מידע על תוכן האבטחה של macOS Ventura 13.6.7

מסמך זה מתאר את תוכן האבטחה של macOS Ventura 13.6.7.

מידע על עדכוני האבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID כאשר הדבר ניתן.

למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.

macOS Ventura 13.6.7

הופץ ב-13 במאי 2024

Core Data

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיה טופלה באמצעות אימות משופר של משתני סביבה.

CVE-2024-27805: ‏Kirin ‏(‎@Pwnrin) ו-小来来 ‏(‎@Smi1eSEC)

הרשומה נוספה ב-10 ביוני 2024

CoreMedia

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-27817: ‏pattern-f ‏(‎@pattern_F_‎) מ-Ant Security Light-Year Lab

הרשומה נוספה ב-10 ביוני 2024

CoreMedia

זמין עבור: macOS Ventura

השפעה: עיבוד של קובץ עלול להוביל לסיום בלתי צפוי של פעולת יישום או להפעלת קוד שרירותי

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2024-27831‏: Amir Bazine ו-Karsten König מ-CrowdStrike Counter Adversary Operations

הרשומה נוספה ב-10 ביוני 2024

Finder

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח לקרוא קבצים שרירותיים

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2024-27827: חוקר אנונימי

הרשומה נוספה ב-10 ביוני 2024

Foundation

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2024-27789‏: Mickey Jin ‏(‎@patch1t)

IOHIDFamily

זמין עבור: macOS Ventura

השפעה: יישום לא מורשה עשוי להיות מסוגל לתעד הקשות ביישומים אחרים, כולל כאלה שנעשה בהם שימוש במצב קלט מאובטח

תיאור: בעיה זו טופלה באמצעות בדיקות הרשאות נוספות.

CVE-2024-27799: חוקר אנונימי

הרשומה נוספה ב-10 ביוני 2024

Kernel

זמין עבור: macOS Ventura

השפעה: תוקף שכבר הצליח להשיג הפעלת קוד ליבה עלול להצליח לעקוף הגנות של זיכרון ליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2024-27840: חוקר אנונימי

הרשומה נוספה ב-10 ביוני 2024

Login Window

זמין עבור: macOS Ventura

השפעה: תוקף בעל ידע בנושא אישורים של משתמש רגיל יכול לבטל את הנעילה של מסך נעול של משתמש רגיל אחר באותו Mac

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

CVE-2023-42861: חוקר אנונימי, 凯 王‏, Steven Maser‏, Matthew McLean,‏ Brandon Chesser‏, CPU IT, inc ו-Avalon IT Team of Concentrix

Maps

זמין עבור: macOS Ventura

השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום

תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.

CVE-2024-27810‏: LFY@secsys מ-Fudan University

הרשומה נוספה ב-10 ביוני 2024

Messages

זמין עבור: macOS Ventura

השפעה: עיבוד הודעה בעלת מבנה זדוני עלול להוביל למניעת שירות

תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.

CVE-2024-27800‏: Daniel Zajork ו-Joshua Zajork

הרשומה נוספה ב-10 ביוני 2024

Metal

זמין עבור: macOS Ventura

השפעה: עיבוד של קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום או להפעלת קוד שרירותי

תיאור: קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2024-27802‏: Meysam Firouzi ‏(‎@R00tkitsmm) בעבודה עם Trend Micro Zero Day Initiative

הרשומה נוספה ב-10 ביוני 2024

PackageKit

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: בעיה זו טופלה באמצעות אימות משופר של קישורים סימבוליים.

CVE-2024-27885‏: Mickey Jin ‏(‎@patch1t)

הרשומה נוספה ב-10 ביוני 2024

PackageKit

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח להעלות את רמת ההרשאות שלו

תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.

CVE-2024-27824: ‏Pedro Tôrres ‏(‎@t0rr3sp3dr0)

הרשומה נוספה ב-10 ביוני 2024

RTKit

זמין עבור: macOS Ventura

השפעה: תוקף עם יכולות קריאה וכתיבה שרירותיות של ליבה עלול לעקוף הגנות של זיכרון ליבה. Apple מודעת לדיווח על כך שייתכן שבעיה זו נוצלה.

תיאור: בעיית השחתת זיכרון טופלה באמצעות שיפור האימות.

CVE-2024-23296

SharedFileList

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח להעלות את רמת ההרשאות שלו

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2024-27843: ‏Mickey Jin‏ (‎@patch1t)

הרשומה נוספה ב-10 ביוני 2024

Shortcuts

זמין עבור: macOS Ventura

השפעה: קיצור דרך עלול להצליח להשתמש בנתונים רגישים במהלך פעולות מסוימות בלי להציג בקשה למשתמש

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-27855: חוקר אנונימי

הרשומה נוספה ב-10 ביוני 2024

Spotlight

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיה זו טופלה באמצעות סניטציה משופרת של הסביבה.

CVE-2024-27806

הרשומה נוספה ב-10 ביוני 2024

StorageKit

זמין עבור: macOS Ventura

השפעה: משתמש עלול להצליח להשיג הרשאות ברמה גבוהה יותר

תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.

CVE-2024-27798‏: Yann GASCUEL מ-Alter Solutions

הרשומה נוספה ב-10 ביוני 2024

Sync Services

זמין עבור: macOS Ventura

השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות

CVE-2024-27847: ‏Mickey Jin‏ (‎@patch1t)

הרשומה נוספה ב-10 ביוני 2024

Voice Control

זמין עבור: macOS Ventura

השפעה: משתמש עלול להצליח להשיג הרשאות ברמה גבוהה יותר

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-27796‏: ajajfxhj

הרשומה נוספה ב-10 ביוני 2024

 

תודות נוספות

App Store

אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.

 

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

Published Date: