מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID כאשר הדבר ניתן.
למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.
macOS Ventura 13.6.5
הופץ ב-7 במרץ 2024
Admin Framework
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח להעלות את רמת ההרשאות שלו
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2024-23276: Kirin (@Pwnrin)
AirPort
זמין עבור: macOS Ventura
השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום
תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.
CVE-2024-23227: Brian McNulty
AppleMobileFileIntegrity
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: בעיית שנמוך המשפיעה על מחשבי Mac שמבוססים על Intel טופלה באמצעות הגבלות נוספות על חתימת קוד.
CVE-2024-23269: Mickey Jin (@patch1t)
ColorSync
זמין עבור: macOS Ventura
השפעה: עיבוד של קובץ עלול להוביל לסיום בלתי צפוי של פעולת יישום או להפעלת קוד שרירותי
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2024-23247: m4yfly יחד עם TianGong Team מ-Legendsec ב-Qi'anxin Group
CoreCrypto
זמין עבור: macOS Ventura
השפעה: תוקף עלול להיות מסוגל לפענח מידע מוצפן (ciphertext) של RSA PKCS#1 v1.5 מדור קודם מבלי שהמפתח הפרטי בידיו
תיאור: בעיית תזמון בערוץ צדדי טופלה באמצעות שיפורים במחשוב זמן קבוע בפונקציות קריפטוגרפיות.
CVE-2024-23218: Clemens Lang
דמויות כונן
זמין עבור: macOS Ventura
השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-23299: חוקר אנונימי
הרשומה נוספה ב‑31 במאי 2024
Find My
זמין עבור: macOS Ventura
השפעה: יישום זדוני עלול להצליח לגשת ל'איתור הנתונים שלי'
תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.
CVE-2024-23229: Joshua Jewett (@JoshJewett33)
הרשומה נוספה ב‑13 במאי 2024
Image Processing
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2024-23270: חוקר אנונימי
ImageIO
זמין עבור: macOS Ventura
השפעה: עיבוד תמונה עלול לגרום להפעלת קוד שרירותי
תיאור: בעיית גלישת חוצץ טופלה באמצעות טיפול משופר בזיכרון.
CVE-2024-23286: Junsung Lee בעבודה עם Trend Micro Zero Day Initiative, Amir Bazine ו-Karsten König מ-CrowdStrike Counter Adversary Operations, Dohyun Lee (@l33d0hyun) ו-Lyutoon ו-Mr.R
הרשומה עודכנה ב‑31 במאי 2024
ImageIO
זמין עבור: macOS Ventura
השפעה: עיבוד של תמונה עלול לגרום לחשיפה של זיכרון תהליך
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2024-23257: Junsung Lee בעבודה עם Trend Micro Zero Day Initiative
Intel Graphics Driver
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2024-23234: Murray Mike
Kerberos v5 PAM module
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-23266: Pedro Tôrres (@t0rr3sp3dr0)
Kernel
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח להביא לסיום בלתי צפוי של המערכת או לכתוב זיכרון ליבה
תיאור: נקודת תורפה של השחתת זיכרון טופלה באמצעות נעילה משופרת.
CVE-2024-23265: Xinru Chi מ-Pangu Lab
Kernel
זמין עבור: macOS Ventura
השפעה: תוקף עם יכולות קריאה וכתיבה שרירותיות של ליבה עלול לעקוף הגנות של זיכרון ליבה. Apple מודעת לדיווח על כך שייתכן שבעיה זו נוצלה.
תיאור: בעיית השחתת זיכרון טופלה באמצעות שיפור האימות.
CVE-2024-23225
libxpc
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגרום למניעת שירות
תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.
CVE-2024-23201: Koh M. Nakagawa מ-FFRI Security, Inc., חוקר אנונימי
libxpc
זמין עבור: macOS Ventura
השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-23278: חוקר אנונימי
MediaRemote
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.
CVE-2023-28826: Meng Zhang (鲸落) מ-NorthSea
Metal
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לקרוא זיכרון מוגבל
תיאור: בעיית אימות טופלה באמצעות סניטציה משופרת של קלט.
CVE-2024-23264: Meysam Firouzi @R00tkitsmm יחד עם Trend Micro Zero Day Initiative
Notes
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.
CVE-2024-23283
PackageKit
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח להעלות את רמת ההרשאות שלו
תיאור: בעיית החדרה טופלה באמצעות אימות משופר של הקלט.
CVE-2024-23274: Bohdan Stasiuk (@Bohdan_Stasiuk)
CVE-2024-23268: Mickey Jin (@patch1t) ו-Pedro Tôrres (@t0rr3sp3dr0)
PackageKit
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים
תיאור: מצב מירוץ טופל באמצעות אימות נוסף.
CVE-2024-23275: Mickey Jin (@patch1t)
PackageKit
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לעקוף העדפות פרטיות מסוימות
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-23267: Mickey Jin (@patch1t)
PackageKit
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח למחוק קבצים שרירותיים
תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.
CVE-2024-23216: Pedro Tôrres (@t0rr3sp3dr0)
Share Sheet
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.
CVE-2024-23231: Kirin (@Pwnrin) ו-luckyu (@uuulucky)
SharedFileList
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיה זו טופלה באמצעות טיפול משופר בקבצים.
CVE-2024-23230: Mickey Jin (@patch1t)
Shortcuts
זמין עבור: macOS Ventura
השפעה: קיצור דרך עלול להצליח להשתמש בנתונים רגישים במהלך פעולות מסוימות בלי להציג בקשה למשתמש
תיאור: הבעיה טופלה באמצעות בדיקות נוספות של הרשאות.
CVE-2024-23203: חוקר אנונימי
CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)
Shortcuts
זמין עבור: macOS Ventura
השפעה: קיצורי דרך של צד שלישי עשויים להשתמש בפעולה מדור קודם של Automator כדי לשלוח אירועים ליישומים, ללא הסכמת המשתמש
תיאור: הבעיה טופלה על ידי הוספת בקשה נוספת לקבלת אישור של המשתמש.
CVE-2024-23245: חוקר אנונימי
Shortcuts
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לעקוף העדפות פרטיות מסוימות
תיאור: בעיית אבטחה טופלה באמצעות שיפור הטיפול בקבצים זמניים.
CVE-2024-23217: Kirin (@Pwnrin)
Storage Services
זמין עבור: macOS Ventura
השפעה: תוקף עלול לקבל גישה לחלקים מוגנים במערכת הקבצים
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2024-23272: Mickey Jin (@patch1t)
הרשומה עודכנה ב‑13 במאי 2024
Transparency
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: הבעיה טופלה באמצעות הגבלה משופרת של גישה אל הגורם המכיל של הנתונים.
CVE-2023-40389: Csaba Fitzl (@theevilbit) מ-Offensive Security ו-Joshua Jewett (@JoshJewett33)
הרשומה נוספה ב‑31 במאי 2024