מידע על תוכן האבטחה של macOS Monterey 12.6.8

מסמך זה מתאר את תוכן האבטחה של macOS Monterey 12.6.8.

מידע על עדכוני אבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות אבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID כאשר הדבר ניתן.

למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.

macOS Monterey 12.6.8

הופץ בתאריך 24 ביולי 2023

Accessibility

זמין עבור: macOS Monterey

השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום

תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.

CVE-2023-40442: ניק ברוק

הערך נוסף ב‑8 בספטמבר 2023

Apple Neural Engine

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2023-34425: ‏pattern-f‏ (‏_‎pattern_F@) מ-Ant Security Light-Year Lab

הרשומה נוספה ב-27 יולי 2023

AppSandbox

זמין עבור: macOS Monterey

השפעה: תהליך בשלב 'ארגז החול' עלול להצליח לעקוף את ההגבלות של 'ארגז החול'

תיאור: בעיה לוגית טופלה באמצעות הגבלות משופרות.

CVE-2023-32364: גרגיי קלמן‏ (‎@gergely_kalman)

הרשומה נוספה ב-27 יולי 2023

Assets

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: בעיה זו טופלה באמצעות הגנת נתונים משופרת.

CVE-2023-35983: מיקי ג'ין (‎@patch1t)

CFNetwork

זמין עבור: macOS Monterey

השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום

תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.

CVE-2023-40392: וויצ'ך רגולה מ-SecuRing‏ (wojciechregula.blog)

הערך נוסף ב‑8 בספטמבר 2023

CUPS

זמין עבור: macOS Monterey

השפעה: משתמש במיקום מורשה ברשת עלול להצליח להדליף מידע רגיש

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

CVE-2023-34241: Sei K.

הרשומה נוספה ב-27 יולי 2023

curl

זמין עבור: macOS Monterey

השפעה: מספר בעיות ב-curl

תיאור: מספר בעיות טופלו באמצעות עדכון של curl.

CVE-2023-28319

CVE-2023-28320

CVE-2023-28321

CVE-2023-28322

Find My

זמין עבור: macOS Monterey

השפעה: אפליקציה עלולה להצליח לקרוא פרטי מיקום רגישים

תיאור: בעיה לוגית טופלה באמצעות הגבלות משופרות.

CVE-2023-32416: ‏Wojciech Regula מ-SecuRing‏ (wojciechregula.blog)

FontParser

זמין עבור: macOS Monterey

השפעה: עיבוד קובץ גופן עלול להוביל להפעלה של קוד שרירותי. Apple מודעת לדיווח שלפיו ייתכן שבעיה זו נוצלה לרעה באופן פעיל נגד גרסאות iOS שפורסמו לפני iOS 15.7.1.

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרונות מטמון.

CVE-2023-41990‏: Apple, ולנטין פשקוב, מיכאיל וינוגרדוב, גאורגי קוצ'רין (‎@kucher1n), ליאוניד בזוורשנקו (‎@bzvr_) ובוריס לארין (‎@oct0xor) מ-Kaspersky

הערך נוסף ב‑8 בספטמבר 2023

Grapher

זמין עבור: macOS Monterey

השפעה: עיבוד של קובץ עלול להוביל לסיום בלתי צפוי של פעולת יישום או להפעלת קוד שרירותי

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2023-36854: בול מ-YunShangHuaAn‏ (云 上 华安)

CVE-2023-32418: בול מ-YunShangHuaAn‏ (云 上 华安)

Kernel

זמין עבור: macOS Monterey

השפעה: משתמש מרוחק עלול להצליח לגרום למניעת שירות

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2023-38603: צווייג מ-Kunlun Lab

הרשומה נוספה ב-27 יולי 2023

Kernel

זמין עבור: macOS Monterey

השפעה: משתמש מרוחק עלול להצליח לגרום לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה

תיאור: בעיית גלישת חוצץ טופלה באמצעות טיפול משופר בזיכרון.

CVE-2023-38590: ‏Zweig מ-Kunlun Lab

הרשומה נוספה ב-27 יולי 2023

Kernel

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.

CVE-2023-38598: מוחמד גנם (‎@_simo36)

הרשומה נוספה ב-27 יולי 2023

Kernel

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר.

CVE-2023-36495‏: 香农的三蹦子 מ-Pangu Lab

הרשומה נוספה ב-27 יולי 2023

Kernel

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2023-37285: ארסני קוסטרומין (0x3c3e)

הרשומה נוספה ב-27 יולי 2023

Kernel

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2023-38604: חוקר אנונימי

הרשומה נוספה ב-27 יולי 2023

Kernel

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.

CVE-2023-32381: ‏חוקר אנונימי

CVE-2023-32433: ‏Zweig מ-Kunlun Lab

CVE-2023-35993: ‏Kaitao Xie ו-Xiaolong Bai מ-Alibaba Group

Kernel

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לשנות מצב ליבה רגיש. Apple מודעת לדיווח שלפיו ייתכן שבעיה זו נוצלה לרעה באופן פעיל נגד גרסאות iOS שפורסמו לפני iOS 15.7.1.

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2023-38606: ‏Valentin Pashkov, ‏Mikhail Vinogradov, ‏Georgy Kucherin (‏kucher1n@), ‏Leonid Bezvershenko (‏bzvr_@), ו-Boris Larin (@oct0xor) מ-Kaspersky

Kernel

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2023-32441: ‏Peter Nguyễn Vũ Hoàng (‏‎@peternguyen14) מ-STAR Labs SG Pte.‎ Ltd.

Kernel

זמין עבור: macOS Monterey

השפעה: משתמש מרוחק עלול להצליח לגרום למניעת שירות

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2023-38603: צווייג מ-Kunlun Lab

הרשומה נוספה ב‑22 בדצמבר 2023

libxpc

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לקבל הרשאות בסיס

תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.

CVE-2023-38565: ז'יפנג הו (‎@R3dF09) מ-Tencent Security Xuanwu Lab‏ (xlab.tencent.com)

libxpc

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לגרום למניעת שירות

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2023-38593: נואה רוסקין-פרזי

Mail

זמין עבור: macOS Monterey

השפעה: הודעת דוא"ל בהצפנת S/MIME עלולה להישלח בשוגג ללא הצפנה

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר של הודעות דוא"ל בהצפנת S/MIME.

CVE-2023-40440: טאבי אאומה מ-Zone Media OÜ

הערך נוסף ב‑8 בספטמבר 2023

Music

זמין עבור: macOS Monterey

השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות

תיאור: בעיה זו טופלה באמצעות אימות משופר של קישורים סימבוליים.

CVE-2023-38571: גרגיי קלמן‏ (‎@gergely_kalman)

הרשומה נוספה ב-27 יולי 2023

Model I/O

זמין עבור: macOS Monterey

השפעה: עיבוד דגם תלת-ממדי עלול לגרום לחשיפה של זיכרון תהליך

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2023-38421: מיקי ג'ין (‎@patch1t), ומייקל דהפלאנטה (‎@izobashi) מ-Trend Micro Zero Day Initiative

CVE-2023-38258: מיקי ג'ין (‎@patch1t)

הרשומה עודכנה ב-27 יולי 2023

Model I/O

זמין עבור: macOS Monterey

השפעה: עיבוד של תמונה עלול לגרום לחשיפה של זיכרון תהליך

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2023-1916

הרשומה נוספה ב‑22 בדצמבר 2023

ncurses

זמין עבור: macOS Monterey

השפעה: יישום עלול לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: בעיית השחתת זיכרון טופלה באמצעות שיפור האימות.

CVE-2023-29491: יהונתן בר אור מ-Microsoft, עמנואל קוזי מ-Microsoft ומייקל פירס מ-Microsoft

הערך נוסף ב‑8 בספטמבר 2023

Net-SNMP

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.

CVE-2023-38601: סאבה פיצל (‎@theevilbit) מ-Offensive Security

הרשומה נוספה ב-27 יולי 2023

NSSpellChecker

זמין עבור: macOS Monterey

השפעה: תהליך בשלב 'ארגז החול' עלול להצליח לעקוף את ההגבלות של 'ארגז החול'

תיאור: בעיית לוגיקה טופלה באמצעות אימות משופר.

CVE-2023-32444: מיקי ג'ין (‎@patch1t)

הרשומה נוספה ב-27 יולי 2023

OpenLDAP

זמין עבור: macOS Monterey

השפעה: משתמש מרוחק עלול להצליח לגרום למניעת שירות

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2023-2953: סנדיפאן רוי

OpenSSH

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לגשת לביטויי סיסמה של SSH

תיאור: הבעיה טופלה באמצעות הגבלות נוספות בנוגע לנראות של מצבי יישומים.

CVE-2023-42829:‏ James Duffy‏ (mangoSecure)

הרשומה נוספה ב‑22 בדצמבר 2023

PackageKit

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיה לוגית טופלה באמצעות הגבלות משופרות.

CVE-2023-38259: מיקי ג'ין (‎@patch1t)

PackageKit

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: בעיית תצורה טופלה באמצעות הגבלות נוספות.

CVE-2023-38602: ארסני קוסטרומין (0x3c3e)

Security

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לקחת מהמשתמש טביעות אצבע

תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.

CVE-2023-42831:‏ James Duffy‏ (mangoSecure)

הרשומה נוספה ב‑22 בדצמבר 2023

Shortcuts

זמין עבור: macOS Monterey

השפעה: קיצור דרך עלול להצליח לשנות הגדרות רגישות של היישום 'קיצורים'

תיאור: בעיית גישה טופלה באמצעות הגבלות גישה משופרות.

CVE-2023-32442: חוקר אנונימי

sips

זמין עבור: macOS Monterey

השפעה: עיבוד קובץ עלול להוביל למניעת שירות או לחשיפה פוטנציאלית של תוכן זיכרון

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2023-32443: דייוויד הויט מ-Hoyt LLC

Software Update

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לקבל הרשאות בסיס

תיאור: מצב מירוץ טופל באמצעות טיפול משופר במצבים.

CVE-2023-42832: ‏Arsenii Kostromin (‏0x3c3e)

הרשומה נוספה ב‑22 בדצמבר 2023

SQLite

זמין עבור: macOS Monterey

השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות

תיאור: בעיה זו טופלה על ידי הוספת הגבלות נוספות לרישום SQLite.

CVE-2023-32422: גרגלי קלמן (‎@gergely_kalman) וויצ'ך רגולה מ-SecuRing ‏(wojciechregula.blog)

הערך נוסף ב‑8 בספטמבר 2023

SystemMigration

זמין עבור: macOS Monterey

השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2023-32429: וונצ'או לי ושיאולונג באי מ-Hangzhou Orange Shield Information Technology Co., Ltd.‎

הרשומה נוספה ב-27 יולי 2023

tcpdump

זמין עבור: macOS Monterey

השפעה: תוקף במיקום מורשה ברשת עלול להצליח להפעיל קוד שרירותי

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2023-1801

הרשומה נוספה ב‑22 בדצמבר 2023

Vim

זמין עבור: macOS Monterey

השפעה: מספר בעיות ב-Vim

תיאור: מספר בעיות טופלו באמצעות עדכון Vim.

CVE-2023-2426

CVE-2023-2609

CVE-2023-2610

הרשומה נוספה ב‑22 בדצמבר 2023

Weather

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לזהות את המיקום הנוכחי של המשתמש

תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.

CVE-2023-38605:‏ Adam M.

הערך נוסף ב‑8 בספטמבר 2023

תודות נוספות

Mail

אנחנו מבקשים להודות ל-Parvez Anwar על הסיוע.

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

Published Date: