מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID כאשר הדבר ניתן.
למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.
macOS Ventura 13.6.1
פורסם ב-25 באוקטובר 2023
CoreAnimation
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגרום למניעת שירות
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-40449: Tomi Tokics (@tomitokics) מ-iTomsn0w
Core Recents
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: הבעיה נפתרה באמצעות טיהור הרישום
CVE-2023-42823
הרשומה נוספה ב‑16 בפברואר 2024
FileProvider
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגרום למניעת שירות ללקוחות של 'אבטחת נקודת קצה'
תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.
CVE-2023-42854: Noah Roskin-Frazee ו-Prof. J. (ZeroClicks.ai Lab)
Find My
זמין עבור: macOS Ventura
השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרונות מטמון.
CVE-2023-40413: Adam M.
Foundation
זמין עבור: macOS Ventura
השפעה: אתר עלול להצליח לגשת לנתוני משתמש רגישים בעת פענוח קישורים סימבוליים
תיאור: בעיה זו טופלה באמצעות טיפול משופר במטה-נתונים של קישורים סימבוליים.
CVE-2023-42844: Ron Masas מ-BreakPoint.SH
Image Capture
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-41077: Mickey Jin (@patch1t)
ImageIO
זמין עבור: macOS Ventura
השפעה: עיבוד של תמונה עלול לגרום לחשיפה של זיכרון תהליך
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-40416: JZ
ImageIO
זמין עבור: macOS Ventura
השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לפגם בזיכרון
תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.
CVE-2023-42848: JZ
הרשומה נוספה ב‑16 בפברואר 2024
IOTextEncryptionFamily
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2023-40423: חוקר אנונימי
iperf3
זמין עבור: macOS Ventura
השפעה: משתמש מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-38403
Kernel
זמין עבור: macOS Ventura
השפעה: תוקף שכבר הצליח להשיג הפעלת קוד ליבה עלול להצליח לעקוף אמצעי עזר של זיכרון ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-42849: Linus Henze מ-Pinauten GmbH (pinauten.de)
libc
זמין עבור: macOS Ventura
השפעה: עיבוד של קלט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי ביישומים שהמשתמש מתקין
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-40446: inooo
הרשומה נוספה ב‑3 בנובמבר 2023
libxpc
זמין עבור: macOS Ventura
השפעה: יישום זדוני עלול להצליח לקבל הרשאות בסיס
תיאור: בעיה זו טופלה באמצעות טיפול משופר במטה-נתונים של קישורים סימבוליים.
CVE-2023-42942: Mickey Jin (@patch1t)
הרשומה נוספה ב‑16 בפברואר 2024
Model I/O
זמין עבור: macOS Ventura
השפעה: עיבוד של קובץ עלול להוביל לסיום בלתי צפוי של פעולת יישום או להפעלת קוד שרירותי
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2023-42856: Michael DePlante (@izobashi) מ-Trend Micro Zero Day Initiative
PackageKit
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-42859: Arsenii Kostromin (0x3c3e), Mickey Jin (@patch1t) וצוות ההנדסה של Hevel
CVE-2023-42877: Arsenii Kostromin (0x3c3e)
הרשומה נוספה ב‑16 בפברואר 2024
PackageKit
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-42840: Mickey Jin (@patch1t) ו-Csaba Fitzl (@theevilbit) מ-Offensive Security
הרשומה נוספה ב‑16 בפברואר 2024
PackageKit
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לעקוף העדפות פרטיות מסוימות
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-42889: Mickey Jin (@patch1t)
הרשומה נוספה ב‑16 בפברואר 2024
PackageKit
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2023-42853: Mickey Jin (@patch1t)
הרשומה נוספה ב‑16 בפברואר 2024
PackageKit
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.
CVE-2023-42860: Koh M. Nakagawa (@tsunek0h) מ-FFRI Security, Inc.
הרשומה נוספה ב‑16 בפברואר 2024
Passkeys
זמין עבור: macOS Ventura
השפעה: תוקף עשוי לגשת למפתחות התחברות ללא אימות
תיאור: הבעיה טופלה באמצעות בדיקות נוספות של הרשאות.
CVE-2023-40401: חוקר אנונימי ו-weize she
Pro Res
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu ו-Guang Gong מ-360 Vulnerability Research Institute
Pro Res
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.
CVE-2023-42873: Mingxuan Yang (@PPPF00L), ו-happybabywu ו-Guang Gong מ-360 Vulnerability Research Institute
הרשומה נוספה ב‑16 בפברואר 2024
SQLite
זמין עבור: macOS Ventura
השפעה: משתמש מרוחק עלול להצליח לגרום למניעת שירות
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2023-36191
הרשומה נוספה ב‑16 בפברואר 2024
talagent
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.
CVE-2023-40421: Noah Roskin-Frazee ו-Prof. J. (ZeroClicks.ai Lab)
Weather
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיית פרטיות טופלה באמצעות עריכת נתונים פרטיים משופרת עבור רשומות יומן.
CVE-2023-41254: Cristian Dinca מבית הספר התיכון הלאומי Tudor Vianu למדעי המחשב ברומניה
WindowServer
זמין עבור: macOS Ventura
השפעה: אתר אינטרנט עלול להצליח לגשת למיקרופון ללא הצגת חיווי שימוש במיקרופון
תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.
CVE-2023-41975: חוקר אנונימי
WindowServer
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-42858: חוקר אנונימי
הרשומה נוספה ב‑16 בפברואר 2024
תודות נוספות
GPU Drivers
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
libarchive
אנחנו מבקשים להודות ל-Bahaa Naamneh על הסיוע.
libxml2
אנחנו מבקשים להודות לOSS-Fuzz, ל-Ned Williamson מ-Google Project Zero על הסיוע.