מידע על תוכן האבטחה של macOS Ventura 13.6.1
מסמך זה מתאר את תוכן האבטחה של macOS Ventura 13.6.1.
מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. גרסאות אחרונות מופיעות בדף גרסאות אבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID כאשר הדבר ניתן.
למידע נוסף אודות אבטחה, עיינו בדף אבטחת מוצרי Apple.
macOS Ventura 13.6.1
פורסם ב-25 באוקטובר 2023
CoreAnimation
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגרום למניעת שירות
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-40449: Tomi Tokics (@tomitokics) מ-iTomsn0w
Core Recents
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: הבעיה טופלה על ידי טיהור הרישום
CVE-2023-42823
הרשומה נוספה ב-16 בפברואר 2024
FileProvider
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגרום למניעת שירות ללקוחות של 'אבטחת נקודת קצה'
תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.
CVE-2023-42854: Noah Roskin-Frazee ו-Prof. J. (ZeroClicks.ai Lab)
Find My
זמין עבור: macOS Ventura
השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרונות מטמון.
CVE-2023-40413: Adam M.
Foundation
זמין עבור: macOS Ventura
השפעה: אתר עלול להצליח לגשת לנתוני משתמש רגישים בעת פענוח קישורים סימבוליים
תיאור: בעיה זו טופלה באמצעות טיפול משופר במטה-נתונים של קישורים סימבוליים.
CVE-2023-42844: Ron Masas מ-BreakPoint.SH
Image Capture
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-41077: Mickey Jin (@patch1t)
ImageIO
זמין עבור: macOS Ventura
השפעה: עיבוד של תמונה עלול לגרום לחשיפה של זיכרון תהליך
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-40416: JZ
ImageIO
זמין עבור: macOS Ventura
השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לפגם בזיכרון
תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.
CVE-2023-42848 JZ
הרשומה נוספה ב-16 בפברואר 2024
IOTextEncryptionFamily
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2023-40423: חוקר אנונימי
iperf3
זמין עבור: macOS Ventura
השפעה: משתמש מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-38403
Kernel
זמין עבור: macOS Ventura
השפעה: תוקף שכבר הצליח להשיג הפעלת קוד ליבה עלול להצליח לעקוף אמצעי עזר של זיכרון ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-42849: Linus Henze מ-Pinauten GmbH (pinauten.de)
libc
זמין עבור: macOS Ventura
השפעה: עיבוד של קלט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי ביישומים שהמשתמש מתקין
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-40446: inooo
הרשומה נוספה ב‑3 בנובמבר 2023
libxpc
זמין עבור: macOS Ventura
השפעה: ייתכן שיישום זדוני יוכל לקבל הרשאות שורש
תיאור: בעיה זו טופלה באמצעות טיפול משופר במטה-נתונים של קישורים סימבוליים.
CVE-2023-42942 Mickey Jin (@patch1t)
הרשומה נוספה ב-16 בפברואר 2024
Model I/O
זמין עבור: macOS Ventura
השפעה: עיבוד של קובץ עלול להוביל לסיום בלתי צפוי של פעולת יישום או להפעלת קוד שרירותי
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2023-42856: Michael DePlante (@izobashi) מ-Trend Micro Zero Day Initiative
PackageKit
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-42859: Arsenii Kostromin (0x3c3e), Mickey Jin (@patch1t) וצוות ההנדסה של Hevel
CVE-2023-42877: Arsenii Kostromin (0x3c3e)
הרשומה נוספה ב-16 בפברואר 2024
PackageKit
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-42840: Mickey Jin (@patch1t) ו-Csaba Fitzl (@theevilbit) מ-Offensive Security
הרשומה נוספה ב-16 בפברואר 2024
PackageKit
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לעקוף העדפות פרטיות מסוימות
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-42889: Mickey Jin (@patch1t)
הרשומה נוספה ב-16 בפברואר 2024
PackageKit
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2023-42853: Mickey Jin (@patch1t)
הרשומה נוספה ב-16 בפברואר 2024
PackageKit
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.
CVE-2023-42860: Koh M. Nakagawa (@tsunek0h) מ-FFRI Security, Inc.
הרשומה נוספה ב-16 בפברואר 2024
Passkeys
זמין עבור: macOS Ventura
השפעה: תוקף עשוי לגשת למפתחות התחברות ללא אימות
תיאור: הבעיה טופלה באמצעות בדיקות נוספות של הרשאות.
CVE-2023-40401: חוקר אנונימי ו-weize she
Pro Res
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu ו-Guang Gong מ-360 Vulnerability Research Institute
Pro Res
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.
CVE-2023-42873 Mingxuan Yang (@PPPF00L), ו-happybabywu ו-Guang Gong ממכון 360 למחקר פגיעות
הרשומה נוספה ב-16 בפברואר 2024
SQLite
זמין עבור: macOS Ventura
השפעה: משתמש מרוחק עלול להצליח לגרום למניעת שירות
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2023-36191
הרשומה נוספה ב-16 בפברואר 2024
talagent
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.
CVE-2023-40421: Noah Roskin-Frazee ו-Prof. J. (ZeroClicks.ai Lab)
Weather
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיית פרטיות טופלה באמצעות עריכת נתונים פרטיים משופרת עבור רשומות יומן.
CVE-2023-41254: Cristian Dinca מבית הספר התיכון הלאומי Tudor Vianu למדעי המחשב ברומניה
WindowServer
זמין עבור: macOS Ventura
השפעה: אתר אינטרנט עלול להצליח לגשת למיקרופון ללא הצגת חיווי שימוש במיקרופון
תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.
CVE-2023-41975: חוקר אנונימי
WindowServer
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-42858: חוקר אנונימי
הרשומה נוספה ב-16 בפברואר 2024
תודות נוספות
GPU Drivers
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
libarchive
אנחנו רוצים להודות ל-Bahaa Naamneh על הסיוע.
libxml2
אנחנו מבקשים להודות לOSS-Fuzz, ל-Ned Williamson מ-Google Project Zero על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.