מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID כאשר הדבר ניתן.
למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.
macOS Sonoma 14.4
הופץ ב-7 במרץ 2024
Accessibility
זמין עבור: macOS Sonoma
השפעה: יישום זדוני עלול להצליח לצפות בנתוני משתמש ברשומות יומן הקשורות לעדכוני נגישות
תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.
CVE-2024-23291
Admin Framework
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח להעלות את רמת ההרשאות שלו
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2024-23276: Kirin (@Pwnrin)
AirPort
זמין עבור: macOS Sonoma
השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום
תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.
CVE-2024-23227: Brian McNulty
AppleMobileFileIntegrity
זמין עבור: macOS Sonoma
השפעה: יישום זדוני עלול לעשות שימוש בזכויות ובהרשאות הפרטיות שהוענקו ליישום זה
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2024-23233: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: בעיית שנמוך המשפיעה על מחשבי Mac שמבוססים על Intel טופלה באמצעות הגבלות נוספות על חתימת קוד.
CVE-2024-23269: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח להעלות את רמת ההרשאות שלו
תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.
CVE-2024-23288: Wojciech Regula מ-SecuRing (wojciechregula.blog) ו-Kirin (@Pwnrin)
Bluetooth
זמין עבור: macOS Sonoma
השפעה: תוקף עם הרשאות ברשת עשוי להיות מסוגל להחדיר הקשות על ידי זיוף מקלדת
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-23277: Marc Newlin מ-SkySafe
ColorSync
זמין עבור: macOS Sonoma
השפעה: עיבוד של קובץ עלול להוביל לסיום בלתי צפוי של פעולת יישום או להפעלת קוד שרירותי
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2024-23247: m4yfly יחד עם TianGong Team מ-Legendsec ב-Qi'anxin Group
ColorSync
זמין עבור: macOS Sonoma
השפעה: עיבוד קובץ עלול להוביל למניעת שירות או לחשיפה פוטנציאלית של תוכן זיכרון
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2024-23248: m4yfly יחד עם TianGong Team מ-Legendsec ב-Qi'anxin Group
CVE-2024-23249: m4yfly יחד עם TianGong Team מ-Legendsec ב-Qi'anxin Group
CoreBluetooth – LE
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לגשת למיקרופונים בחיבור Bluetooth ללא הרשאת המשתמש
תיאור: בעיית גישה טופלה באמצעות הגבלות גישה משופרות.
CVE-2024-23250: Guilherme Rambo מ-Best Buddy Apps (rambo.codes)
Dock
זמין עבור: macOS Sonoma
השפעה: ייתכן שליישום של חשבון משתמש רגיל תהיה אפשרות לבצע הסלמת הרשאות אחרי התחברות משתמש המוגדר כמנהל
תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.
CVE-2024-23244: Csaba Fitzl (@theevilbit) מ-OffSec
ExtensionKit
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיית פרטיות טופלה באמצעות עריכת נתונים פרטיים משופרת עבור רשומות יומן.
CVE-2024-23205
file
זמין עבור: macOS Sonoma
השפעה: עיבוד קובץ עלול להוביל למניעת שירות או לחשיפה פוטנציאלית של תוכן זיכרון
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2022-48554
Image Capture
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לגשת לספריית התמונות של משתמש
תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.
CVE-2024-23253: Mickey Jin (@patch1t)
Image Processing
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2024-23270: חוקר אנונימי
ImageIO
זמין עבור: macOS Sonoma
השפעה: עיבוד של תמונה עלול לגרום לחשיפה של זיכרון תהליך
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2024-23257: Junsung Lee בעבודה עם Trend Micro Zero Day Initiative
ImageIO
זמין עבור: macOS Sonoma
השפעה: עיבוד תמונה עלול לגרום להפעלת קוד שרירותי
תיאור: קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2024-23258: Zhenjiang Zhao מ-Pangu Team, Qianxin
ImageIO
זמין עבור: macOS Sonoma
השפעה: עיבוד תמונה עלול לגרום להפעלת קוד שרירותי
תיאור: בעיית גלישת חוצץ טופלה באמצעות טיפול משופר בזיכרון.
CVE-2024-23286: Dohyun Lee (@l33d0hyun)
Intel Graphics Driver
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2024-23234: Murray Mike
Kerberos v5 PAM module
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-23266: Pedro Tôrres (@t0rr3sp3dr0)
Kernel
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: מצב מירוץ טופל באמצעות אימות נוסף.
CVE-2024-23235
Kernel
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח להביא לסיום בלתי צפוי של המערכת או לכתוב זיכרון ליבה
תיאור: נקודת תורפה של השחתת זיכרון טופלה באמצעות נעילה משופרת.
CVE-2024-23265: Xinru Chi מ-Pangu Lab
Kernel
זמין עבור: macOS Sonoma
השפעה: תוקף עם יכולות קריאה וכתיבה שרירותיות של ליבה עלול לעקוף הגנות של זיכרון ליבה. Apple מודעת לדיווח על כך שייתכן שבעיה זו נוצלה.
תיאור: בעיית השחתת זיכרון טופלה באמצעות שיפור האימות.
CVE-2024-23225
libxpc
זמין עבור: macOS Sonoma
השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-23278: חוקר אנונימי
libxpc
זמין עבור: macOS Sonoma
השפעה: יישום עשוי להצליח להפעיל קוד שרירותי מתוך ארגז החול שלו או עם הרשאות מלאות מסוימות
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2024-0258: ali yabuz
MediaRemote
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.
CVE-2024-23279: חוקר אנונימי
Messages
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיית פרטיות טופלה באמצעות שיפור הטיפול בקבצים זמניים.
CVE-2024-23287: Kirin (@Pwnrin)
Metal
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לקרוא זיכרון מוגבל
תיאור: בעיית אימות טופלה באמצעות סניטציה משופרת של קלט.
CVE-2024-23264: Meysam Firouzi @R00tkitsmm יחד עם Trend Micro Zero Day Initiative
Music
זמין עבור: macOS Sonoma
השפעה: ייתכן שיישום יוכל ליצור קישורים סימבוליים לאזורים מוגנים בדיסק
תיאור: בעיה זו טופלה באמצעות טיפול משופר במטה-נתונים של קישורים סימבוליים.
CVE-2024-23285: @08Tc3wBB מ-Jamf
Notes
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.
CVE-2024-23283
OpenSSH
זמין עבור: macOS Sonoma
השפעה: מספר בעיות ב-OpenSSH
תיאור: מספר בעיות טופלו באמצעות עדכון לגרסה 9.6 של OpenSSH.
CVE-2023-48795
CVE-2023-51384
CVE-2023-51385
PackageKit
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
CVE-2022-42816: Mickey Jin (@patch1t)
PackageKit
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח למחוק קבצים שרירותיים
תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.
CVE-2024-23216: Pedro Tôrres (@t0rr3sp3dr0)
PackageKit
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לעקוף העדפות פרטיות מסוימות
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-23267: Mickey Jin (@patch1t)
PackageKit
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח להעלות את רמת ההרשאות שלו
תיאור: בעיית החדרה טופלה באמצעות אימות משופר של הקלט.
CVE-2024-23268: Mickey Jin (@patch1t), Pedro Tôrres (@t0rr3sp3dr0)
CVE-2024-23274: Bohdan Stasiuk (@Bohdan_Stasiuk)
PackageKit
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2023-42853: Mickey Jin (@patch1t)
PackageKit
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים
תיאור: מצב מירוץ טופל באמצעות אימות נוסף.
CVE-2024-23275: Mickey Jin (@patch1t)
Photos
זמין עבור: macOS Sonoma
השפעה: ייתכן שתמונות באלבום 'תמונות מוסתרות' יוצגו ללא אימות
תיאור: בעיית אימות טופלה באמצעות ניהול מצבים משופר.
CVE-2024-23255: Harsh Tyagi
QuartzCore
זמין עבור: macOS Sonoma
השפעה: עיבוד קלט זדוני עלול להוביל להפעלת קוד
תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.
CVE-2024-23294: Wojciech Regula מ-SecuRing (wojciechregula.blog)
RTKit
זמין עבור: macOS Sonoma
השפעה: תוקף עם יכולות קריאה וכתיבה שרירותיות של ליבה עלול לעקוף הגנות של זיכרון ליבה. Apple מודעת לדיווח על כך שייתכן שבעיה זו נוצלה.
תיאור: בעיית השחתת זיכרון טופלה באמצעות שיפור האימות.
CVE-2024-23296
Safari
זמין עבור: macOS Sonoma
השפעה: עיבוד תוכן אינטרנט עלול לגרום למניעת שירות
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-23259: Lyra Rebane (rebane2001)
Safari Private Browsing
זמין עבור: macOS Sonoma
השפעה: ניתן לגשת לכרטיסיות 'גלישה פרטית' ללא אימות
תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.
CVE-2024-23273: Matej Rabzelj
Sandbox
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לערוך משתנים של NVRAM
תיאור: בעיית גישה טופלה באמצעות הגבלות גישה משופרות.
CVE-2024-23238
Sandbox
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח להדליף מידע רגיש אודות המשתמש
תיאור: מצב מרוץ טופל באמצעות טיפול משופר במצבים.
CVE-2024-23239: Mickey Jin (@patch1t)
Sandbox
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיה לוגית טופלה באמצעות הגבלות משופרות.
CVE-2024-23290: Wojciech Regula מ-SecuRing (wojciechregula.blog)
Screen Capture
זמין עבור: macOS Sonoma
השפעה: ייתכן שאפליקציה תוכל לצלם מסך של משתמש
תיאור: בעיית פרטיות טופלה באמצעות שיפור הטיפול בקבצים זמניים.
CVE-2024-23232: Yiğit Can YILMAZ (@yilmazcanyigit)
Share Sheet
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.
CVE-2024-23231: Kirin (@Pwnrin) ו-luckyu (@uuulucky)
SharedFileList
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיה זו טופלה באמצעות טיפול משופר בקבצים.
CVE-2024-23230: Mickey Jin (@patch1t)
Shortcuts
זמין עבור: macOS Sonoma
השפעה: קיצורי דרך של צד שלישי עשויים להשתמש בפעולה מדור קודם של Automator כדי לשלוח אירועים ליישומים, ללא הסכמת המשתמש
תיאור: הבעיה טופלה על ידי הוספת בקשה נוספת לקבלת אישור של המשתמש.
CVE-2024-23245: חוקר אנונימי
Shortcuts
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לגשת למידע על אנשי הקשר של משתמש
תיאור: בעיה זו טופלה באמצעות הגנת נתונים משופרת.
CVE-2024-23292: K宝 ו-LFY@secsys מ-Fudan University
Siri
זמין עבור: macOS Sonoma
השפעה: אדם שיש לו גישה פיזית למכשיר עלול להצליח להשתמש ב-Siri כדי לגשת למידע פרטי בלוח שנה
תיאור: בעיה במסך הנעילה טופלה באמצעות ניהול מצבים משופר.
CVE-2024-23289: Lewis Hardy
Siri
זמין עבור: macOS Sonoma
השפעה: תוקף בעל גישה פיזית עלול להשתמש ב-Siri כדי לגשת לנתוני משתמש רגישים
תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.
CVE-2024-23293: Bistrit Dahal
Spotlight
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח להדליף מידע רגיש אודות המשתמש
תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.
CVE-2024-23241
Storage Services
זמין עבור: macOS Sonoma
השפעה: משתמש עלול לקבל גישה לחלקים מוגנים במערכת הקבצים
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2024-23272: Mickey Jin (@patch1t)
Synapse
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לצפות בנתונים מ'דואר'
תיאור: בעיית פרטיות טופלה באמצעות ביטול הרישום ביומן של תוכן שדות טקסט.
CVE-2024-23242
System Settings
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.
CVE-2024-23281: Joshua Jewett (@JoshJewett33)
TV App
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיה זו טופלה באמצעות הסרת הרשאות נוספות.
CVE-2024-23260: Joshua Jewett (@JoshJewett33)
UIKit
זמין עבור: macOS Sonoma
השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול
תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.
CVE-2024-23246: Deutsche Telekom Security GmbH בחסות של Bundesamt für Sicherheit in der Informationstechnik
WebKit
זמין עבור: macOS Sonoma
השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 259694
CVE-2024-23226: Pwn2car
WebKit
זמין עבור: macOS Sonoma
השפעה: אתר אינטרנט זדוני עלול לחלץ מקורות מרובים של נתוני שמע
תיאור: הבעיה טופלה באמצעות טיפול משופר בממשק המשתמש.
WebKit Bugzilla: 263795
CVE-2024-23254: James Lee (@Windowsrcer)
WebKit
זמין עבור: macOS Sonoma
השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול למנוע אכיפה של מדיניות אבטחת תוכן
תיאור: בעיית לוגיקה טופלה באמצעות אימות משופר.
WebKit Bugzilla: 264811
CVE-2024-23263: Johan Carlsson (joaxcar)
WebKit
זמין עבור: macOS Sonoma
השפעה: עמוד אינטרנט בעל מבנה זדוני עלול להיות מסוגל להתחזות למשתמש
תיאור: בעיית החדרה טופלה באמצעות אימות משופר.
WebKit Bugzilla: 266703
CVE-2024-23280: חוקר אנונימי
WebKit
זמין עבור: macOS Sonoma
השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול למנוע אכיפה של מדיניות אבטחת תוכן
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
WebKit Bugzilla: 267241
CVE-2024-23284: Georg Felber ו-Marco Squarcina
תודות נוספות
AppKit
אנחנו מבקשים להודות ל-Stephan Casas על הסיוע.
CoreAnimation
אנחנו מבקשים להודות ל-Junsung Lee על הסיוע.
CoreMotion
אנחנו מבקשים להודות ל-Eric Dorphy מ-Twin Cities App Dev LLC על הסיוע.
Endpoint Security
אנחנו מבקשים להודות ל-Matthew White על הסיוע.
Find My
אנחנו מבקשים להודות ל-Meng Zhang (鲸落) מ-NorthSea על הסיוע.
Kernel
אנחנו מבקשים להודות ל-Tarek Joumaa (@tjkr0wn) ול-이준성 (Junsung Lee) על הסיוע.
libarchive
אנחנו מבקשים להודות ל-Koocola על הסיוע.
libxml2
אנחנו מבקשים להודות ל-OSS-Fuzz ול-Ned Williamson מ-Google Project Zero על הסיוע.
libxpc
אנחנו מבקשים להודות ל-Rasmus Sten, ל-F-Secure (Mastodon: @pajp@blog.dll.nu) ולחוקר אנונימי על הסיוע.
Model I/O
אנחנו מבקשים להודות ל-Junsung Lee על הסיוע.
Photos
אנחנו מבקשים להודות ל-Abhay Kailasia (@abhay_kailasia) מ-Lakshmi Narain College Of Technology Bhopal על הסיוע.
Power Management
אנחנו מבקשים להודות ל-Pan ZhenPeng (@Peterpan0927) מ-STAR Labs SG Pte. Ltd. על הסיוע.
Safari
אנחנו מבקשים להודות ל-Abhinav Saraswat, ל-Matthew C ול-이동하 (Lee Dong Ha מ-ZeroPointer Lab) על הסיוע.
SharedFileList
אנחנו מבקשים להודות ל-Phil Schneider מ-Canva על הסיוע.
Siri
אנחנו מבקשים להודות ל-Bistrit Dahal על הסיוע.
Storage Driver
אנחנו מבקשים להודות ל-Liang Wei מ-PixiePoint Security על הסיוע.
SystemMigration
אנחנו מבקשים להודות ל-Eugene Gershnik על הסיוע.
TCC
אנחנו מבקשים להודות ל-Mickey Jin (@patch1t) על הסיוע.
WebKit
אנחנו מבקשים להודות ל-Nan Wang (@eternalsakura13) מ-360 Vulnerability Research Institute, ל-Valentino Dalla Valle, ל-Pedro Bernardo, ל-Marco Squarcina ול-Lorenzo Veronese מ-TU Wien על הסיוע.