מידע על תוכן האבטחה של macOS Monterey 12.7.2

מסמך זה מתאר את תוכן האבטחה של macOS Monterey 12.7.2.

מידע על עדכוני האבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID כאשר הדבר ניתן.

למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.

macOS Monterey 12.7.2

הופץ ב‑11 בדצמבר 2023

Accounts

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית פרטיות טופלה באמצעות עריכת נתונים פרטיים משופרת עבור רשומות יומן.

CVE-2023-42919:‏ Kirin (‏Pwnrin@)

AppleEvents

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לגשת למידע על אנשי הקשר של משתמש

תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.

CVE-2023-42894: ‏Noah Roskin-Frazee ו-Prof. J.‎ ‏(ZeroClicks.ai Lab)

Assets

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: הבעיה נפתרה באמצעות שיפור הטיפול בקבצים זמניים.

CVE-2023-42896: מיקי ג'ין (‎@patch1t)

הרשומה נוספה ב‑22 במרץ 2024

CoreServices

זמין עבור: macOS Monterey

השפעה: משתמש עלול לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2023-42886‏: Koh M. Nakagawa‏ (‎@tsunek0h)

DiskArbitration

זמין עבור: macOS Monterey

השפעה: תהליך עשוי לקבל הרשאות מנהל ללא אימות מתאים

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2023-42931‏: Yann GASCUEL מ-Alter Solutions

הרשומה נוספה ב‑22 במרץ 2024

אמוג'י

זמין עבור: macOS Monterey

השפעה: תוקף עלול להצליח להפעיל קוד שרירותי כמשתמש Root ממסך הנעילה

תיאור: הבעיה טופלה באמצעות הגבלת האפשרויות המוצעות במכשיר נעול.

CVE-2023-41989: ‏Jewel Lambert

הרשומה נוספה ב-16 ביולי 2024

FileURL

זמין עבור: macOS Monterey

השפעה: תוקף מקומי עלול להצליח להשיג הרשאות ברמה גבוהה יותר

תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.

CVE-2023-42892‏: Anthony Cruz @App Tyrant Corp

הרשומה נוספה ב‑22 במרץ 2024

Find My

זמין עבור: macOS Monterey

השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום

תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.

CVE-2023-42922‏: Wojciech Regula מ-SecuRing‏ (wojciechregula.blog)

Find My

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית אבטחה טופלה באמצעות שיפור הטיפול בקבצים.

CVE-2023-42834: ‏Csaba Fitzl‏ (‎@theevilbit) מ-Offensive Security

הרשומה נוספה ב-16 בפברואר 2024

ImageIO

זמין עבור: macOS Monterey

השפעה: עיבוד תמונה עלול לגרום להפעלת קוד שרירותי

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2023-42899‏: Meysam Firouzi @R00tkitSMM ו-Junsung Lee

IOKit

זמין עבור: macOS Monterey

השפעה: ליישום עלולה להיות יכולת לנטר הקשות ללא רשות המשתמש

תיאור: בעיית אימות טופלה באמצעות ניהול מצבים משופר.

CVE-2023-42891: חוקר אנונימי

IOUSBDeviceFamily

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: מצב מרוץ טופל באמצעות טיפול משופר במצבים.

CVE-2023-42974: ‏Pan ZhenPeng‏ (‎@Peterpan0927) מ-STAR Labs SG Pte.‎ Ltd.

הרשומה נוספה ב‑22 במרץ 2024

Kernel

זמין עבור: macOS Monterey

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2023-42914‏: Eloi Benoist-Vanderbeken‏ (‎@elvanderb) מ-Synacktiv‏ (‎@Synacktiv)

Libsystem

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים

תיאור: בעיית הרשאות טופלה באמצעות הסרה של קוד פגיע והוספת בדיקות.

CVE-2023-42893

הרשומה נוספה ב‑22 במרץ 2024

Model I/O

זמין עבור: macOS Monterey

השפעה: עיבוד תמונה עלול לגרום למניעת שירות

תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.

CVE-2023-3618

הרשומה נוספה ב‑22 במרץ 2024

ncurses

זמין עבור: macOS Monterey

השפעה: משתמש מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2020-19185

CVE-2020-19186

CVE-2020-19187

CVE-2020-19188

CVE-2020-19189

CVE-2020-19190

quarantine

זמין עבור: macOS Monterey

השפעה: יישום עשוי להצליח להפעיל קוד שרירותי מתוך ארגז החול שלו או עם הרשאות מלאות מסוימות

תיאור: בעיית גישה טופלה באמצעות שיפורים בארגז החול.

CVE-2023-42838: ‏Yiğit Can YILMAZ‏ (‎@yilmazcanyigit), ‏Csaba Fitzl‏ (‎@theevilbit) מ-Offensive Security

הרשומה נוספה ב-16 בפברואר 2024

Sandbox

זמין עבור: macOS Monterey

השפעה: תוקף עלול להצליח לגשת לאמצעי אחסון המחוברים לרשת שנטענו בספריית הבית

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2023-42836: ‏Yiğit Can YILMAZ‏ (‎@yilmazcanyigit)

הרשומה נוספה ב-16 בפברואר 2024

Sandbox

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.

CVE-2023-42936: ‏Csaba Fitzl ‏(‎@theevilbit) מ-OffSec

הרשומה נוספה ב-22 במרץ 2024, עודכנה ב-16 ביולי 2024

Shell

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2023-42930: ‏Arsenii Kostromin‏ (0x3c3e)

הרשומה נוספה ב‑22 במרץ 2024

TCC

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2023-42932‏: Zhongquan Li‏ (‎@Guluisacat)

TCC

זמין עבור: macOS Monterey

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.

CVE-2023-42947‏: Zhongquan Li (@Guluisacat) מ-Dawn Security Lab of JingDong

הרשומה נוספה ב‑22 במרץ 2024

Vim

זמין עבור: macOS Monterey

השפעה: פתיחת קובץ בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: בעיה זו טופלה באמצעות עדכון Vim לגרסה 9.0.1969.

CVE-2023-5344

תודות נוספות

Preview

אנחנו רוצים להודות ל-Akshay Nagpal על הסיוע.

הרשומה נוספה ב-16 בפברואר 2024

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

Published Date: