אודות תוכן האבטחה של macOS Monterey 12.6.3

מסמך זה מתאר את תוכן האבטחה של macOS Monterey 12.6.3.

אודות עדכוני אבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. הגרסאות העדכניות רשומות בדף עדכוני אבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.

למידע נוסף בנושא אבטחה, עיינו בדף אבטחת מוצרי Apple.

macOS Monterey 12.6.3

הופץ ב-23 בינואר 2023

AppleMobileFileIntegrity

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיה זו טופלה על ידי הפעלת מצב Hardened Runtime (סביבת זמן ריצה מוגנת).

CVE-2023-23499: וויצ'ך רגולה (‎@_r3ggi) מ-SecuRing (wojciechregula.blog)

curl

זמין עבור: macOS Monterey

השפעה: מספר בעיות ב-curl

תיאור: מספר בעיות טופלו באמצעות עדכון לגרסה 7.86.0 של curl.

CVE-2022-42915

CVE-2022-42916

CVE-2022-32221

CVE-2022-35260

curl

זמין עבור: macOS Monterey

השפעה: מספר בעיות ב-curl

תיאור: מספר בעיות טופלו באמצעות עדכון לגרסה 7.85.0 של curl.

CVE-2022-35252

dcerpc

זמין עבור: macOS Monterey

השפעה: טעינת שיתוף רשת Samba בעל מבנה זדוני עלולה להוביל להפעלת קוד שרירותי

תיאור: בעיית גלישת חוצץ טופלה באמצעות טיפול משופר בזיכרון.

CVE-2023-23513: דימיטריוס טטסיס ואלכסנדר ניקוליץ' מ-Cisco Talos

DiskArbitration

זמין עבור: macOS Monterey

השפעה: משתמש אחר עלול להצליח לבטל טעינה של אמצעי אחסון מוצפן ולטעון אותו מחדש ללא בקשת סיסמה

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

CVE-2023-23493: אוליבר נורפוט (‎@norpoth) מ-KLIXX GmbH‏ (klixx.com)

DriverKit

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית בלבול בסוגים טופלה באמצעות בדיקות משופרות.

CVE-2022-32915: טומי מוייר (‎@Muirey03)

Intel Graphics Driver

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.

CVE-2023-23507: חוקר אנונימי

Kernel

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2023-23516: ג'ורדי זומר (‎@pwningsystems)

הרשומה נוספה ב‑11 במאי 2023

Kernel

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2023-23504: אדם דופה מ-ASU SEFCOM

Kernel

זמין עבור: macOS Monterey

השפעה: אפליקציה עשויה להצליח לקבוע את פריסת זיכרון הליבה

תיאור: בעיה של חשיפת מידע טופלה על-ידי הסרת הקוד הפגיע.

CVE-2023-23502: פאן ז'נפנג (‎@Peterpan0927) מ-STAR Labs SG Pte.‎ ‎‏Ltd.‏ (starlabs_sg@)

Mail

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לגשת לקבצים מצורפים בתיקיית דואר דרך ספריה זמנית שנעשה בה שימוש במהלך דחיסה

תיאור: בעיית גישה טופלה באמצעות הגבלות גישה משופרות.

CVE-2022-42834: וויצ'ך רגולה (‎@_r3ggi) מ-SecuRing

הרשומה נוספה ב‑11 במאי 2023

PackageKit

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לקבל הרשאות בסיס

תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.

CVE-2023-23497: מיקי ג'ין (‎@patch1t)

Screen Time

זמין עבור: macOS Monterey

השפעה: אפליקציה עשויה לגשת למידע על אנשי הקשר של המשתמש

תיאור: בעיית פרטיות טופלה באמצעות עריכת נתונים פרטיים משופרת עבור רשומות יומן.

CVE-2023-23505: וויצ'ך רגולה מ-SecuRing (‏wojciechregula.blog) וצ'אבה פיצל (‎@theevilbit) מ-Offensive Security

הרשומה עודכנה ב‑11 במאי 2023

TCC

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.

CVE-2023-27931: מיקי ג'ין (‎@patch1t)

הרשומה נוספה ב‑11 במאי 2023

Weather

זמין עבור: macOS Monterey

השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CCVE-2023-23511: וויצ'ך רגולה מ-SecuRing‏ (wojciechregula.blog), חוקר אנונימי

WebKit

זמין עבור: macOS Monterey

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

WebKit Bugzilla‏: 248268
CVE-2023-23518: יואנג היון צ'וי (‎@hyeon101010), היוון פארק (‎@tree_segment), סאוק ג'און (‎@_seokjeon), יאנג סאנג אהן (‎@_ZeroSung), ג'ן סאו באה(‎@snakebjs0107), דויהן לי (‎@l33d0hyun) מ-Team ApplePIE.

WebKit Bugzilla: 248268
CVE-2023-23517:‏‏ ‎(@hyeon101010) YeongHyeon Choi‎,‏ (@tree_segment) ‎Hyeon Park‎,‏ ‎(@_seokjeon)‎ SeOk JEON‎, (@_ZeroSung)‎‎ YoungSung Ahn, (@snakebjs0107) JunSeo Bae‎, ‎(@l33d0hyun) Dohyun Lee‎ מצוות ApplePIE

Windows Installer

זמין עבור: macOS Monterey

השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2023-23508: מיקי ג'ין (‎@patch1t)

תודות נוספות

Kernel

אנחנו מבקשים להודות לניק סטנינג מ-Replicate על הסיוע.

 

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

Published Date: