אודות עדכוני אבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. הגרסאות העדכניות רשומות בדף עדכוני אבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.
למידע נוסף בנושא אבטחה, עיינו בדף אבטחת מוצרי Apple.
macOS¬Big¬Sur¬11.7
הופץ ב-12 בספטמבר 2022
AppleMobileFileIntegrity
זמין עבור: macOS Big Sur
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיה באימות חתימה של קוד טופלה באמצעות בדיקות משופרות.
CVE-2022-42789: קו מ' נאקאגווה מ-FFRI .Security, Inc.
הרשומה נוספה ב‑27 באוקטובר 2022
ATS
זמין עבור: macOS Big Sur
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיית גישה טופלה באמצעות הגבלות 'ארגז חול' נוספות.
CVE-2022-32904: מיקי ג'ין (@patch1t)
הרשומה נוספה ב‑27 באוקטובר 2022
ATS
זמין עבור: macOS Big Sur
השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות
תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.
CVE-2022-32902: מיקי ג'ין (@patch1t)
Calendar
זמין עבור: macOS Big Sur
השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום
תיאור: בעיית גישה טופלה באמצעות הגבלות גישה משופרות.
CVE-2022-42819: חוקר אנונימי
הרשומה נוספה ב‑27 באוקטובר 2022
Contacts
זמין עבור: macOS Big Sur
השפעה: יישום עלול להצליח לעקוף את העדפות הפרטיות
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2022-32854: הולגר פורמאנק מ-Deutsche Telekom Security
GarageBand
זמין עבור: macOS Big Sur
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיית תצורה טופלה באמצעות הגבלות נוספות.
CVE-2022-32877: וויצ'ך רגולה (@_r3ggi) מ-SecuRing
הרשומה נוספה ב‑27 באוקטובר 2022
ImageIO
זמין עבור: macOS Big Sur
השפעה: עיבוד תמונה עלול לגרום למניעת שירות
תיאור: בעיית מניעת שירות טופלה באמצעות אימות משופר.
CVE-2022-1622
הרשומה נוספה ב‑27 באוקטובר 2022
Image Processing
זמין עבור: macOS Big Sur
השפעה: יישום בארגז חול עלול להצליח לקבוע איזה יישום משתמש כעת במצלמה
תיאור: הבעיה טופלה באמצעות הגבלות נוספות בנוגע לנראות של מצבי יישומים.
CVE-2022-32913: ייגיט ג'ן ילמז (@yilmazcanyigit)
הרשומה נוספה ב‑27 באוקטובר 2022
iMovie
זמין עבור: macOS Big Sur
השפעה: משתמש עלול להצליח לצפות במידע רגיש אודות המשתמש
תיאור: בעיה זו טופלה על ידי הפעלת מצב Hardened Runtime (סביבת זמן ריצה מוגנת).
CVE-2022-32896: וויצ'ך רגולה (@_r3ggi)
Kernel
זמין עבור: macOS Big Sur
השפעה: חיבור לשרת NFS זדוני עלול להוביל להפעלת קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.
CVE-2022-46701: פליקס פולין-בלאנג'ר
הערך נוסף ב‑11 במאי 2023
Kernel
זמין עבור: macOS Big Sur
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2022-32914: צווייג מ-Kunlun Lab
הרשומה נוספה ב‑27 באוקטובר 2022
Kernel
זמין עבור: macOS Big Sur
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2022-32866: לינוס הנצה מ-Pinauten GmbH (pinauten.de)
CVE-2022-32911: צווייג מ-Kunlun Lab
CVE-2022-32924: איאן ביר מ-Google Project Zero
הרשומה עודכנה ב-27 באוקטובר 2022
Kernel
זמין עבור: macOS Big Sur
השפעה: יישום עלול להצליח לחשוף את זיכרון הליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2022-32864: לינוס הנצה מ-Pinauten GmbH (pinauten.de)
Kernel
זמין עבור: macOS Big Sur
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה. Apple מודעת לדיווח על כך שייתכן שבעיה זו נוצלה באופן פעיל.
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2022-32894: חוקר אנונימי
Kernel
זמין עבור: macOS Big Sur
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה. Apple מודעת לדיווח על כך שייתכן שבעיה זו נוצלה באופן פעיל.
תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.
CVE-2022-32917: חוקר אנונימי
Maps
זמין עבור: macOS Big Sur
השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום
תיאור: בעיה לוגית טופלה באמצעות הגבלות משופרות.
CVE-2022-32883: רון מסאס מ-breakpointhq.com
הרשומה עודכנה ב-27 באוקטובר 2022
MediaLibrary
זמין עבור: macOS Big Sur
השפעה: משתמש עלול להצליח להשיג הרשאות ברמה גבוהה יותר
תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.
CVE-2022-32908: חוקר אנונימי
ncurses
זמין עבור: macOS Big Sur
השפעה: משתמש עלול לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.
CVE-2021-39537
הרשומה נוספה ב‑27 באוקטובר 2022
PackageKit
זמין עבור: macOS Big Sur
השפעה: יישום עלול להצליח לקבל הרשאות ברמה גבוהה יותר
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
CVE-2022-32900: מיקי ג'ין (@patch1t)
Sandbox
זמין עבור: macOS Big Sur
השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: בעיה לוגית טופלה באמצעות הגבלות משופרות.
CVE-2022-32881: סאבה פיצל (@theevilbit) מ-Offensive Security
הרשומה נוספה ב‑27 באוקטובר 2022
Security
זמין עבור: macOS Big Sur
השפעה: יישום עלול להצליח לעקוף בדיקות של חתימת קוד
תיאור: בעיה באימות חתימה של קוד טופלה באמצעות בדיקות משופרות.
CVE-2022-42793: לינוס הנצה מ-Pinauten GmbH (pinauten.de)
הרשומה נוספה ב‑27 באוקטובר 2022
Sidecar
זמין עבור: macOS Big Sur
השפעה: ייתכן שמשתמש יוכל להציג תוכן מוגבל ממסך הנעילה
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
CVE-2022-42790: אום קות'וואדה מ-Zaprico Digital
הרשומה נוספה ב‑27 באוקטובר 2022
SMB
זמין עבור: macOS Big Sur
השפעה: משתמש מרוחק עלול להצליח לגרום להפעלת קוד ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2022-32934: פליקס פולין-בלאנג'ר
הרשומה נוספה ב‑27 באוקטובר 2022
Vim
זמין עבור: macOS Big Sur
השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל למניעת שירות או לחשיפה פוטנציאלית של תוכן זיכרון
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2022-1720
CVE-2022-2000
CVE-2022-2042
CVE-2022-2124
CVE-2022-2125
CVE-2022-2126
הרשומה נוספה ב‑27 באוקטובר 2022
Weather
זמין עבור: macOS Big Sur
השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
CVE-2022-32875: חוקר אנונימי
הרשומה נוספה ב‑27 באוקטובר 2022
WebKit
זמין עבור: macOS Big Sur
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)
הרשומה נוספה ב‑27 באוקטובר 2022
תודות נוספות
apache
אנחנו מבקשים להודות לטרישה לי מ-Enterprise Service Center על הסיוע.
הערך נוסף ב‑11 במאי 2023
Identity Services
אנחנו מבקשים להודות לג'ושוע ג'ונס על הסיוע.