מידע על תוכן האבטחה של macOS Monterey 12.6.6

מסמך זה מתאר את תוכן האבטחה של macOS Monterey 12.6.6.

מידע על עדכוני אבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. הגרסאות העדכניות רשומות בדף עדכוני אבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.

למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.

macOS Monterey 12.6.6

הופץ ב-18 במאי 2023

Accessibility

זמין עבור: macOS Monterey

השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות

תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.

CVE-2023-32388:‏ Kirin‏ (‎@Pwnrin)

AppleEvents

זמין עבור: macOS Monterey

השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות

תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.

CVE-2023-28191:‏ Mickey Jin‏ (‎@patch1t)

AppleMobileFileIntegrity

זמין עבור: macOS Monterey

השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות

תיאור: בעיה זו טופלה באמצעות זכאויות משופרות.

CVE-2023-32411:‏ Mickey Jin‏ (‎@patch1t)

AppleMobileFileIntegrity

זמין עבור: macOS Monterey

השפעה: יישום עלול להיות מסוגל להזריק קוד לתוך קבצים בינאריים רגישים שמאוגדים באמצעות Xcode

תיאור: בעיה זו טופלה על ידי אילוץ זמן ריצה קשיח על הקבצים הבינאריים המושפעים ברמת המערכת.

CVE-2023-32383:‏ James Duffy‏ (mangoSecure)

הרשומה נוספה ב‑21 בדצמבר 2023

Contacts

זמין עבור: macOS Monterey

השפעה: ייתכן שיישום יוכל לצפות בנתוני משתמש לא מוגנים

תיאור: בעיית אבטחה טופלה באמצעות שיפור הטיפול בקבצים זמניים.

CVE-2023-32386:‏ Kirin‏ (‎@Pwnrin)

CUPS

זמין עבור: macOS Monterey

השפעה: משתמש לא מאומת עלול להצליח לגשת למסמכים שהודפסו לאחרונה

תיאור: בעיית אימות טופלה באמצעות ניהול מצבים משופר.

CVE-2023-32360:‏ Gerhard Muth

dcerpc

זמין עבור: macOS Monterey

השפעה: תוקף מרוחק עלול לגרום לסגירה בלתי צפויה של יישום או להפעלת קוד שרירותי

תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.

CVE-2023-32387:‏ Dimitrios Tatsis מ-Cisco Talos

Dev Tools

זמין עבור: macOS Monterey

השפעה: יישום בארגז חול עלול להצליח לאסוף יומני מערכת

תיאור: בעיה זו טופלה באמצעות זכאויות משופרות.

CVE-2023-27945: מיקי ג'ין (‎@patch1t)

GeoServices

זמין עבור: macOS Monterey

השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום

תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.

CVE-2023-32392:‏ Adam M.

הרשומה עודכנה ב‑21 בדצמבר 2023

ImageIO

זמין עבור: macOS Monterey

השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2023-23535:‏ ryuzaki

ImageIO

זמין עבור: macOS Monterey

השפעה: עיבוד תמונה עלול לגרום להפעלת קוד שרירותי

תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.

CVE-2023-32384:‏ Meysam Firouzi @R00tkitsmm עובד עם Trend Micro Zero Day Initiative

IOSurface

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח להדליף מצב ליבה רגיש

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2023-32410:‏ hou xuewei (@p1ay8y3ar) vmk msu

Kernel

זמין עבור: macOS Monterey

השפעה: יישום בארגז חול עלול להצליח לצפות על חיבורי רשת ברחבי המערכת

תיאור: הבעיה טופלה באמצעות בדיקות הרשאות נוספות.

CVE-2023-27940:‏ James Duffy‏ (mangoSecure)

Kernel

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לקבל הרשאות בסיס

תיאור: מצב מירוץ טופל באמצעות טיפול משופר במצבים.

CVE-2023-32413:‏ Eloi Benoist-Vanderbeken‏ (‎@elvanderb) מ-Synacktiv‏ (‎@Synacktiv) עובד עם Trend Micro Zero Day Initiative

Kernel

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.

CVE-2023-32398:‏ Adam Doupé מ-ASU SEFCOM

LaunchServices

זמין עבור: macOS Monterey

השפעה: יישום עלול לעקוף בדיקות של Gatekeeper

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2023-32352:‏ Wojciech Reguła (‎@_r3ggi) מ-SecuRing‏ (wojciechregula.blog)

libxpc

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

CVE-2023-32369: ג'ונתן בר אור מ-Microsoft, אנורג בוהרה מ-Microsoft ומייקל פירס מ-Microsoft

libxpc

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לקבל הרשאות בסיס

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2023-32405:‏ Thijs Alkemade‏ (‎@xnyhps) מ-Computest Sector 7

MallocStackLogging

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לקבל הרשאות בסיס

תיאור: בעיה זו טופלה באמצעות טיפול משופר בקבצים.

CVE-2023-32428:‏Gergely Kalman‏ (@gergely_kalman)

הרשומה נוספה ב‑21 בדצמבר 2023

Metal

זמין עבור: macOS Monterey

השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

CVE-2023-32407:‏ Gergely Kalman‏ (‎@gergely_kalman)

Model I/O

זמין עבור: macOS Monterey

השפעה: עיבוד דגם תלת-ממדי עלול לגרום לחשיפה של זיכרון תהליך

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2023-32375:‏ Michael DePlante (‎@izobashi) מ-Trend Micro Zero Day Initiative

CVE-2023-32382:‏ Mickey Jin‏ (‎@patch1t)

CVE-2023-32368:‏ Mickey Jin‏ (‎@patch1t)

Model I/O

זמין עבור: macOS Monterey

השפעה: עיבוד דגם תלת-ממדי עלול לגרום להפעלת קוד שרירותי

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2023-32380:‏ Mickey Jin‏ (‎@patch1t)

NetworkExtension

זמין עבור: macOS Monterey

השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום

תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.

CVE-2023-32403:‏ Adam M.

הרשומה עודכנה ב‑21 בדצמבר 2023

PackageKit

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

CVE-2023-32355:‏ Mickey Jin‏ (‎@patch1t)

Perl

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

CVE-2023-32395:‏ Arsenii Kostromin‏ (0x3c3e)

Quick Look

זמין עבור: macOS Monterey

השפעה: ניתוח מבנה של מסמך Office עלול להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.

CVE-2023-32401‏: Holger Fuhrmannek מ-Deutsche Telekom Security GmbH מטעם BSI (המשרד הפדרלי הגרמני לאבטחת מידע)

הרשומה נוספה ב‑21 בדצמבר 2023

Sandbox

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לשמור על גישה לקובצי תצורת המערכת, גם לאחר ביטול ההרשאה שלו

תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.

CVE-2023-32357:‏ Yiğit Can YILMAZ‏ (‎@yilmazcanyigit)‏, Jeff Johnson, Koh M. Nakagawa מ-FFRI Security, Inc.‎‏, Kirin‏ (‎@Pwnrin) ו-Csaba Fitzl‏ (‎@theevilbit) מ-Offensive Security

Shell

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

CVE-2023-32397:‏ Arsenii Kostromin‏ (0x3c3e)

Telephony

זמין עבור: macOS Monterey

השפעה: תוקף מרוחק עלול לגרום לסגירה בלתי צפויה של יישום או להפעלת קוד שרירותי

תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.

CVE-2023-32412:‏ Ivan Fratric מ-Google Project Zero

TV App

זמין עבור: macOS Monterey

השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרונות מטמון.

CVE-2023-32408:‏ Adam M.

 

תודות נוספות

libxml2

אנו מבקשים להודות ל-OSS-Fuzz ול-Ned Williamson מ-Google Project Zero על הסיוע.

Reminders

אנחנו מבקשים להודות ל-Kirin‏ (‎@Pwnrin) על הסיוע.

Security

אנחנו מבקשים להודות ל-James Duffy‏ (mangoSecure) ‏על הסיוע.

Wi-Fi

אנחנו מבקשים להודות ל-Adam M.‎ על הסיוע.

הרשומה עודכנה ב‑21 בדצמבר 2023

Wi-Fi Connectivity

אנחנו מבקשים להודות ל-Adam M.‎ על הסיוע.

הרשומה עודכנה ב‑21 בדצמבר 2023

 

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

Published Date: