מידע על תוכן האבטחה של macOS Monterey 12.6.6
מסמך זה מתאר את תוכן האבטחה של macOS Monterey 12.6.6.
מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. הגרסאות העדכניות רשומות בדף עדכוני אבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.
למידע נוסף אודות אבטחה, עיינו בדף אבטחת מוצרי Apple.
macOS Monterey 12.6.6
הופץ ב-18 במאי 2023
Accessibility
זמין עבור: macOS Monterey
השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות
תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.
CVE-2023-32388: Kirin (@Pwnrin)
AppleEvents
זמין עבור: macOS Monterey
השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות
תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.
CVE-2023-28191: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
זמין עבור: macOS Monterey
השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות
תיאור: בעיה זו טופלה באמצעות זכאויות משופרות.
CVE-2023-32411: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
זמין עבור: macOS Monterey
השפעה: יישום עלול להיות מסוגל להזריק קוד לתוך קבצים בינאריים רגישים שמאוגדים באמצעות Xcode
תיאור: בעיה זו טופלה על ידי אילוץ זמן ריצה קשיח על הקבצים הבינאריים המושפעים ברמת המערכת.
CVE-2023-32383: James Duffy (mangoSecure)
Contacts
זמין עבור: macOS Monterey
השפעה: ייתכן שיישום יוכל לצפות בנתוני משתמש לא מוגנים
תיאור: בעיית פרטיות טופלה באמצעות שיפור הטיפול בקבצים זמניים.
CVE-2023-32386: Kirin (@Pwnrin)
CUPS
זמין עבור: macOS Monterey
השפעה: משתמש לא מאומת עלול להצליח לגשת למסמכים שהודפסו לאחרונה
תיאור: בעיית אימות טופלה באמצעות ניהול מצבים משופר.
CVE-2023-32360: Gerhard Muth
dcerpc
זמין עבור: macOS Monterey
השפעה: תוקף מרוחק עלול לגרום לסגירה בלתי צפויה של יישום או להפעלת קוד שרירותי
תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.
CVE-2023-32387: Dimitrios Tatsis מ-Cisco Talos
Dev Tools
זמין עבור: macOS Monterey
השפעה: יישום בארגז חול עלול להצליח לאסוף יומני מערכת
תיאור: בעיה זו טופלה באמצעות זכאויות משופרות.
CVE-2023-27945: Mickey Jin (@patch1t)
GeoServices
זמין עבור: macOS Monterey
השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום
תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.
CVE-2023-32392: Adam M.
הרשומה עודכנה ב-21 בדצמבר 2023
ImageIO
זמין עבור: macOS Monterey
השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-23535: ryuzaki
ImageIO
זמין עבור: macOS Monterey
השפעה: עיבוד תמונה עלול לגרום להפעלת קוד שרירותי
תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.
CVE-2023-32384: Meysam Firouzi @R00tkitsmm עובד עם Trend Micro Zero Day Initiative
IOSurface
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח להדליף מצב ליבה רגיש
תיאור: קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2023-32410: hou xuewei (@p1ay8y3ar) vmk msu
Kernel
זמין עבור: macOS Monterey
השפעה: יישום בארגז חול עלול להצליח לצפות על חיבורי רשת ברחבי המערכת
תיאור: הבעיה טופלה באמצעות בדיקות נוספות של הרשאות.
CVE-2023-27940: James Duffy (mangoSecure)
Kernel
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח לקבל הרשאות בסיס
תיאור: מצב מרוץ טופל באמצעות טיפול משופר במצבים.
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) מ-Synacktiv (@Synacktiv) עובד עם Trend Micro Zero Day Initiative
Kernel
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.
CVE-2023-32398: Adam Doupé מ-ASU SEFCOM
LaunchServices
זמין עבור: macOS Monterey
השפעה: יישום עלול לעקוף בדיקות של Gatekeeper
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2023-32352: Wojciech Reguła (@_r3ggi) מ-SecuRing (wojciechregula.blog)
libxpc
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
CVE-2023-32369: ג'ונתן בר אור מ-Microsoft, אנורג בוהרה מ-Microsoft ומייקל פירס מ-Microsoft
libxpc
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח לקבל הרשאות בסיס
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2023-32405: Thijs Alkemade (@xnyhps) מ-Computest Sector 7
MallocStackLogging
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח לקבל הרשאות בסיס
תיאור: בעיה זו טופלה באמצעות טיפול משופר בקבצים.
CVE-2023-32428:Gergely Kalman (@gergely_kalman)
הרשומה נוספה ב‑21 בדצמבר 2023
Metal
זמין עבור: macOS Monterey
השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
Model I/O
זמין עבור: macOS Monterey
השפעה: עיבוד דגם תלת-ממדי עלול לגרום לחשיפה של זיכרון תהליך
תיאור: קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2023-32375: Michael DePlante (@izobashi) מ-Trend Micro Zero Day Initiative
CVE-2023-32382: Mickey Jin (@patch1t)
CVE-2023-32368: Mickey Jin (@patch1t)
Model I/O
זמין עבור: macOS Monterey
השפעה: עיבוד דגם תלת-ממדי עלול לגרום להפעלת קוד שרירותי
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2023-32380: Mickey Jin (@patch1t)
NetworkExtension
זמין עבור: macOS Monterey
השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום
תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.
CVE-2023-32403: Adam M.
הרשומה עודכנה ב-21 בדצמבר 2023
PackageKit
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
CVE-2023-32355: Mickey Jin (@patch1t)
Perl
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
CVE-2023-32395: Arsenii Kostromin (0x3c3e)
Quick Look
זמין עבור: macOS Monterey
השפעה: ניתוח מבנה של מסמך Office עלול להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.
CVE-2023-32401: Holger Fuhrmannek מ-Deutsche Telekom Security GmbH מטעם BSI (המשרד הפדרלי הגרמני לאבטחת מידע)
הרשומה נוספה ב‑21 בדצמבר 2023
Sandbox
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח לשמור על גישה לקובצי תצורת המערכת, גם לאחר ביטול ההרשאה שלו
תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.
CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Jeff Johnson, Koh M. Nakagawa מ-FFRI Security, Inc., Kirin (@Pwnrin) ו-Csaba Fitzl (@theevilbit) מ-Offensive Security
Shell
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
CVE-2023-32397: Arsenii Kostromin (0x3c3e)
Telephony
זמין עבור: macOS Monterey
השפעה: תוקף מרוחק עלול לגרום לסגירה בלתי צפויה של יישום או להפעלת קוד שרירותי
תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.
CVE-2023-32412: Ivan Fratric מ-Google Project Zero
TV App
זמין עבור: macOS Monterey
השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרונות מטמון.
CVE-2023-32408: אדם מ.
תודות נוספות
libxml2
אנחנו מבקשים להודות ל-OSS-Fuzz ול-Ned Williamson מ-Google Project Zero על הסיוע.
Reminders
אנחנו מבקשים להודות ל-Kirin (@Pwnrin) על הסיוע.
Security
אנחנו מבקשים להודות ל-James Duffy (mangoSecure) על הסיוע.
Wi-Fi
אנחנו מבקשים להודות ל-Adam M. על הסיוע.
הרשומה עודכנה ב-21 בדצמבר 2023
Wi-Fi Connectivity
אנחנו מבקשים להודות ל-Adam M. על הסיוע.
הרשומה עודכנה ב-21 בדצמבר 2023
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.