מידע על תוכן האבטחה של macOS Ventura 13.6.3

מסמך זה מתאר את תוכן האבטחה של macOS Ventura 13.6.3.

מידע על עדכוני האבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID כאשר הדבר ניתן.

למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.

macOS Ventura 13.6.3

Accounts

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית פרטיות טופלה באמצעות עריכת נתונים פרטיים משופרת עבור רשומות יומן.

CVE-2023-42919:‏ Kirin (‏Pwnrin@)

AppleEvents

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח לגשת למידע על אנשי הקשר של משתמש

תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.

CVE-2023-42894‏: Noah Roskin-Frazee ו-Prof. J.‎ ‏(ZeroClicks.ai Lab)

Archive Utility

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2023-42924‏: Mickey Jin‏ (‎@patch1t)

Assets

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: הבעיה נפתרה באמצעות שיפור הטיפול בקבצים זמניים.

CVE-2023-42896: מיקי ג'ין (‎@patch1t)

Automation

זמין עבור: macOS Ventura

השפעה: יישום עם הרשאות בסיס עלול להצליח לקבל גישה למידע פרטי

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2023-42952: ‏Zhipeng Huo‏ (‎@R3dF09) מ-Tencent Security Xuanwu Lab‏ (xlab.tencent.com)

AVEVideoEncoder

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח לחשוף את זיכרון הליבה

תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.

CVE-2023-42884: חוקר אנונימי

CoreServices

זמין עבור: macOS Ventura

השפעה: משתמש עלול לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2023-42886‏: Koh M. Nakagawa‏ (‎@tsunek0h)

DiskArbitration

זמין עבור: macOS Ventura

השפעה: תהליך עשוי לקבל הרשאות מנהל ללא אימות מתאים

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2023-42931‏: Yann GASCUEL מ-Alter Solutions

אמוג'י

זמין עבור: macOS Ventura

השפעה: תוקף עלול להצליח להפעיל קוד שרירותי כמשתמש Root ממסך הנעילה

תיאור: הבעיה טופלה באמצעות הגבלת האפשרויות המוצעות במכשיר נעול.

CVE-2023-41989: ‏Jewel Lambert

FileURL

זמין עבור: macOS Ventura

השפעה: תוקף מקומי עלול להצליח להשיג הרשאות ברמה גבוהה יותר

תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.

CVE-2023-42892‏: Anthony Cruz @App Tyrant Corp

Find My

זמין עבור: macOS Ventura

השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום

תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.

CVE-2023-42922‏: Wojciech Regula מ-SecuRing‏ (wojciechregula.blog)

Find My

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית אבטחה טופלה באמצעות שיפור הטיפול בקבצים.

CVE-2023-42834: ‏Csaba Fitzl‏ (‎@theevilbit) מ-Offensive Security

ImageIO

זמין עבור: macOS Ventura

השפעה: עיבוד תמונה עלול לגרום להפעלת קוד שרירותי

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2023-42899‏: Meysam Firouzi @R00tkitSMM ו-Junsung Lee

IOKit

זמין עבור: macOS Ventura

השפעה: ליישום עלולה להיות יכולת לנטר הקשות ללא רשות המשתמש

תיאור: בעיית אימות טופלה באמצעות ניהול מצבים משופר.

CVE-2023-42891: חוקר אנונימי

IOUSBDeviceFamily

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: מצב מרוץ טופל באמצעות טיפול משופר במצבים.

CVE-2023-42974: ‏Pan ZhenPeng‏ (‎@Peterpan0927) מ-STAR Labs SG Pte.‎ Ltd.

Kernel

זמין עבור: macOS Ventura

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2023-42914‏: Eloi Benoist-Vanderbeken‏ (‎@elvanderb) מ-Synacktiv‏ (‎@Synacktiv)

Libsystem

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים

תיאור: בעיית הרשאות טופלה באמצעות הסרה של קוד פגיע והוספת בדיקות.

CVE-2023-42893

Model I/O

זמין עבור: macOS Ventura

השפעה: עיבוד תמונה עלול לגרום למניעת שירות

תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.

CVE-2023-3618

ncurses

זמין עבור: macOS Ventura

השפעה: משתמש מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2020-19185

CVE-2020-19186

CVE-2020-19187

CVE-2020-19188

CVE-2020-19189

CVE-2020-19190

quarantine

זמין עבור: macOS Ventura

השפעה: יישום עשוי להצליח להפעיל קוד שרירותי מתוך ארגז החול שלו או עם הרשאות מלאות מסוימות

תיאור: בעיית גישה טופלה באמצעות שיפורים בארגז החול.

CVE-2023-42838: ‏Yiğit Can YILMAZ‏ (‎@yilmazcanyigit), ‏Csaba Fitzl‏ (‎@theevilbit) מ-Offensive Security

Sandbox

זמין עבור: macOS Ventura

השפעה: תוקף עלול להצליח לגשת לאמצעי אחסון המחוברים לרשת שנטענו בספריית הבית

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2023-42836: ‏Yiğit Can YILMAZ‏ (‎@yilmazcanyigit)

Sandbox

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.

CVE-2023-42936: ‏Csaba Fitzl ‏(‎@theevilbit) מ-OffSec

Shell

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2023-42930: ‏Arsenii Kostromin‏ (0x3c3e)

TCC

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2023-42932‏: Zhongquan Li‏ (‎@Guluisacat)

TCC

זמין עבור: macOS Ventura

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.

CVE-2023-42947‏: Zhongquan Li (@Guluisacat) מ-Dawn Security Lab of JingDong

Vim

זמין עבור: macOS Ventura

השפעה: פתיחת קובץ בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: בעיה זו טופלה באמצעות עדכון Vim לגרסה 9.0.1969.

CVE-2023-5344

תודות נוספות

Preview

אנחנו רוצים להודות ל-Akshay Nagpal על הסיוע.