macOS Ventura 13'ün güvenlik içeriği hakkında

Bu belgede macOS Ventura 13'ün güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğu durumlarda CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

macOS Ventura 13

Yayınlanma tarihi: 24 Ekim 2022

Accelerate Framework

İlgili ürünler: Mac Studio (2022), Mac Pro (2019 ve sonraki modelleri), MacBook Air (2018 ve sonraki modelleri), MacBook Pro (2017 ve sonraki modelleri), Mac mini (2018 ve sonraki modelleri), iMac (2017 ve sonraki modelleri), MacBook (2017) ve iMac Pro (2017)

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek tüketimi sorunu giderildi.

CVE-2022-42795: ryuzaki

APFS

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Erişim sınırlamaları iyileştirilerek bir erişim sorunu giderildi.

CVE-2022-48577: Offensive Security'den Csaba Fitzl (@theevilbit)

Giriş eklenme tarihi: 21 Aralık 2023

Apple Neural Engine

Etki: Bir uygulama, hassas çekirdek durumunu sızdırabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2022-32858: Mohamed Ghannam (@_simo36)

Apple Neural Engine

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2022-32898: Mohamed Ghannam (@_simo36)

CVE-2022-32899: Mohamed Ghannam (@_simo36)

CVE-2022-46721: Mohamed Ghannam (@_simo36)

CVE-2022-47915: Mohamed Ghannam (@_simo36)

CVE-2022-47965: Mohamed Ghannam (@_simo36)

CVE-2022-32889: Mohamed Ghannam (@_simo36)

Giriş güncellenme tarihi: 21 Aralık 2023

AppleAVD

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2022-32907: Yinyi Wu, ABC Research s.r.o, Google Project Zero'dan Natalie Silvanovich, Tommaso Bianco (@cutesmilee__), Antonio Zekic (@antoniozekic) ve John Aakerblom (@jaakerblom)

Giriş eklenme tarihi: 16 Mart 2023

AppleAVD

Etki: Bir uygulama servis reddine neden olabilir

Açıklama: Durum yönetimi iyileştirilerek bellek bozulması sorunu giderildi.

CVE-2022-32827: Antonio Zekic (@antoniozekic), Google Project Zero'dan Natalie Silvanovich ve anonim bir araştırmacı

AppleMobileFileIntegrity

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Ek sınırlamalar getirilerek bir konfigürasyon sorunu giderildi.

CVE-2022-32877: SecuRing'den Wojciech Reguła (@_r3ggi)

Giriş eklenme tarihi: 16 Mart 2023

AppleMobileFileIntegrity

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Denetimler iyileştirilerek kod imzası doğrulamasındaki bir sorun giderildi.

CVE-2022-42789: FFRI Security, Inc. şirketinden Koh M. Nakagawa

AppleMobileFileIntegrity

Etki: Bir uygulama, dosya sisteminin korumalı bölümlerini değiştirebilir

Açıklama: Ek yetkiler kaldırılarak bu sorun giderildi.

CVE-2022-42825: Mickey Jin (@patch1t)

Assets

Etki: Bir uygulama, dosya sisteminin korumalı bölümlerini değiştirebilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2022-46722: Mickey Jin (@patch1t)

Giriş eklenme tarihi: 1 Ağustos 2023

ATS

Etki: Bir uygulama, Gizlilik tercihlerini atlayabilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2022-32902: Mickey Jin (@patch1t)

ATS

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Ek korumalı alan sınırlamalarıyla bir erişim sorunu giderildi.

CVE-2022-32904: Mickey Jin (@patch1t)

ATS

Etki: Korumalı alandaki bir işlem, korumalı alan sınırlamalarını atlayabilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2022-32890: Mickey Jin (@patch1t)

Audio

Etki: Bir uygulama yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Savunmasız kod kaldırılarak bu sorun giderildi.

CVE-2022-42796: Mickey Jin (@patch1t)

Giriş güncellenme tarihi: 16 Mart 2023

Audio

Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının ayrıştırılması kullanıcı bilgilerinin açığa çıkmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2022-42798: Trend Micro'nun Zero Day Initiative programından anonim bir kişi

Giriş eklenme tarihi: 27 Ekim 2022

AVEVideoEncoder

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Sınır denetimleri iyileştirilerek sorun giderildi.

CVE-2022-32940: ABC Research s.r.o.

Beta Access Utility

Etki: Bir uygulama, dosya sisteminin korumalı bölümlerini değiştirebilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2022-42816: Mickey Jin (@patch1t)

Giriş eklenme tarihi: 21 Aralık 2023

BOM

Etki: Bir uygulama, Gatekeeper kontrollerini atlayabilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2022-42821: Microsoft'tan Jonathan Bar Or

Giriş eklenme tarihi: 13 Aralık 2022

Boot Camp

Etki: Bir uygulama, dosya sisteminin korumalı bölümlerini değiştirebilir

Açıklama: Yetkisiz işlemlerin önlenmesine yönelik denetimler iyileştirilerek bu sorun giderildi.

CVE-2022-42860: Trend Micro'dan Mickey Jin (@patch1t)

Giriş eklenme tarihi: 16 Mart 2023

Calendar

Etki: Bir uygulama, hassas konum bilgilerini okuyabilir

Açıklama: Erişim sınırlamaları iyileştirilerek bir erişim sorunu giderildi.

CVE-2022-42819: Anonim bir araştırmacı

CFNetwork

Etki: Kötü amaçlarla oluşturulmuş bir sertifikanın işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: WKWebView'un işlenmesinde bir sertifika doğrulama sorunu vardı. Doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2022-42813: Open Computing Facility'den (ocf.berkeley.edu) Jonathan Zhang

ColorSync

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: ICC profillerinin işlenmesinde bellek bozulması sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2022-26730: Hoyt LLC'den David Hoyt

Core Bluetooth

Etki: Bir uygulama, eşlenmiş AirPods ile ses kaydı yapabilir

Açıklama: Bir erişim sorunu, üçüncü taraf uygulamalara yönelik ek korumalı alan sınırlamalarıyla giderildi.

CVE-2022-32945: Best Buddy Apps'ten Guilherme Rambo (rambo.codes)

Giriş eklenme tarihi: 9 Kasım 2022

CoreMedia

Etki: Bir kamera uzantısı, etkinleştirilen uygulama kapatıldıktan sonra videoya ulaşmaya devam edebilir

Açıklama: Uygulamaların kamera verilerine erişimiyle ilgili bir sorun, mantık iyileştirilerek giderildi.

CVE-2022-42838: Politepix'ten Halle Winkler (@hallewinkler)

Giriş eklenme tarihi: 22 Aralık 2022

CoreServices

Etki: Bir uygulama, korumalı alanını ihlal edebilir

Açıklama: Ek korumalı alan sınırlamalarıyla bir erişim sorunu giderildi.

CVE-2022-48683: Computest Sector 7'den Thijs Alkemade, SecuRing'den Wojciech Reguła (@_r3ggi) ve Arsenii Kostromin

Giriş eklenme tarihi: 29 Mayıs 2024

CoreTypes

Etki: Kötü amaçlı bir uygulama Gatekeeper denetimlerini atlayabilir

Açıklama: Yetkisiz işlemlerin önlenmesine yönelik denetimler iyileştirilerek bu sorun giderildi.

CVE-2022-22663: Arsenii Kostromin (0x3c3e)

Giriş eklenme tarihi: 16 Mart 2023

Crash Reporter

Etki: Bir iOS aygıtına fiziksel erişimi olan bir kullanıcı, eski tanılama günlüklerini okuyabilir

Açıklama: Veri koruması iyileştirilerek bu sorun giderildi.

CVE-2022-32867: Crowdstrike'tan Kshitij Kumar ve Jai Musunuri

curl

Etki: curl'de birden fazla sorun

Açıklama: curl sürümü 7.84.0'a güncellenerek birden fazla sorun giderildi.

CVE-2022-32205

CVE-2022-32206

CVE-2022-32207

CVE-2022-32208

Directory Utility

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2022-42814: MacPaw Inc. şirketinden Sergii Kryvoblotskyi

DriverKit

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2022-32865: Pinauten GmbH'den (pinauten.de) Linus Henze

DriverKit

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Denetimler iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.

CVE-2022-32915: Tommy Muir (@Muirey03)

Exchange

Etki: Ayrıcalıklı ağ konumundaki bir kullanıcı, posta kimlik bilgilerini ele geçirebilir

Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.

CVE-2022-32928: Check Point Research'ten Jiří Vinopal (@vinopaljiri)

Giriş güncellenme tarihi: 16 Mart 2023

FaceTime

Etki: Bir kullanıcı, FaceTime aramasında farkında olmadan ses ve görüntü gönderebilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2022-22643: Virginia Üniversitesi'nden Sonali Luthar, Urbana-Champaign'deki Illinois Üniversitesi'nden Michael Liao, Rutgers Üniversitesi'nden Rohan Pahwa ve Florida Üniversitesi'nden Bao Nguyen

Giriş eklenme tarihi: 16 Mart 2023

FaceTime

Etki: Kullanıcı kilitli ekrandan sınırlanmış içerikleri görüntüleyebilir

Açıklama: Durum yönetimi iyileştirilerek bir kilitli ekran sorunu giderildi.

CVE-2022-32935: Bistrit Dahal

Giriş eklenme tarihi: 27 Ekim 2022

Find My

Etki: Kötü amaçlı bir uygulama, hassas konum bilgilerini okuyabilir

Açıklama: Bir izin sorunu vardı. İzin doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2022-42788: Offensive Security'den Csaba Fitzl (@theevilbit), SecuRing'den Wojciech Reguła (wojciechregula.blog)

Find My

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Önbelleklerin işlenmesi iyileştirilerek sorun giderildi.

CVE-2022-48504: Offensive Security'den Csaba Fitzl (@theevilbit)

Giriş eklenme tarihi: 21 Aralık 2023

Finder

Etki: Kötü amaçlarla oluşturulmuş bir DMG dosyasının işlenmesi, sistem ayrıcalıklarıyla rastgele kod yürütülmesine neden olabilir

Açıklama: Sembolik bağlantıların doğrulaması iyileştirilerek bu sorun giderildi.

CVE-2022-32905: BreakPoint Technologies LTD şirketinden (breakpoint.sh) Ron Masas

GPU Drivers

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2022-42833: Pan ZhenPeng (@Peterpan0927)

Giriş eklenme tarihi: 22 Aralık 2022

GPU Drivers

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2022-32947: Asahi Lina (@LinaAsahi)

Grapher

Etki: Kötü amaçlarla oluşturulmuş bir gcx dosyasının işlenmesi, uygulamanın beklenmedik şekilde sona ermesine veya rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2022-42809: Yutao Wang (@Jack) ve Yu Zhou (@yuzhou6666)

Heimdal

Etki: Bir kullanıcı, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2022-3437: Intevydis'ten Evgeny Legerov

Giriş eklenme tarihi: 25 Ekim 2022

iCloud Photo Library

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Savunmasız kod kaldırılarak, bilgilerin açığa çıkması sorunu giderildi.

CVE-2022-32849: Joshua Jones

Giriş eklenme tarihi: 9 Kasım 2022

Image Processing

Etki: Korumalı alandaki bir uygulama, o anda kamerayı hangi uygulamanın kullandığını belirleyebilir

Açıklama: Uygulama durumlarının gözlemlenebilirliğine ek sınırlamalar getirilerek sorun giderildi.

CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)

ImageIO

Etki: Bir görüntünün işlenmesi servis reddine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2022-32809: Mickey Jin (@patch1t)

Giriş eklenme tarihi: 1 Ağustos 2023

ImageIO

Etki: Bir görüntünün işlenmesi servis reddine neden olabilir

Açıklama: Doğrulama işlemi iyileştirilerek bir servis reddi sorunu giderildi.

CVE-2022-1622

Intel Graphics Driver

Etki: Bir uygulama, çekirdek belleğini açığa çıkarabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2022-32936: Antonio Zekic (@antoniozekic)

IOHIDFamily

Etki: Bir uygulama, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Durum yönetimi iyileştirilerek bellek bozulması sorunu giderildi.

CVE-2022-42820: STAR Labs'den Peter Pan ZhenPeng

IOKit

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Kilitleme iyileştirilerek bir yarış durumu giderildi.

CVE-2022-42806: Tsinghua Üniversitesi'nden Tingting Yin

Kernel

Etki: Bir uygulama, çekirdek belleğini açığa çıkarabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2022-32864: Pinauten GmbH'den (pinauten.de) Linus Henze

Kernel

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2022-32866: Pinauten GmbH'den (pinauten.de) Linus Henze

CVE-2022-32911: Kunlun Lab'den Zweig

CVE-2022-32924: Google Project Zero'dan Ian Beer

Kernel

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2022-32914: Kunlun Lab'den Zweig

Kernel

Etki: Uzaktaki bir kullanıcı çekirdek kodunun yürütülmesine neden olabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.

CVE-2022-42808: Kunlun Lab'den Zweig

Kernel

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Durum yönetimi iyileştirilerek bellek bozulması sorunu giderildi.

CVE-2022-32944: Moveworks.ai'den Tim Michaud (@TimGMichaud)

Giriş eklenme tarihi: 27 Ekim 2022

Kernel

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Kilitleme iyileştirilerek bir yarış durumu giderildi.

CVE-2022-42803: Pangu Lab'den Xinru Chi, John Aakerblom (@jaakerblom)

Giriş eklenme tarihi: 27 Ekim 2022

Kernel

Etki: Kök ayrıcalıklarına sahip bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Sınır denetimleri iyileştirilerek sorun giderildi.

CVE-2022-32926: Moveworks.ai'den Tim Michaud (@TimGMichaud)

Giriş eklenme tarihi: 27 Ekim 2022

Kernel

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2022-42801: Google Project Zero'dan Ian Beer

Giriş eklenme tarihi: 27 Ekim 2022

Kernel

Etki: Bir uygulama, sistemin beklenmedik şekilde sonlandırılmasına neden olabilir veya çekirdek ayrıcalıklarıyla kod yürütebilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2022-46712: Tommy Muir (@Muirey03)

Giriş eklenme tarihi: 20 Şubat 2023

Mail

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Veri koruması iyileştirilerek bu sorun giderildi.

CVE-2022-42815: Offensive Security'den Csaba Fitzl (@theevilbit)

Mail

Etki: Bir uygulama, sıkıştırma sırasında kullanılan geçici bir dizin aracılığıyla posta klasörü eklerine erişebilir

Açıklama: Erişim sınırlamaları iyileştirilerek bir erişim sorunu giderildi.

CVE-2022-42834: SecuRing'den Wojciech Reguła (@_r3ggi)

Giriş eklenme tarihi: 1 Mayıs 2023

Maps

Etki: Bir uygulama, hassas konum bilgilerini okuyabilir

Açıklama: Hassas bilgilerle ilgili sınırlamalar iyileştirilerek bu sorun giderildi.

CVE-2022-46707: Offensive Security'den Csaba Fitzl (@theevilbit)

Giriş eklenme tarihi: 1 Ağustos 2023

Maps

Etki: Bir uygulama, hassas konum bilgilerini okuyabilir

Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.

CVE-2022-32883: breakpointhq.com'dan Ron Masas

MediaLibrary

Etki: Kullanıcılar ayrıcalıkları yükseltebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2022-32908: anonim bir araştırmacı

Model I/O

Etki: Kötü amaçlarla oluşturulmuş bir USD dosyasının işlenmesi bellek içeriğinin açığa çıkmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2022-42810: Xingwei Lin (@xwlin_roy) ve Ant Security Light-Year Lab'den Yinyi Wu

Giriş eklenme tarihi: 27 Ekim 2022

ncurses

Etki: Bir kullanıcı, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Sınır denetimi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2021-39537

ncurses

Etki: Kötü amaçla geliştirilmiş bir dosyasının işlenmesi, servis reddine veya potansiyel olarak bellek içeriğinin açığa çıkmasına neden olabilir

Açıklama: Doğrulama işlemi iyileştirilerek bir servis reddi sorunu giderildi.

CVE-2022-29458

Notes

Etki: Ayrıcalıklı ağ konumundaki bir kullanıcı, kullanıcı etkinliğini takip edebilir

Açıklama: Veri koruması iyileştirilerek bu sorun giderildi.

CVE-2022-42818: WithSecure'dan Gustav Hansen

Notifications

Etki: Aygıta fiziksel erişimi olan bir kullanıcı, kilitli ekrandan kişilere erişebilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2022-32879: Ubeydullah Sümer

PackageKit

Etki: Bir uygulama, dosya sisteminin korumalı bölümlerini değiştirebilir

Açıklama: Durum yönetimi iyileştirilerek yarış durumu giderildi.

CVE-2022-32895: Trend Micro'dan Mickey Jin (@patch1t), Mickey Jin (@patch1t)

PackageKit

Etki: Bir uygulama, dosya sisteminin korumalı bölümlerini değiştirebilir

Açıklama: Ek doğrulama ile bir yarış durumu sorunu giderildi.

CVE-2022-46713: Trend Micro'dan Mickey Jin (@patch1t)

Giriş eklenme tarihi: 20 Şubat 2023

Photos

Etki: Kullanıcı, Delete tuşuna basarak yanlışlıkla bir Paylaşılan Albüme katılımcı ekleyebilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2022-42807: Ezekiel Elin

Giriş eklenme tarihi: 1 Mayıs 2023, güncellenme tarihi: 1 Ağustos 2023

Photos

Etki: Bir uygulama, Gizlilik tercihlerini atlayabilir

Açıklama: Veri koruması iyileştirilerek bu sorun giderildi.

CVE-2022-32918: Nagarro Software Pvt. Ltd. şirketinden Ashwani Rajput, The Hack Report'tan Srijan Shivam Mishra, Aastha Technologies'ten Jugal Goradia, Invalid Web Security'den Evan Ricafort (evanricafort.com), Shesha Sai C (linkedin.com/in/shesha-sai-c-18585b125) ve Hindistan'ın Pune şehrinden Amod Raghunath Patwardhan

Giriş güncellenme tarihi: 16 Mart 2023

ppp

Etki: Kök ayrıcalıklarına sahip bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2022-42829: Anonim bir araştırmacı

ppp

Etki: Kök ayrıcalıklarına sahip bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2022-42830: Anonim bir araştırmacı

ppp

Etki: Kök ayrıcalıklarına sahip bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Kilitleme iyileştirilerek bir yarış durumu giderildi.

CVE-2022-42831: Anonim bir araştırmacı

CVE-2022-42832: Anonim bir araştırmacı

ppp

Etki: Arabellek taşması, rastgele kod yürütülmesine neden olabilir

Açıklama: Sınır denetimleri iyileştirilerek sorun giderildi.

CVE-2022-32941: Anonim bir araştırmacı

Giriş eklenme tarihi: 27 Ekim 2022

Ruby

Etki: Uzaktaki bir kullanıcı uygulamanın beklenmedik bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Ruby sürüm 2.6.10'a güncellenerek bir bellek bozulması sorunu giderildi.

CVE-2022-28739

Sandbox

Etki: Bir uygulama, dosya sisteminin korumalı bölümlerini değiştirebilir

Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.

CVE-2022-32881: Offensive Security'den Csaba Fitzl (@theevilbit)

Sandbox

Etki: Kök ayrıcalıklarına sahip bir uygulama gizli bilgilere erişebilir

Açıklama: Veri koruması iyileştirilerek bu sorun giderildi.

CVE-2022-32862: University of Illinois Urbana-Champaign'den Rohit Chatterjee

CVE-2022-32931: Anonim bir araştırmacı

Giriş güncellenme tarihi: 16 Mart 2023, güncellenme tarihi: 21 Aralık 2023

Sandbox

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Ek korumalı alan sınırlamalarıyla bir erişim sorunu giderildi.

CVE-2022-42811: Snowflake'ten Justin Bui (@slyd0g)

Security

Etki: Bir uygulama kod imzalama kontrollerini atlayabilir

Açıklama: Denetimler iyileştirilerek kod imzası doğrulamasındaki bir sorun giderildi.

CVE-2022-42793: Pinauten GmbH'den (pinauten.de) Linus Henze

Shortcuts

Etki: Bir kestirme, gizli fotoğraflar albümünü kimlik doğrulama olmadan görüntüleyebilir

Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.

CVE-2022-32876: anonim bir araştırmacı

Giriş eklenme tarihi: 1 Ağustos 2023

Shortcuts

Etki: Bir kestirme, dosya sisteminde rastgele bir yolun varlığını kontrol edebilir

Açıklama: Yol doğrulaması iyileştirilerek, dizin yollarının işlenmesindeki bir ayrıştırma sorunu giderildi.

CVE-2022-32938: Tudor Vianu National High School of Computer Science'dan Cristian Dinca. Romanya

Sidecar

Etki: Kullanıcı kilitli ekrandan sınırlanmış içerikleri görüntüleyebilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2022-42790: Zaprico Digital'dan Om kothawade

Siri

Etki: Aygıta fiziksel erişimi olan bir kullanıcı, bazı arama geçmişi bilgilerini edinmek için Siri'yi kullanabilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2022-32870: Austin'deki Teksas Üniversitesi, McCombs İşletme Fakültesi'nden Andrew Goldberg (linkedin.com/in/andrew-goldberg-/)

SMB

Etki: Uzaktaki bir kullanıcı çekirdek kodunun yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2022-32934: Felix Poulin-Belanger

Software Update

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Durum yönetimi iyileştirilerek yarış durumu giderildi.

CVE-2022-42791: Trend Micro'dan Mickey Jin (@patch1t)

SQLite

Etki: Uzaktaki bir kullanıcı, servis reddine neden olabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2021-36690

System Settings

Etki: Bir uygulama, dosya sisteminin korumalı bölümlerini değiştirebilir

Açıklama: Veri koruması iyileştirilerek bu sorun giderildi.

CVE-2022-48505: TrustedSec'ten Adam Chester ve Computest Sector 7'den Thijs Alkemade (@xnyhps)

Giriş eklenme tarihi: 26 Haziran 2023

TCC

Etki: Bir uygulama, Uç Nokta Güvenliği istemcileri için servis reddine yol açabilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2022-26699: Offensive Security'den Csaba Fitzl (@theevilbit)

Giriş eklenme tarihi: 1 Ağustos 2023

Vim

Etki: Vim'de birden fazla sorun

Açıklama: Vim güncellenerek birden fazla sorun giderildi.

CVE-2022-0261

CVE-2022-0318

CVE-2022-0319

CVE-2022-0351

CVE-2022-0359

CVE-2022-0361

CVE-2022-0368

CVE-2022-0392

CVE-2022-0554

CVE-2022-0572

CVE-2022-0629

CVE-2022-0685

CVE-2022-0696

CVE-2022-0714

CVE-2022-0729

CVE-2022-0943

CVE-2022-1381

CVE-2022-1420

CVE-2022-1725

CVE-2022-1616

CVE-2022-1619

CVE-2022-1620

CVE-2022-1621

CVE-2022-1629

CVE-2022-1674

CVE-2022-1733

CVE-2022-1735

CVE-2022-1769

CVE-2022-1927

CVE-2022-1942

CVE-2022-1968

CVE-2022-1851

CVE-2022-1897

CVE-2022-1898

CVE-2022-1720

CVE-2022-2000

CVE-2022-2042

CVE-2022-2124

CVE-2022-2125

CVE-2022-2126

VPN

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2022-42828: anonim bir araştırmacı

Giriş eklenme tarihi: 1 Ağustos 2023

Weather

Etki: Bir uygulama, hassas konum bilgilerini okuyabilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2022-32875: Anonim bir araştırmacı

WebKit

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

WebKit Bugzilla: 246669
CVE-2022-42826: Francisco Alonso (@revskills)

Giriş eklenme tarihi: 22 Aralık 2022

WebKit

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir arabellek taşması sorunu giderildi.

WebKit Bugzilla: 241969
CVE-2022-32886: P1umer (@p1umer), afang (@afang5472), xmzyshypnc (@xmzyshypnc1)

WebKit

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında yazma sorunu giderildi.

WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)

WebKit

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

WebKit Bugzilla: 242762
CVE-2022-32912: Theori'den Jeonghoon Shin (@singi21a) (Trend Micro'nun Zero Day Initiative programıyla)

WebKit

Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi kullanıcı arabirimi sahteciliğine yol açabilir

Açıklama: Kullanıcı arabiriminin işlenmesi iyileştirilerek sorun giderildi.

WebKit Bugzilla: 243693
CVE-2022-42799: Jihwan Kim (@gPayl0ad), Dohyun Lee (@l33d0hyun)

WebKit

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.

WebKit Bugzilla: 244622
CVE-2022-42823: SSD Labs'den Dohyun Lee (@l33d0hyun)

WebKit

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, gizli kullanıcı bilgilerini açığa çıkarabilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

WebKit Bugzilla: 245058
CVE-2022-42824: Microsoft Browser Vulnerability Research'ten Abdulrahman Alqabandi, Kore Üniversitesindeki IAAI SecLab'den Ryan Shin, Kore Üniversitesindeki DNSLab'den Dohyun Lee (@l33d0hyun)

WebKit

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, uygulamanın dahili durumlarının açığa çıkmasına yol açabilir

Açıklama: Denetimler iyileştirilerek JIT'deki bir doğruluk sorunu giderildi.

WebKit Bugzilla: 242964
CVE-2022-32923: KAIST Hacking Lab'den Wonyoung Jung (@nonetype_pwn)

Giriş eklenme tarihi: 27 Ekim 2022

WebKit PDF

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

WebKit Bugzilla: 242781
CVE-2022-32922: Theori'den Yonghwi Jin (@jinmo123) (Trend Micro'nun Zero Day Initiative programıyla)

WebKit Sandboxing

Etki: Korumalı alandaki bir işlem, korumalı alan sınırlamalarını atlayabilir

Açıklama: Korumalı alanda iyileştirmeler yapılarak erişim sorunu giderildi.

WebKit Bugzilla: 243181
CVE-2022-32892: DBAppSecurity's WeBin lab'den @18楼梦想改造家 ve @jq0904

WebKit Storage

Etki: Bir uygulama, Gizlilik tercihlerini atlayabilir

Açıklama: Önbelleklerin işlenmesi iyileştirilerek sorun giderildi.

CVE-2022-32833: Offensive Security'den Csaba Fitzl (@theevilbit), Jeff Johnson

Giriş eklenme tarihi: 22 Aralık 2022

Wi-Fi

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Durum yönetimi iyileştirilerek bellek bozulması sorunu giderildi.

CVE-2022-46709: Cyberserval'dan Wang Yu

Giriş eklenme tarihi: 16 Mart 2023

zlib

Etki: Bir kullanıcı, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2022-37434: Evgeny Legerov

CVE-2022-42800: Evgeny Legerov

Giriş eklenme tarihi: 27 Ekim 2022

Ek teşekkür listesi

AirPort

Intrado-Life & Safety/Globant'tan Joseph Salazar Acuña ve Renato Llamoca'ya yardımları için teşekkür ederiz.

apache

Enterprise Service Center'dan Tricia Lee'ye yardımı için teşekkür ederiz.

Giriş eklenme tarihi: 16 Mart 2023

AppleCredentialManager

@jonathandata1'a yardımı için teşekkür ederiz.

ATS

Mickey Jin'e (@patch1t) yardımı için teşekkür ederiz.

Giriş eklenme tarihi: 1 Ağustos 2023

FaceTime

Anonim bir araştırmacıya yardımı için teşekkür ederiz.

FileVault

Twocanoes Software'den Timothy Perfitt'e yardımı için teşekkür ederiz.

Find My

Anonim bir araştırmacıya yardımı için teşekkür ederiz.

Identity Services

Joshua Jones'a yardımı için teşekkür ederiz.

IOAcceleratorFamily

Antonio Zekic'e (@antoniozekic) yardımı için teşekkür ederiz.

IOGPUFamily

Cyberserval'dan Wang Yu'ya yardımı için teşekkür ederiz.

Giriş eklenme tarihi: 9 Kasım 2022

Kernel

STAR Labs'ten Peter Nguyen'e, Moveworks.ai'den Tim Michaud'a (@TimGMichaud), Tsinghua Üniversitesi'nden Tingting Yin'e, Ant Group'tan Min Zheng'e, Tommy Muir'e (@Muirey03) ve anonim bir araştırmacıya yardımları için teşekkür ederiz.

Login Window

Simon Tang'e (simontang.dev) yardımı için teşekkür ederiz.

Giriş eklenme tarihi: 9 Kasım 2022

Mail

Zone Media OÜ şirketinden Taavi Eomäe'ya ve anonim bir araştırmacıya yardımları için teşekkür ederiz.

Giriş güncellenme tarihi: 21 Aralık 2023

Mail Drafts

Anonim bir araştırmacıya yardımı için teşekkür ederiz.

Networking

Zoom Video Communications'tan Tim Michaud'a (@TimGMichaud) yardımı için teşekkür ederiz.

Photo Booth

Dremio'dan Prashanth Kannan'a yardımı için teşekkür ederiz.

Quick Look

Hilary “It’s off by a Pixel” Street'e yardımı için teşekkür ederiz.

Safari

Sub-Zero Group'tan Scott Hatfield'a yardımı için teşekkür ederiz.

Giriş eklenme tarihi: 16 Mart 2023

Sandbox

Offensive Security'den Csaba Fitzl'e (@theevilbit) yardımı için teşekkür ederiz.

SecurityAgent

Netservice de Toekomst Güvenlik Ekibi'ne ve anonim bir araştırmacıya yardımları için teşekkür ederiz.

Giriş eklenme tarihi: 21 Aralık 2023

smbx

runZero Asset Inventory'den HD Moore'a yardımı için teşekkür ederiz.

Sistem

Trend Micro'dan Mickey Jin'e (@patch1t) yardımı için teşekkür ederiz.

System Settings

Bjorn Hellenbrand'e yardımı için teşekkür ederiz.

UIKit

Aleczander Ewing'e yardımı için teşekkür ederiz.

WebKit

Google Project Zero'dan Maddie Stone'a ve Suma Soft Pvt. Ltd. şirketinden Narendra Bhati'ye (@imnarendrabhati) ve anonim bir araştırmacıya yardımları için teşekkür ederiz.

WebRTC

Anonim bir araştırmacıya yardımı için teşekkür ederiz.

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: 6 Haziran 2024