinopal (@vinopaljiri) z tímu Check Point Research

Dátum aktualizovania záznamu: 16. marca 2023

FaceTime

Dopad: Používateľ môže vo FaceTime hovore odoslať audio a video bez toho, aby o tom vedel

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2022-22643: Sonali Luthar (University of Virginia), Michael Liao (University of Illinois v Urbana-Champaign), Rohan Pahwa (Rutgers University) a Bao Nguyen (University of Florida)

Dátum pridania záznamu: 16. marca 2023

FaceTime

Dopad: Používateľ môže byť schopný zobraziť obmedzený obsah na zamknutej obrazovke

Popis: Dochádzalo k problému so zamknutou obrazovkou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2022-32935: Bistrit Dahal

Dátum pridania záznamu: 27. októbra 2022

Find My

Dopad: Škodlivá apka môže byť schopná čítať citlivé informácie o polohe

Popis: Dochádzalo k problému s povoleniami. Tento problém bol vyriešený vylepšením overovania povolení.

CVE-2022-42788: Csaba Fitzl (@theevilbit, Offensive Security), Wojciech Reguła (SecuRing, wojciechregula.blog)

Find My

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.

CVE-2022-48504: Csaba Fitzl (@theevilbit, Offensive Security)

Dátum pridania záznamu: 21. decembra 2023

Finder

Dopad: Spracovanie súboru DMG so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu so systémovými oprávneniami

Popis: Tento problém bol vyriešený vylepšením overovania symbolických odkazov.

CVE-2022-32905: Ron Masas (breakpoint.sh, BreakPoint Technologies LTD)

GPU Drivers

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2022-42833: Pan ZhenPeng (@Peterpan0927)

Dátum pridania záznamu: 22. decembra 2022

GPU Drivers

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2022-32947: Asahi Lina (@LinaAsahi)

Grapher

Dopad: Spracovanie súboru gcx so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2022-42809: Yutao Wang (@Jack) a Yu Zhou (@yuzhou6666)

Heimdal

Dopad: Používateľ môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2022-3437: Evgeny Legerov (Intevydis)

Dátum pridania záznamu: 25. októbra 2022

iCloud Photo Library

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Dochádzalo k problému súvisiacemu s únikom informácií, ktorý bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2022-32849: Joshua Jones

Dátum pridania záznamu: 9. novembra 2022

Image Processing

Dopad: Apka v sandboxe môže byť schopná určiť, ktorá apka momentálne používa kameru

Popis: Problém bol vyriešený dodatočnými obmedzeniami pozorovateľnosti stavov apiek.

CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)

ImageIO

Dopad: Spracovanie obrázka môže viesť k odopretiu služby

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2022-32809: Mickey Jin (@patch1t)

Dátum pridania záznamu: 1. augusta 2023

ImageIO

Dopad: Spracovanie obrázka môže viesť k odopretiu služby

Popis: Dochádzalo k problému s odopretím služby, ktorý bol vyriešený vylepšením overovania.

CVE-2022-1622

Intel Graphics Driver

Dopad: Apka môže byť schopná odhaliť obsah pamäte jadra

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2022-32936: Antonio Zekic (@antoniozekic)

IOHIDFamily

Dopad: Apka môže spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.

CVE-2022-42820: Peter Pan ZhenPeng (STAR Labs)

IOKit

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením zamykania.

CVE-2022-42806: Tingting Yin (Tsinghua University)

Kernel

Dopad: Apka môže byť schopná odhaliť obsah pamäte jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2022-32864: Linus Henze (Pinauten GmbH, pinauten.de)

Kernel

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2022-32866: Linus Henze (Pinauten GmbH, pinauten.de)

CVE-2022-32911: Zweig (Kunlun Lab)

CVE-2022-32924: Ian Beer (Google Project Zero)

Kernel

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2022-32914: Zweig (Kunlun Lab)

Kernel

Dopad: Vzdialený používateľ môže byť schopný spôsobiť spustenie kódu jadra

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2022-42808: Zweig (Kunlun Lab)

Kernel

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.

CVE-2022-32944: Tim Michaud (@TimGMichaud) z tímu Moveworks.ai

Dátum pridania záznamu: 27. októbra 2022

Kernel

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením zamykania.

CVE-2022-42803: Xinru Chi z tímu Pangu Lab, John Aakerblom (@jaakerblom)

Dátum pridania záznamu: 27. októbra 2022

Kernel

Dopad: Apka s oprávneniami používateľa root môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.

CVE-2022-32926: Tim Michaud (@TimGMichaud, Moveworks.ai)

Dátum pridania záznamu: 27. októbra 2022

Kernel

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2022-42801: Ian Beer z tímu Google Project Zero

Dátum pridania záznamu: 27. októbra 2022

Kernel

Dopad: Apka môže spôsobiť neočakávané ukončenie systému alebo potenciálne spustiť kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2022-46712: Tommy Muir (@Muirey03)

Dátum pridania záznamu: 20. februára 2023

Mail

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Tento problém bol vyriešený vylepšením ochrany dát.

CVE-2022-42815: Csaba Fitzl (@theevilbit, Offensive Security)

Mail

Dopad: Apka môže byť schopná získať prístup k prílohám v priečinkoch pošty prostredníctvom dočasného adresára použitého počas komprimovania

Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený vylepšením obmedzení prístupu.

CVE-2022-42834: Wojciech Reguła (@_r3ggi) z tímu SecuRing

Dátum pridania záznamu: 1. mája 2023

Maps

Dopad: Apka môže byť schopná čítať citlivé informácie o polohe

Popis: Tento problém bol vyriešený vylepšením obmedzení týkajúcich sa citlivých informácií.

CVE-2022-46707: Csaba Fitzl (@theevilbit, Offensive Security)

Dátum pridania záznamu: 1. augusta 2023

Maps

Dopad: Apka môže byť schopná čítať citlivé informácie o polohe

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2022-32883: Ron Masas (breakpointhq.com)

MediaLibrary

Dopad: Užívateľ môže byť schopný zvýšiť úroveň oprávnení

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2022-32908: Anonymný výskumník

Model I/O

Dopad: Spracovanie súboru USD so škodlivým kódom môže sprístupniť obsah pamäte

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2022-42810: Xingwei Lin (@xwlin_roy) a Yinyi Wu (Ant Security Light-Year Lab)

Dátum pridania záznamu: 27. októbra 2022

ncurses

Dopad: Používateľ môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2021-39537

ncurses

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k odopretiu služby alebo k potenciálnemu odhaleniu obsahu pamäte

Popis: Dochádzalo k problému s odopretím služby, ktorý bol vyriešený vylepšením overovania.

CVE-2022-29458

Notes

Dopad: Používateľ s oprávneniami v sieti môže byť schopný sledovať aktivitu používateľov

Popis: Tento problém bol vyriešený vylepšením ochrany dát.

CVE-2022-42818: Gustav Hansen z tímu WithSecure

Notifications

Dopad: Používateľ s fyzickým prístupom k zariadeniu môže byť schopný získať prístup ku kontaktom zo zamknutej obrazovky

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2022-32879: Ubeydullah Sümer

PackageKit

Dopad: Apka môže byť schopná upravovať chránené časti súborového systému

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením spracovania stavu.

CVE-2022-32895: Mickey Jin (@patch1t, Trend Micro), Mickey Jin (@patch1t)

PackageKit

Dopad: Apka môže byť schopná upravovať chránené časti súborového systému

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.

CVE-2022-46713: Mickey Jin (@patch1t) z tímu Trend Micro

Dátum pridania záznamu: 20. februára 2023

Photos

Dopad: Používateľ môže neúmyselne pridať účastníka do zdieľaného albumu stlačením klávesu Delete

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2022-42807: Ezekiel Elin

Dátum pridania záznamu: 1. mája 2023, aktualizované 1. augusta 2023

Photos

Dopad: Apka môže byť schopná obísť nastavenia súkromia

Popis: Tento problém bol vyriešený vylepšením ochrany dát.

CVE-2022-32918: Ashwani Rajput (Nagarro Software Pvt. Ltd), Srijan Shivam Mishra (The Hack Report), Jugal Goradia (Aastha Technologies), Evan Ricafort (evanricafort.com, Invalid Web Security), Shesha Sai C (linkedin.com/in/shesha-sai-c-18585b125) a Amod Raghunath Patwardhan (Pune, India)

Dátum aktualizovania záznamu: 16. marca 2023

ppp

Dopad: Apka s oprávneniami používateľa root môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2022-42829: Anonymný výskumník

ppp

Dopad: Apka s oprávneniami používateľa root môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2022-42830: Anonymný výskumník

ppp

Dopad: Apka s oprávneniami používateľa root môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením zamykania.

CVE-2022-42831: Anonymný výskumník

CVE-2022-42832: Anonymný výskumník

ppp

Dopad: Pretečenie buffera môže viesť k spusteniu ľubovoľného kódu

Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.

CVE-2022-32941: Anonymný výskumník

Dátum pridania záznamu: 27. októbra 2022

ruby

Dopad: Vzdialený používateľ môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený aktualizáciou softvéru Ruby na verziu 2.6.10.

CVE-2022-28739

Sandbox

Dopad: Apka môže byť schopná upravovať chránené časti súborového systému

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2022-32881: Csaba Fitzl (@theevilbit, Offensive Security)

Sandbox

Dopad: Apka s oprávneniami používateľa root môže byť schopná získať prístup k súkromným informáciám

Popis: Tento problém bol vyriešený vylepšením ochrany dát.

CVE-2022-32862: Rohit Chatterjee z univerzity v Illinois Urbana-Champaign

CVE-2022-32931: Anonymný výskumník

Dátum pridania záznamu: 16. marca 2023, dátum aktualizovania: 21. decembra 2023

Sandbox

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený používaním ďalších obmedzení sandboxu.

CVE-2022-42811: Justin Bui (@slyd0g, Snowflake)

Security

Dopad: Apka môže byť schopná obísť kontroly podpisu kódu

Popis: Dochádzalo k problému s overovaním podpisu kódu, ktorý bol vyriešený vylepšením kontrol.

CVE-2022-42793: Linus Henze (Pinauten GmbH, pinauten.de)

Shortcuts

Dopad: Skratka môže byť schopná zobraziť skrytý album fotiek bez autentifikácie

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2022-32876: Anonymný výskumník

Dátum pridania záznamu: 1. augusta 2023

Shortcuts

Dopad: Skratka môže byť schopná skontrolovať existenciu ľubovoľnej cesty v súborovom systéme

Popis: Dochádzalo k problému s analýzou pri spracovávaní ciest adresárov, ktorý bol vyriešený vylepšením overovania ciest.

CVE-2022-32938: Cristian Dinca (Colegiul Național de Informatică Tudor Vianu, Rumunsko)

Sidecar

Dopad: Používateľ môže byť schopný zobraziť obmedzený obsah na zamknutej obrazovke

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2022-42790: Om kothawade (Zaprico Digital)

Siri

Dopad: Používateľ s fyzickým prístupom k zariadeniu môže byť schopný použiť Siri na získanie niektorých informácií o histórii hovorov

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2022-32870: Andrew Goldberg (The McCombs School of Business, The University of Texas at Austin, linkedin.com/in/andrew-goldberg-/)

SMB

Dopad: Vzdialený používateľ môže byť schopný spôsobiť spustenie kódu jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2022-32934: Felix Poulin-Belanger

Software Update

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením spracovania stavu.

CVE-2022-42791: Mickey Jin (@patch1t, Trend Micro)

SQLite

Dopad: Vzdialený používateľ môže byť schopný spôsobiť odopretie služby

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2021-36690

System Settings

Dopad: Apka môže byť schopná upravovať chránené časti súborového systému

Popis: Tento problém bol vyriešený vylepšením ochrany dát.

CVE-2022-48505: Adam Chester z tímu TrustedSec a Thijs Alkemade (@xnyhps) z tímu Computest Sector 7

Dátum pridania záznamu: 26. júna 2023

TCC

Dopad: Apka môže byť schopná spôsobiť odopretie služby klientom koncového zabezpečenia

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2022-26699: Csaba Fitzl (@theevilbit, Offensive Security)

Dátum pridania záznamu: 1. augusta 2023

Vim

Dopad: Viacero problémov týkajúcich sa softvéru Vim

Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizáciou softvéru Vim.

CVE-2022-0261

CVE-2022-0318

CVE-2022-0319

CVE-2022-0351

CVE-2022-0359

CVE-2022-0361

CVE-2022-0368

CVE-2022-0392

CVE-2022-0554

CVE-2022-0572

CVE-2022-0629

CVE-2022-0685

CVE-2022-0696

CVE-2022-0714

CVE-2022-0729

CVE-2022-0943

CVE-2022-1381

CVE-2022-1420

CVE-2022-1725

CVE-2022-1616

CVE-2022-1619

CVE-2022-1620

CVE-2022-1621

CVE-2022-1629

CVE-2022-1674

CVE-2022-1733

CVE-2022-1735

CVE-2022-1769

CVE-2022-1927

CVE-2022-1942

CVE-2022-1968

CVE-2022-1851

CVE-2022-1897

CVE-2022-1898

CVE-2022-1720

CVE-2022-2000

CVE-2022-2042

CVE-2022-2124

CVE-2022-2125

CVE-2022-2126

VPN

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2022-42828: Anonymný výskumník

Dátum pridania záznamu: 1. augusta 2023

Weather

Dopad: Apka môže byť schopná čítať citlivé informácie o polohe

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2022-32875: Anonymný výskumník

WebKit

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

WebKit Bugzilla: 246669

CVE-2022-42826: Francisco Alonso (@revskills)

Dátum pridania záznamu: 22. decembra 2022

WebKit

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Opis: Dochádzalo k problému s pretečením medzipamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

WebKit Bugzilla: 241969

CVE-2022-32886: P1umer (@p1umer), afang (@afang5472), xmzyshypnc (@xmzyshypnc1)

WebKit

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

WebKit Bugzilla: 242047

CVE-2022-32888: P1umer (@p1umer)

WebKit

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

WebKit Bugzilla: 242762

CVE-2022-32912: Jeonghoon Shin (@singi21a, Theori) v spolupráci s Trend Micro Zero Day Initiative

WebKit

Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k predstieraniu iného zdroja v používateľskom rozhraní (tzv. spoofing)

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania používateľského rozhrania.

WebKit Bugzilla: 243693

CVE-2022-42799: Jihwan Kim (@gPayl0ad), Dohyun Lee (@l33d0hyun)

WebKit

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Opis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.

WebKit Bugzilla: 244622

CVE-2022-42823: Dohyun Lee (@l33d0hyun, SSD Labs)

WebKit

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k odhaleniu citlivých používateľských informácií

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

WebKit Bugzilla: 245058

CVE-2022-42824: Abdulrahman Alqabandi (Microsoft Browser Vulnerability Research), Ryan Shin (IAAI SecLab, Kórejská univerzita), Dohyun Lee (@l33d0hyun, DNSLab, Kórejská univerzita)

WebKit

Dopad: Spracovanie webového obsahu so škodlivým kódom môže odhaliť interné stavy apky

Popis: Dochádzalo k problému so správnosťou v komponente JIT, ktorý bol vyriešený vylepšením kontrol.

WebKit Bugzilla: 242964

CVE-2022-32923: Wonyoung Jung (@nonetype_pwn) z tímu KAIST Hacking Lab

Dátum pridania záznamu: 27. októbra 2022

WebKit PDF

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

WebKit Bugzilla: 242781

CVE-2022-32922: Yonghwi Jin (@jinmo123, Theori) v spolupráci s Trend Micro Zero Day Initiative

WebKit Sandboxing

Dopad: Proces sandboxu môže byť schopný obísť obmedzenia sandboxu

Popis: Problém s prístupom bol vyriešený vylepšením sandboxu.

WebKit Bugzilla: 243181

CVE-2022-32892: @18楼梦想改造家 a @jq0904 (WeBin lab, DBAppSecurity)

WebKit Storage

Dopad: Apka môže byť schopná obísť nastavenia súkromia

Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.

CVE-2022-32833: Csaba Fitzl (@theevilbit, Offensive Security), Jeff Johnson

Dátum pridania záznamu: 22. decembra 2022

Wi-Fi

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.

CVE-2022-46709: Wang Yu (Cyberserval)

Dátum pridania záznamu: 16. marca 2023

zlib

Dopad: Používateľ môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2022-37434: Evgeny Legerov

CVE-2022-42800: Evgeny Legerov

Dátum pridania záznamu: 27. októbra 2022

Ďalšie poďakovanie

AirPort

Poďakovanie za pomoc si zaslúžia Joseph Salazar Acuña a Renato Llamoca (Intrado-Life & Safety/Globant).

Apache

Poďakovanie za pomoc si zaslúži Tricia Lee (Enterprise Service Center).

Dátum pridania záznamu: 16. marca 2023

AppleCredentialManager

Poďakovanie za pomoc si zaslúži @jonathandata1.

ATS

Poďakovanie za pomoc si zaslúži Mickey Jin (@patch1t).

Dátum pridania záznamu: 1. augusta 2023

FaceTime

Poďakovanie za pomoc si zaslúži anonymný výskumník.

FileVault

Poďakovanie za pomoc si zaslúži Timothy Perfitt (Twocanoes Software).

Find My

Poďakovanie za pomoc si zaslúži anonymný výskumník.

Identity Services

Poďakovanie za pomoc si zaslúži Joshua Jones.

IOAcceleratorFamily

Poďakovanie za pomoc si zaslúži Antonio Zekic (@antoniozekic).

IOGPUFamily

Poďakovanie za pomoc si zaslúži Wang Yu (Cyberserval).

Dátum pridania záznamu: 9. novembra 2022

Kernel

Poďakovanie za pomoc si zaslúžia Peter Nguyen (STAR Labs), Tim Michaud (@TimGMichaud, Moveworks.ai), Tingting Yin (Tsinghua University), Min Zheng (Ant Group), Tommy Muir (@Muirey03) a anonymný výskumník.

Login Window

Poďakovanie za pomoc si zaslúži Simon Tang (simontang.dev).

Dátum pridania záznamu: 9. novembra 2022

Mail

Poďakovanie za pomoc si zaslúžia Taavi Eomäe z tímu Zone Media OÜ a anonymný výskumník.

Dátum aktualizovania záznamu: 21. decembra 2023

Mail Drafts

Poďakovanie za pomoc si zaslúži anonymný výskumník.

Networking

Poďakovanie za pomoc si zaslúži Tim Michaud (@TimGMichaud, Zoom Video Communications).

Photo Booth

Poďakovanie za pomoc si zaslúži Prashanth Kannan (Dremio).

Quick Look

Poďakovanie za pomoc si zaslúži Hilary „It’s off by a Pixel“ Street.

Safari

Poďakovanie za pomoc si zaslúži Scott Hatfield z tímu Sub-Zero Group.

Dátum pridania záznamu: 16. marca 2023

Sandbox

Poďakovanie za pomoc si zaslúži Csaba Fitzl (@theevilbit) (Offensive Security).

SecurityAgent

Poďakovanie za pomoc si zaslúžia Security Team Netservice de Toekomst a anonymný výskumník.

Dátum pridania záznamu: 21. decembra 2023

smbx

Poďakovanie za pomoc si zaslúži HD Moore (runZero Asset Inventory).

System

Poďakovanie za pomoc si zaslúži Mickey Jin (@patch1t) zo spoločnosti Trend Micro.

System Settings

Poďakovanie za pomoc si zaslúži Bjorn Hellenbrand.

UIKit

Poďakovanie za pomoc si zaslúži Aleczander Ewing.

WebKit

Poďakovanie za pomoc si zaslúžia Maddie Stone (Google Project Zero), Narendra Bhati (@imnarendrabhati, Suma Soft Pvt. Ltd. a anonymný výskumník.

WebRTC

Poďakovanie za pomoc si zaslúži anonymný výskumník.

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.

Dátum zverejnenia: 19. augusta 2024