מידע על תוכן האבטחה של macOS Sonoma 14.2

מסמך זה מתאר את תוכן האבטחה של macOS Sonoma 14.2.

מידע על עדכוני האבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID כאשר הדבר ניתן.

למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.

macOS Sonoma 14.2

הופץ ב‑11 בדצמבר 2023

Accessibility

זמין עבור: macOS Sonoma

השפעה: שדות טקסט מאובטחים עשויים להיות מוצגים דרך 'מקלדת נגישות' בעת שימוש במקלדת פיזית

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2023-42874‏: Don Clarke

Accessibility

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית פרטיות טופלה באמצעות עריכת נתונים פרטיים משופרת עבור רשומות יומן.

CVE-2023-42937: ‏Noah Roskin-Frazee ו-Prof. J.‎ ‏(ZeroClicks.ai Lab)

הרשומה נוספה ב‑22 בינואר 2024

Accounts

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית פרטיות טופלה באמצעות עריכת נתונים פרטיים משופרת עבור רשומות יומן.

CVE-2023-42919:‏ Kirin (‏Pwnrin@)

AppleEvents

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לגשת למידע על אנשי הקשר של משתמש

תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.

CVE-2023-42894: ‏Noah Roskin-Frazee ו-Prof. J.‎ ‏(ZeroClicks.ai Lab)

AppleGraphicsControl

זמין עבור: macOS Sonoma

השפעה: עיבוד של קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום או להפעלת קוד שרירותי

תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות שיפור אימות הקלט.

CVE-2023-42901:‏ Ivan Fratric מ-Google Project Zero

CVE-2023-42902‏: Ivan Fratric מ-Google Project Zero ו-Michael DePlante ‏(‎@izobashi) מ-Trend Micro Zero Day Initiative

CVE-2023-42912:‏ Ivan Fratric מ-Google Project Zero

CVE-2023-42903:‏ Ivan Fratric מ-Google Project Zero

CVE-2023-42904:‏ Ivan Fratric מ-Google Project Zero

CVE-2023-42905:‏ Ivan Fratric מ-Google Project Zero

CVE-2023-42906:‏ Ivan Fratric מ-Google Project Zero

CVE-2023-42907:‏ Ivan Fratric מ-Google Project Zero

CVE-2023-42908:‏ Ivan Fratric מ-Google Project Zero

CVE-2023-42909:‏ Ivan Fratric מ-Google Project Zero

CVE-2023-42910:‏ Ivan Fratric מ-Google Project Zero

CVE-2023-42911:‏ Ivan Fratric מ-Google Project Zero

CVE-2023-42926:‏ Ivan Fratric מ-Google Project Zero

AppleVA

זמין עבור: macOS Sonoma

השפעה: עיבוד תמונה עלול לגרום להפעלת קוד שרירותי

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2023-42882:‏ Ivan Fratric מ-Google Project Zero

AppleVA

זמין עבור: macOS Sonoma

השפעה: עיבוד של קובץ עלול להוביל לסיום בלתי צפוי של פעולת יישום או להפעלת קוד שרירותי

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2023-42881:‏ Ivan Fratric מ-Google Project Zero

הרשומה נוספה ב‑12 בדצמבר 2023

Archive Utility

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2023-42924‏: Mickey Jin‏ (‎@patch1t)

Assets

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: הבעיה נפתרה באמצעות שיפור הטיפול בקבצים זמניים.

CVE-2023-42896‏: Mickey Jin ‏(‎@patch1t)

הרשומה נוספה ב-22 במרץ 2024

AVEVideoEncoder

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לחשוף את זיכרון הליבה

תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.

CVE-2023-42884: חוקר אנונימי

Bluetooth

זמין עבור: macOS Sonoma

השפעה: תוקף עם הרשאות ברשת עשוי להיות מסוגל להחדיר הקשות על ידי זיוף מקלדת

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2023-45866‏: Marc Newlin מ-SkySafe

CoreMedia Playback

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2023-42900‏: Mickey Jin‏ (‎@patch1t)

CoreServices

זמין עבור: macOS Sonoma

השפעה: משתמש עלול לגרום לסיום בלתי צפוי של פעולת יישום או להפעלת קוד שרירותי

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2023-42886‏: Koh M. Nakagawa‏ (‎@tsunek0h)

curl

זמין עבור: macOS Sonoma

השפעה: מספר בעיות ב-curl

תיאור: מספר בעיות טופלו באמצעות עדכון לגרסה 8.4.0 של curl.

CVE-2023-38545

CVE-2023-38039

CVE-2023-38546

הרשומה נוספה ב-22 בינואר 2024, עודכנה ב-13 בפברואר 2024

DiskArbitration

זמין עבור: macOS Sonoma

השפעה: תהליך עלול לקבל הרשאות מנהל מערכת ללא אימות הולם

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2023-42931‏: Yann GASCUEL מ-Alter Solutions

הרשומה נוספה ב-22 במרץ 2024

FileURL

זמין עבור: macOS Sonoma

השפעה: תוקף מקומי עלול להצליח להשיג הרשאות ברמה גבוהה יותר

תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.

CVE-2023-42892‏: Anthony Cruz‏ ‎@App Tyrant Corp

הרשומה נוספה ב-22 במרץ 2024

Find My

זמין עבור: macOS Sonoma

השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום

תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.

CVE-2023-42922‏: Wojciech Regula מ-SecuRing‏ (wojciechregula.blog)

ImageIO

זמין עבור: macOS Sonoma

השפעה: עיבוד תמונה עלול לגרום להפעלת קוד שרירותי

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2023-42898‏: Zhenjiang Zhao מ-Pangu Team, Qianxin ו-Junsung Lee

CVE-2023-42899‏: Meysam Firouzi @R00tkitSMM ו-Junsung Lee

הרשומה עודכנה ב-22 במרץ 2024

ImageIO

זמין עבור: macOS Sonoma

השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2023-42888‏: Michael DePlante ‏(@izobashi) מ-Trend Micro Zero Day Initiative

הרשומה נוספה ב‑22 בינואר 2024

IOKit

זמין עבור: macOS Sonoma

השפעה: יישום עשוי לנטר הקשות ללא הרשאת המשתמש

תיאור: בעיית אימות טופלה באמצעות ניהול מצבים משופר.

CVE-2023-42891: חוקר אנונימי

IOUSBDeviceFamily

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: מצב מרוץ טופל באמצעות טיפול משופר במצבים.

CVE-2023-42974: ‏Pan ZhenPeng‏ (‎@Peterpan0927) מ-STAR Labs SG Pte.‎ Ltd.

הרשומה נוספה ב-22 במרץ 2024

Kernel

זמין עבור: macOS Sonoma

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2023-42914‏: Eloi Benoist-Vanderbeken‏ (‎@elvanderb) מ-Synacktiv‏ (‎@Synacktiv)

Libsystem

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים

תיאור: בעיית הרשאות טופלה באמצעות הסרה של קוד פגיע והוספת בדיקות.

CVE-2023-42893

הרשומה נוספה ב-22 במרץ 2024

Model I/O

זמין עבור: macOS Sonoma

השפעה: עיבוד תמונה עלול לגרום למניעת שירות

תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.

CVE-2023-3618

הרשומה נוספה ב-22 במרץ 2024

ncurses

זמין עבור: macOS Sonoma

השפעה: משתמש מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2020-19185

CVE-2020-19186

CVE-2020-19187

CVE-2020-19188

CVE-2020-19189

CVE-2020-19190

NSOpenPanel

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לקרוא קבצים שרירותיים

תיאור: בעיית גישה טופלה באמצעות הגבלות 'ארגז חול' נוספות.

CVE-2023-42887‏: Ron Masas מ-BreakPoint.sh

הרשומה נוספה ב‑22 בינואר 2024

Sandbox

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.

CVE-2023-42936

הרשומה נוספה ב-22 במרץ 2024

Share Sheet

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיית פרטיות טופלה על ידי העברת נתונים רגישים למיקום מוגן.

CVE-2023-40390‏: Csaba Fitzl‏ (‎@theevilbit) מ-Offensive Security ו-Mickey Jin‏ (‎@patch1t)

הרשומה נוספה ב-22 במרץ 2024

SharedFileList

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2023-42842: חוקר אנונימי

Shell

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2023-42930: ‏Arsenii Kostromin‏ (0x3c3e)

הרשומה נוספה ב-22 במרץ 2024

System Settings

זמין עבור: macOS Sonoma

השפעה: הפעלות של 'התחברות מרחוק' עלולות לקבל הרשאות גישה מלאה לכונן

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2023-42913‏: Mattie Behrens ו-Joshua Jewett‏ (‎@JoshJewett33)

הרשומה נוספה ב-22 במרץ 2024

TCC

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2023-42932‏: Zhongquan Li‏ (‎@Guluisacat)

TCC

זמין עבור: macOS Sonoma

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.

CVE-2023-42947‏: Zhongquan Li‏ (‎@Guluisacat) מ-Dawn Security Lab of JingDong

הרשומה נוספה ב-22 במרץ 2024

Vim

זמין עבור: macOS Sonoma

השפעה: פתיחת קובץ בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: בעיה זו טופלה באמצעות עדכון Vim לגרסה 9.0.1969.

CVE-2023-5344

WebKit

זמין עבור: macOS Sonoma

השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

WebKit Bugzilla‏: 259830
CVE-2023-42890:‏ Pwn2car

WebKit

זמין עבור: macOS Sonoma

השפעה: עיבוד תמונה עלול לגרום למניעת שירות

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

WebKit Bugzilla‏: 263349
CVE-2023-42883‏: Zoom Offensive Security Team

WebKit

זמין עבור: macOS Sonoma

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

WebKit Bugzilla‏: 263682
CVE-2023-42950‏: Nan Wang‏ (‎@eternalsakura13) מ-360 Vulnerability Research Institute ו-rushikesh nandedkar

הרשומה נוספה ב-22 במרץ 2024

WebKit

זמין עבור: macOS Sonoma

השפעה: עיבוד תוכן אינטרנט עלול לגרום למניעת שירות

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

WebKit Bugzilla‏: 263989
CVE-2023-42956‏: SungKwon Lee ‏(Demon.Team)

הרשומה נוספה ב-22 במרץ 2024

 

תודות נוספות

Memoji

אנחנו מבקשים להודות ל-Jerry Tenenbaum על הסיוע.

WebSheet

אנו מבקשים להודות ל-Paolo Ruggero מ-e-phors S.p.A.‎ ‏(A FINCANTIERI S.p.A. Company) על הסיוע.

הרשומה נוספה ב-22 במרץ 2024

Wi-Fi

אנחנו מבקשים להודות ל-Noah Roskin-Frazee ול-Prof. J.‎ ‏(ZeroClicks.ai Lab) על הסיוע.

 

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

Published Date: