מידע על תוכן האבטחה של macOS Sonoma 14.2
מסמך זה מתאר את תוכן האבטחה של macOS Sonoma 14.2.
מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID כאשר הדבר ניתן.
למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.
macOS Sonoma 14.2
הופץ ב‑11 בדצמבר 2023
Accessibility
זמין עבור: macOS Sonoma
השפעה: שדות טקסט מאובטחים עשויים להיות מוצגים דרך 'מקלדת נגישות' בעת שימוש במקלדת פיזית
תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.
CVE-2023-42874: Don Clarke
Accessibility
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיית פרטיות טופלה באמצעות עריכת נתונים פרטיים משופרת עבור רשומות יומן.
CVE-2023-42937: Noah Roskin-Frazee ו-Prof. J. (ZeroClicks.ai Lab)
הרשומה נוספה ב‑22 בינואר 2024
Accounts
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיית פרטיות טופלה באמצעות עריכת נתונים פרטיים משופרת עבור רשומות יומן.
CVE-2023-42919: Kirin (Pwnrin@)
AppleEvents
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לגשת למידע על אנשי הקשר של משתמש
תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.
CVE-2023-42894: Noah Roskin-Frazee ו-Prof. J. (ZeroClicks.ai Lab)
AppleGraphicsControl
זמין עבור: macOS Sonoma
השפעה: עיבוד של קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום או להפעלת קוד שרירותי
תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות שיפור אימות הקלט.
CVE-2023-42901: Ivan Fratric מ-Google Project Zero
CVE-2023-42902: Ivan Fratric מ-Google Project Zero ו-Michael DePlante (@izobashi) מ-Trend Micro Zero Day Initiative
CVE-2023-42912: Ivan Fratric מ-Google Project Zero
CVE-2023-42903: Ivan Fratric מ-Google Project Zero
CVE-2023-42904: Ivan Fratric מ-Google Project Zero
CVE-2023-42905: Ivan Fratric מ-Google Project Zero
CVE-2023-42906: Ivan Fratric מ-Google Project Zero
CVE-2023-42907: Ivan Fratric מ-Google Project Zero
CVE-2023-42908: Ivan Fratric מ-Google Project Zero
CVE-2023-42909: Ivan Fratric מ-Google Project Zero
CVE-2023-42910: Ivan Fratric מ-Google Project Zero
CVE-2023-42911: Ivan Fratric מ-Google Project Zero
CVE-2023-42926: Ivan Fratric מ-Google Project Zero
AppleVA
זמין עבור: macOS Sonoma
השפעה: עיבוד תמונה עלול לגרום להפעלת קוד שרירותי
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2023-42882: Ivan Fratric מ-Google Project Zero
AppleVA
זמין עבור: macOS Sonoma
השפעה: עיבוד של קובץ עלול להוביל לסיום בלתי צפוי של פעולת יישום או להפעלת קוד שרירותי
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2023-42881: Ivan Fratric מ-Google Project Zero
הרשומה נוספה ב‑12 בדצמבר 2023
Archive Utility
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2023-42924: Mickey Jin (@patch1t)
Assets
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: הבעיה נפתרה באמצעות שיפור הטיפול בקבצים זמניים.
CVE-2023-42896: מיקי ג'ין (@patch1t)
הרשומה נוספה ב‑22 במרץ 2024
AVEVideoEncoder
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לחשוף את זיכרון הליבה
תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.
CVE-2023-42884: חוקר אנונימי
Bluetooth
זמין עבור: macOS Sonoma
השפעה: תוקף עם הרשאות ברשת עשוי להיות מסוגל להחדיר הקשות על ידי זיוף מקלדת
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-45866: Marc Newlin מ-SkySafe
CoreMedia Playback
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-42900: Mickey Jin (@patch1t)
CoreServices
זמין עבור: macOS Sonoma
השפעה: משתמש עלול לגרום לסיום בלתי צפוי של פעולת יישום או להפעלת קוד שרירותי
תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2023-42886: Koh M. Nakagawa (@tsunek0h)
curl
זמין עבור: macOS Sonoma
השפעה: מספר בעיות ב-curl
תיאור: מספר בעיות טופלו באמצעות עדכון לגרסה 8.4.0 של curl.
CVE-2023-38545
CVE-2023-38039
CVE-2023-38546
הרשומה נוספה ב-22 בינואר 2024, עודכנה ב-13 בפברואר 2024
DiskArbitration
זמין עבור: macOS Sonoma
השפעה: תהליך עשוי לקבל הרשאות מנהל ללא אימות מתאים
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-42931: Yann GASCUEL מ-Alter Solutions
הרשומה נוספה ב‑22 במרץ 2024
FileURL
זמין עבור: macOS Sonoma
השפעה: תוקף מקומי עלול להצליח להשיג הרשאות ברמה גבוהה יותר
תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.
CVE-2023-42892: Anthony Cruz @App Tyrant Corp
הרשומה נוספה ב‑22 במרץ 2024
Find My
זמין עבור: macOS Sonoma
השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום
תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.
CVE-2023-42922: Wojciech Regula מ-SecuRing (wojciechregula.blog)
ImageIO
זמין עבור: macOS Sonoma
השפעה: עיבוד תמונה עלול לגרום להפעלת קוד שרירותי
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2023-42898: Zhenjiang Zhao of Pangu Team, Qianxin and Junsung Lee
CVE-2023-42899: Meysam Firouzi @R00tkitSMM ו-Junsung Lee
הערך עודכן ב‑22 מרץ 2024
ImageIO
זמין עבור: macOS Sonoma
השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-42888: Michael DePlante (@izobashi) מ-Trend Micro Zero Day Initiative
הרשומה נוספה ב‑22 בינואר 2024
IOKit
זמין עבור: macOS Sonoma
השפעה: יישום עשוי לנטר הקשות ללא הרשאת המשתמש
תיאור: בעיית אימות טופלה באמצעות ניהול מצבים משופר.
CVE-2023-42891: חוקר אנונימי
IOUSBDeviceFamily
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: מצב מרוץ טופל באמצעות טיפול משופר במצבים.
CVE-2023-42974: Pan ZhenPeng (@Peterpan0927) מ-STAR Labs SG Pte. Ltd.
הרשומה נוספה ב‑22 במרץ 2024
Kernel
זמין עבור: macOS Sonoma
השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) מ-Synacktiv (@Synacktiv)
Libsystem
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים
תיאור: בעיית הרשאות טופלה באמצעות הסרה של קוד פגיע והוספת בדיקות.
CVE-2023-42893
הרשומה נוספה ב‑22 במרץ 2024
Model I/O
זמין עבור: macOS Sonoma
השפעה: עיבוד תמונה עלול לגרום למניעת שירות
תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.
CVE-2023-3618
הרשומה נוספה ב‑22 במרץ 2024
ncurses
זמין עבור: macOS Sonoma
השפעה: משתמש מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2020-19185
CVE-2020-19186
CVE-2020-19187
CVE-2020-19188
CVE-2020-19189
CVE-2020-19190
NSOpenPanel
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לקרוא קבצים שרירותיים
תיאור: בעיית גישה טופלה באמצעות הגבלות 'ארגז חול' נוספות.
CVE-2023-42887: Ron Masas מ-BreakPoint.sh
הרשומה נוספה ב‑22 בינואר 2024
Sandbox
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.
CVE-2023-42936: Csaba Fitzl (@theevilbit) מ-OffSec
הרשומה נוספה ב-22 במרץ 2024, עודכנה ב-16 ביולי 2024
Share Sheet
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיית פרטיות טופלה על ידי העברת נתונים רגישים למיקום מוגן.
CVE-2023-40390: Csaba Fitzl (@theevilbit) מ-Offensive Security ו-Mickey Jin (@patch1t)
הרשומה נוספה ב‑22 במרץ 2024
SharedFileList
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-42842: חוקר אנונימי
Shell
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2023-42930: Arsenii Kostromin (0x3c3e)
הרשומה נוספה ב‑22 במרץ 2024
System Settings
זמין עבור: macOS Sonoma
השפעה: הפעלות של 'התחברות מרחוק' עלולות לקבל הרשאות גישה מלאה לכונן
תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.
CVE-2023-42913: Mattie Behrens ו-Joshua Jewett (@JoshJewett33)
הרשומה נוספה ב‑22 במרץ 2024
TCC
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2023-42932: Zhongquan Li (@Guluisacat)
TCC
זמין עבור: macOS Sonoma
השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול
תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.
CVE-2023-42947: Zhongquan Li (@Guluisacat) מ-Dawn Security Lab of JingDong
הרשומה נוספה ב‑22 במרץ 2024
Transparency
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: הבעיה טופלה באמצעות הגבלה משופרת של גישה אל הגורם המכיל של הנתונים.
CVE-2023-40389: Csaba Fitzl (@theevilbit) מ-Offensive Security ו-Joshua Jewett (@JoshJewett33)
הרשומה נוספה ב-16 ביולי 2024
Vim
זמין עבור: macOS Sonoma
השפעה: פתיחת קובץ בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: בעיה זו טופלה באמצעות עדכון Vim לגרסה 9.0.1969.
CVE-2023-5344
WebKit
זמין עבור: macOS Sonoma
השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 259830
CVE-2023-42890: Pwn2car
WebKit
זמין עבור: macOS Sonoma
השפעה: עיבוד תמונה עלול לגרום למניעת שירות
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 263349
CVE-2023-42883: Zoom Offensive Security Team
WebKit
זמין עבור: macOS Sonoma
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
WebKit Bugzilla: 263682
CVE-2023-42950: Nan Wang (@eternalsakura13) מ-360 Vulnerability Research Institute and rushikesh nandedkar
הרשומה נוספה ב‑22 במרץ 2024
WebKit
זמין עבור: macOS Sonoma
השפעה: עיבוד תוכן אינטרנט עלול לגרום למניעת שירות
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 263989
CVE-2023-42956: SungKwon Lee (Demon.Team)
הרשומה נוספה ב‑22 במרץ 2024
תודות נוספות
Memoji
אנחנו מבקשים להודות ל-Jerry Tenenbaum על הסיוע.
WebSheet
אנחנו מבקשים להודות ל-Paolo Ruggero מ-e-phors S.p.A. (A FINCANTIERI S.p.A. Company) על הסיוע.
הרשומה נוספה ב‑22 במרץ 2024
Wi-Fi
אנחנו מבקשים להודות ל-Noah Roskin-Frazee ול-Prof. J. (ZeroClicks.ai Lab) על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.