Відомості про оновлення системи безпеки Apple
Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски див. на сторінці Оновлення системи безпеки Apple.
Документи про безпеку Apple класифікують вразливості за кодами CVE-ID, коли це можливо.
Щоб отримати додаткову інформацію про безпеку, див. сторінку Безпека продуктів Apple.
macOS Ventura 13
Дата випуску: 24 жовтня 2022 р.
Accelerate Framework
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: обробка шкідливого зображення може призводити до виконання довільного коду.
Опис: проблему з використанням пам’яті вирішено шляхом поліпшення обробки звернень до пам’яті.
CVE-2022-42795: користувач ryuzaki
APFS
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему вирішено завдяки вдосконаленню обмежень доступу.
CVE-2022-48577: Csaba Fitzl (@theevilbit) з Offensive Security
Запис додано 21 грудня 2023 р.
Apple Neural Engine
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може спричинити витік конфіденційної інформації про стан ядра.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2022-32858: Мохамед Ганнам (Mohamed Ghannam, @_simo36)
Apple Neural Engine
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2022-32898: Мохамед Ганнам (Mohamed Ghannam, @_simo36)
CVE-2022-32899: Мохамед Ганнам (Mohamed Ghannam, @_simo36)
CVE-2022-46721: Mohamed Ghannam (@_simo36)
CVE-2022-47915: Mohamed Ghannam (@_simo36)
CVE-2022-47965: Mohamed Ghannam (@_simo36)
CVE-2022-32889: Мохамед Ганнам (Mohamed Ghannam, @_simo36)
Запис оновлено 21 грудня 2023 р.
AppleAVD
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: цю проблему вирішено завдяки вдосконаленню перевірок.
CVE-2022-32907: Іньї Ву (Yinyi Wu), ABC Research s.r.o, Наталі Сільванович (Natalie Silvanovich) із Google Project Zero, Томмазо Б’янко (Tommaso Bianco, @cutesmilee__), Антоніо Зекіч (Antonio Zekic, @antoniozekic) та Джон Акерблом (John Aakerblom, @jaakerblom).
Запис додано 16 березня 2023 р.
AppleAVD
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може спричинити відмову в обслуговуванні.
Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки вдосконаленню керування станами.
CVE-2022-32827: Антоніо Зекіч (Antonio Zekic, @antoniozekic), Наталі Сільванович (Natalie Silvanovich) із Google Project Zero та анонімний дослідник
AppleMobileFileIntegrity
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з конфігурацією вирішено шляхом додаткових обмежень.
CVE-2022-32877: Войцех Регула (Wojciech Reguła, @_r3ggi) із SecuRing
Запис додано 16 березня 2023 р.
AppleMobileFileIntegrity
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з перевіркою підпису коду вирішено завдяки поліпшенню перевірок.
CVE-2022-42789: Кох М. Накагава (Koh M. Nakagawa) з FFRI Security, Inc.
AppleMobileFileIntegrity
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може змінювати захищені частини файлової системи.
Опис: проблему вирішено завдяки видаленню додаткових дозволів.
CVE-2022-42825: Міккі Джин (Mickey Jin, @patch1t)
Assets
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може змінювати захищені частини файлової системи.
Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.
CVE-2022-46722: Міккі Джин (Mickey Jin, @patch1t)
Запис додано 1 серпня 2023 р.
ATS
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може обходити параметри приватності.
Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.
CVE-2022-32902: Міккі Джин (Mickey Jin, @patch1t)
ATS
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з доступом вирішено завдяки додатковим обмеженням ізольованого програмного середовища.
CVE-2022-32904: Міккі Джин (Mickey Jin, @patch1t)
ATS
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: певний процес в ізольованому програмному середовищі може обходити обмеження цього середовища.
Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.
CVE-2022-32890: Міккі Джин (Mickey Jin, @patch1t)
Audio
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може отримувати вищий рівень привілеїв.
Опис: проблему вирішено шляхом видалення вразливого коду.
CVE-2022-42796: Міккі Джин (Mickey Jin, @patch1t)
Запис оновлено 16 березня 2023 р.
Audio
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: аналіз шкідливого аудіофайлу може призводити до розголошення інформації про користувача.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2022-42798: анонімний користувач, що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative
Запис додано 27 жовтня 2022 р.
AVEVideoEncoder
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему вирішено завдяки вдосконаленню перевірки меж.
CVE-2022-32940: ABC Research s.r.o.
Beta Access Utility
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може змінювати захищені частини файлової системи.
Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.
CVE-2022-42816: Mickey Jin (@patch1t)
Запис додано 21 грудня 2023 р.
BOM
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може обходити перевірки Gatekeeper.
Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.
CVE-2022-42821: Джонатан Бар Ор (Jonathan Bar Or) з Microsoft.
Запис додано 12 грудня 2022 р.
Boot Camp
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може змінювати захищені частини файлової системи.
Опис: цю проблему усунено завдяки поліпшенню перевірок для запобігання несанкціонованим діям.
CVE-2022-42860: Мікі Джин (Mickey Jin, @patch1t) з Trend Micro
Запис додано 16 березня 2023 р.
Calendar
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може отримувати доступ до конфіденційних даних про геопозицію.
Опис: проблему вирішено завдяки вдосконаленню обмежень доступу.
CVE-2022-42819: анонімний дослідник
CFNetwork
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: обробка шкідливого сертифіката може призводити до виконання довільного коду.
Опис: під час обробки WKWebView виникала проблема з перевіркою сертифіката. Цю проблему усунуто завдяки поліпшенню перевірки.
CVE-2022-42813: Джонатан Чжан (Jonathan Zhang) з Open Computing Facility (ocf.berkeley.edu)
ColorSync
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: обробка шкідливого зображення може призводити до виконання довільного коду.
Опис: під час обробки профілів ICC виникала проблема з пошкодженням даних у пам’яті. Цю проблему вирішено завдяки вдосконаленню перевірки вводу.
CVE-2022-26730: Девід Хойт (David Hoyt) із Hoyt LLC
Core Bluetooth
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: за допомогою програми можна записувати аудіо з підключеними навушниками AirPods
Опис: проблему з доступом усунуто за допомогою додаткових обмежень ізольованого програмного середовища в сторонніх програмах.
CVE-2022-32945: Гільєрме Рамбо (Guilherme Rambo) з Best Buddy Apps (rambo.codes)
Запис додано 9 листопада 2022 р.
CoreMedia
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Наслідки: розширення камери може й надалі отримувати відео після закриття активованої програми
Опис: проблему з доступом програми до даних камери вирішено за допомогою покращення логіки.
CVE-2022-42838: Галле Вінклер (Halle Winkler) з Politepix (@hallewinkler)
Запис додано 22 грудня 2022 р.
CoreTypes
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: шкідлива програма може обходити перевірки Gatekeeper.
Опис: цю проблему усунено завдяки поліпшенню перевірок для запобігання несанкціонованим діям.
CVE-2022-22663: Arsenii Kostromin (0x3c3e)
Запис додано 16 березня 2023 р.
Crash Reporter
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: особа з фізичним доступом до пристрою iOS може читати минулі журнали діагностики.
Опис: цю проблему вирішено завдяки вдосконаленню захисту даних.
CVE-2022-32867: Кшитідж Кумар (Kshitij Kumar) і Джай Мусунурі (Jai Musunuri) з Crowdstrike
curl
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: виявлено кілька проблем у curl.
Опис: численні проблеми вирішено шляхом оновлення curl до версії 7.84.0.
CVE-2022-32205
CVE-2022-32206
CVE-2022-32207
CVE-2022-32208
Directory Utility
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.
CVE-2022-42814: Сергій Кривоблоцький (Sergii Kryvoblotskyi) з MacPaw Inc.
DriverKit
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2022-32865: Лінус Генце (Linus Henze) з Pinauten GmbH (pinauten.de)
DriverKit
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему з переплутуванням типів вирішено завдяки вдосконаленню перевірок.
CVE-2022-32915: Томмі М’юр (Tommy Muir, @Muirey03)
Exchange
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: користувач із привілейованим положенням у мережі може перехоплювати облікові дані електронної пошти.
Опис: проблему з логікою вирішено завдяки поліпшенню обмежень.
CVE-2022-32928: Іржі Вінопал (Jiří Vinopal, @vinopaljiri) з Check Point Research
Запис оновлено 16 березня 2023 р.
FaceTime
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: користувач може надсилати відео й аудіо під час виклику FaceTime, не знаючи про це.
Опис: цю проблему вирішено завдяки вдосконаленню перевірок.
CVE-2022-22643: Соналі Лутар (Sonali Luthar) з Університету Вірджинії, Майкл Ляо (Michael Liao) з Університету Іллінойсу — Urbana-Champaign, Рохан Пахва (Rohan Pahwa) з Університету Rutgers і Бао Нгуєн (Bao Nguyen) з Університету Флориди
Запис додано 16 березня 2023 р.
FaceTime
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: користувач може переглядати обмежений вміст із заблокованого екрана.
Опис: проблему із заблокованим екраном вирішено завдяки поліпшенню керування станами.
CVE-2022-32935: Бістріт Дахал (Bistrit Dahal)
Запис додано 27 жовтня 2022 р.
Find My
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: шкідлива програма може отримувати доступ до конфіденційних даних про геопозицію.
Опис: існувала проблема з дозволами. Цю проблему було усунено завдяки поліпшенню перевірки дозволів.
CVE-2022-42788: Чаба Фіцль (Csaba Fitzl, @theevilbit) з Offensive Security, Войцех Регула (Wojciech Reguła) із SecuRing (wojciechregula.blog)
Find My
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: цю проблему вирішено завдяки вдосконаленню обробки кешу.
CVE-2022-48504: Csaba Fitzl (@theevilbit) з Offensive Security
Запис додано 21 грудня 2023 р.
Finder
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: обробка шкідливого файлу DMG може призвести до виконання довільного коду із системними привілеями.
Опис: проблему усунено завдяки поліпшенню перевірки символьних посилань.
CVE-2022-32905: Рон Масас (Ron Masas) з BreakPoint Technologies LTD
GPU Drivers
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему з читанням за межами виділеної області пам’яті усунено завдяки вдосконаленню перевірки вводу.
CVE-2022-42833: Пань Чженьпен (Pan ZhenPeng, @Peterpan0927)
Запис додано 22 грудня 2022 р.
GPU Drivers
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2022-32947: Асахі Ліна (Asahi Lina, @LinaAsahi)
Grapher
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: обробка шкідливого файлу gcx може призводити до несподіваного завершення роботи програми або виконання довільного коду.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2022-42809: Ютао Вонг (Yutao Wang, @Jack) і Юй Чжоу (Yu Zhou, @yuzhou6666)
Heimdal
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: користувач може спричинити несподіване завершення роботи програми або виконання довільного коду.
Опис: цю проблему вирішено завдяки вдосконаленню перевірок.
CVE-2022-3437: Євгеній Легеров (Evgeny Legerov) з Intevydis
Запис додано 25 жовтня 2022 р.
iCloud Photo Library
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему витоку інформації вирішено шляхом видалення вразливого коду.
CVE-2022-32849: Джошуа Джонс (Joshua Jones)
Запис додано 9 листопада 2022 р.
Image Processing
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма в ізольованому середовищі може визначити, яка програма зараз використовує камеру.
Опис: проблему вирішено шляхом додаткових обмежень щодо спостережуваності станів програми.
CVE-2022-32913: Йігіт Кан Йилмаз (Yiğit Can YILMAZ, @yilmazcanyigit)
ImageIO
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: обробка зображення може призвести до відмови в обслуговуванні.
Опис: проблему з читанням за межами виділеної області пам’яті усунено завдяки вдосконаленню перевірки вводу.
CVE-2022-32809: Міккі Джин (Mickey Jin, @patch1t)
Запис додано 1 серпня 2023 р.
ImageIO
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: обробка зображення може призвести до відмови в обслуговуванні.
Опис: проблему відмови в обслуговуванні вирішено завдяки вдосконаленню перевірки.
CVE-2022-1622
Intel Graphics Driver
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може розкривати дані з пам’яті ядра.
Опис: проблему з читанням за межами виділеної області пам’яті усунено завдяки вдосконаленню перевірки вводу.
CVE-2022-32936: Антоніо Зекіч (Antonio Zekic, @antoniozekic)
IOHIDFamily
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може спричинити неочікуване завершення роботи програми або виконання довільного коду.
Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки вдосконаленню керування станами.
CVE-2022-42820: Пітер Пань Чженьпен (Peter Pan ZhenPeng) зі STAR Labs
IOKit
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему з виникненням умови змагання вирішено завдяки вдосконаленню блокування.
CVE-2022-42806: Тінджинь Інь (Tingting Yin) з Університету Цінхуа
Kernel
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може розкривати дані з пам’яті ядра.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2022-32864: Лінус Генце (Linus Henze) з Pinauten GmbH (pinauten.de)
Kernel
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2022-32866: Лінус Генце (Linus Henze) з Pinauten GmbH (pinauten.de)
CVE-2022-32911: користувач Zweig із Kunlun Lab
CVE-2022-32924: Ієн Бір (Ian Beer) з Google Project Zero
Kernel
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: покращене керування пам’яттю усунуло проблему Use-After-Free.
CVE-2022-32914: користувач Zweig із Kunlun Lab
Kernel
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: віддалений користувач може спричинити виконання коду в ядрі.
Опис: проблему із записуванням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.
CVE-2022-42808: користувач Zweig із Kunlun Lab
Kernel
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки вдосконаленню керування станами.
CVE-2022-32944: Тім Мішо (Tim Michaud, @TimGMichaud) з Moveworks.ai
Запис додано 27 жовтня 2022 р.
Kernel
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може виконувати довільний код із привілеями ядра
Опис: проблему з виникненням умови змагання вирішено завдяки вдосконаленню блокування.
CVE-2022-42803: Сіньжу Чи (Xinru Chi) з Pangu Lab, Джон Акерблом (John Aakerblom, @jaakerblom)
Запис додано 27 жовтня 2022 р.
Kernel
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма з правами кореневого користувача може виконувати довільний код із привілеями ядра.
Опис: проблему вирішено завдяки вдосконаленню перевірки меж.
CVE-2022-32926: Тім Мішо (Tim Michaud, @TimGMichaud) з Moveworks.ai
Запис додано 27 жовтня 2022 р.
Kernel
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.
CVE-2022-42801: Ієн Бір (Ian Beer) з Google Project Zero
Запис додано 27 жовтня 2022 р.
Kernel
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може спричинити несподіване завершення роботи системи або потенційно виконати код із привілеями ядра.
Опис: проблему Use-After-Free вирішено завдяки вдосконаленню керування пам’яттю.
CVE-2022-46712: Томмі М’юр (Tommy Muir, @Muirey03)
Запис додано 20 лютого 2023 р.
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: цю проблему вирішено завдяки вдосконаленню захисту даних.
CVE-2022-42815: Чаба Фіцль (Csaba Fitzl, @theevilbit) з Offensive Security
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може отримувати доступ до вкладень у папці пошти через тимчасовий каталог, що використовується під час стискання.
Опис: проблему вирішено завдяки вдосконаленню обмежень доступу.
CVE-2022-42834: Войцех Регула (Wojciech Reguła, @_r3ggi) із SecuRing
Запис додано 1 травня 2023 р.
Maps
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може отримувати доступ до конфіденційних даних про геопозицію.
Опис: проблему вирішено завдяки поліпшенню обмежень щодо конфіденційної інформації.
CVE-2022-46707: Чаба Фіцль (Csaba Fitzl, @theevilbit) з Offensive Security
Запис додано 1 серпня 2023 р.
Maps
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може зчитувати конфіденційну інформацію про місцезнаходження
Опис: проблему з логікою вирішено завдяки поліпшенню обмежень.
CVE-2022-32883: Рон Масас (Ron Masas) з breakpointhq.com
MediaLibrary
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: користувач може мати можливість підвищити рівень привілеїв
Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки поліпшенню перевірки вводу.
CVE-2022-32908: анонімний дослідник
Model I/O
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: обробка зловмисного файлу USD може розкривати вміст пам’яті.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2022-42810: Сінвей Лінь (Xingwei Lin, @xwlin_roy) і Їньї Ву (Yinyi Wu) з Ant Security Light-Year Lab
Запис додано 27 жовтня 2022 р.
ncurses
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: користувач може спричинити несподіване завершення роботи програми або виконання довільного коду.
Опис: проблему переповнення буфера вирішено завдяки вдосконаленню перевірки меж.
CVE-2021-39537
ncurses
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: обробка шкідливого файлу може викликати відмову в обслуговуванні або розкрити вміст пам’яті.
Опис: проблему відмови в обслуговуванні вирішено завдяки вдосконаленню перевірки.
CVE-2022-29458
Notes
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: користувач із привілейованим положенням у мережі може відстежувати дії користувачів.
Опис: цю проблему вирішено завдяки вдосконаленню захисту даних.
CVE-2022-42818: Густав Хансен (Gustav Hansen) з WithSecure
Notifications
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: користувач із фізичним доступом до пристрою може отримати доступ до контактів із замкненого екрана.
Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.
CVE-2022-32879: Убейдулла Сюмер (Ubeydullah Sümer)
PackageKit
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може змінювати захищені частини файлової системи.
Опис: проблему з виникненням умови змагання вирішено завдяки вдосконаленню керування станами.
CVE-2022-32895: Міккі Джин (Mickey Jin, @patch1t) з Trend Micro
PackageKit
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може змінювати захищені частини файлової системи.
Опис: проблему з виникненням умови змагання вирішено завдяки додатковій перевірці.
CVE-2022-46713: Мікі Джин (Mickey Jin, @patch1t) із Trend Micro
Запис додано 20 лютого 2023 р.
Photos
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: користувач може випадково додати учасника до спільного альбому, натиснувши клавішу Delete.
Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.
CVE-2022-42807: Єзекіель Елін (Ezekiel Elin)
Запис додано 1 травня 2023 р. і оновлено 1 серпня 2023 р.
Photos
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може обходити параметри приватності.
Опис: цю проблему вирішено завдяки вдосконаленню захисту даних.
CVE-2022-32918: Ашвані Раджпут (Ashwani Rajput) з Nagarro Software Pvt. Ltd, Шріджан Шівам Мішра (Srijan Shivam Mishra) із The Hack Report, Джугал Горадія (Jugal Goradia) з Aastha Technologies, Еван Рікафорт (Evan Ricafort, evanricafort.com) з Invalid Web Security, Шеша Саі Сі (Shesha Sai C, linkedin.com/in/shesha-sai-c-18585b125) і Амод Рагунат Патвардхан (Amod Raghunath Patwardhan) з Пуне, Індія
Запис оновлено 16 березня 2023 р.
ppp
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма з правами кореневого користувача може виконувати довільний код із привілеями ядра.
Опис: проблему Use-After-Free вирішено завдяки вдосконаленню керування пам’яттю.
CVE-2022-42829: анонімний дослідник
ppp
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма з правами кореневого користувача може виконувати довільний код із привілеями ядра.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2022-42830: анонімний дослідник
ppp
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма з правами кореневого користувача може виконувати довільний код із привілеями ядра.
Опис: проблему з виникненням умови змагання вирішено завдяки вдосконаленню блокування.
CVE-2022-42831: анонімний дослідник
CVE-2022-42832: анонімний дослідник
ppp
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: переповнення буфера може призводити до виконання довільного коду.
Опис: проблему вирішено завдяки вдосконаленню перевірки меж.
CVE-2022-32941: анонімний дослідник
Запис додано 27 жовтня 2022 р.
Ruby
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: віддалений користувач може спричинити несподіване завершення роботи програми або виконання довільного коду.
Опис: проблему пошкодження пам’яті вирішено шляхом оновлення Ruby до версії 2.6.10.
CVE-2022-28739
Sandbox
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може змінювати захищені частини файлової системи.
Опис: проблему з логікою вирішено завдяки поліпшенню обмежень.
CVE-2022-32881: Чаба Фіцль (Csaba Fitzl, @theevilbit) з Offensive Security
Sandbox
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма з привілеями кореневого користувача може отримувати доступ до приватної інформації.
Опис: цю проблему вирішено завдяки вдосконаленню захисту даних.
CVE-2022-32862: Рохіт Чаттерджі (Rohit Chatterjee) з Університету Іллінойсу в Урбана-Шампейн
CVE-2022-32931: анонімний дослідник
Запис оновлено 16 березня 2023 р. і 21 грудня 2023 р.
Sandbox
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з доступом вирішено завдяки додатковим обмеженням ізольованого програмного середовища.
CVE-2022-42811: Джастін Буй (Justin Bui, @slyd0g) зі Snowflake
Security
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може обходити перевірки підпису коду.
Опис: проблему з перевіркою підпису коду вирішено завдяки поліпшенню перевірок.
CVE-2022-42793: Лінус Генце (Linus Henze) з Pinauten GmbH (pinauten.de)
Shortcuts
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: фотографії з альбому «Приховані» можна переглядати без автентифікації через швидку команду.
Опис: проблему з логікою вирішено завдяки поліпшенню обмежень.
CVE-2022-32876: анонімний дослідник
Запис додано 1 серпня 2023 р.
Shortcuts
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: швидка команда може перевіряти наявність довільного шляху у файловій системі.
Опис: проблему аналізу під час обробки шляхів до каталогів вирішено завдяки вдосконаленню перевірки шляхів.
CVE-2022-32938: Крістіан Дінка (Cristian Dinca) з Національної вищої школи комп’ютерних наук імені Тудора Віану Румунія
Sidecar
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: користувач може переглядати обмежений вміст із замкненого екрана.
Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.
CVE-2022-42790: Ом Котаваде (Om Kothawade) із Zaprico Digital
Siri
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: користувач, який має фізичний доступ до пристрою, може використовувати Siri, щоб отримувати деякі дані про історію викликів.
Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.
CVE-2022-32870: Ендрю Голдберг (Andrew Goldberg) зі Школи бізнесу Маккомбса, Техаський університет в Остіні (linkedin.com/in/andrew-goldberg-/)
SMB
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: віддалений користувач може спричинити виконання коду в ядрі.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2022-32934: Фелікс Пулен-Беланжер (Felix Poulin-Belanger)
Software Update
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему з виникненням умови змагання вирішено завдяки вдосконаленню керування станами.
CVE-2022-42791: Мікі Джин (Mickey Jin, @patch1t) з Trend Micro
SQLite
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: віддалений користувач може спричинити відмову в обслуговуванні.
Опис: цю проблему вирішено завдяки вдосконаленню перевірок.
CVE-2021-36690
System Settings
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може змінювати захищені частини файлової системи.
Опис: цю проблему вирішено завдяки вдосконаленню захисту даних.
CVE-2022-48505: Адам Честер (Adam Chester) із TrustedSec та Тійс Алкемаде (Thijs Alkemade, @xnyhps) із сектору Computest 7
Запис додано 26 червня 2023 р.
TCC
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: шкідлива програма може спричинити відмову в обслуговуванні клієнтів Endpoint Security.
Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.
CVE-2022-26699: Чаба Фіцль (Csaba Fitzl, @theevilbit) з Offensive Security
Запис додано 1 серпня 2023 р.
Vim
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: виявлено кілька проблем у Vim.
Опис: кілька проблем вирішено завдяки оновленню Vim.
CVE-2022-0261
CVE-2022-0318
CVE-2022-0319
CVE-2022-0351
CVE-2022-0359
CVE-2022-0361
CVE-2022-0368
CVE-2022-0392
CVE-2022-0554
CVE-2022-0572
CVE-2022-0629
CVE-2022-0685
CVE-2022-0696
CVE-2022-0714
CVE-2022-0729
CVE-2022-0943
CVE-2022-1381
CVE-2022-1420
CVE-2022-1725
CVE-2022-1616
CVE-2022-1619
CVE-2022-1620
CVE-2022-1621
CVE-2022-1629
CVE-2022-1674
CVE-2022-1733
CVE-2022-1735
CVE-2022-1769
CVE-2022-1927
CVE-2022-1942
CVE-2022-1968
CVE-2022-1851
CVE-2022-1897
CVE-2022-1898
CVE-2022-1720
CVE-2022-2000
CVE-2022-2042
CVE-2022-2124
CVE-2022-2125
CVE-2022-2126
VPN
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2022-42828: анонімний дослідник
Запис додано 1 серпня 2023 р.
Weather
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може отримувати доступ до конфіденційних даних про геопозицію.
Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.
CVE-2022-32875: анонімний дослідник
WebKit
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: обробка шкідливого вебвмісту може призводити до виконання довільного коду.
Опис: проблему Use-After-Free вирішено завдяки вдосконаленню керування пам’яттю.
WebKit Bugzilla: 246669
CVE-2022-42826: Франциско Алонсо (Francisco Alonso, @revskills).
Запис додано 22 грудня 2022 р.
WebKit
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: обробка шкідливого вебконтенту може призводити до виконання довільного коду.
Опис: проблему переповнення буфера вирішено завдяки поліпшенню обробки звернень до пам’яті.
WebKit Bugzilla: 241969
CVE-2022-32886: користувач P1umer (@p1umer), користувач afang (@afang5472), користувач xmzyshypnc (@xmzyshypnc1)
WebKit
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: обробка шкідливого вебконтенту може призводити до виконання довільного коду.
Опис: проблему із записуванням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.
WebKit Bugzilla: 242047
CVE-2022-32888: користувач P1umer (@p1umer)
WebKit
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: обробка шкідливого вебконтенту може призводити до виконання довільного коду.
Опис: проблему з читанням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.
WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a) у Theori, що співпрацює з компанією Trend Micro в рамках ініціативи Zero Day Initiative
WebKit
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: відвідування шкідливих вебсайтів може призводити до підміни інтерфейсу користувача.
Опис: проблему вирішено завдяки вдосконаленню обробки інтерфейсу користувача.
WebKit Bugzilla: 243693
CVE-2022-42799: Джіхван Кім (Jihwan Kim, @gPayl0ad), Дохьон Лі (Dohyun Lee, @l33d0hyun)
WebKit
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: обробка шкідливого вебконтенту може призводити до виконання довільного коду.
Опис: проблему з переплутуванням типів вирішено завдяки вдосконаленню обробки звернень до пам’яті.
WebKit Bugzilla: 244622
CVE-2022-42823: Дохьон Лі (Dohyun Lee, @l33d0hyun) із SSD Labs
WebKit
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: обробка шкідливого вебконтенту може призводити до розкриття конфіденційних даних користувача.
Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.
WebKit Bugzilla: 245058
CVE-2022-42824: Абдулрахман Алькабанді (Abdulrahman Alqabandi) з Microsoft Browser Vulnerability Research, Раян Шин (Ryan Shin) з IAAI SecLab у Корейському університеті, Дохьон Лі (Dohyun Lee, @l33d0hyun) з DNSLab у Корейському університеті
WebKit
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: обробка зловмисного вебвмісту може призводити до розкриття внутрішніх станів програми
Опис: проблему коректності в JIT вирішено завдяки поліпшенню перевірок.
WebKit Bugzilla: 242964
CVE-2022-32923: Вонйон Чон (Wonyoung Jung, @nonetype_pwn) з KAIST Hacking Lab
Запис додано 27 жовтня 2022 р.
WebKit PDF
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: обробка шкідливого вебвмісту може призводити до виконання довільного коду.
Опис: проблему Use-After-Free вирішено завдяки вдосконаленню керування пам’яттю.
WebKit Bugzilla: 242781
CVE-2022-32922: Йонгві Джин (Yonghwi Jin, @jinmo123) у Theori, що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative
WebKit Sandboxing
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: певний процес в ізольованому програмному середовищі може обходити обмеження цього середовища.
Опис: проблему з доступом вирішено завдяки вдосконаленню ізольованого середовища.
WebKit Bugzilla: 243181
CVE-2022-32892: користувач @18楼梦想改造家 і користувач @jq0904 з DBAppSecurity's WeBin lab
WebKit Storage
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може обходити параметри приватності.
Опис: цю проблему вирішено завдяки вдосконаленню обробки кешу.
CVE-2022-32833: Чаба Фіцль (Csaba Fitzl, @theevilbit) з Offensive Security, Джефф Джонсон (Jeff Johnson)
Запис додано 22 грудня 2022 р.
Wi-Fi
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки вдосконаленню керування станами.
CVE-2022-46709: Ванг Ю (Wang Yu) із Cyberserval
Запис додано 16 березня 2023 р.
zlib
Цільові продукти: Mac Studio (2022 р.), Mac Pro (2019 р. та новіші моделі), MacBook Air (2018 р. та новіші моделі), MacBook Pro (2017 р. та новіші моделі), Mac mini (2018 р. та новіші моделі), iMac (2017 р. та новіші моделі), MacBook (2017 р.) та iMac Pro (2017 р.)
Вплив: користувач може спричинити несподіване завершення роботи програми або виконання довільного коду.
Опис: цю проблему вирішено завдяки вдосконаленню перевірок.
CVE-2022-37434: Євгеній Легеров (Evgeny Legerov)
CVE-2022-42800: Євгеній Легеров (Evgeny Legerov)
Запис додано 27 жовтня 2022 р.
Додаткова подяка
AirPort
Дякуємо за допомогу Джозефу Салазару Акуньї (Joseph Salazar Acuña) та Ренато Лламоці (Renato Llamoca) з Intrado-Life & Safety/Globant.
Apache
Дякуємо за допомогу Tricia Lee з Enterprise Service Center.
Запис додано 16 березня 2023 р.
AppleCredentialManage
Дякуємо за допомогу користувачу @jonathandata1.
ATS
Дякуємо за допомогу Міккі Джину (Mickey Jin, @patch1t).
Запис додано 1 серпня 2023 р.
FaceTime
Дякуємо за допомогу анонімному досліднику.
FileVault
Дякуємо за допомогу Тімоті Перфітту (Timothy Perfitt) з Twocanoes Software.
Find My
Дякуємо за допомогу анонімному досліднику.
Identity Services
Дякуємо за допомогу Joshua Jones.
IOAcceleratorFamily
Дякуємо за допомогу Антоніо Зекічу (Antonio Zekic, @antoniozekic).
IOGPUFamily
Дякуємо за допомогу Wang Yu з cyberserval.
Запис додано 9 листопада 2022 р.
Kernel
Дякуємо за допомогу Пітеру Нгуєну (Peter Nguyen) зі STAR Labs, Тіму Мішо (Tim Michaud, @TimGMichaud) з Moveworks.ai, Тінджинь Інь (Tingting Yin) з Університету Цінхуа та Мін Чжен (Min Zheng) з Ant Group, Томмі М’юру (Tommy Muir, @Muirey03) та анонімному досліднику.
Login Window
Ми хотіли б подякувати Simon Tang (simontang.dev) за допомогу.
Запис додано 9 листопада 2022 р.
Дякуємо за допомогу Taavi Eomäe з Zone Media OÜ та анонімному досліднику.
Запис оновлено 21 грудня 2023 р.
Mail Drafts
Дякуємо за допомогу анонімному досліднику.
Networking
Дякуємо за допомогу Тіму Мішо (Tim Michaud, @TimGMichaud) із Zoom Video Communications.
Photo Booth
Дякуємо за допомогу Прашант Каннану (Prashanth Kannan) з Dremio.
Quick Look
Дякуємо за допомогу Хіларі Стріт (Hilary Street, «It’s off by a Pixel»).
Safari
Дякуємо за допомогу Скотту Хетфілду (Scott Hatfield) із Sub-Zero Group.
Запис додано 16 березня 2023 р.
Sandbox
Дякуємо за допомогу Чабі Фіцлю (Csaba Fitzl, @theevilbit) з Offensive Security.
SecurityAgent
Дякуємо за допомогу Security Team Netservice de Toekomst і анонімному досліднику.
Запис додано 21 грудня 2023 р.
smbx
Дякуємо за допомогу користувачу HD Moore із runZero Asset Inventory.
System
Дякуємо за допомогу Міккі Джину (Mickey Jin, @patch1t) з Trend Micro.
System Settings
Дякуємо за допомогу Бьорн Хелленбранду (Bjorn Hellenbrand).
UIKit
Дякуємо за допомогу Александеру Юінгу (Aleczander Ewing).
WebKit
Дякуємо за допомогу Медді Стоун (Maddie Stone) з Google Project Zero, Нарендрі Бхаті (Narendra Bhati, @imnarendrabhati) із Suma Soft Pvt. Ltd. і анонімному досліднику.
WebRTC
Дякуємо за допомогу анонімному досліднику.