מידע על תוכן האבטחה של macOS Ventura 13.6.1

מסמך זה מתאר את תוכן האבטחה של macOS Ventura 13.6.1.

מידע על עדכוני האבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID כאשר הדבר ניתן.

למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.

macOS Ventura 13.6.1

פורסם ב-25 באוקטובר 2023

CoreAnimation

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח לגרום למניעת שירות

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2023-40449‏: Tomi Tokics (‏‎@tomitokics) מ-iTomsn0w

Core Recents

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: הבעיה נפתרה באמצעות טיהור הרישום

CVE-2023-42823

הרשומה נוספה ב‑16 בפברואר 2024

FileProvider

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח לגרום למניעת שירות ללקוחות של 'אבטחת נקודת קצה'

תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.

CVE-2023-42854‏: Noah Roskin-Frazee ו-Prof. J.‎ ‏(ZeroClicks.ai Lab)

Find My

זמין עבור: macOS Ventura

השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרונות מטמון.

CVE-2023-40413‏: Adam M.‎

Foundation

זמין עבור: macOS Ventura

השפעה: אתר עלול להצליח לגשת לנתוני משתמש רגישים בעת פענוח קישורים סימבוליים

תיאור: בעיה זו טופלה באמצעות טיפול משופר במטה-נתונים של קישורים סימבוליים.

CVE-2023-42844‏: Ron Masas מ-BreakPoint.SH

Image Capture

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2023-41077: ‏Mickey Jin ‏(‎@patch1t)

ImageIO

זמין עבור: macOS Ventura

השפעה: עיבוד של תמונה עלול לגרום לחשיפה של זיכרון תהליך

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2023-40416‏: JZ

ImageIO

זמין עבור: macOS Ventura

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לפגם בזיכרון

תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.

CVE-2023-42848: ‏JZ

הרשומה נוספה ב‑16 בפברואר 2024

IOTextEncryptionFamily

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2023-40423: חוקר אנונימי

iperf3

זמין עבור: macOS Ventura

השפעה: משתמש מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2023-38403

Kernel

זמין עבור: macOS Ventura

השפעה: תוקף שכבר הצליח להשיג הפעלת קוד ליבה עלול להצליח לעקוף אמצעי עזר של זיכרון ליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2023-42849‏: Linus Henze מ-Pinauten GmbH (‏pinauten.de)

libc

זמין עבור: macOS Ventura

השפעה: עיבוד של קלט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי ביישומים שהמשתמש מתקין

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2023-40446: ‏inooo

הרשומה נוספה ב‑3 בנובמבר 2023

libxpc

זמין עבור: macOS Ventura

השפעה: יישום זדוני עלול להצליח לקבל הרשאות בסיס

תיאור: בעיה זו טופלה באמצעות טיפול משופר במטה-נתונים של קישורים סימבוליים.

CVE-2023-42942: ‏Mickey Jin‏ (‎@patch1t)

הרשומה נוספה ב‑16 בפברואר 2024

Model I/O

זמין עבור: macOS Ventura

השפעה: עיבוד של קובץ עלול להוביל לסיום בלתי צפוי של פעולת יישום או להפעלת קוד שרירותי

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2023-42856: ‏Michael DePlante ‏(‎@izobashi) מ-Trend Micro Zero Day Initiative

PackageKit

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2023-42859:‏ Arsenii Kostromin ‏(0x3c3e), ‏Mickey Jin ‏(‎@patch1t) וצוות ההנדסה של Hevel

CVE-2023-42877: ‏Arsenii Kostromin‏ (0x3c3e)

הרשומה נוספה ב‑16 בפברואר 2024

PackageKit

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2023-42840:‏ Mickey Jin‏ (@patch1t) ו-Csaba Fitzl‏ (@theevilbit) מ-Offensive Security

הרשומה נוספה ב‑16 בפברואר 2024

PackageKit

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח לעקוף העדפות פרטיות מסוימות

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2023-42889: ‏Mickey Jin‏ (‎@patch1t)

הרשומה נוספה ב‑16 בפברואר 2024

PackageKit

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2023-42853: ‏Mickey Jin‏ (‎@patch1t)

הרשומה נוספה ב‑16 בפברואר 2024

PackageKit

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2023-42860:‏ Koh M. Nakagawa ‏(@tsunek0h) מ-FFRI Security, Inc.‎

הרשומה נוספה ב‑16 בפברואר 2024

Passkeys

זמין עבור: macOS Ventura

השפעה: תוקף עשוי לגשת למפתחות התחברות ללא אימות

תיאור: הבעיה טופלה באמצעות בדיקות נוספות של הרשאות.

CVE-2023-40401: חוקר אנונימי ו-weize she

Pro Res

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2023-42841‏: Mingxuan Yang ‏(‎@PPPF00L)‏, ‏happybabywu ו-Guang Gong מ-‎360 Vulnerability Research Institute

Pro Res

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.

CVE-2023-42873:‏ Mingxuan Yang ‏(@PPPF00L), ו-happybabywu ו-Guang Gong מ-‎360 Vulnerability Research Institute

הרשומה נוספה ב‑16 בפברואר 2024

SQLite

זמין עבור: macOS Ventura

השפעה: משתמש מרוחק עלול להצליח לגרום למניעת שירות

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2023-36191

הרשומה נוספה ב‑16 בפברואר 2024

talagent

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2023-40421‏: Noah Roskin-Frazee ו-Prof. J.‎ ‏(ZeroClicks.ai Lab)

Weather

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית פרטיות טופלה באמצעות עריכת נתונים פרטיים משופרת עבור רשומות יומן.

CVE-2023-41254‏: Cristian Dinca מבית הספר התיכון הלאומי Tudor Vianu למדעי המחשב ברומניה

WindowServer

זמין עבור: macOS Ventura

השפעה: אתר אינטרנט עלול להצליח לגשת למיקרופון ללא הצגת חיווי שימוש במיקרופון

תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.

CVE-2023-41975: חוקר אנונימי

WindowServer

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2023-42858: חוקר אנונימי

הרשומה נוספה ב‑16 בפברואר 2024

תודות נוספות

GPU Drivers

אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.

libarchive

אנחנו מבקשים להודות ל-Bahaa Naamneh על הסיוע.

libxml2

אנחנו מבקשים להודות לOSS-Fuzz, ל-Ned Williamson מ-Google Project Zero על הסיוע.

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

Published Date: 29 בפברואר 2024