אודות תוכן האבטחה של macOS Monterey 12.7
מסמך זה מתאר את תוכן האבטחה של macOS Monterey 12.7.
מידע על עדכוני אבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות אבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID כאשר הדבר ניתן.
למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.
macOS Monterey 12.7
הופץ ב-21 בספטמבר 2023
Apple Neural Engine
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-40412: מוחמד גנם (@_simo36)
CVE-2023-40409: יה ז'אנג (@VAR10CK) מ-Baidu Security
הרשומה נוספה ב-26 בספטמבר 2023
Apple Neural Engine
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח לחשוף את זיכרון הליבה
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2023-40410: טים מישו (TimGMichaud@) מ-Moveworks.ai
הרשומה נוספה ב-26 בספטמבר 2023
Ask to Buy
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-38612: Chris Ross (Zoom)
הרשומה נוספה ב‑22 בדצמבר 2023
Biometric Authentication
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח לחשוף את זיכרון הליבה
תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2023-41232: Liang Wei מ-PixiePoint Security
הרשומה נוספה ב-26 בספטמבר 2023
ColorSync
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח לקרוא קבצים שרירותיים
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-40406: JeongOhKyea מ-Theori
הרשומה נוספה ב-26 בספטמבר 2023
CoreAnimation
זמין עבור: macOS Monterey
השפעה: עיבוד תוכן אתר אינטרנט עלול לגרום למניעת שירות
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-40420: 이준성 (ג'ונסונג לי) מ-Cross Republic
הרשומה נוספה ב-26 בספטמבר 2023
Disk Management
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח לקרוא קבצים שרירותיים
תיאור: בעיה זו טופלה באמצעות אימות משופר של קישורים סימבוליים.
CVE-2023-41968: מיקי ג'ין (@patch1t) וג'יימס האצ'ינס
הרשומה נוספה ב-26 בספטמבר 2023
Game Center
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח לגשת לאנשי הקשר
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרונות מטמון.
CVE-2023-40395: סאבה פיצל (@theevilbit) מ-Offensive Security
הרשומה נוספה ב-26 בספטמבר 2023
Kernel
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-41984: פאן ז'נפנג (@Peterpan0927) מ-STAR Labs SG Pte. Ltd.
הרשומה נוספה ב-26 בספטמבר 2023
Kernel
זמין עבור: macOS Monterey
השפעה: תוקף מקומי עלול להצליח להשיג הרשאות ברמה גבוהה יותר. Apple מודעת לדיווח שלפיו ייתכן שבעיה זו נוצלה לרעה באופן פעיל נגד גרסאות iOS קודמות ל-iOS 16.7.
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-41992: Bill Marczak מ-The Citizen Lab בבית הספר על שם מונק באוניברסיטת טורונורו-Maddie Stone מ-Threat Analysis Group של Google
libxpc
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים
תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.
CVE-2023-41073: ז'יפנג הו (@R3dF09) מ-Tencent Security Xuanwu Lab (xlab.tencent.com)
הרשומה נוספה ב-26 בספטמבר 2023
libxpc
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח למחוק קבצים שאין לו הרשאה לגשת אליהם
תיאור: בעיית תצורה טופלה באמצעות הגבלות נוספות.
CVE-2023-40454: ז'יפנג הו (@R3dF09) מ-Tencent Security Xuanwu Lab (xlab.tencent.com)
הרשומה נוספה ב-26 בספטמבר 2023
libxslt
זמין עבור: macOS Monterey
השפעה: עיבוד תוכן אינטרנט עלול לחשוף מידע רגיש
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-40403: דו-היון לי (@l33d0hyun) מ-PK Security
הרשומה נוספה ב-26 בספטמבר 2023
Maps
זמין עבור: macOS Monterey
השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרונות מטמון.
CVE-2023-40427: אדם מ. וויצ'ך רגולה מ-SecuRing (wojciechregula.blog)
הרשומה נוספה ב-26 בספטמבר 2023
Sandbox
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח למחוק קבצים שרירותיים
תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.
CVE-2023-40452: ייגיט ג'ן ילמז (@yilmazcanyigit)
הרשומה נוספה ב-26 בספטמבר 2023
תודות נוספות
Apple Neural Engine
אנחנו מבקשים להודות ל-pattern-f (@pattern_F_) מ-Ant Security Light-Year Lab for על הסיוע.
הרשומה נוספה ב‑22 בדצמבר 2023
AppSandbox
אנחנו מבקשים להודות ל-Kirin (@Pwnrin) על הסיוע.
הרשומה נוספה ב-26 בספטמבר 2023
Kernel
אנחנו מבקשים להודות ל-Bill Marczak מ-The Citizen Lab ב-Munk School של אוניברסיטת טורונטו ול-Maddie Stone מ-Threat Analysis Group של Google על הסיוע.
libxml2
אנו מבקשים להודות ל-OSS-Fuzz ול-Ned Williamson מ-Google Project Zero על הסיוע.
הרשומה נוספה ב-26 בספטמבר 2023
WebKit
אנחנו מבקשים להודות ל-Khiem Tran ול-Narendra Bhati מ-Suma Soft Pvt. Ltd, פונה (הודו) על הסיוע.
הרשומה נוספה ב-26 בספטמבר 2023
WebRTC
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
הרשומה נוספה ב-26 בספטמבר 2023
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.