מידע על עדכוני אבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות אבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID כאשר הדבר ניתן.
למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.
iOS 16.7 ו-iPadOS 16.7
הופץ ב-21 בספטמבר 2023
App Store
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: תוקף מרוחק עלול להצליח לצאת מארגז חול של תוכן אינטרנט
תיאור: הבעיה טופלה באמצעות טיפול משופר בפרוטוקולים.
CVE-2023-40448: w0wbox
הרשומה נוספה ב-26 בספטמבר 2023
Ask to Buy
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-38612: Chris Ross (Zoom)
הרשומה נוספה ב‑22 בדצמבר 2023
Biometric Authentication
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול להצליח לחשוף את זיכרון הליבה
תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2023-41232: Liang Wei מ-PixiePoint Security
הרשומה נוספה ב-26 בספטמבר 2023
CoreAnimation
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: עיבוד תוכן אתר אינטרנט עלול לגרום למניעת שירות
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-40420: 이준성 (ג'ונסונג לי) מ-Cross Republic
הרשומה נוספה ב-26 בספטמבר 2023
Core Image
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול להצליח לגשת לתמונות ערוכות שנשמרו בספריה זמנית
תיאור: בעיה תוקנה באמצעות שיפור הטיפול בקבצים זמניים.
CVE-2023-40438: Wojciech Regula מ-SecuRing (wojciechregula.blog)
הרשומה נוספה ב‑22 בדצמבר 2023
Game Center
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול להצליח לגשת לאנשי הקשר
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרונות מטמון.
CVE-2023-40395: סאבה פיצל (@theevilbit) מ-Offensive Security
הרשומה נוספה ב-26 בספטמבר 2023
Kernel
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-41984: פאן ז'נפנג (@Peterpan0927) מ-STAR Labs SG Pte. Ltd.
הרשומה נוספה ב-26 בספטמבר 2023
Kernel
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: ייתכן שתוקף שכבר הצליח להשיג הפעלת קוד ליבה יוכל לעקוף אמצעי עזר של זיכרון ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-41981: לינוס הנצה מ-Pinauten GmbH (pinauten.de)
הרשומה נוספה ב-26 בספטמבר 2023
Kernel
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: תוקף מקומי עלול להצליח להשיג הרשאות ברמה גבוהה יותר. Apple מודעת לדיווח שלפיו ייתכן שבעיה זו נוצלה לרעה באופן פעיל נגד גרסאות iOS קודמות ל-iOS 16.7.
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-41992: Bill Marczak מ-The Citizen Lab בבית הספר על שם מונק באוניברסיטת טורונורו-Maddie Stone מ-Threat Analysis Group של Google
libxpc
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים
תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.
CVE-2023-41073: ז'יפנג הו (@R3dF09) מ-Tencent Security Xuanwu Lab (xlab.tencent.com)
הרשומה נוספה ב-26 בספטמבר 2023
libxpc
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול להצליח למחוק קבצים שאין לו הרשאה לגשת אליהם
תיאור: בעיית תצורה טופלה באמצעות הגבלות נוספות.
CVE-2023-40454: ז'יפנג הו (@R3dF09) מ-Tencent Security Xuanwu Lab (xlab.tencent.com)
הרשומה נוספה ב-26 בספטמבר 2023
libxslt
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: עיבוד תוכן אינטרנט עלול לחשוף מידע רגיש
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-40403: דו-היון לי (@l33d0hyun) מ-PK Security
הרשומה נוספה ב-26 בספטמבר 2023
MobileStorageMounter
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: משתמש עלול להצליח להשיג הרשאות ברמה גבוהה יותר
תיאור: בעיית גישה טופלה באמצעות הגבלות גישה משופרות.
CVE-2023-41068: מיקי ג'ין (@patch1t)
הרשומה נוספה ב-26 בספטמבר 2023
Passkeys
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: תוקף עשוי לגשת למפתחות התחברות ללא אימות
תיאור: הבעיה טופלה באמצעות בדיקות הרשאות נוספות.
CVE-2023-40401: חוקר אנונימי ו-weize she
הרשומה נוספה ב‑22 בדצמבר 2023
Pro Res
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-41063: צוות Certik Skyfall
הרשומה נוספה ב-26 בספטמבר 2023
Safari
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול להצליח לזהות אילו יישומים אחרים התקין המשתמש
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-35990: אדריאטיק ראצי מ-Sentry Cybersecurity
הרשומה נוספה ב-26 בספטמבר 2023
Security
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום זדוני עלול להצליח לעקוף אימות חתימה. Apple מודעת לדיווח שלפיו ייתכן שבעיה זו נוצלה לרעה באופן פעיל נגד גרסאות iOS קודמות ל-iOS 16.7.
תיאור: בעיית אימות אישורים טופלה.
CVE-2023-41991: Bill Marczak מ-The Citizen Lab בבית הספר על שם מונק באוניברסיטת טורונורו-Maddie Stone מ-Threat Analysis Group של Google
Share Sheet
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול להצליח לגשת לנתונים רגישים הנרשמים כאשר משתמש משתף קישור
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2023-41070: קירין (Pwnrin@)
הרשומה נוספה ב-26 בספטמבר 2023
WebKit
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי. Apple מודעת לדיווח שלפיו ייתכן שבעיה זו נוצלה לרעה באופן פעיל נגד גרסאות iOS לפני iOS 16.7.
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
WebKit Bugzilla: 261544
CVE-2023-41993: Bill Marczak מ-The Citizen Lab ב-Munk School של The University of Toronto ו-Maddie Stone מ-Threat Analysis Group של Google
תודות נוספות
Apple Neural Engine
אנחנו מבקשים להודות ל-pattern-f (@pattern_F_) מ-Ant Security Light-Year Lab for על הסיוע.
הרשומה נוספה ב‑22 בדצמבר 2023
AppSandbox
אנחנו מבקשים להודות ל-Kirin (@Pwnrin) על הסיוע.
הרשומה נוספה ב-26 בספטמבר 2023
libxml2
אנחנו מבקשים להודות לOSS-Fuzz, לנד וויליאמסון מ-Google Project Zero על הסיוע.
הרשומה נוספה ב-26 בספטמבר 2023
Kernel
אנחנו מבקשים להודות ל-Bill Marczak מ-The Citizen Lab ב-Munk School של אוניברסיטת טורונטו ול-Maddie Stone מ-Threat Analysis Group של Google על הסיוע.
WebKit
אנחנו מבקשים להודות לקיאם טראן, לנרנדרה בהיטי מ-Suma Soft Pvt. Ltd, פונה (הודו) על הסיוע.
הרשומה נוספה ב-26 בספטמבר 2023
WebRTC
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
הרשומה נוספה ב-26 בספטמבר 2023