Om säkerhetsinnehållet i macOS Ventura 13

Det här dokumentet beskriver säkerhetsinnehållet i macOS Ventura 13.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet.

macOS Ventura 13

Släpptes 24 oktober 2022

Accelerate Framework

Tillgängligt för: Mac Studio (2022), Mac Pro (2019 och senare), MacBook Air (2018 och senare), MacBook Pro (2017 och senare), Mac mini (2018 och senare), iMac (2017 och senare), MacBook (2017) och iMac Pro (2017)

Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Ett problem med minnesförbrukningen åtgärdades genom förbättrad minneshantering.

CVE-2022-42795: Ryuzaki

APFS

Effekt: En app kan komma åt användarkänsliga data

Beskrivning: ett åtkomstproblem åtgärdades genom ytterligare åtkomstbegränsningar.

CVE-2022-48577: Csaba Fitzl (@theevilbit) på Offensive Security

Lades till 21 december 2023

Apple Neural Engine

Effekt: En app kan läcka känsliga kerneltillstånd

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2022-32858: Mohamed Ghannam (@_simo36)

Apple Neural Engine

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2022-32898: Mohamed Ghannam (@_simo36)

CVE-2022-32899: Mohamed Ghannam (@_simo36)

CVE-2022-46721: Mohamed Ghannam (@_simo36)

CVE-2022-47915: Mohamed Ghannam (@_simo36)

CVE-2022-47965: Mohamed Ghannam (@_simo36)

CVE-2022-32889: Mohamed Ghannam (@_simo36)

Uppdaterades 21 december 2023

AppleAVD

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2022-32907: Yinyi Wu, ABC Research s.r.o, Natalie Silvanovich från Google Project Zero, Tommaso Bianco (@cutesmilee__), Antonio Zekic (@antoniozekic) och John Aakerblom (@jaakerblom)

Lades till 16 mars 2023

AppleAVD

Effekt: En app kan orsaka ett DoS-angrepp

Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.

CVE-2022-32827: Antonio Zekic (@antoniozekic), Natalie Silvanovich från Google Project Zero och en anonym forskare

AppleMobileFileIntegrity

Effekt: En app kan komma åt användarkänsliga data

Beskrivning: Ett konfigurationsproblem åtgärdades med ytterligare begränsningar.

CVE-2022-32877: Wojciech Reguła (@_r3ggi) från SecuRing

Lades till 16 mars 2023

AppleMobileFileIntegrity

Effekt: En app kan komma åt användarkänsliga data

Beskrivning: Ett problem med validering av kodsignaturer åtgärdades med förbättrade kontroller.

CVE-2022-42789: Koh M. Nakagawa på FFRI Security, Inc.

AppleMobileFileIntegrity

Effekt: En app kan ändra skyddade delar av filsystemet

Beskrivning: Problemet åtgärdades genom att ytterligare behörigheter togs bort.

CVE-2022-42825: Mickey Jin (@patch1t)

Assets

Effekt: En app kan ändra skyddade delar av filsystemet

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2022-46722: Mickey Jin (@patch1t)

Lades till 1 augusti 2023

ATS

Effekt: En app kan kringgå inställningar för Integritet

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2022-32902: Mickey Jin (@patch1t)

ATS

Effekt: En app kan komma åt användarkänsliga data

Beskrivning: Ett åtkomstproblem åtgärdades genom ytterligare sandlådebegränsningar.

CVE-2022-32904: Mickey Jin (@patch1t)

ATS

Effekt: En process i sandlådeläge kan kringgå sandlådebegränsningarna

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2022-32890: Mickey Jin (@patch1t)

Audio

Effekt: En app kan få högre behörighet

Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.

CVE-2022-42796: Mickey Jin (@patch1t)

Uppdaterades 16 mars 2023

Audio

Effekt: Tolkning av en ljudfil med skadligt innehåll kan leda till att användarinformation avslöjas

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2022-42798: Anonym i samarbete med Trend Micro Zero Day Initiative

Posten lades till den 27 oktober 2022

AVEVideoEncoder

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Problemet hanterades med förbättrade gränskontroller.

CVE-2022-32940: ABC Research s.r.o.

Beta Access Utility

Effekt: En app kan ändra skyddade delar av filsystemet

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2022-42816: Mickey Jin (@patch1t)

Lades till 21 december 2023

BOM

Effekt: En app kan kringgå Gatekeeper-kontroller

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2022-42821: Jonathan Bar Or på Microsoft

Lades till 13 december 2022

Boot Camp

Effekt: En app kan ändra skyddade delar av filsystemet

Beskrivning: Problemet åtgärdades med förbättrade kontroller som förhindrar obehöriga åtgärder.

CVE-2022-42860: Mickey Jin (@patch1t) på Trend Micro

Lades till 16 mars 2023

Calendar

Effekt: En app kanske kan läsa känslig platsinformation

Beskrivning: ett åtkomstproblem åtgärdades genom ytterligare åtkomstbegränsningar.

CVE-2022-42819: En anonym forskare

CFNetwork

Effekt: Bearbetning av ett skadligt certifikat kan leda till körning av opålitlig kod

Beskrivning: Ett problem med certifikatvalidering förekom vid hantering av WKWebView. Problemet har åtgärdats genom förbättrad validering.

CVE-2022-42813: Jonathan Zhang på Open Computing Facility (ocf.berkeley.edu)

ColorSync

Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Ett minnesfel förekom i bearbetningen av ICC-profiler. Problemet har åtgärdats genom förbättrad indatavalidering.

CVE-2022-26730: David Hoyt på Hoyt LLC

Core Bluetooth

Effekt: en app kan spela in ljud med parkopplade AirPods

Beskrivning: Ett åtkomstproblem åtgärdades med ytterligare sandlådebegränsningar för tredjepartsappar.

CVE-2022-32945: Guilherme Rambo från Best Buddy Apps (rambo.codes)

Lades till 9 november 2022

CoreMedia

Effekt: Ett kameratillägg kan fortsätta att ta emot video efter att appen som aktiverade det har avslutats

Beskrivning: Ett problem med appåtkomst till kameradata åtgärdades med förbättrad logik.

CVE-2022-42838: Halle Winkler (@hallewinkler) på Politepix

Lades till 22 december 2022

CoreServices

Effekt: En app kan bryta sig ut från sin sandlåda

Beskrivning: Ett åtkomstproblem åtgärdades genom ytterligare sandlådebegränsningar.

CVE-2022-48683: Thijs Alkemade på Computest Sector 7, Wojciech Reguła (@_r3ggi) på SecuRing och Arsenii Kostromin

Lades till 29 maj 2024

CoreTypes

Effekt: En skadlig app kan komma förbi Gatekeeper-kontroller

Beskrivning: Problemet åtgärdades med förbättrade kontroller som förhindrar obehöriga åtgärder.

CVE-2022-22663: Arsenii Kostromin (0x3c3e)

Lades till 16 mars 2023

Crash Reporter

Effekt: En användare med fysisk åtkomst till en iOS-enhet kan läsa tidigare diagnostikloggar

Beskrivning: Problemet åtgärdades genom förbättrat dataskydd.

CVE-2022-32867: Kshitij Kumar och Jai Musunuri på Crowdstrike

curl

Effekt: Flera problem i curl

Beskrivning: Flera problem åtgärdades genom att uppdatera till curl-version 7.84.0.

CVE-2022-32205

CVE-2022-32206

CVE-2022-32207

CVE-2022-32208

Directory Utility

Effekt: En app kan komma åt användarkänsliga data

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2022-42814: Sergii Kryvoblotskyi på MacPaw Inc.

DriverKit

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2022-32865: Linus Henze på Pinauten GmbH (pinauten.de)

DriverKit

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrade kontroller.

CVE-2022-32915: Tommy Muir (@Muirey03)

Exchange

Effekt: En användare i en behörig nätverksposition kanske kan fånga upp e-postinloggningsuppgifter

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.

CVE-2022-32928: Jiří Vinopal (@vinopaljiri) på Check Point Research

Uppdaterades 16 mars 2023

FaceTime

Effekt: En användare kan skicka ljud och video i ett samtal i FaceTime utan att veta att de har gjort det

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2022-22643: Sonali Luthar på University of Virginia, Michael Liao på University of Illinois at Urbana-Champaign, Rohan Pahwa på Rutgers University och Bao Nguyen på University of Florida

Lades till 16 mars 2023

FaceTime

Effekt: En användare kan visa begränsat innehåll via låsskärmen

Beskrivning: Ett problem med låsskärmen åtgärdades med förbättrad tillståndshantering.

CVE-2022-32935: Bistrit Dahal

Posten lades till den 27 oktober 2022

Find My

Effekt: Ett skadligt program kan läsa känslig platsinformation

Beskrivning: Ett behörighetsproblem förekom. Problemet har åtgärdats genom förbättrad behörighetsvalidering.

CVE-2022-42788: Csaba Fitzl (@theevilbit) på Offensive Security, Wojciech Reguła på SecuRing (wojciechregula.blog)

Find My

Effekt: En app kan komma åt användarkänsliga data

Beskrivning: Problemet åtgärdades genom förbättrad hantering av cache.

CVE-2022-48504: Csaba Fitzl (@theevilbit) på Offensive Security

Lades till 21 december 2023

Finder

Effekt: Bearbetning av en skadligt utformad DMG-fil kan leda till körning av opålitlig kod med systembehörighet

Beskrivning: Problemet åtgärdades genom förbättrad validering av symlänkar.

CVE-2022-32905: Ron Masas (breakpoint.sh) på BreakPoint Technologies LTD

GPU Drivers

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2022-42833: Pan ZhenPeng (@Peterpan0927)

Lades till 22 december 2022

GPU Drivers

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2022-32947: Asahi Lina (@LinaAsahi)

Grapher

Effekt: Bearbetning av en GCX-fil med skadligt innehåll kan leda till oväntad appavslutning eller körning av opålitlig kod

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2022-42809: Yutao Wang (@Jack) och Yu Zhou (@yuzhou6666)

Heimdal

Effekt: En användare kan orsaka oväntad avslutning av app eller körning av opålitlig kod

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2022-3437: Evgeny Legerov på Intevydis

Lades till 25 oktober 2022

iCloud Photo Library

Effekt: En app kan komma åt användarkänsliga data

Beskrivning: Ett problem med avslöjande av information åtgärdades genom borttagning av den sårbara koden.

CVE-2022-32849: Joshua Jones

Lades till 9 november 2022

Image Processing

Effekt: En app i sandlådeläge kan fastställa vilken app som just nu använder kameran

Beskrivning: Problemet åtgärdades med ytterligare begränsningar för visning av applägen.

CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)

ImageIO

Effekt: Bearbetning av en bild kan leda till ett dos-angrepp

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2022-32809: Mickey Jin (@patch1t)

Lades till 1 augusti 2023

ImageIO

Effekt: Bearbetning av en bild kan leda till ett dos-angrepp

Beskrivning: Ett dos-problem åtgärdades med hjälp av förbättrad validering.

CVE-2022-1622

Intel Graphics Driver

Effekt: En app kan avslöja kernelminnet

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2022-32936: Antonio Zekic (@antoniozekic)

IOHIDFamily

Effekt: En app kan orsaka att appar avslutas oväntat eller att opålitlig kod körs

Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.

CVE-2022-42820: Peter Pan ZhenPeng på STAR Labs

IOKit

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad låsning.

CVE-2022-42806: Tingting Yin på Tsinghua University

Kernel

Effekt: En app kan avslöja kernelminnet

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2022-32864: Linus Henze på Pinauten GmbH (pinauten.de)

Kernel

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2022-32866: Linus Henze på Pinauten GmbH (pinauten.de)

CVE-2022-32911: Zweig på Kunlun Lab

CVE-2022-32924: Ian Beer på Google Project Zero

Kernel

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett UAF-fel åtgärdades genom förbättrad minneshantering.

CVE-2022-32914: Zweig på Kunlun Lab

Kernel

Effekt: En fjärranvändare kan orsaka körning av kernelkod

Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2022-42808: Zweig på Kunlun Lab

Kernel

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.

CVE-2022-32944: Tim Michaud (@TimGMichaud) på Moveworks.ai

Posten lades till den 27 oktober 2022

Kernel

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad låsning.

CVE-2022-42803: Xinru Chi på Pangu Lab, John Aakerblom (@jaakerblom)

Posten lades till den 27 oktober 2022

Kernel

Effekt: En app med rotbehörigheter kan köra opålitlig kod med kernelbehörighet

Beskrivning: Problemet hanterades med förbättrade gränskontroller.

CVE-2022-32926: Tim Michaud (@TimGMichaud) på Moveworks.ai

Posten lades till den 27 oktober 2022

Kernel

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2022-42801: Ian Beer på Google Project Zero

Posten lades till den 27 oktober 2022

Kernel

Effekt: En app kan möjligen orsaka att systemet oväntat stängs ned eller att kod med kernel-privilegier potentiellt körs

Beskrivning: Ett UAF-fel åtgärdades genom förbättrad minneshantering.

CVE-2022-46712: Tommy Muir (@Muirey03)

Lades till 20 februari 2023

Mail

Effekt: En app kan komma åt användarkänsliga data

Beskrivning: Problemet åtgärdades genom förbättrat dataskydd.

CVE-2022-42815: Csaba Fitzl (@theevilbit) på Offensive Security

Mail

Effekt: En app kanske kan komma åt bilagor till e-postmappar via en tillfällig katalog som används vid komprimering

Beskrivning: ett åtkomstproblem åtgärdades genom ytterligare åtkomstbegränsningar.

CVE-2022-42834: Wojciech Reguła (@_r3ggi) på SecuRing

Lades till 1 maj 2023

Maps

Effekt: En app kanske kan läsa känslig platsinformation

Beskrivning: Problemet åtgärdades genom förbättrade begränsningar gällande känslig information.

CVE-2022-46707: Csaba Fitzl (@theevilbit) på Offensive Security

Lades till 1 augusti 2023

Maps

Effekt: En app kanske kan läsa känslig platsinformation

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.

CVE-2022-32883: Ron Masas på breakpointhq.com

MediaLibrary

Effekt: en användare kanske kan öka behörigheter

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2022-32908: En anonym forskare

Model I/O

Effekt: Bearbetning av en USD-fil med skadligt innehåll kan avslöja innehåll från minnet

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2022-42810: Xingwei Lin (@xwlin_roy) och Yinyi Wu på Ant Security Light-Year Lab

Posten lades till den 27 oktober 2022

ncurses

Effekt: En användare kan orsaka oväntad avslutning av app eller körning av opålitlig kod

Beskrivning: Ett buffertspill åtgärdades med förbättrad gränskontroll.

CVE-2021-39537

ncurses

Effekt: Bearbetning av en fil med skadligt innehåll kan leda till ett DoS-angrepp eller möjligen avslöja innehåll från minnet

Beskrivning: Ett dos-problem åtgärdades med hjälp av förbättrad validering.

CVE-2022-29458

Notes

Effekt: En användare i en behörig nätverksposition kan spåra användaraktivitet

Beskrivning: Problemet åtgärdades genom förbättrat dataskydd.

CVE-2022-42818: Gustav Hansen från WithSecure

Notifications

Effekt: En användare med fysisk åtkomst till en enhet kan komma åt kontakter från låsskärmen

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2022-32879: Ubeydullah Sümer

PackageKit

Effekt: En app kan ändra skyddade delar av filsystemet

Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad tillståndshantering.

CVE-2022-32895: Mickey Jin (@patch1t) på Trend Micro, Mickey Jin (@patch1t)

PackageKit

Effekt: En app kan ändra skyddade delar av filsystemet

Beskrivning: Ett konkurrenstillstånd åtgärdades genom ytterligare validering.

CVE-2022-46713: Mickey Jin (@patch1t) från Trend Micro

Lades till 20 februari 2023

Photos

Effekt: En användare kan av misstag lägga till en deltagare till ett delat album genom att trycka på raderingstangenten

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2022-42807: Ezekiel Elin

Lades till 1 maj 2023, uppdaterades 1 augusti 2023

Photos

Effekt: En app kan kringgå inställningar för Integritet

Beskrivning: Problemet åtgärdades genom förbättrat dataskydd.

CVE-2022-32918: Ashwani Rajput på Nagarro Software Pvt. Ltd, Srijan Shivam Mishra på The Hack Report, Jugal Goradia på Aastha Technologies, Evan Ricafort (evanricafort.com) på Invalid Web Security, Shesha Sai C (linkedin.com/in/shesha-sai-c-18585b125) och Amod Raghunath Patwardhan på Pune, Indien

Uppdaterades 16 mars 2023

ppp

Effekt: En app med rotbehörigheter kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett UAF-fel åtgärdades genom förbättrad minneshantering.

CVE-2022-42829: En anonym forskare

ppp

Effekt: En app med rotbehörigheter kan köra opålitlig kod med kernelbehörighet

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2022-42830: En anonym forskare

ppp

Effekt: En app med rotbehörigheter kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad låsning.

CVE-2022-42831: En anonym forskare

CVE-2022-42832: En anonym forskare

ppp

Effekt: Ett buffertspill kan leda till körning av opålitlig kod

Beskrivning: Problemet hanterades med förbättrade gränskontroller.

CVE-2022-32941: En anonym forskare

Posten lades till den 27 oktober 2022

Ruby

Effekt: En fjärranvändare kunde orsaka ett oväntat programavslut eller körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom att Ruby uppdaterades till version 2.6.10.

CVE-2022-28739

Sandbox

Effekt: En app kan ändra skyddade delar av filsystemet

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.

CVE-2022-32881: Csaba Fitzl (@theevilbit) på Offensive Security

Sandbox

Effekt: En app med rotbehörighet kan ha tillgång till privat information

Beskrivning: Problemet åtgärdades genom förbättrat dataskydd.

CVE-2022-32862: Rohit Chatterjee på University of Illinois Urbana-Champaign

CVE-2022-32931: En anonym forskare

Uppdaterades 16 mars2023, uppdaterades 21 december 2023

Sandbox

Effekt: En app kan komma åt användarkänsliga data

Beskrivning: Ett åtkomstproblem åtgärdades genom ytterligare sandlådebegränsningar.

CVE-2022-42811: Justin Bui (@slyd0g) på Snowflake

Security

Effekt: En app kan kringgå kodsigneringskontroller

Beskrivning: Ett problem med validering av kodsignaturer åtgärdades med förbättrade kontroller.

CVE-2022-42793: Linus Henze på Pinauten GmbH (pinauten.de)

Shortcuts

Effekt: En genväg kanske kan visa det dolda fotoalbumet utan autentisering

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.

CVE-2022-32876: En anonym forskare

Lades till 1 augusti 2023

Shortcuts

Effekt: En genväg kan kontrollera förekomsten av en opålitlig sökväg i filsystemet

Beskrivning: Ett tolkningsfel i hanteringen av katalogsökvägar åtgärdades med förbättrad sökvägsvalidering.

CVE-2022-32938: Cristian Dinca på Tudor Vianu National High School of Computer Science of. Rumänien

Sidecar

Effekt: En användare kan visa begränsat innehåll via låsskärmen

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2022-42790: Om kothawade på Zaprico Digital

Siri

Effekt: En användare med fysisk åtkomst till en enhet kan använda Siri för att få tag på viss information om samtalshistorik

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2022-32870: Andrew Goldberg på The McCombs School of Business, University of Texas i Austin (linkedin.com/in/andrew-goldberg-/)

SMB

Effekt: En fjärranvändare kan orsaka körning av kernelkod

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2022-32934: Felix Poulin-Belanger

Software Update

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad tillståndshantering.

CVE-2022-42791: Mickey Jin (@patch1t) på Trend Micro

SQLite

Effekt: En fjärrangripare kan orsaka ett DoS-angrepp

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2021-36690

System Settings

Effekt: En app kan ändra skyddade delar av filsystemet

Beskrivning: Problemet åtgärdades genom förbättrat dataskydd.

CVE-2022-48505: Adam Chester från TrustedSec och Thijs Alkemade (@xnyhps) från Computest Sector 7

Lades till 26 juni 2023

TCC

Effekt: En app kan orsaka ett DoS-angrepp på Endpoint Security-klienter

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2022-26699: Csaba Fitzl (@theevilbit) på Offensive Security

Lades till 1 augusti 2023

Vim

Effekt: Flera problem i Vim

Beskrivning: Flera problem åtgärdades genom att uppdatera Vim.

CVE-2022-0261

CVE-2022-0318

CVE-2022-0319

CVE-2022-0351

CVE-2022-0359

CVE-2022-0361

CVE-2022-0368

CVE-2022-0392

CVE-2022-0554

CVE-2022-0572

CVE-2022-0629

CVE-2022-0685

CVE-2022-0696

CVE-2022-0714

CVE-2022-0729

CVE-2022-0943

CVE-2022-1381

CVE-2022-1420

CVE-2022-1725

CVE-2022-1616

CVE-2022-1619

CVE-2022-1620

CVE-2022-1621

CVE-2022-1629

CVE-2022-1674

CVE-2022-1733

CVE-2022-1735

CVE-2022-1769

CVE-2022-1927

CVE-2022-1942

CVE-2022-1968

CVE-2022-1851

CVE-2022-1897

CVE-2022-1898

CVE-2022-1720

CVE-2022-2000

CVE-2022-2042

CVE-2022-2124

CVE-2022-2125

CVE-2022-2126

VPN

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2022-42828: En anonym forskare

Lades till 1 augusti 2023

Weather

Effekt: En app kanske kan läsa känslig platsinformation

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2022-32875: En anonym forskare

WebKit

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett UAF-fel åtgärdades genom förbättrad minneshantering.

WebKit Bugzilla: 246669
CVE-2022-42826: Francisco Alonso (@revskills)

Lades till 22 december 2022

WebKit

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: ett problem med buffertspill åtgärdades genom förbättrad minneshantering.

WebKit Bugzilla: 241969
CVE-2022-32886: P1umer (@p1umer), afang (@afang5472), xmzyshypnc (@xmzyshypnc1)

WebKit

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)

WebKit

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a) på Theori i samarbete med Trend Micro Zero Day Initiative

WebKit

Effekt: Besök på en skadlig webbplats kan leda till att användargränssnittet förfalskas

Beskrivning: Problemet åtgärdades med förbättrad hantering av användargränssnittet.

WebKit Bugzilla: 243693
CVE-2022-42799: Jihwan Kim (@gPayl0ad), Dohyun Lee (@l33d0hyun)

WebKit

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad minneshantering.

WebKit Bugzilla: 244622
CVE-2022-42823: Dohyun Lee (@l33d0hyun) på SSD Labs

WebKit

Effekt: Bearbetning av skadligt webbinnehåll kan avslöja känslig användarinformation

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

WebKit Bugzilla: 245058
CVE-2022-42824: Abdulrahman Alqabandi på Microsoft Browser Vulnerability Research, Ryan Shin på IAAI SecLab på Korea University och Dohyun Lee (@l33d0hyun) på DNSLab på Korea University

WebKit

Effekt: Bearbetning av skadligt webbinnehåll kan avslöja appens interna tillstånd

Beskrivning: Ett korrekthetsfel i JIT åtgärdades med förbättrade kontroller.

WebKit Bugzilla: 242964
CVE-2022-32923: Wonyoung Jung (@nonetype_pwn) på KAIST Hacking Lab

Posten lades till den 27 oktober 2022

WebKit PDF

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett UAF-fel åtgärdades genom förbättrad minneshantering.

WebKit Bugzilla: 242781
CVE-2022-32922: Yonghwi Jin (@jinmo123) på Theori i samarbete med Trend Micro Zero Day Initiative

WebKit Sandboxing

Effekt: En process i sandlådeläge kan kringgå sandlådebegränsningarna

Beskrivning: Ett åtkomstproblem åtgärdades med förbättringar av sandlådeläget.

WebKit Bugzilla: 243181
CVE-2022-32892: @18楼梦想改造家 och @jq0904 på DBAppSecurity's WeBin lab

WebKit Storage

Effekt: En app kan kringgå inställningar för Integritet

Beskrivning: Problemet åtgärdades genom förbättrad hantering av cache.

CVE-2022-32833: Csaba Fitzl (@theevilbit) på Offensive Security, Jeff Johnson

Lades till 22 december 2022

Wi-Fi

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.

CVE-2022-46709: Wang Yu på Cyberserval

Lades till 16 mars 2023

zlib

Effekt: En användare kan orsaka oväntad avslutning av app eller körning av opålitlig kod

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2022-37434: Evgeny Legerov

CVE-2022-42800: Evgeny Legerov

Posten lades till den 27 oktober 2022

Ytterligare tack

AirPort

Vi vill tacka Joseph Salazar Acuña och Renato Llamoca på Intrado-Life & Safety/Globant för hjälpen.

apache

Vi vill tacka Tricia Lee på Enterprise Service Center för hjälpen.

Lades till 16 mars 2023

AppleCredentialManager

Vi vill tacka @jonathandata1 för hjälpen.

ATS

Vi vill tacka Mickey Jin (@patch1t) för hjälpen.

Lades till 1 augusti 2023

FaceTime

Vi vill tacka en anonym forskare för hjälpen.

FileVault

Vi vill tacka Timothy Perfitt på Twocanoes Software för hjälpen.

Find My

Vi vill tacka en anonym forskare för hjälpen.

Identity Services

Vi vill tacka Joshua Jones för hjälpen.

IOAcceleratorFamily

Vi vill tacka Antonio Zekic (@antoniozekic) för hjälpen.

IOGPUFamily

Vi vill tacka Wang Yu på cyberserval för hjälpen.

Lades till 9 november 2022

Kernel

Vi vill tacka Peter Nguyen på STAR Labs, Tim Michaud (@TimGMichaud) på Moveworks.ai, Tingting Yin vid Tsinghua University och Min Zheng på Ant Group, Tommy Muir (@Muirey03) och en anonym forskare för hjälpen.

Login Window

Vi vill tacka Simon Tang (simontang.dev) för hjälpen.

Lades till 9 november 2022

Mail

Vi vill tacka Taavi Eomäe från Zone Media OÜ och en anonym forskare för hjälpen.

Uppdaterades 21 december 2023

Mail Drafts

Vi vill tacka en anonym forskare för hjälpen.

Networking

Vi vill tacka Tim Michaud (@TimGMichaud) på Zoom Video Communications för hjälpen.

Photo Booth

Vi vill tacka Prashanth Kannan på Dremio för hjälpen.

Quick Look

Vi vill tacka Hilary ”It’s off by a Pixel” Street för hjälpen.

Safari

Vi vill tacka Scott Hatfield från Sub-Zero Group för hjälpen.

Lades till 16 mars 2023

Sandbox

Vi vill tacka Csaba Fitzl (@theevilbit) på Offensive Security för hjälpen.

SecurityAgent

Vi vill tacka Security Team Netservice de Toekomst, en anonym forskare för hjälpen.

Lades till 21 december 2023

smbx

Vi vill tacka HD Moore på runZero Asset Inventory för hjälpen.

System

Vi vill tacka Mickey Jin (@patch1t) på Trend Micro för hjälpen.

System Settings

Vi vill tacka Bjorn Hellenbrand för hjälpen.

UIKit

Vi vill tacka Aleczander Ewing för hjälpen.

WebKit

Vi vill tacka Maddie Stone på Google Project Zero och Narendra Bhati (@imnarendrabhati) på Suma Soft Pvt. Ltd. och en anonym forskare för hjälpen.

WebRTC

Vi vill tacka en anonym forskare för hjälpen.

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.

Publiceringsdatum: 06 juni 2024