מידע על תוכן האבטחה של macOS Sonoma 14

מסמך זה מתאר את תוכן האבטחה של macOS Sonoma 14.

מידע על עדכוני האבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID כאשר הדבר ניתן.

למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.

macOS Sonoma 14

הופץ ב-26 בספטמבר 2023

Airport

זמין עבור: Mac Studio (2022 ואילך), iMac (2019 ואילך), Mac Pro (2019 ואילך), Mac mini (2018 ואילך), MacBook Air (2018 ואילך), MacBook Pro (2018 ואילך) ו-iMac Pro (2017)

השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום

תיאור: בעיית הרשאות טופלה באמצעות עריכה משופרת של מידע רגיש.

CVE-2023-40384‏: Adam M.‎

AMD

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית גלישת חוצץ טופלה באמצעות טיפול משופר בזיכרון.

CVE-2023-32377: ‏ABC Research s.r.o.‎

AMD

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2023-38615: ‏ABC Research s.r.o.‎

AppSandbox

השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2023-42929‏: Mickey Jin‏ (‎@patch1t)

הרשומה נוספה ב‑22 בדצמבר 2023

App Store

השפעה: תוקף מרוחק עלול להצליח לצאת מארגז חול של תוכן אינטרנט

תיאור: הבעיה טופלה באמצעות טיפול משופר בפרוטוקולים.

CVE-2023-40448‏: w0wbox

AppleMobileFileIntegrity

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: הבעיה טופלה באמצעות בדיקות נוספות של הרשאות.

CVE-2023-42872‏: Mickey Jin‏ (‎@patch1t)

הרשומה נוספה ב‑22 בדצמבר 2023

Apple Neural Engine

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2023-40432‏: Mohamed GHANNAM ‏(‎@_simo36)

CVE-2023-42871:‏ Mohamed GHANNAM (‏‎@_simo36)

הרשומה עודכנה ב-22 בדצמבר 2023

Apple Neural Engine

השפעה: יישום עלול להצליח לחשוף את זיכרון הליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2023-40399‏: Mohamed GHANNAM ‏(@_simo36)

Apple Neural Engine

השפעה: יישום עלול להצליח לחשוף את זיכרון הליבה

תיאור: קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2023-40410‏: Tim Michaud ‏(@TimGMichaud) מ-Moveworks.ai

Ask to Buy

השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2023-38612‏: Chris Ross (‏Zoom)

הרשומה נוספה ב‑22 בדצמבר 2023

AuthKit

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרונות מטמון.

CVE-2023-32361‏: Csaba Fitzl ‏(@theevilbit) מ-Offensive Security

Bluetooth

השפעה: תוקף שנמצא בקרבה פיזית יכול לגרום לכתיבה מוגבלת מחוץ לטווח

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2023-35984‏: zer0k

Bluetooth

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2023-40402:‏ Yiğit Can YILMAZ‏ (‎@yilmazcanyigit)

Bluetooth

השפעה: יישום עלול להצליח לעקוף העדפות פרטיות מסוימות

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2023-40426‏: Yiğit Can YILMAZ ‏(@yilmazcanyigit)

BOM

השפעה: עיבוד קובץ עלול להוביל למניעת שירות או לחשיפה פוטנציאלית של תוכן זיכרון

תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.

CVE-2023-42876‏: Koh M. Nakagawa‏ (‎@tsunek0h)

הרשומה נוספה ב‑22 בדצמבר 2023

bootp

השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום

תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.

CVE-2023-41065‏: Adam M.‎ וגם Noah Roskin-Frazee ו-Professor Jason Lau (‏ZeroClicks.ai Lab)

Calendar

השפעה: יישום עלול להצליח לגשת לנתונים מלוח השנה שנשמרו בספריה זמנית

תיאור: בעיית פרטיות טופלה באמצעות שיפור הטיפול בקבצים זמניים.

CVE-2023-29497: ‏Kirin ‏(‎@Pwnrin) ו-Yishu Wang

CFNetwork

השפעה: יישום עלול להיכשל באכיפה של מערך האבטחה App Transport Security

תיאור: הבעיה טופלה באמצעות טיפול משופר בפרוטוקולים.

CVE-2023-38596: ‏Will Brattain מ-Trail of Bits

ColorSync

השפעה: יישום עלול להצליח לקרוא קבצים שרירותיים

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2023-40406‏: JeongOhKyea מ-Theori

CoreAnimation

השפעה: עיבוד תוכן אינטרנט עלול לגרום למניעת שירות

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2023-40420‏: 이준성(Junsung Lee) מ-Cross Republic

Core Data

השפעה: יישום עלול להצליח לעקוף את העדפות הפרטיות

תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.

CVE-2023-40528‏: Kirin ‏(@Pwnrin) מ-NorthSea

הרשומה נוספה ב‑22 בינואר 2024

Core Image

השפעה: יישום עלול להצליח לגשת לתמונות ערוכות שנשמרו בספריה זמנית

תיאור: הבעיה נפתרה באמצעות שיפור הטיפול בקבצים זמניים.

CVE-2023-40438‏: Wojciech Regula מ-SecuRing‏ (wojciechregula.blog)

הרשומה נוספה ב‑22 בדצמבר 2023

CoreMedia

השפעה: ייתכן שהרחבת מצלמה תוכל לגשת לתצוגת המצלמה מיישומים שאינם היישום עבורו ניתנה הרשאת גישה

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות

CVE-2023-41994‏: Halle Winkler‏, Politepix‏ ‎@hallewinkler

הרשומה נוספה ב‑22 בדצמבר 2023

CUPS

השפעה: תוקף מרוחק עלול להצליח לגרום למניעת שירות

תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.

CVE-2023-40407‏: Sei K.‎

Dev Tools

השפעה: יישום עלול להצליח לקבל הרשאות ברמה גבוהה יותר

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2023-32396‏: Mickey Jin ‏(@patch1t)

CVE-2023-42933‏: Mickey Jin‏ (‎@patch1t)

הרשומה עודכנה ב-22 בדצמבר 2023

FileProvider

השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2023-41980‏: Noah Roskin-Frazee ו-Professor Jason Lau (‏ZeroClicks.ai Lab)

FileProvider

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיה זו טופלה באמצעות הגנת נתונים משופרת.

CVE-2023-40411‏: Noah Roskin-Frazee ו-Prof. J.‎ ‏(ZeroClicks.ai Lab), ו-Csaba Fitzl ‏‏(@theevilbit) מ-Offensive Security

הרשומה נוספה ב‑22 בדצמבר 2023

Game Center

השפעה: יישום עלול להצליח לגשת לאנשי הקשר

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרונות מטמון.

CVE-2023-40395‏: Csaba Fitzl ‏(@theevilbit) מ-Offensive Security

GPU Drivers

השפעה: יישום עלול להצליח לחשוף את זיכרון הליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2023-40391‏: Antonio Zekic ‏(‎@antoniozekic) מ-Dataflow Security

GPU Drivers

השפעה: עיבוד תוכן אינטרנט עלול לגרום למניעת שירות

תיאור: בעיה של מיצוי משאבים טופלה באמצעות אימות קלט משופר.

CVE-2023-40441‏: Ron Masas מ-Imperva

iCloud

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית הרשאות טופלה באמצעות עריכה משופרת של מידע רגיש.

CVE-2023-23495: ‏Csaba Fitzl (‏theevilbit@) מ-Offensive Security

iCloud Photo Library

השפעה: יישום עלול להצליח לגשת לספריית התמונות של משתמש

תיאור: בעיית תצורה טופלה באמצעות הגבלות נוספות.

CVE-2023-40434‏: Mikko Kenttälä ‏(‎@Turmio_) מ-SensorFu

Image Capture

השפעה: תהליך בשלב 'ארגז החול' עלול להצליח לעקוף את ההגבלות של 'ארגז החול'

תיאור: בעיית גישה טופלה באמצעות הגבלות 'ארגז חול' נוספות.

CVE-2023-38586:‏ Yiğit Can YILMAZ‏ (‎@yilmazcanyigit)

IOAcceleratorFamily

השפעה: תוקף עלול להצליח להביא לסיום בלתי צפוי של המערכת או לקריאת זיכרון ליבה

תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.

CVE-2023-40436‏: Murray Mike

Kernel

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.

CVE-2023-41995:‏ Certik Skyfall Team, ו-pattern-f ‏(‎@pattern_F_‎) מ-Ant Security Light-Year Lab

CVE-2023-42870‏: Zweig מ-Kunlun Lab

הרשומה עודכנה ב-22 בדצמבר 2023

Kernel

השפעה: תוקף שכבר הצליח להשיג הפעלת קוד ליבה עלול להצליח לעקוף אמצעי עזר של זיכרון ליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2023-41981‏: Linus Henze מ-Pinauten GmbH ‏(pinauten.de)

Kernel

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2023-41984‏: Pan ZhenPeng ‏(@Peterpan0927) מ-STAR Labs SG Pte.‎ Ltd.

Kernel

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית הרשאות טופלה באמצעות אימות משופר.

CVE-2023-40429‏: Michael (Biscuit) Thomas ו-张师傅(@京东蓝军)

Kernel

השפעה: משתמש מרוחק עלול להצליח לגרום להפעלת קוד ליבה

תיאור: בעיית בלבול בסוגים טופלה באמצעות בדיקות משופרות.

CVE-2023-41060‏: Joseph Ravichandran ‏(@0xjprx) מ-MIT CSAIL

הרשומה נוספה ב‑22 בדצמבר 2023

LaunchServices

השפעה: יישום עלול לעקוף בדיקות של Gatekeeper

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2023-41067‏: Ferdous Saljooki ‏(‎@malwarezoo) מ-Jamf Software וחוקר אנונימי

libpcap

השפעה: משתמש מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2023-40400: סיי ק.

libxpc

השפעה: יישום עלול להצליח למחוק קבצים שאין לו הרשאה לגשת אליהם

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2023-40454‏: Zhipeng Huo ‏(@R3dF09) מ-Tencent Security Xuanwu Lab ‏(xlab.tencent.com)

libxpc

השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים

תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.

CVE-2023-41073‏: Zhipeng Huo ‏(@R3dF09) מ-Tencent Security Xuanwu Lab ‏(xlab.tencent.com)

libxslt

השפעה: עיבוד תוכן אינטרנט עלול לחשוף מידע רגיש

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2023-40403‏: Dohyun Lee (‏‎@l33d0hyun) מ-PK Security

Maps

השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרונות מטמון.

CVE-2023-40427‏: Adam M.‎ ו-Wojciech Regula מ-SecuRing (‏wojciechregula.blog)

Messages

השפעה: ייתכן שיישום יוכל לצפות בנתוני משתמש לא מוגנים

תיאור: בעיית פרטיות טופלה באמצעות שיפור הטיפול בקבצים זמניים.

CVE-2023-32421‏: Meng Zhang ‏(鲸落) מ-NorthSea‏, Ron Masas מ-BreakPoint Security Research‏, Brian McNulty ו-Kishan Bagaria מ-Texts.com

Model I/O

השפעה: עיבוד קובץ עלול להוביל להפעלה של קוד שרירותי

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2023-42826‏: Michael DePlante ‏(@izobashi) מ-Trend Micro Zero Day Initiative

הרשומה נוספה ב‑19 באוקטובר 2023

Music

השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2023-41986‏: Gergely Kalman ‏(‎@gergely_kalman)

NetFSFramework

השפעה: תהליך בשלב 'ארגז החול' עלול להצליח לעקוף את ההגבלות של 'ארגז החול'

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2023-40455‏: Zhipeng Huo ‏(‎@R3dF09) מ-Tencent Security Xuanwu Lab (‏xlab.tencent.com)

Notes

השפעה: יישום עלול להצליח לגשת לקבצים מצורפים ביישום 'פתקים'

תיאור: בעיית פרטיות טופלה באמצעות שיפור הטיפול בקבצים זמניים.

CVE-2023-40386‏: Kirin ‏(‎@Pwnrin)

OpenSSH

השפעה: התגלתה פגיעות בהעברה מרחוק בפרוטוקול OpenSSHs

תיאור: בעיה זו טופלה באמצעות עדכון OpenSSH לגרסה 9.3p2

CVE-2023-38408‏: baba yaga, חוקר אנונימי

הרשומה נוספה ב‑22 בדצמבר 2023

Passkeys

השפעה: תוקף עשוי לגשת למפתחות התחברות ללא אימות

תיאור: הבעיה טופלה באמצעות בדיקות נוספות של הרשאות.

CVE-2023-40401‏: weize she וחוקר אנונימי

הרשומה נוספה ב‑22 בדצמבר 2023

Photos

השפעה: ייתכן שתמונות באלבום 'תמונות מוסתרות' יוצגו ללא אימות

תיאור: בעיית אימות טופלה באמצעות ניהול מצבים משופר.

CVE-2023-40393: חוקר אנונימי, Berke Kırbaş ו-Harsh Jaiswal

הרשומה נוספה ב‑22 בדצמבר 2023

Photos Storage

השפעה: יישום עם הרשאות בסיס עלול להצליח לקבל גישה למידע פרטי

תיאור: בעיה של חשיפת מידע טופלה על-ידי הסרת הקוד הפגיע.

CVE-2023-42934‏: Wojciech Regula מ-SecuRing‏ (wojciechregula.blog)

הרשומה נוספה ב‑22 בדצמבר 2023

Power Management

השפעה: ייתכן שמשתמש יוכל להציג תוכן מוגבל ממסך הנעילה

תיאור: בעיה במסך הנעילה טופלה באמצעות ניהול מצבים משופר.

CVE-2023-37448‏: Serkan Erayabakan‏, David Kotval,‏ Akincibor‏, Sina Ahmadi מ-George Mason University ו-Billy Tabrizi

הרשומה עודכנה ב-22 בדצמבר 2023

Printing

השפעה: יישום עלול להצליח לשנות את הגדרות המדפסת

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרונות מטמון.

CVE-2023-38607‏: Yiğit Can YILMAZ ‏(@yilmazcanyigit)

הרשומה נוספה ב‑22 בדצמבר 2023

Printing

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2023-41987‏: Kirin ‏(@Pwnrin) ו-Wojciech Regula מ-SecuRing ‏(wojciechregula.blog)

הרשומה נוספה ב‑22 בדצמבר 2023

Pro Res

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2023-41063‏: Certik Skyfall Team

QuartzCore

השפעה: יישום עלול להצליח לגרום למניעת שירות

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2023-40422‏: Tomi Tokics (‏‎@tomitokics) מ-iTomsn0w

Safari

השפעה: עיבוד תוכן אינטרנט עלול לחשוף מידע רגיש

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2023-39233‏: Luan Herrera ‏(‎@lbherrera_‎)

Safari

השפעה: Safari עלול לשמור תמונות במיקום לא מוגן

תיאור: בעיית פרטיות טופלה באמצעות שיפור הטיפול בקבצים זמניים.

CVE-2023-40388:‏ Kirin (‏‎@Pwnrin)

Safari

השפעה: יישום עלול להצליח לזהות אילו יישומים אחרים התקין המשתמש

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2023-35990‏: Adriatik Raci מ-Sentry Cybersecurity

Safari

השפעה: ביקור באתר שכולל תוכן זדוני עלול להוביל לזיוף זהות בממשק המשתמש

תיאור: בעיה בניהול חלונות טופלה באמצעות ניהול מצבים משופר.

CVE-2023-40417: ‏Narendra Bhati (‏twitter.com/imnarendrabhati) מ-Suma Soft Pvt.‎ Ltd, פונה (הודו)

הרשומה עודכנה ב-22 בדצמבר 2023

Sandbox

השפעה: יישום עלול להצליח למחוק קבצים שרירותיים

תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.

CVE-2023-40452‏: Yiğit Can YILMAZ ‏(@yilmazcanyigit)

Sandbox

השפעה: יישום עלול להצליח לגשת לאמצעי אחסון ניתנים להסרה ללא הסכמת המשתמש

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2023-40430‏: Yiğit Can YILMAZ ‏(@yilmazcanyigit)

הרשומה נוספה ב‑22 בדצמבר 2023

Sandbox

השפעה: יישומים שלא עוברים בדיקות אימות בהצלחה עדיין עלולים להתחיל לפעול

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2023-41996‏: Mickey Jin ‏(@patch1t) ו-Yiğit Can YILMAZ ‏(@yilmazcanyigit)

הרשומה נוספה ב‑22 בדצמבר 2023

Screen Sharing

השפעה: יישום עלול להצליח לעקוף העדפות פרטיות מסוימות

תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.

CVE-2023-41078‏: Zhipeng Huo ‏(‎@R3dF09) מ-Tencent Security Xuanwu Lab (‏xlab.tencent.com)

Share Sheet

השפעה: יישום עלול להצליח לגשת לנתונים רגישים הנרשמים כאשר משתמש משתף קישור

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2023-41070‏: Kirin ‏(@Pwnrin)

Shortcuts

השפעה: פעולה של קיצור עלולה להוציא כפלט נתוני משתמש ללא קבלת הסכמה

תיאור: הבעיה טופלה על ידי הוספת בקשה נוספת לקבלת אישור של המשתמש.

CVE-2023-40541‏: Noah Roskin-Frazee (‏ZeroClicks.ai Lab) ו-James Duffy (‏mangoSecure)

Shortcuts

השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות

תיאור: הבעיה טופלה באמצעות שיפור הלוגיקה של ההרשאות.

CVE-2023-41079‏: Ron Masas מ-BreakPoint.sh וחוקר אנונימי

Spotlight

השפעה: יישום עלול להצליח לקבל הרשאות בסיס

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2023-40443‏: Gergely Kalman ‏(‎@gergely_kalman)

הרשומה נוספה ב‑22 בדצמבר 2023

StorageKit

השפעה: יישום עלול להצליח לקרוא קבצים שרירותיים

תיאור: בעיה זו טופלה באמצעות אימות משופר של קישורים סימבוליים.

CVE-2023-41968‏: Mickey Jin ‏(‎@patch1t) ו-James Hutchins

System Preferences

השפעה: יישום עלול לעקוף בדיקות של Gatekeeper

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2023-40450:‏ Thijs Alkemade‏ (‎@xnyhps) מ-Computest Sector 7

TCC

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2023-40424‏: Arsenii Kostromin (‏0x3c3e)‏, Joshua Jewett ‏(‎@JoshJewett33)‏ ו-Csaba Fitzl ‏(‎@theevilbit) מ-Offensive Security

WebKit

השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.

WebKit Bugzilla‏: 249451
CVE-2023-39434:‏ Francisco Alonso (‏‎@revskills) ו-Dohyun Lee ‏(‎@l33d0hyun) מ-PK Security

WebKit Bugzilla‏: 258992
CVE-2023-40414‏: Francisco Alonso ‏(@revskills)

הרשומה עודכנה ב-22 בדצמבר 2023

WebKit

השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

WebKit Bugzilla: ‏256551
CVE-2023-41074‏: 이준성(Junsung Lee) מ-Cross Republic ו-Jie Ding(@Lime) מ-HKUS3 Lab

הרשומה עודכנה ב-22 בדצמבר 2023

WebKit

השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

WebKit Bugzilla: ‏239758
CVE-2023-35074‏: Ajou University Abysslab Dong Jun Kim(@smlijun) ו-Jong Seong Kim(@nevul37)

הרשומה עודכנה ב-22 בדצמבר 2023

WebKit

השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי. Apple מודעת לדיווח שלפיו ייתכן שבעיה זו נוצלה לרעה באופן פעיל נגד גרסאות iOS קודמות ל-iOS 16.7.

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

WebKit Bugzilla‏: 261544
CVE-2023-41993‏: Bill Marczak מ-The Citizen Lab ב-Munk School של אוניברסיטת טורונטו ו-Maddie Stone מ-Threat Analysis Group של Google

WebKit

השפעה: VoiceOver עלול לקרוא סיסמת משתמש בקול רם

תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.

WebKit Bugzilla‏: 248717
CVE-2023-32359:‏ Claire Houston

הרשומה נוספה ב‑22 בדצמבר 2023

WebKit

השפעה: כאשר 'ממסר פרטי' מופעל, תוקף מרוחק עלול להצליח להציג שאילתות DNS שהודלפו

תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.

WebKit Bugzilla‏: 257303
CVE-2023-40385: אנונימי

הרשומה נוספה ב‑22 בדצמבר 2023

WebKit

השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית נכונות טופלה באמצעות בדיקות משופרות.

WebKit Bugzilla‏: 258592
CVE-2023-42833‏: Dong Jun Kim ‏(@smlijun) ו-Jong Seong Kim ‏(@nevul37) מ-AbyssLab

הרשומה נוספה ב‑22 בדצמבר 2023

Wi-Fi

השפעה: יישום עלול להצליח להביא לסיום בלתי צפוי של המערכת או לכתוב זיכרון ליבה

תיאור: בעיית השחתת זיכרון טופלה על-ידי הסרת הקוד הפגיע.

CVE-2023-38610‏: Wang Yu מ-Cyberserval

הרשומה נוספה ב‑22 בדצמבר 2023

Windows Server

השפעה: יישום עלול להצליח להדליף באופן בלתי צפוי אישורי כניסה של משתמש משדות טקסט מאובטחים

תיאור: בעיית אימות טופלה באמצעות ניהול מצבים משופר.

CVE-2023-41066: חוקר אנונימי, Jeremy Legendre מ-MacEnhance ו-Felix Kratz

הרשומה עודכנה ב-22 בדצמבר 2023

XProtectFramework

השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: מצב מירוץ טופל באמצעות נעילה משופרת.

CVE-2023-41979‏: Koh M. Nakagawa (‏‎@tsunek0h)

תודות נוספות

Airport

אנחנו מבקשים להודות ל-Adam M.‎, ל-Noah Roskin-Frazee ולפרופסור Jason Lau (‏ZeroClicks.ai Lab) על הסיוע.

AppKit

אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.

Apple Neural Engine

אנחנו מבקשים להודות ל-pattern-f‏ (@pattern_F_) מ-Ant Security Light-Year Lab על הסיוע.

הרשומה נוספה ב‑22 בדצמבר 2023

AppSandbox

אנחנו מבקשים להודות ל-Kirin‏ (‎@Pwnrin) על הסיוע.

Archive Utility

אנחנו מבקשים להודות ל-Mickey Jin ‏(‎@patch1t) על הסיוע.

Audio

אנחנו מבקשים להודות ל-Mickey Jin ‏(‎@patch1t) על הסיוע.

Bluetooth

אנחנו מבקשים להודות ל-Jianjun Dai ול-Guang Gong מ-‎360 Vulnerability Research Institute על הסיוע.

Books

אנחנו מבקשים להודות ל-Aapo Oksman מ-Nixu Cybersecurity על הסיוע.

הרשומה נוספה ב‑22 בדצמבר 2023

Control Center

ברצוננו להודות לייגיט קאן יילמז (Yiğit Can YILMAZ)‏ (‎@yilmazcanyigit) על העזרה.

הרשומה נוספה ב‑22 בדצמבר 2023

Core Location

אנחנו מבקשים להודות ל-Wouter Hennen על הסיוע.

CoreMedia Playback

אנחנו מבקשים להודות ל-Mickey Jin ‏(‎@patch1t) על הסיוע.

CoreServices

אנחנו מבקשים להודות ל-Thijs Alkemade מ-Computest Sector 7, ל-Wojciech Reguła ‏(@_r3ggi) מ-SecuRing ולחוקר אנונימי על הסיוע.

הרשומה נוספה ב‑22 בדצמבר 2023

Data Detectors UI

אנחנו מבקשים להודות ל-Abhay Kailasia ‏(@abhay_kailasia) מ-Lakshmi Narain College Of Technology Bhopal על הסיוע.

Find My

אנחנו מבקשים להודות ל-Cher Scarlett על הסיוע.

Home

אנחנו מבקשים להודות ל-Jake Derouin (‏jakederouin.com) על הסיוע.

IOGraphics

אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.

IOUserEthernet

אנחנו מבקשים להודות ל-Certik Skyfall Team על הסיוע.

הרשומה נוספה ב‑22 בדצמבר 2023

Kernel

אנחנו מבקשים להודות ל-Bill Marczak מ-The Citizen Lab ב-Munk School של אוניברסיטת טורונטו, ל-Maddie Stone מ-Threat Analysis Group של Google ול-永超王 על הסיוע.

libxml2

אנחנו מבקשים להודות לOSS-Fuzz, ל-Ned Williamson מ-Google Project Zero על הסיוע.

libxpc

אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.

libxslt

אנחנו מבקשים להודות ל-Dohyun Lee ‏(‎@l33d0hyun) מ-PK Security, OSS-Fuzz ול-Ned Williamson מ-Google Project Zero על הסיוע.

Mail

אנחנו מבקשים להודות ל-Taavi Eomäe מ-Zone Media OÜ על הסיוע.

הרשומה נוספה ב‑22 בדצמבר 2023

Menus

אנחנו מבקשים להודות ל-Matthew Denton מ-Google Chrome Security על הסיוע.

הרשומה נוספה ב‑22 בדצמבר 2023

Model I/O

אנחנו מבקשים להודות ל-Mickey Jin ‏(‎@patch1t) על הסיוע.

NSURL

אנחנו מבקשים להודות ל-Zhanpeng Zhao ‏(行之) ול-糖豆爸爸(@晴天组织) על הסיוע.

PackageKit

אנחנו מבקשים להודות ל-Csaba Fitzl ‏(‎@theevilbit) מ-Offensive Security ולחוקר אנונימי על הסיוע.

Photos

אנחנו מבקשים להודות ל-Anatolii Kozlov, ל-Dawid Pałuska, ל-Kirin ‏(‎@Pwnrin), ל-Lyndon Cornelius ול-Paul Lurin על הסיוע.

Power Services

אנחנו מבקשים להודות ל-Mickey Jin ‏(‎@patch1t) על הסיוע.

הרשומה נוספה ב‑22 בדצמבר 2023

Reminders

אנחנו מבקשים להודות ל-Paweł Szafirowski על הסיוע.

Safari

אנחנו מבקשים להודות ל-Kang Ali מ-Punggawa Cyber Security על הסיוע.

Sandbox

ברצוננו להודות לייגיט קאן יילמז (Yiğit Can YILMAZ)‏ (‎@yilmazcanyigit) על העזרה.

SharedFileList

אנחנו מבקשים להודות ל-Christopher Lopez ‏– ‎@L0Psec ול-Kandji, Leo Pitt מ-Zoom Video Communications, ל-Masahiro Kawada ‏(@kawakatz) מ-GMO Cybersecurity by Ierae ול-Ross Bingham ‏(@PwnDexter) על הסיוע.

הרשומה עודכנה ב-22 בדצמבר 2023

Shortcuts

אנחנו מבקשים להודות ל-Alfie CG, ל-Christian Basting מ-Bundesamt für Sicherheit in der Informationstechnik, ל-Cristian Dinca מבית הספר התיכון הלאומי למדעי המחשב, "Tudor Vianu", ברומניה, ל-Giorgos Christodoulidis, ל-Jubaer Alnazi מקבוצת החברות TRS, ל-KRISHAN KANT DWIVEDI ‏(@xenonx7) ול-Matthew Butler על הסיוע.

הרשומה עודכנה ב-24 באפריל 2024

Software Update

אנחנו מבקשים להודות ל-Omar Siman על הסיוע.

Spotlight

אנחנו מבקשים להודות ל-Abhay Kailasia ‏(‎@abhay_kailasia) מ-Lakshmi Narain College Of Technology Bhopal ול-Dawid Pałuska על הסיוע.

StorageKit

אנחנו מבקשים להודות ל-Mickey Jin ‏(‎@patch1t) על הסיוע.

Video Apps

אנחנו מבקשים להודות ל-James Duffy‏ (mangoSecure) ‏על הסיוע.

WebKit

אנחנו מבקשים להודות ל-Khiem Tran ול-Narendra Bhati מ-Suma Soft Pvt.‎ Ltd, פונה (הודו) ולחוקר אנונימי על הסיוע.

WebRTC

אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.

Wi-Fi

אנחנו מבקשים להודות ל-Adam M.‎ ול-Wang Yu מ-Cyberserval על הסיוע.

הרשומה עודכנה ב-22 בדצמבר 2023

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

Published Date: 29 באפריל 2024