מידע על תוכן האבטחה של macOS Sonoma 14.5
מסמך זה מתאר את תוכן האבטחה של macOS Sonoma 14.5.
מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בעמוד מהדורות האבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID במידת האפשר.
למידע נוסף על אבטחה, עיינו בעמוד אבטחת מוצרי Apple.
macOS Sonoma 14.5
הופץ ב-13 במאי 2024
Apple Neural Engine
זמין עבור: macOS Sonoma
השפעה: תוקף מקומי עלול לגרום לכיבוי בלתי צפוי של המערכת
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2024-27826: Minghao Lin, ו-Ye Zhang (@VAR10CK) מ-Baidu Security
הרשומה נוספה ב‑29 ביולי 2024
AppleAVD
זמין עבור: macOS Sonoma
השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)
הרשומה עודכנה ב‑15 במאי 2024
AppleMobileFileIntegrity
זמין עבור: macOS Sonoma
השפעה: תוקף מקומי עלול להצליח לגשת לפריטים ב'צרור המפתחות'
תיאור: בעיית שנמוך טופלה באמצעות הגבלות נוספות על חתימת קוד.
CVE-2024-27837: Mickey Jin (@patch1t) ו-ajajfxhj
AppleMobileFileIntegrity
זמין עבור: macOS Sonoma
השפעה: תוקף עלול להצליח לגשת לנתוני משתמש
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2024-27816: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לעקוף העדפות פרטיות מסוימות
תיאור: בעיית שנמוך המשפיעה על מחשבי Mac שמבוססים על Intel טופלה באמצעות הגבלות נוספות על חתימת קוד.
CVE-2024-27825: Kirin (@Pwnrin)
AppleVA
זמין עבור: macOS Sonoma
השפעה: עיבוד של קובץ עלול להוביל לסיום בלתי צפוי של פעולת יישום או להפעלת קוד שרירותי
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2024-27829: Amir Bazine ו-Karsten König מ-CrowdStrike Counter Adversary Operations, Pwn2car ביחד עם Trend Micro's Zero Day Initiative, ו-Michael DePlante (@izobashi) מ-Trend Micro's Zero Day Initiative
הרשומה עודכנה ב‑29 ביולי 2024
AVEVideoEncoder
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2024-40771: חוקר אנונימי
הרשומה נוספה ב‑15 בינואר 2025
AVEVideoEncoder
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לחשוף את זיכרון הליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2024-27841: חוקר אנונימי
CFNetwork
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לקרוא קבצים שרירותיים
תיאור: בעיית נכונות טופלה באמצעות בדיקות משופרות.
CVE-2024-23236: Ron Masas מ-Imperva
Core Data
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיה טופלה באמצעות אימות משופר של משתני סביבה.
CVE-2024-27805: Kirin (@Pwnrin) ו-小来来 (@Smi1eSEC)
הרשומה נוספה ב-10 ביוני 2024
CoreMedia
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-27817: pattern-f (@pattern_F_) מ-Ant Security Light-Year Lab
הרשומה נוספה ב-10 ביוני 2024
CoreMedia
זמין עבור: macOS Sonoma
השפעה: עיבוד של קובץ עלול להוביל לסיום בלתי צפוי של פעולת יישום או להפעלת קוד שרירותי
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2024-27831: Amir Bazine ו-Karsten König מ-CrowdStrike Counter Adversary Operations
הרשומה נוספה ב-10 ביוני 2024
Disk Images
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח להעלות את רמת ההרשאות שלו
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-27832: חוקר אנונימי
הרשומה נוספה ב-10 ביוני 2024
Finder
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לקרוא קבצים שרירותיים
תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.
CVE-2024-27827: חוקר אנונימי ו-Mickey Jin (@patch1t)
הרשומה עודכנה ב‑16 במאי 2025
Foundation
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח להעלות את רמת ההרשאות שלו
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-27801: CertiK SkyFall Team
הרשומה נוספה ב-10 ביוני 2024
ImageIO
זמין עבור: macOS Sonoma
השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-27836: Junsung Lee בעבודה עם Trend Micro Zero Day Initiative
הרשומה נוספה ב-10 ביוני 2024
IOHIDFamily
זמין עבור: macOS Sonoma
השפעה: יישום לא מורשה עשוי להיות מסוגל לתעד הקשות ביישומים אחרים, כולל כאלה שנעשה בהם שימוש במצב קלט מאובטח
תיאור: בעיה זו טופלה באמצעות בדיקות הרשאות נוספות.
CVE-2024-27799: חוקר אנונימי
הרשומה נוספה ב-10 ביוני 2024
Kernel
זמין עבור: macOS Sonoma
השפעה: תוקף עשוי לגרום לסיום בלתי צפוי של פעולת יישום או להפעלת קוד שרירותי
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2024-27818: pattern-f (_pattern_F@) מ-Ant Security Light-Year Lab
Kernel
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2024-27815: חוקר אנונימי ו-Joseph Ravichandran (@0xjprx) מ-MIT CSAIL
הרשומה נוספה ב-10 ביוני 2024
Kernel
זמין עבור: macOS Sonoma
השפעה: תוקף במיקום מורשה ברשת עלול להצליח לזייף מנות רשת
תיאור: מצב מירוץ טופל באמצעות נעילה משופרת.
CVE-2024-27823: פרופ' בני פנקס מאוניברסיטת בר אילן, פרופ' עמית קליין מהאוניברסיטה העברית ו-EP
הרשומה נוספה ב‑29 ביולי 2024
libiconv
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח להעלות את רמת ההרשאות שלו
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-27811: Nick Wellnhofer
הרשומה נוספה ב-10 ביוני 2024
Libsystem
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים
תיאור: בעיית הרשאות טופלה באמצעות הסרה של קוד פגיע והוספת בדיקות.
CVE-2023-42893: חוקר אנונימי
זמין עבור: macOS Sonoma
השפעה: תוקף בעל גישה פיזית עלול להיות מסוגל להדליף אישורי כניסה לחשבון ביישום 'דואר'
תיאור: בעיית אימות טופלה באמצעות ניהול מצבים משופר.
CVE-2024-23251: Gil Pedersen
הרשומה נוספה ב-10 ביוני 2024
זמין עבור: macOS Sonoma
השפעה: הודעת דוא"ל בעלת מבנה זדוני עלולה להצליח להפעיל שיחות FaceTime ללא אישור המשתמש
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-23282: Dohyun Lee (@l33d0hyun)
הרשומה נוספה ב-10 ביוני 2024
Maps
זמין עבור: macOS Sonoma
השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום
תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.
CVE-2024-27810: LFY@secsys מ-Fudan University
Messages
זמין עבור: macOS Sonoma
השפעה: עיבוד הודעה בעלת מבנה זדוני עלול להוביל למניעת שירות
תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.
CVE-2024-27800: Daniel Zajork ו-Joshua Zajork
הרשומה נוספה ב-10 ביוני 2024
Metal
זמין עבור: macOS Sonoma
השפעה: עיבוד של קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום או להפעלת קוד שרירותי
תיאור: קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) בעבודה עם Trend Micro Zero Day Initiative
הרשומה נוספה ב-10 ביוני 2024
Metal
זמין עבור: macOS Sonoma
השפעה: תוקף מרוחק עלול לגרום לסגירה בלתי צפויה של יישום או להפעלת קוד שרירותי
תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2024-27857: Michael DePlante (@izobashi) מ-Trend Micro Zero Day Initiative
הרשומה נוספה ב-10 ביוני 2024
PackageKit
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לקבל הרשאות בסיס
תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.
CVE-2024-27822: Scott Johnson, Mykola Grymalyuk מ-RIPEDA Consulting, Jordy Witteman ו-Carlos Polop
PackageKit
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח להעלות את רמת ההרשאות שלו
תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.
CVE-2024-27824: Pedro Tôrres (@t0rr3sp3dr0)
PackageKit
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: בעיה זו טופלה באמצעות אימות משופר של קישורים סימבוליים.
CVE-2024-27885: Mickey Jin (@patch1t)
הרשומה נוספה ב-10 ביוני 2024
PrintCenter
זמין עבור: macOS Sonoma
השפעה: יישום עשוי להצליח להפעיל קוד שרירותי מתוך ארגז החול שלו או עם הרשאות מלאות מסוימות
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-27813: חוקר אנונימי
PrintCenter
זמין עבור: macOS Sonoma
השפעה: יישום עשוי להצליח להפעיל קוד שרירותי מתוך ארגז החול שלו או עם הרשאות מלאות מסוימות
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-27813: חוקר אנונימי
הרשומה נוספה ב-10 ביוני 2024
RemoteViewServices
זמין עבור: macOS Sonoma
השפעה: תוקף עלול להצליח לגשת לנתוני משתמש
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2024-27816: Mickey Jin (@patch1t)
RemoteViewServices
זמין עבור: macOS Sonoma
השפעה: תוקף עלול להצליח לגשת לנתוני משתמש
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2024-27816: Mickey Jin (@patch1t)
הרשומה נוספה ב-10 ביוני 2024
Safari
זמין עבור: macOS Sonoma
השפעה: תיבת דו-שיח לקבלת הרשאה באתר עלולה להמשיך להיות מוצגת לאחר ניווט אל מחוץ לאתר
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-27844: Narendra Bhati מ-Suma Soft Pvt. Ltd in Pune (בהודו), Shaheen Fazim
הרשומה נוספה ב-10 ביוני 2024
SharedFileList
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח להעלות את רמת ההרשאות שלו
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2024-27843: Mickey Jin (@patch1t)
Shortcuts
זמין עבור: macOS Sonoma
השפעה: פעולה של קיצור עלולה להוציא כפלט נתוני משתמש ללא קבלת הסכמה
תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.
CVE-2024-27821: Csaba Fitzl (@theevilbit) מ-Kandji, Kirin (@Pwnrin), LFY@secsys, 小来来 (@Smi1eSEC), yulige, Snoolie Keffaber (@0xilis) ו-Robert Reichel
הרשומה נוספה ב-15 בינואר 2025
Shortcuts
זמין עבור: macOS Sonoma
השפעה: קיצור דרך עלול להצליח להשתמש בנתונים רגישים במהלך פעולות מסוימות בלי להציג בקשה למשתמש
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-27855: חוקר אנונימי
הרשומה נוספה ב-10 ביוני 2024
Spotlight
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיה זו טופלה באמצעות סניטציה משופרת של הסביבה.
CVE-2024-27806
הרשומה נוספה ב-10 ביוני 2024
StorageKit
זמין עבור: macOS Sonoma
השפעה: תוקף עלול להצליח להעלות את רמת ההרשאות שלו
תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.
CVE-2024-27798: Yann GASCUEL מ-Alter Solutions
StorageKit
זמין עבור: macOS Sonoma
השפעה: ייתכן שיישום זדוני יוכל לקבל הרשאות שורש
תיאור: בעיה זו טופלה באמצעות בדיקת הרשאות משופרת.
CVE-2024-27848: Csaba Fitzl (@theevilbit) מ-Kandji
הרשומה נוספה ב-10 ביוני 2024
Sync Services
זמין עבור: macOS Sonoma
השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות
CVE-2024-27847: Mickey Jin (@patch1t)
Transparency
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיה זו טופלה באמצעות זכאות חדשה.
CVE-2024-27884: Mickey Jin (@patch1t)
הרשומה נוספה ב‑29 ביולי 2024
udf
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-27842: CertiK SkyFall Team
Voice Control
זמין עבור: macOS Sonoma
השפעה: תוקף עלול להצליח להעלות את רמת ההרשאות שלו
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-27796: ajajfxhj
WebKit
זמין עבור: macOS Sonoma
השפעה: עיבוד של קובץ עלול להוביל לסיום בלתי צפוי של פעולת יישום או להפעלת קוד שרירותי
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
WebKit Bugzilla: 268765
CVE-2024-27856: Maksymilian Motyl מ-Immunity Systems, Junsung Lee ביחד עם Trend Micro Zero Day Initiative ו-ajajfxhj
הרשומה נוספה ב‑15 בינואר 2025
WebKit
זמין עבור: macOS Sonoma
השפעה: תוקף עם יכולות קריאה וכתיבה שרירותיות עלול לעקוף אימות מצביע
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) בעבודה עם Zero Day Initiative של Trend Micro
WebKit
זמין עבור: macOS Sonoma
השפעה: עמוד אינטרנט בעל מבנה זדוני עלול להיות מסוגל להתחזות למשתמש
תיאור: הבעיה טופלה על ידי הוספת לוגיקה.
WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos מ-Mozilla
הרשומה נוספה ב-10 ביוני 2024
WebKit
זמין עבור: macOS Sonoma
השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 268221
CVE-2024-27808: Lukas Bernhard מ-CISPA Helmholtz Center for Information Security
הרשומה נוספה ב-10 ביוני 2024
WebKit
זמין עבור: macOS Sonoma
השפעה: עמוד אינטרנט בעל מבנה זדוני עלול להיות מסוגל להתחזות למשתמש
תיאור: בעיה זו טופלה באמצעות שיפורים באלגוריתם להזרקת רעש.
WebKit Bugzilla: 270767
CVE-2024-27850: חוקר אנונימי
הרשומה נוספה ב-10 ביוני 2024
WebKit
זמין עבור: macOS Sonoma
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.
WebKit Bugzilla: 272106
CVE-2024-27851: Nan Wang (@eternalsakura13) מ-360 Vulnerability Research Institute
הרשומה נוספה ב-10 ביוני 2024
WebKit
זמין עבור: macOS Sonoma
השפעה: תוקף זדוני עם יכולות קריאה וכתיבה שרירותיות עלול לעקוף אימות מצביע
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) בעבודה עם Zero Day Initiative של Trend Micro
הרשומה נוספה ב-10 ביוני 2024
WebKit Canvas
זמין עבור: macOS Sonoma
השפעה: עמוד אינטרנט בעל מבנה זדוני עלול להיות מסוגל להתחזות למשתמש
תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.
WebKit Bugzilla: 271159
CVE-2024-27830: Joe Rutkowski (@Joe12387) מ-Crawless ו-@abrahamjuliot
הרשומה נוספה ב-10 ביוני 2024
WebKit Web Inspector
זמין עבור: macOS Sonoma
השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson מ-underpassapp.com
הרשומה נוספה ב-10 ביוני 2024
הכרה נוספת
App Store
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
AppleMobileFileIntegrity
אנחנו מבקשים להודות ל-Mickey Jin (@patch1t) על הסיוע.
הרשומה נוספה ב-10 ביוני 2024
CoreHAP
אנחנו מבקשים להודות ל-Adrian Cable על הסיוע.
Disk Images
אנחנו מבקשים להודות ל-Mickey Jin (@patch1t) על הסיוע.
הרשומה נוספה ב-10 ביוני 2024
HearingCore
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
ImageIO
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
הרשומה נוספה ב-10 ביוני 2024
Managed Configuration
אנחנו מבקשים להודות ל-遥遥领先 (@晴天组织) על הסיוע.
Music
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
Safari Downloads
אנחנו מבקשים להודות ל-Arsenii Kostromin (0x3c3e) על הסיוע.
Wi-Fi
אנחנו מבקשים להודות ל-Adam M. על הסיוע.
הרשומה נוספה ב‑29 ביולי 2024
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.