מידע על תוכן האבטחה של macOS Ventura 13.7.2
מסמך זה מתאר את תוכן האבטחה של macOS Ventura 13.7.2.
מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID במידת האפשר.
למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.
macOS Ventura 13.7.2
הופץ ב‑11 בדצמבר 2024
Apple Software Restore
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-54477: Mickey Jin (@patch1t), Csaba Fitzl (@theevilbit) מ-Kandji
AppleMobileFileIntegrity
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2024-54527: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
זמין עבור: macOS Ventura
השפעה: יישום זדוני עלול להצליח לגשת למידע פרטי
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)
Audio
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2024-54529: Dillon Franke יחד עם Google Project Zero
Crash Reporter
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים
תיאור: בעיית לוגיקה תוקנה באמצעות טיפול משופר בקבצים.
CVE-2024-44300: חוקר אנונימי
DiskArbitration
זמין עבור: macOS Ventura
השפעה: משתמש אחר עלול להצליח לגשת לאמצעי אחסון מוצפן ללא בקשת סיסמה
תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.
CVE-2024-54466: Michael Cohen
Disk Utility
זמין עבור: macOS Ventura
השפעה: הפעלת פקודת טעינה עלולה להצליח להפעיל קוד שרירותי באופן בלתי צפוי
תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.
CVE-2024-54489: D’Angelo Gonzalez מ-CrowdStrike
FontParser
זמין עבור: macOS Ventura
השפעה: עיבוד של גופן בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-54486: Hossein Lotfi (@hosselot) מ-Trend Micro Zero Day Initiative
ImageIO
זמין עבור: macOS Ventura
השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-54500: Junsung Lee יחד עם Trend Micro Zero Day Initiative
Kernel
זמין עבור: macOS Ventura
השפעה: תוקף עלול להצליח ליצור מיפוי זיכרון לקריאה בלבד שניתן לכתוב אליו
תיאור: מצב מירוץ טופל באמצעות אימות נוסף.
CVE-2024-54494: sohybbyk
Kernel
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח להדליף מצב ליבה רגיש
תיאור: מצב מירוץ טופל באמצעות נעילה משופרת.
CVE-2024-54510: Joseph Ravichandran (@0xjprx) מ-MIT CSAIL
libarchive
זמין עבור: macOS Ventura
השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל למניעת שירות
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2024-44201: Ben Roeder
libexpat
זמין עבור: macOS Ventura
השפעה: תוקף מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.
CVE-2024-45490
libxpc
זמין עבור: macOS Ventura
השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-54514: חוקר אנונימי
libxpc
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לקבל הרשאות ברמה גבוהה יותר
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2024-44225: 风沐云烟 (@binary_fmyy)
PackageKit
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-54474: Mickey Jin (@patch1t)
CVE-2024-54476: Mickey Jin (@patch1t), Bohdan Stasiuk (@Bohdan_Stasiuk)
SceneKit
זמין עבור: macOS Ventura
השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל למניעת שירות
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-54501: Michael DePlante (@izobashi) מ-Trend Micro Zero Day Initiative
Screen Sharing Server
זמין עבור: macOS Ventura
השפעה: ייתכן שמשתמש עם גישה לשיתוף מסך יוכל להציג מסך של משתמש אחר
תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.
CVE-2024-44248: Halle Winkler, Politepix (theoffcuts.org)
SharedFileList
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח למחוק קבצים שרירותיים
תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.
CVE-2024-54528: חוקר אנונימי
SharedFileList
זמין עבור: macOS Ventura
השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול
תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.
CVE-2024-54498: חוקר אנונימי
Software Update
זמין עבור: macOS Ventura
השפעה: ייתכן שיישום זדוני יוכל לקבל הרשאות שורש
תיאור: בעיית לוגיקה תוקנה באמצעות טיפול משופר בקבצים.
CVE-2024-44291: Arsenii Kostromin (0x3c3e)
StorageKit
זמין עבור: macOS Ventura
השפעה: ייתכן שיישום זדוני יוכל לקבל הרשאות שורש
תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.
CVE-2024-44224: Amy (@asentientbot)
תודות נוספות
CUPS
אנחנו מבקשים להודות ל-evilsocket על הסיוע.
Proximity
אנחנו מבקשים להודות ל-Junming C. (@Chapoly1305) ולפרופ' Qiang Zeng מאוניברסיטת George Mason על הסיוע.
Sandbox
אנחנו מבקשים להודות ל-IES Red Team מ-ByteDance על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.