מידע על עדכוני אבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות אבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID כאשר הדבר ניתן.
למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.
macOS Ventura 13.6
הופץ ב-21 בספטמבר 2023
Apple Neural Engine
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-40412: מוחמד גנם (@_simo36)
CVE-2023-40409: יה ז'אנג (@VAR10CK) מ-Baidu Security
הרשומה נוספה ב-26 בספטמבר 2023
Apple Neural Engine
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.
CVE-2023-41071: מוחמד גנם (@_simo36)
הרשומה נוספה ב-26 בספטמבר 2023
Apple Neural Engine
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לחשוף את זיכרון הליבה
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2023-40410: טים מישו (TimGMichaud@) מ-Moveworks.ai
הרשומה נוספה ב-26 בספטמבר 2023
Ask to Buy
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-38612: Chris Ross (Zoom)
הרשומה נוספה ב‑22 בדצמבר 2023
Biometric Authentication
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לחשוף את זיכרון הליבה
תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2023-41232: Liang Wei מ-PixiePoint Security
הרשומה נוספה ב-26 בספטמבר 2023
ColorSync
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לקרוא קבצים שרירותיים
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-40406: JeongOhKyea מ-Theori
הרשומה נוספה ב-26 בספטמבר 2023
CoreAnimation
זמין עבור: macOS Ventura
השפעה: עיבוד תוכן אתר אינטרנט עלול לגרום למניעת שירות
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-40420: 이준성 (ג'ונסונג לי) מ-Cross Republic
הרשומה נוספה ב-26 בספטמבר 2023
Kernel
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-41984: פאן ז'נפנג (@Peterpan0927) מ-STAR Labs SG Pte. Ltd.
הרשומה נוספה ב-26 בספטמבר 2023
Kernel
זמין עבור: macOS Ventura
השפעה: ייתכן שתוקף שכבר הצליח להשיג הפעלת קוד ליבה יוכל לעקוף אמצעי עזר של זיכרון ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-41981: לינוס הנצה מ-Pinauten GmbH (pinauten.de)
הרשומה נוספה ב-26 בספטמבר 2023
Kernel
זמין עבור: macOS Ventura
השפעה: תוקף מקומי עלול להצליח להשיג הרשאות ברמה גבוהה יותר. Apple מודעת לדיווח שלפיו ייתכן שבעיה זו נוצלה לרעה באופן פעיל נגד גרסאות iOS קודמות ל-iOS 16.7.
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-41992: Bill Marczak מ-The Citizen Lab בבית הספר על שם מונק באוניברסיטת טורונורו-Maddie Stone מ-Threat Analysis Group של Google
libxpc
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים
תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.
CVE-2023-41073: ז'יפנג הו (@R3dF09) מ-Tencent Security Xuanwu Lab (xlab.tencent.com)
הרשומה נוספה ב-26 בספטמבר 2023
libxpc
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח למחוק קבצים שאין לו הרשאה לגשת אליהם
תיאור: בעיית תצורה טופלה באמצעות הגבלות נוספות.
CVE-2023-40454: ז'יפנג הו (@R3dF09) מ-Tencent Security Xuanwu Lab (xlab.tencent.com)
הרשומה נוספה ב-26 בספטמבר 2023
libxslt
זמין עבור: macOS Ventura
השפעה: עיבוד תוכן אינטרנט עלול לחשוף מידע רגיש
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-40403: דו-היון לי (@l33d0hyun) מ-PK Security
הרשומה נוספה ב-26 בספטמבר 2023
Maps
זמין עבור: macOS Ventura
השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרונות מטמון.
CVE-2023-40427: אדם מ. וויצ'ך רגולה מ-SecuRing (wojciechregula.blog)
הרשומה נוספה ב-26 בספטמבר 2023
Pro Res
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-41063: צוות Certik Skyfall
הרשומה נוספה ב-26 בספטמבר 2023
Sandbox
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח למחוק קבצים שרירותיים
תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.
CVE-2023-40452: ייגיט ג'ן ילמז (@yilmazcanyigit)
הרשומה נוספה ב-26 בספטמבר 2023
Sandbox
זמין עבור: macOS Ventura
השפעה: יישומים שלא עוברים בדיקות אימות בהצלחה עדיין עלולים להתחיל לפעול
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-41996: Yiğit Can YILMAZ (@yilmazcanyigit) ו-Mickey Jin (@patch1t)
הרשומה נוספה ב-26 בספטמבר 2023
Security
זמין עבור: macOS Ventura
השפעה: יישום זדוני עלול להצליח לעקוף אימות חתימה. Apple מודעת לדיווח שלפיו ייתכן שבעיה זו נוצלה לרעה באופן פעיל נגד גרסאות iOS לפני iOS 16.7.
תיאור: בעיית אימות אישורים טופלה.
CVE-2023-41991: Bill Marczak מ-The Citizen Lab בבית הספר על שם מונק באוניברסיטת טורונורו-Maddie Stone מ-Threat Analysis Group של Google
Share Sheet
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגשת לנתונים רגישים הנרשמים כאשר משתמש משתף קישור
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2023-41070: קירין (Pwnrin@)
הרשומה נוספה ב-26 בספטמבר 2023
StorageKit
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לקרוא קבצים שרירותיים
תיאור: בעיה זו טופלה באמצעות אימות משופר של קישורים סימבוליים.
CVE-2023-41968: Mickey Jin (@patch1t), James Hutchins
הרשומה נוספה ב-26 בספטמבר 2023
תודות נוספות
Apple Neural Engine
אנחנו מבקשים להודות ל-pattern-f (@pattern_F_) מ-Ant Security Light-Year Lab for על הסיוע.
הרשומה נוספה ב‑22 בדצמבר 2023
AppSandbox
אנחנו מבקשים להודות ל-Kirin (@Pwnrin) על הסיוע.
הרשומה נוספה ב-26 בספטמבר 2023
Kernel
אנחנו מבקשים להודות ל-Bill Marczak מ-The Citizen Lab ב-Munk School של אוניברסיטת טורונטו ול-Maddie Stone מ-Threat Analysis Group של Google על הסיוע.
libxml2
אנו מבקשים להודות ל-OSS-Fuzz ול-Ned Williamson מ-Google Project Zero על הסיוע.
הרשומה נוספה ב-26 בספטמבר 2023
WebKit
אנחנו מבקשים להודות ל-Khiem Tran ול-Narendra Bhati מ-Suma Soft Pvt. Ltd, פונה (הודו) על הסיוע.
הרשומה נוספה ב-26 בספטמבר 2023
WebRTC
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
הרשומה נוספה ב-26 בספטמבר 2023