אודות תוכן האבטחה של macOS Monterey 12.7

מסמך זה מתאר את תוכן האבטחה של macOS Monterey 12.7.

מידע על עדכוני אבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות אבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID כאשר הדבר ניתן.

למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.

macOS Monterey 12.7

הופץ ב-21 בספטמבר 2023

Apple Neural Engine

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2023-40412: מוחמד גנם (‎@_simo36)

CVE-2023-40409: יה ז'אנג (‎@VAR10CK) מ-Baidu Security

הרשומה נוספה ב-26 בספטמבר 2023

Apple Neural Engine

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לחשוף את זיכרון הליבה

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2023-40410: טים מישו (TimGMichaud@) מ-Moveworks.ai

הרשומה נוספה ב-26 בספטמבר 2023

Ask to Buy

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2023-38612‏: Chris Ross (‏Zoom)

הרשומה נוספה ב‑22 בדצמבר 2023

Biometric Authentication

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לחשוף את זיכרון הליבה

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2023-41232‏: Liang Wei מ-PixiePoint Security

הרשומה נוספה ב-26 בספטמבר 2023

ColorSync

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לקרוא קבצים שרירותיים

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2023-40406‏: JeongOhKyea מ-Theori

הרשומה נוספה ב-26 בספטמבר 2023

CoreAnimation

זמין עבור: macOS Monterey

השפעה: עיבוד תוכן אתר אינטרנט עלול לגרום למניעת שירות

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2023-40420‏: 이준성 (ג'ונסונג לי) מ-Cross Republic

הרשומה נוספה ב-26 בספטמבר 2023

Disk Management

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לקרוא קבצים שרירותיים

תיאור: בעיה זו טופלה באמצעות אימות משופר של קישורים סימבוליים.

CVE-2023-41968: מיקי ג'ין (‎@patch1t) וג'יימס האצ'ינס

הרשומה נוספה ב-26 בספטמבר 2023

Game Center

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לגשת לאנשי הקשר

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרונות מטמון.

CVE-2023-40395: סאבה פיצל (‎@theevilbit) מ-Offensive Security

הרשומה נוספה ב-26 בספטמבר 2023

Kernel

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2023-41984: פאן ז'נפנג (‎@Peterpan0927) מ-STAR Labs SG Pte.‎ Ltd.

הרשומה נוספה ב-26 בספטמבר 2023

Kernel

זמין עבור: macOS Monterey

השפעה: תוקף מקומי עלול להצליח להשיג הרשאות ברמה גבוהה יותר. Apple מודעת לדיווח שלפיו ייתכן שבעיה זו נוצלה לרעה באופן פעיל נגד גרסאות iOS קודמות ל-iOS 16.7.

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2023-41992: ‏Bill Marczak מ-The Citizen Lab בבית הספר על שם מונק באוניברסיטת טורונורו-Maddie Stone מ-Threat Analysis Group של Google

libxpc

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים

תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.

CVE-2023-41073: ז'יפנג הו (‎@R3dF09) מ-Tencent Security Xuanwu Lab‏ (xlab.tencent.com)

הרשומה נוספה ב-26 בספטמבר 2023

libxpc

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח למחוק קבצים שאין לו הרשאה לגשת אליהם

תיאור: בעיית תצורה טופלה באמצעות הגבלות נוספות.

CVE-2023-40454: ז'יפנג הו (‎@R3dF09) מ-Tencent Security Xuanwu Lab‏ (xlab.tencent.com)

הרשומה נוספה ב-26 בספטמבר 2023

libxslt

זמין עבור: macOS Monterey

השפעה: עיבוד תוכן אינטרנט עלול לחשוף מידע רגיש

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2023-40403: דו-היון לי (‎@l33d0hyun) מ-PK Security

הרשומה נוספה ב-26 בספטמבר 2023

Maps

זמין עבור: macOS Monterey

השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרונות מטמון.

CVE-2023-40427: אדם מ. וויצ'ך רגולה מ-SecuRing ‏(wojciechregula.blog)

הרשומה נוספה ב-26 בספטמבר 2023

Sandbox

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח למחוק קבצים שרירותיים

תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.

CVE-2023-40452: ‏ייגיט ג'ן ילמז ‏(‎@yilmazcanyigit)

הרשומה נוספה ב-26 בספטמבר 2023

תודות נוספות

Apple Neural Engine

אנחנו מבקשים להודות ל-pattern-f‏ (@pattern_F_) מ-Ant Security Light-Year Lab for על הסיוע.

הרשומה נוספה ב‑22 בדצמבר 2023

AppSandbox

אנחנו מבקשים להודות ל-Kirin‏ (‎@Pwnrin) על הסיוע.

הרשומה נוספה ב-26 בספטמבר 2023

Kernel

אנחנו מבקשים להודות ל-Bill Marczak מ-The Citizen Lab ב-Munk School של אוניברסיטת טורונטו ול-Maddie Stone מ-Threat Analysis Group של Google על הסיוע.

libxml2

אנו מבקשים להודות ל-OSS-Fuzz ול-Ned Williamson מ-Google Project Zero על הסיוע.

הרשומה נוספה ב-26 בספטמבר 2023

WebKit

אנחנו מבקשים להודות ל-Khiem Tran ול-Narendra Bhati מ-Suma Soft Pvt.‎ Ltd, פונה (הודו) על הסיוע.

הרשומה נוספה ב-26 בספטמבר 2023

WebRTC

אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.

הרשומה נוספה ב-26 בספטמבר 2023

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

Published Date: