מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID כאשר הדבר ניתן.
למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.
macOS Monterey 12.7.1
פורסם ב-25 באוקטובר 2023
Automation
זמין עבור: macOS Monterey
השפעה: יישום עם הרשאות בסיס עלול להצליח לקבל גישה למידע פרטי
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-42952: Zhipeng Huo (@R3dF09) מ-Tencent Security Xuanwu Lab (xlab.tencent.com)
הרשומה נוספה ב-16 בפברואר 2024
CoreAnimation
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח לגרום למניעת שירות
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-40449: Tomi Tokics (@tomitokics) מ-iTomsn0w
Core Recents
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: הבעיה נפתרה באמצעות סניטציה של רישום
CVE-2023-42823
הרשומה נוספה ב-16 בפברואר 2024
FileProvider
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח לגרום למניעת שירות ללקוחות של 'אבטחת נקודת קצה'
תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.
CVE-2023-42854: Noah Roskin-Frazee ו-Prof. J. (ZeroClicks.ai Lab)
Find My
זמין עבור: macOS Monterey
השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרונות מטמון.
CVE-2023-40413: Adam M.
Foundation
זמין עבור: macOS Monterey
השפעה: אתר עלול להצליח לגשת לנתוני משתמש רגישים בעת פענוח קישורים סימבוליים
תיאור: בעיה זו טופלה באמצעות טיפול משופר במטה-נתונים של קישורים סימבוליים.
CVE-2023-42844: Ron Masas מ-BreakPoint.SH
libc
זמין עבור: macOS Monterey
השפעה: עיבוד של קלט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי ביישומים שהמשתמש מתקין
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-40446: inooo
הרשומה נוספה ב‑3 בנובמבר 2023
ImageIO
זמין עבור: macOS Monterey
השפעה: עיבוד של תמונה עלול לגרום לחשיפה של זיכרון תהליך
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-40416: JZ
IOTextEncryptionFamily
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2023-40423: חוקר אנונימי
Kernel
זמין עבור: macOS Monterey
השפעה: תוקף שכבר הצליח להשיג הפעלת קוד ליבה עלול להצליח לעקוף אמצעי עזר של זיכרון ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-42849: Linus Henze מ-Pinauten GmbH (pinauten.de)
Model I/O
זמין עבור: macOS Monterey
השפעה: עיבוד של קובץ עלול להוביל לסיום בלתי צפוי של פעולת יישום או להפעלת קוד שרירותי
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2023-42856: Michael DePlante (@izobashi) מ-Trend Micro Zero Day Initiative
PackageKit
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-42859: Arsenii Kostromin (0x3c3e), Mickey Jin (@patch1t) ו-Hevel Engineering
CVE-2023-42877: Arsenii Kostromin (0x3c3e)
הרשומה נוספה ב-16 בפברואר 2024
PackageKit
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-42840: Mickey Jin (@patch1t) ו-Csaba Fitzl (@theevilbit) מ-Offensive Security
הרשומה נוספה ב-16 בפברואר 2024
PackageKit
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח לעקוף העדפות פרטיות מסוימות
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-42889: Mickey Jin (@patch1t)
הרשומה נוספה ב-16 בפברואר 2024
PackageKit
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2023-42853: Mickey Jin (@patch1t)
הרשומה נוספה ב-16 בפברואר 2024
PackageKit
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.
CVE-2023-42860: Koh M. Nakagawa (@tsunek0h) מ-FFRI Security, Inc.
הרשומה נוספה ב-16 בפברואר 2024
Pro Res
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.
CVE-2023-42873: Mingxuan Yang (@PPPF00L) ו-happybabywu ו-Guang Gong מ-360 Vulnerability Research Institute
הרשומה נוספה ב-16 בפברואר 2024
Sandbox
זמין עבור: macOS Monterey
השפעה: יישום עם הרשאות בסיס עלול להצליח לקבל גישה למידע פרטי
תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.
CVE-2023-40425: Csaba Fitzl (@theevilbit) מ-Offensive Security
SQLite
זמין עבור: macOS Monterey
השפעה: משתמש מרוחק עלול להצליח לגרום למניעת שירות
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2023-36191
הרשומה נוספה ב-16 בפברואר 2024
talagent
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.
CVE-2023-40421: Noah Roskin-Frazee ו-Prof. J. (ZeroClicks.ai Lab)
WindowServer
זמין עבור: macOS Monterey
השפעה: אתר אינטרנט עלול להצליח לגשת למיקרופון ללא הצגת חיווי שימוש במיקרופון
תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.
CVE-2023-41975: חוקר אנונימי
WindowServer
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-42858: חוקר אנונימי
הרשומה נוספה ב-16 בפברואר 2024
תודות נוספות
GPU Drivers
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
libarchive
אנחנו מבקשים להודות ל-Bahaa Naamneh על הסיוע.
libxml2
אנחנו מבקשים להודות לOSS-Fuzz, ל-Ned Williamson מ-Google Project Zero על הסיוע.