מידע על עדכוני אבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. הגרסאות העדכניות רשומות בדף עדכוני אבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.
למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.
macOS Big Sur 11.7.5
הופץ ב-27 במרץ 2023
Apple Neural Engine
זמין עבור: macOS Big Sur
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-23540: מוחמד גנם (@_simo36)
AppleAVD
זמין עבור: macOS Big Sur
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2022-26702: חוקר אנונימי, אנטוניו זקיץ' (@antoniozekic) וג'ון אקרבלום (@jaakerblom)
AppleMobileFileIntegrity
זמין עבור: macOS Big Sur
השפעה: משתמש עלול לקבל גישה לחלקים מוגנים במערכת הקבצים
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-23527: Mickey Jin (@patch1t)
Archive Utility
זמין עבור: macOS Big Sur
השפעה: ארכיון עלול להצליח לעקוף את Gatekeeper
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-27951: ברנדון דלטון (@partyD0lphin) מ-Red Canary וסאבה פיצל (@theevilbit) מ-Offensive Security
הערך עודכן ב‑יום חמישי 11 מאי 2023
Calendar
זמין עבור: macOS Big Sur
השפעה: ייבוא הזמנה בלוח השנה שנוצרה באופן זדוני עלול לאפשר חילוץ פרטי משתמש
תיאור: מספר בעיות אימות טופלו באמצעות סניטציה משופרת של קלט.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
Carbon Core
זמין עבור: macOS Big Sur
השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-23534: Mickey Jin (@patch1t)
ColorSync
זמין עבור: macOS Big Sur
השפעה: יישום עלול להצליח לקרוא קבצים שרירותיים
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-27955: JeongOhKyea
CommCenter
זמין עבור: macOS Big Sur
השפעה: יישום עלול להצליח להביא לסיום בלתי צפוי של המערכת או לכתוב זיכרון ליבה
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2023-27936: Tingting Yin מאוניברסיטת Tsinghua
dcerpc
זמין עבור: macOS Big Sur
השפעה: משתמש מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.
CVE-2023-27935: Aleksandar Nikolic מ-Cisco Talos
dcerpc
זמין עבור: macOS Big Sur
השפעה: משתמש מרוחק עלול להצליח לגרום לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-27953: Aleksandar Nikolic מ-Cisco Talos
CVE-2023-27958: Aleksandar Nikolic מ-Cisco Talos
Find My
זמין עבור: macOS Big Sur
השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום
תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.
CVE-2023-23537: חוקר אנונימי
FontParser
זמין עבור: macOS Big Sur
השפעה: עיבוד קובץ גופן עלול להוביל להפעלה של קוד שרירותי
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2023-32366: Ye Zhang (@VAR10CK) מ-Baidu Security
הרשומה נוספה ב‑21 בדצמבר 2023
Foundation
זמין עבור: macOS Big Sur
השפעה: ניתוח של קובץ plist בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר.
CVE-2023-27937: חוקר אנונימי
Identity Services
זמין עבור: macOS Big Sur
השפעה: יישום עשוי להצליח להגיע למידע על אנשי הקשר של משתמש
תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.
CVE-2023-27928: Csaba Fitzl (@theevilbit) מ-Offensive Security
ImageIO
זמין עבור: macOS Big Sur
השפעה: עיבוד של קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2023-27946: Mickey Jin (@patch1t)
ImageIO
זמין עבור: macOS Big Sur
השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-23535: ryuzaki
IOAcceleratorFamily
זמין עבור: macOS Big Sur
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.
CVE-2023-32378: Murray Mike
הרשומה נוספה ב‑21 בדצמבר 2023
Kernel
זמין עבור: macOS Big Sur
השפעה: יישום עלול להצליח לחשוף את זיכרון הליבה
תיאור: הייתה בעיה של קריאה מחוץ לתחום שהובילה לחשיפת זיכרון ליבה. הבעיה טופלה באמצעות אימות קלט משופר.
CVE-2023-27941: Arsenii Kostromin (0x3c3e)
CVE-2023-28199: Arsenii Kostromin (0x3c3e)
הרשומה נוספה ב‑11 במאי 2023, עודכנה ב-21 בדצמבר 2023
Kernel זמין עבור: macOS Big Sur השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות. CVE-2023-23536: Félix Poulin-Bélanger ו-David Pan Ogea הרשומה נוספה ב-11 במאי 2023, עודכנה ב-21 בדצמבר 2023
Kernel זמין עבור: macOS Big Sur השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון. CVE-2023-23514: Xinru Chi מ-Pangu Lab ו-Ned Williamson מ-Google Project Zero Kernel זמין עבור: macOS Big Sur השפעה: יישום עלול להצליח לחשוף את זיכרון הליבה תיאור: בעיית אימות טופלה באמצעות סניטציה משופרת של קלט. CVE-2023-28200: Arsenii Kostromin (0x3c3e) Kernel זמין עבור: macOS Big Sur השפעה: יישום עלול להצליח לגרום למניעת שירות תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר. CVE-2023-28185: Pan ZhenPeng מ-STAR Labs SG Pte. Ltd. הרשומה נוספה ב‑21 בדצמבר 2023
LaunchServices זמין עבור: macOS Big Sur השפעה: יישום עלול לקבל הרשאות בסיס תיאור: בעיה זו טופלה באמצעות בדיקות משופרות. CVE-2023-23525: Mickey Jin (@patch1t) הערך נוסף ב‑11 במאי 2023
libpthread זמין עבור: macOS Big Sur השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה תיאור: בעיית בלבול בסוגים טופלה באמצעות בדיקות משופרות. CVE-2023-41075: Zweig מ-Kunlun Lab הרשומה נוספה ב‑21 בדצמבר 2023
Mail זמין עבור: macOS Big Sur השפעה: יישום עלול להצליח לצפות במידע רגיש תיאור: הבעיה טופלה באמצעות בדיקות משופרות. CVE-2023-28189: Mickey Jin (@patch1t) הערך נוסף ב‑11 במאי 2023
Messages זמין עבור: macOS Big Sur השפעה: אפליקציה עלולה להצליח לגשת לנתונים רגישים אודות המשתמש תיאור: בעיית גישה טופלה באמצעות הגבלות 'ארגז חול' נוספות. CVE-2023-28197: Joshua Jones הרשומה נוספה ב‑21 בדצמבר 2023
NetworkExtension זמין עבור: macOS Big Sur השפעה: משתמש במיקום רשת מורשה עלול להצליח להתחזות לשרת VPN המוגדר עם אימות EAP בלבד במכשיר תיאור: הבעיה טופלה באמצעות אימות משופר. CVE-2023-28182: Zhuowei Zhang PackageKit זמין עבור: macOS Big Sur השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות. CVE-2023-27962: Mickey Jin (@patch1t) Podcasts זמין עבור: macOS Big Sur השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש תיאור: הבעיה טופלה באמצעות בדיקות משופרות. CVE-2023-27942: Mickey Jin (@patch1t) הערך נוסף ב‑11 במאי 2023
System Settings זמין עבור: macOS Big Sur השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן. CVE-2023-23542: Adam M. הרשומה עודכנה ב‑21 בדצמבר 2023
System Settings זמין עבור: macOS Big Sur השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום תיאור: בעיית הרשאות טופלה באמצעות אימות משופר. CVE-2023-28192: Guilherme Rambo מ-Best Buddy Apps (rambo.codes) Vim זמין עבור: macOS Big Sur השפעה: מספר בעיות ב-Vim תיאור: מספר בעיות טופלו באמצעות עדכון לגרסה 9.0.1191 של Vim. CVE-2023-0433 CVE-2023-0512 XPC זמין עבור: macOS Big Sur השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול תיאור: בעיה זו טופלה באמצעות זכאות חדשה. CVE-2023-27944: Mickey Jin (@patch1t)
תודות נוספות
Activation Lock
אנחנו מבקשים להודות ל-Christian Mina על הסיוע.
AppleMobileFileIntegrity
אנחנו מבקשים להודות לוויצ'ך רגולה (@_r3ggi) מ-SecuRing (wojciechregula.blog) על הסיוע.
CoreServices
אנחנו מבקשים להודות ל-Mickey Jin (@patch1t) על הסיוע.
NSOpenPanel
אנחנו מבקשים להודות ל-Alexandre Colucci (@timacfr) על הסיוע.
Wi-Fi
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.