אודות תוכן האבטחה של macOS Monterey 12.7.1

מסמך זה מתאר את תוכן האבטחה של macOS Monterey 12.7.1.

מידע על עדכוני האבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID כאשר הדבר ניתן.

למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.

macOS Monterey 12.7.1

פורסם ב-25 באוקטובר 2023

Automation

זמין עבור: macOS Monterey

השפעה: יישום עם הרשאות בסיס עלול להצליח לקבל גישה למידע פרטי

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2023-42952: ‏Zhipeng Huo‏ (‎@R3dF09) מ-Tencent Security Xuanwu Lab‏ (xlab.tencent.com)

הרשומה נוספה ב-16 בפברואר 2024

CoreAnimation

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לגרום למניעת שירות

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2023-40449‏: Tomi Tokics (‏‎@tomitokics) מ-iTomsn0w

Core Recents

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: הבעיה נפתרה באמצעות סניטציה של רישום

CVE-2023-42823

הרשומה נוספה ב-16 בפברואר 2024

FileProvider

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לגרום למניעת שירות ללקוחות של 'אבטחת נקודת קצה'

תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.

CVE-2023-42854‏: Noah Roskin-Frazee ו-Prof. J.‎ ‏(ZeroClicks.ai Lab)

Find My

זמין עבור: macOS Monterey

השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרונות מטמון.

CVE-2023-40413‏: Adam M.‎

Foundation

זמין עבור: macOS Monterey

השפעה: אתר עלול להצליח לגשת לנתוני משתמש רגישים בעת פענוח קישורים סימבוליים

תיאור: בעיה זו טופלה באמצעות טיפול משופר במטה-נתונים של קישורים סימבוליים.

CVE-2023-42844‏: Ron Masas מ-BreakPoint.SH

libc

זמין עבור: macOS Monterey

השפעה: עיבוד של קלט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי ביישומים שהמשתמש מתקין

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2023-40446: ‏inooo

הרשומה נוספה ב‑3 בנובמבר 2023

ImageIO

זמין עבור: macOS Monterey

השפעה: עיבוד של תמונה עלול לגרום לחשיפה של זיכרון תהליך

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2023-40416‏: JZ

IOTextEncryptionFamily

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2023-40423: חוקר אנונימי

Kernel

זמין עבור: macOS Monterey

השפעה: תוקף שכבר הצליח להשיג הפעלת קוד ליבה עלול להצליח לעקוף אמצעי עזר של זיכרון ליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2023-42849‏: Linus Henze מ-Pinauten GmbH (‏pinauten.de)

Model I/O

זמין עבור: macOS Monterey

השפעה: עיבוד של קובץ עלול להוביל לסיום בלתי צפוי של פעולת יישום או להפעלת קוד שרירותי

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2023-42856: ‏Michael DePlante ‏(‎@izobashi) מ-Trend Micro Zero Day Initiative

PackageKit

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2023-42859: ‏Arsenii Kostromin‏ (0x3c3e), ‏Mickey Jin‏ (‎@patch1t) ו-Hevel Engineering

CVE-2023-42877: ‏Arsenii Kostromin‏ (0x3c3e)

הרשומה נוספה ב-16 בפברואר 2024

PackageKit

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2023-42840: ‏Mickey Jin‏ (‎@patch1t) ו-Csaba Fitzl‏ (‎@theevilbit) מ-Offensive Security

הרשומה נוספה ב-16 בפברואר 2024

PackageKit

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לעקוף העדפות פרטיות מסוימות

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2023-42889: ‏Mickey Jin‏ (‎@patch1t)

הרשומה נוספה ב-16 בפברואר 2024

PackageKit

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2023-42853: ‏Mickey Jin‏ (‎@patch1t)

הרשומה נוספה ב-16 בפברואר 2024

PackageKit

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2023-42860: ‏Koh M. Nakagawa‏ (‎‌@tsunek0h) מ-FFRI Security, Inc.‎

הרשומה נוספה ב-16 בפברואר 2024

Pro Res

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.

CVE-2023-42873: ‏Mingxuan Yang ‏(‎@PPPF00L) ו-happybabywu ו-Guang Gong מ-‎360 Vulnerability Research Institute

הרשומה נוספה ב-16 בפברואר 2024

Sandbox

זמין עבור: macOS Monterey

השפעה: יישום עם הרשאות בסיס עלול להצליח לקבל גישה למידע פרטי

תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.

CVE-2023-40425‏: Csaba Fitzl ‏(‎@theevilbit) מ-Offensive Security

SQLite

זמין עבור: macOS Monterey

השפעה: משתמש מרוחק עלול להצליח לגרום למניעת שירות

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2023-36191

הרשומה נוספה ב-16 בפברואר 2024

talagent

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2023-40421‏: Noah Roskin-Frazee ו-Prof. J.‎ ‏(ZeroClicks.ai Lab)

WindowServer

זמין עבור: macOS Monterey

השפעה: אתר אינטרנט עלול להצליח לגשת למיקרופון ללא הצגת חיווי שימוש במיקרופון

תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.

CVE-2023-41975: חוקר אנונימי

WindowServer

זמין עבור: macOS Monterey

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2023-42858: חוקר אנונימי

הרשומה נוספה ב-16 בפברואר 2024

תודות נוספות

GPU Drivers

אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.

libarchive

אנחנו מבקשים להודות ל-Bahaa Naamneh על הסיוע.

libxml2

אנחנו מבקשים להודות ל­OSS-Fuzz, ל-Ned Williamson מ-Google Project Zero על הסיוע.

 

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

Published Date: