מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID כאשר הדבר ניתן.
למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.
macOS Sonoma 14.5
הופץ ב-13 במאי 2024
AppleAVD
זמין עבור: macOS Sonoma
השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)
הרשומה עודכנה ב‑15 במאי 2024
AppleMobileFileIntegrity
זמין עבור: macOS Sonoma
השפעה: תוקף מקומי עלול להצליח לגשת לפריטים ב'צרור המפתחות'
תיאור: בעיית שנמוך טופלה באמצעות הגבלות נוספות על חתימת קוד.
CVE-2024-27837: Mickey Jin (@patch1t) ו-ajajfxhj
AppleMobileFileIntegrity
זמין עבור: macOS Sonoma
השפעה: תוקף עלול להצליח לגשת לנתוני משתמש
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2024-27816: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לעקוף העדפות פרטיות מסוימות
תיאור: בעיית שנמוך המשפיעה על מחשבי Mac שמבוססים על Intel טופלה באמצעות הגבלות נוספות על חתימת קוד.
CVE-2024-27825: Kirin (@Pwnrin)
AppleVA
זמין עבור: macOS Sonoma
השפעה: עיבוד של קובץ עלול להוביל לסיום בלתי צפוי של פעולת יישום או להפעלת קוד שרירותי
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2024-27829: Amir Bazine ו-Karsten König מ-CrowdStrike Counter Adversary Operations ו-Pwn2car בעבודה עם Zero Day Initiative של Trend Micro
AVEVideoEncoder
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לחשוף את זיכרון הליבה
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2024-27841: חוקר אנונימי
CFNetwork
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לקרוא קבצים שרירותיים
תיאור: בעיית נכונות טופלה באמצעות בדיקות משופרות.
CVE-2024-23236: Ron Masas מ-Imperva
Core Data
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיה טופלה באמצעות אימות משופר של משתני סביבה.
CVE-2024-27805: Kirin (@Pwnrin) ו-小来来 (@Smi1eSEC)
הרשומה נוספה ב-10 ביוני 2024
CoreMedia
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-27817: pattern-f (@pattern_F_) מ-Ant Security Light-Year Lab
הרשומה נוספה ב-10 ביוני 2024
CoreMedia
זמין עבור: macOS Sonoma
השפעה: עיבוד של קובץ עלול להוביל לסיום בלתי צפוי של פעולת יישום או להפעלת קוד שרירותי
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2024-27831: Amir Bazine ו-Karsten König מ-CrowdStrike Counter Adversary Operations
הרשומה נוספה ב-10 ביוני 2024
Disk Images
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח להעלות את רמת ההרשאות שלו
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-27832: חוקר אנונימי
הרשומה נוספה ב-10 ביוני 2024
Finder
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לקרוא קבצים שרירותיים
תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.
CVE-2024-27827: חוקר אנונימי
Foundation
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח להעלות את רמת ההרשאות שלו
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-27801: CertiK SkyFall Team
הרשומה נוספה ב-10 ביוני 2024
ImageIO
זמין עבור: macOS Sonoma
השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-27836: Junsung Lee בעבודה עם Trend Micro Zero Day Initiative
הרשומה נוספה ב-10 ביוני 2024
IOHIDFamily
זמין עבור: macOS Sonoma
השפעה: יישום לא מורשה עשוי להיות מסוגל לתעד הקשות ביישומים אחרים, כולל כאלה שנעשה בהם שימוש במצב קלט מאובטח
תיאור: בעיה זו טופלה באמצעות בדיקות הרשאות נוספות.
CVE-2024-27799: חוקר אנונימי
הרשומה נוספה ב-10 ביוני 2024
Kernel
זמין עבור: macOS Sonoma
השפעה: תוקף עשוי לגרום לסיום בלתי צפוי של פעולת יישום או להפעלת קוד שרירותי
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2024-27818: pattern-f (_pattern_F@) מ-Ant Security Light-Year Lab
Kernel
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2024-27815: חוקר אנונימי ו-Joseph Ravichandran (@0xjprx) מ-MIT CSAIL
הרשומה נוספה ב-10 ביוני 2024
libiconv
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח להעלות את רמת ההרשאות שלו
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-27811: Nick Wellnhofer
הרשומה נוספה ב-10 ביוני 2024
Libsystem
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים
תיאור: בעיית הרשאות טופלה באמצעות הסרה של קוד פגיע והוספת בדיקות.
CVE-2023-42893: חוקר אנונימי
זמין עבור: macOS Sonoma
השפעה: תוקף בעל גישה פיזית עלול להיות מסוגל להדליף אישורי כניסה לחשבון ביישום 'דואר'
תיאור: בעיית אימות טופלה באמצעות ניהול מצבים משופר.
CVE-2024-23251: Gil Pedersen
הרשומה נוספה ב-10 ביוני 2024
זמין עבור: macOS Sonoma
השפעה: הודעת דוא"ל בעלת מבנה זדוני עלולה להצליח להפעיל שיחות FaceTime ללא אישור המשתמש
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-23282: Dohyun Lee (@l33d0hyun)
הרשומה נוספה ב-10 ביוני 2024
Maps
זמין עבור: macOS Sonoma
השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום
תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.
CVE-2024-27810: LFY@secsys מ-Fudan University
Messages
זמין עבור: macOS Sonoma
השפעה: עיבוד הודעה בעלת מבנה זדוני עלול להוביל למניעת שירות
תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.
CVE-2024-27800: Daniel Zajork ו-Joshua Zajork
הרשומה נוספה ב-10 ביוני 2024
Metal
זמין עבור: macOS Sonoma
השפעה: עיבוד של קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום או להפעלת קוד שרירותי
תיאור: קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) בעבודה עם Trend Micro Zero Day Initiative
הרשומה נוספה ב-10 ביוני 2024
Metal
זמין עבור: macOS Sonoma
השפעה: תוקף מרוחק עלול לגרום לסגירה בלתי צפויה של יישום או להפעלת קוד שרירותי
תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2024-27857: Michael DePlante (@izobashi) מ-Trend Micro Zero Day Initiative
הרשומה נוספה ב-10 ביוני 2024
PackageKit
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לקבל הרשאות בסיס
תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.
CVE-2024-27822: Scott Johnson, Mykola Grymalyuk מ-RIPEDA Consulting, Jordy Witteman ו-Carlos Polop
PackageKit
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח להעלות את רמת ההרשאות שלו
תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.
CVE-2024-27824: Pedro Tôrres (@t0rr3sp3dr0)
PackageKit
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: בעיה זו טופלה באמצעות אימות משופר של קישורים סימבוליים.
CVE-2024-27885: Mickey Jin (@patch1t)
הרשומה נוספה ב-10 ביוני 2024
PrintCenter
זמין עבור: macOS Sonoma
השפעה: יישום עשוי להצליח להפעיל קוד שרירותי מתוך ארגז החול שלו או עם הרשאות מלאות מסוימות
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-27813: חוקר אנונימי
PrintCenter
זמין עבור: macOS Sonoma
השפעה: יישום עשוי להצליח להפעיל קוד שרירותי מתוך ארגז החול שלו או עם הרשאות מלאות מסוימות
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-27813: חוקר אנונימי
הרשומה נוספה ב-10 ביוני 2024
RemoteViewServices
זמין עבור: macOS Sonoma
השפעה: תוקף עלול להצליח לגשת לנתוני משתמש
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2024-27816: Mickey Jin (@patch1t)
RemoteViewServices
זמין עבור: macOS Sonoma
השפעה: תוקף עלול להצליח לגשת לנתוני משתמש
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2024-27816: Mickey Jin (@patch1t)
הרשומה נוספה ב-10 ביוני 2024
Safari
זמין עבור: macOS Sonoma
השפעה: תיבת דו-שיח לקבלת הרשאה באתר עלולה להמשיך להיות מוצגת לאחר ניווט אל מחוץ לאתר
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-27844: Narendra Bhati מ-Suma Soft Pvt. Ltd in Pune (בהודו), Shaheen Fazim
הרשומה נוספה ב-10 ביוני 2024
SharedFileList
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח להעלות את רמת ההרשאות שלו
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2024-27843: Mickey Jin (@patch1t)
Shortcuts
זמין עבור: macOS Sonoma
השפעה: פעולה של קיצור עלולה להוציא כפלט נתוני משתמש ללא קבלת הסכמה
תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.
CVE-2024-27821: Kirin (@Pwnrin), zbleet ו-Csaba Fitzl (@theevilbit) מ-Kandji
Shortcuts
זמין עבור: macOS Sonoma
השפעה: קיצור דרך עלול להצליח להשתמש בנתונים רגישים במהלך פעולות מסוימות בלי להציג בקשה למשתמש
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-27855: חוקר אנונימי
הרשומה נוספה ב-10 ביוני 2024
Spotlight
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיה זו טופלה באמצעות סניטציה משופרת של הסביבה.
CVE-2024-27806
הרשומה נוספה ב-10 ביוני 2024
StorageKit
זמין עבור: macOS Sonoma
השפעה: תוקף עלול להצליח להעלות את רמת ההרשאות שלו
תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.
CVE-2024-27798: Yann GASCUEL מ-Alter Solutions
StorageKit
זמין עבור: macOS Sonoma
השפעה: ייתכן שיישום זדוני יוכל לקבל הרשאות שורש
תיאור: בעיה זו טופלה באמצעות בדיקת הרשאות משופרת.
CVE-2024-27848: Csaba Fitzl (@theevilbit) מ-Kandji
הרשומה נוספה ב-10 ביוני 2024
Sync Services
זמין עבור: macOS Sonoma
השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות
CVE-2024-27847: Mickey Jin (@patch1t)
udf
זמין עבור: macOS Sonoma
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-27842: CertiK SkyFall Team
Voice Control
זמין עבור: macOS Sonoma
השפעה: תוקף עלול להצליח להעלות את רמת ההרשאות שלו
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-27796: ajajfxhj
WebKit
זמין עבור: macOS Sonoma
השפעה: תוקף עם יכולות קריאה וכתיבה שרירותיות עלול לעקוף אימות מצביע
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) בעבודה עם Zero Day Initiative של Trend Micro
WebKit
זמין עבור: macOS Sonoma
השפעה: עמוד אינטרנט בעל מבנה זדוני עלול להיות מסוגל להתחזות למשתמש
תיאור: הבעיה טופלה על ידי הוספת לוגיקה.
WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos מ-Mozilla
הרשומה נוספה ב-10 ביוני 2024
WebKit
זמין עבור: macOS Sonoma
השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 268221
CVE-2024-27808: Lukas Bernhard מ-CISPA Helmholtz Center for Information Security
הרשומה נוספה ב-10 ביוני 2024
WebKit
זמין עבור: macOS Sonoma
השפעה: עמוד אינטרנט בעל מבנה זדוני עלול להיות מסוגל להתחזות למשתמש
תיאור: בעיה זו טופלה באמצעות שיפורים באלגוריתם להזרקת רעש.
WebKit Bugzilla: 270767
CVE-2024-27850: חוקר אנונימי
הרשומה נוספה ב-10 ביוני 2024
WebKit
זמין עבור: macOS Sonoma
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.
WebKit Bugzilla: 272106
CVE-2024-27851: Nan Wang (@eternalsakura13) מ-360 Vulnerability Research Institute
הרשומה נוספה ב-10 ביוני 2024
WebKit
זמין עבור: macOS Sonoma
השפעה: תוקף זדוני עם יכולות קריאה וכתיבה שרירותיות עלול לעקוף אימות מצביע
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) בעבודה עם Zero Day Initiative של Trend Micro
הרשומה נוספה ב-10 ביוני 2024
WebKit Canvas
זמין עבור: macOS Sonoma
השפעה: עמוד אינטרנט בעל מבנה זדוני עלול להיות מסוגל להתחזות למשתמש
תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.
WebKit Bugzilla: 271159
CVE-2024-27830: Joe Rutkowski (@Joe12387) מ-Crawless ו-@abrahamjuliot
הרשומה נוספה ב-10 ביוני 2024
WebKit Web Inspector
זמין עבור: macOS Sonoma
השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson מ-underpassapp.com
הרשומה נוספה ב-10 ביוני 2024
תודות נוספות
App Store
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
AppleMobileFileIntegrity
אנחנו מבקשים להודות ל-Mickey Jin (@patch1t) על הסיוע.
הרשומה נוספה ב-10 ביוני 2024
CoreHAP
אנחנו מבקשים להודות ל-Adrian Cable על הסיוע.
דמויות כונן
אנחנו מבקשים להודות ל-Mickey Jin (@patch1t) על הסיוע.
הרשומה נוספה ב-10 ביוני 2024
HearingCore
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
ImageIO
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
הרשומה נוספה ב-10 ביוני 2024
Managed Configuration
אנחנו מבקשים להודות ל-遥遥领先 (@晴天组织) על הסיוע.
Music
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
Safari Downloads
אנחנו מבקשים להודות ל-Arsenii Kostromin (0x3c3e) על הסיוע.
Transparency
אנחנו מבקשים להודות ל-Mickey Jin (@patch1t) על הסיוע.
הרשומה נוספה ב-10 ביוני 2024