מידע על תוכן האבטחה של macOS Monterey 12.7.6
מסמך זה מתאר את תוכן האבטחה של macOS Monterey 12.7.6.
מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID במידת האפשר.
למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.
macOS Monterey 12.7.6
הופצה ב-29 ביולי 2024
APFS
זמין עבור: macOS Monterey
השפעה: יישום זדוני עלול להצליח לעקוף את העדפות הפרטיות
תיאור: הבעיה טופלה באמצעות הגבלה משופרת של גישה אל הגורם המכיל של הנתונים.
CVE-2024-40783: Csaba Fitzl (@theevilbit) מ-Kandji
Apple Neural Engine
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2024-27826: Minghao Lin, ו-Ye Zhang (@VAR10CK) מ-Baidu Security
AppleMobileFileIntegrity
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח להדליף מידע רגיש אודות המשתמש
תיאור: בעיית שנמוך טופלה באמצעות הגבלות נוספות על חתימת קוד.
CVE-2024-40775: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
זמין עבור: macOS Monterey
השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות
תיאור: בעיית שנמוך טופלה באמצעות הגבלות נוספות על חתימת קוד.
CVE-2024-40774: Mickey Jin (@patch1t)
AppleVA
זמין עבור: macOS Monterey
השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל למניעת שירות או לחשיפה פוטנציאלית של תוכן זיכרון
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2024-27877: Michael DePlante (@izobashi) מ-Trend Micro Zero Day Initiative
CoreGraphics
זמין עבור: macOS Monterey
השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום
תיאור: בעיית קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2024-40799: D4m0n
CoreMedia
זמין עבור: macOS Monterey
השפעה: עיבוד קובץ וידאו בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2024-27873: Amir Bazine ו-Karsten König מ-CrowdStrike Counter Adversary Operations
curl
זמין עבור: macOS Monterey
השפעה: מספר בעיות ב-curl
תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.
CVE-2024-2004
CVE-2024-2379
CVE-2024-2398
CVE-2024-2466
DesktopServices
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח למחוק קבצים שרירותיים
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-40827: חוקר אנונימי
Disk Management
זמין עבור: macOS Monterey
השפעה: ייתכן שיישום זדוני יוכל לקבל הרשאות שורש
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-40828: Mickey Jin (@patch1t)
ImageIO
זמין עבור: macOS Monterey
השפעה: עיבוד תמונה עלול לגרום למניעת שירות
תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.
CVE-2023-6277
CVE-2023-52356
ImageIO
זמין עבור: macOS Monterey
השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום
תיאור: בעיית קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2024-40806: Yisumi
Kernel
זמין עבור: macOS Monterey
השפעה: תוקף מקומי עלול לגרום לכיבוי בלתי צפוי של המערכת
תיאור: קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2024-40816: sqrtpwn
Kernel
זמין עבור: macOS Monterey
השפעה: תוקף מקומי עלול לגרום לכיבוי בלתי צפוי של המערכת
תיאור: בעיית בלבול בסוגים טופלה באמצעות טיפול משופר בזיכרון.
CVE-2024-40788: Minghao Lin ו-Jiaxun Zhu מאוניברסיטת ג'ג'יאנג
Keychain Access
זמין עבור: macOS Monterey
השפעה: תוקף עלול להצליח לגרום לסיום בלתי צפוי של פעולת יישום
תיאור: בעיית בלבול בסוגים טופלה באמצעות בדיקות משופרות.
CVE-2024-40803: Patrick Wardle מ-DoubleYou & the Objective-See Foundation
NetworkExtension
זמין עבור: macOS Monterey
השפעה: גלישה פרטית עלולה לגרום להדלפה של חלק מהיסטוריית הגלישה
תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.
CVE-2024-40796: Adam M.
OpenSSH
זמין עבור: macOS Monterey
השפעה: תוקף מרוחק עלול להצליח להפעיל קוד שרירותי
תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.
CVE-2024-6387
PackageKit
זמין עבור: macOS Monterey
השפעה: תוקף מקומי עלול להצליח להשיג הרשאות ברמה גבוהה יותר
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-40781: Mickey Jin (@patch1t)
CVE-2024-40802: Mickey Jin (@patch1t)
PackageKit
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-40823: Zhongquan Li (@Guluisacat) מ-Dawn Security Lab of JingDong
PackageKit
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.
CVE-2024-27882: Mickey Jin (@patch1t)
CVE-2024-27883: Csaba Fitzl (@theevilbit) מ-Kandji ו-Mickey Jin (@patch1t)
Restore Framework
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: בעיית אימות קלט טופלה באמצעות אימות קלט משופר.
CVE-2024-40800: Claudio Bozzato ו-Francesco Benvenuto מ-Cisco Talos
RTKit
זמין עבור: macOS Monterey
השפעה: תוקף עם יכולות קריאה וכתיבה שרירותיות של ליבה עלול לעקוף הגנות של זיכרון ליבה. Apple מודעת לדיווח על כך שייתכן שבעיה זו נוצלה.
תיאור: בעיית השחתת זיכרון טופלה באמצעות שיפור האימות.
CVE-2024-23296
Safari
זמין עבור: macOS Monterey
השפעה: ביקור באתר שכולל תוכן זדוני עלול להוביל לזיוף זהות בממשק המשתמש
תיאור: הבעיה טופלה באמצעות טיפול משופר בממשק המשתמש.
CVE-2024-40817: Yadhu Krishna M ו-Narendra Bhati, מנהל אבטחת סייבר ב-Suma Soft Pvt. Ltd, פונה (הודו)
Scripting Bridge
זמין עבור: macOS Monterey
השפעה: יישום עשוי להצליח להגיע למידע על אנשי הקשר של משתמש
תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.
CVE-2024-27881: Kirin (Pwnrin@)
Security
זמין עבור: macOS Monterey
השפעה: תוספי יישומים של צד שלישי עשויים שלא לקבל את ההגבלות הנכונות של sandbox.
תיאור: בעיית גישה טופלה באמצעות הגבלות 'ארגז חול' נוספות.
CVE-2024-40821: Joshua Jones
Security
זמין עבור: macOS Monterey
השפעה: יישום עלול להיות מסוגל לקרוא את היסטוריית הגלישה ב-Safari
תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.
CVE-2024-40798: Adam M.
Shortcuts
זמין עבור: macOS Monterey
השפעה: קיצור דרך עלול להצליח להשתמש בנתונים רגישים במהלך פעולות מסוימות בלי להציג בקשה למשתמש
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2024-40833: חוקר אנונימי
CVE-2024-40835: חוקר אנונימי
CVE-2024-40807: חוקר אנונימי
Shortcuts
זמין עבור: macOS Monterey
השפעה: קיצור דרך עלול להצליח לעקוף הגדרות רגישות של היישום 'קיצורים'
תיאור: הבעיה טופלה על ידי הוספת בקשה נוספת לקבלת אישור של המשתמש.
CVE-2024-40834: Marcio Almeida מ-Tanto Security
Shortcuts
זמין עבור: macOS Monterey
השפעה: קיצור דרך עשוי לעקוף את הדרישות להרשאה לגלישה באינטרנט
תיאור: הבעיה טופלה על ידי הוספת בקשה נוספת לקבלת אישור של המשתמש.
CVE-2024-40787: חוקר אנונימי
Shortcuts
זמין עבור: macOS Monterey
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.
CVE-2024-40793: Kirin (@Pwnrin)
Shortcuts
זמין עבור: macOS Monterey
השפעה: קיצור דרך עשוי לעקוף את הדרישות להרשאה לגלישה באינטרנט
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2024-40809: חוקר אנונימי
CVE-2024-40812: חוקר אנונימי
Siri
זמין עבור: macOS Monterey
השפעה: יישום במצב 'ארגז חול' עלול להצליח לגשת לנתונים רגישים של משתמשים ביומני מערכת
תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.
CVE-2024-44205: Jiahui Hu (梅零落) ו-Meng Zhang (鲸落) מ-NorthSea
הרשומה נוספה ב‑15 באוקטובר 2024
Time Zone
זמין עבור: macOS Monterey
השפעה: ייתכן שתוקף יוכל לקרוא מידע של משתמש אחר
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
CVE-2024-23261: Matthew Loewen
תודות נוספות
Image Capture
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
Shortcuts
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.