מידע על תוכן האבטחה של macOS Ventura 13.6.8

מסמך זה מתאר את תוכן האבטחה של macOS Ventura 13.6.8.

מידע על עדכוני האבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID‏ במידת האפשר.

למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.

macOS Ventura 13.6.8

הופצה ב-29 ביולי 2024

APFS

זמין עבור: macOS Ventura

השפעה: יישום זדוני עלול להצליח לעקוף את העדפות הפרטיות

תיאור: הבעיה טופלה באמצעות הגבלה משופרת של גישה אל הגורם המכיל של הנתונים.

CVE-2024-40783‏: Csaba Fitzl ‏(@theevilbit) מ-Kandji

Apple Neural Engine

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2024-27826‏: Minghao Lin, ו-Ye Zhang ‏(@VAR10CK) מ-Baidu Security

AppleMobileFileIntegrity

זמין עבור: macOS Ventura

השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות

תיאור: בעיית שנמוך טופלה באמצעות הגבלות נוספות על חתימת קוד.

CVE-2024-40774‏: Mickey Jin ‏(‎@patch1t)

AppleMobileFileIntegrity

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח להדליף מידע רגיש אודות המשתמש

תיאור: בעיית שנמוך טופלה באמצעות הגבלות נוספות על חתימת קוד.

CVE-2024-40775‏: Mickey Jin ‏(@patch1t)

AppleVA

זמין עבור: macOS Ventura

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל למניעת שירות או לחשיפה פוטנציאלית של תוכן זיכרון

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2024-27877: ‏Michael DePlante ‏(‎@izobashi) מ-Trend Micro Zero Day Initiative

CoreGraphics

זמין עבור: macOS Ventura

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום

תיאור: בעיית קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2024-40799‏: D4m0n

CoreMedia

זמין עבור: macOS Ventura

השפעה: עיבוד קובץ וידאו בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2024-27873‏: Amir Bazine ו-Karsten König מ-CrowdStrike Counter Adversary Operations

curl

זמין עבור: macOS Ventura

השפעה: מספר בעיות ב-curl

תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.

CVE-2024-2004

CVE-2024-2379

CVE-2024-2398

CVE-2024-2466

DesktopServices

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח למחוק קבצים שרירותיים

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-40827: חוקר אנונימי

dyld

זמין עבור: macOS Ventura

השפעה: תוקף זדוני עם יכולות קריאה וכתיבה שרירותיות עלול לעקוף אימות מצביע

תיאור: מצב מירוץ טופל באמצעות אימות נוסף.

CVE-2024-40815‏: w0wbox

ImageIO

זמין עבור: macOS Ventura

השפעה: עיבוד תמונה עלול לגרום למניעת שירות

תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.

CVE-2023-6277

CVE-2023-52356

ImageIO

זמין עבור: macOS Ventura

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום

תיאור: בעיית קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2024-40806‏: Yisumi

ImageIO

זמין עבור: macOS Ventura

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום

תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר.

CVE-2024-40784: ‏Junsung Lee בעבודה עם Trend Micro Zero Day Initiative ו-Gandalf4a

Kernel

זמין עבור: macOS Ventura

השפעה: תוקף מקומי עלול לגרום לכיבוי בלתי צפוי של המערכת

תיאור: קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2024-40816:‏ sqrtpwn

Kernel

זמין עבור: macOS Ventura

השפעה: תוקף מקומי עלול לגרום לכיבוי בלתי צפוי של המערכת

תיאור: בעיית בלבול בסוגים טופלה באמצעות טיפול משופר בזיכרון.

CVE-2024-40788‏: Minghao Lin ו-Jiaxun Zhu מאוניברסיטת ג'ג'יאנג

Keychain Access

זמין עבור: macOS Ventura

השפעה: תוקף עלול להצליח לגרום לסיום בלתי צפוי של פעולת יישום

תיאור: בעיית בלבול בסוגים טופלה באמצעות בדיקות משופרות.

CVE-2024-40803‏: Patrick Wardle מ-DoubleYou & the Objective-See Foundation

NetworkExtension

זמין עבור: macOS Ventura

השפעה: גלישה פרטית עלולה לגרום להדלפה של חלק מהיסטוריית הגלישה

תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.

CVE-2024-40796:‏ Adam M.‎

OpenSSH

זמין עבור: macOS Ventura

השפעה: תוקף מרוחק עלול להצליח להפעיל קוד שרירותי

תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.

CVE-2024-6387

PackageKit

זמין עבור: macOS Ventura

השפעה: תוקף מקומי עלול להצליח להשיג הרשאות ברמה גבוהה יותר

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-40781‏: Mickey Jin ‏(@patch1t)

CVE-2024-40802‏: Mickey Jin ‏(@patch1t)

PackageKit

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-40823‏: Zhongquan Li (@Guluisacat) מ-Dawn Security Lab of JingDong

PackageKit

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2024-27882‏: Mickey Jin ‏(@patch1t)

CVE-2024-27883‏: Csaba Fitzl ‏(‎@theevilbit) מ-Kandji ו-Mickey Jin ‏(‎@patch1t)

Restore Framework

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: בעיית אימות קלט טופלה באמצעות אימות קלט משופר.

CVE-2024-40800‏: Claudio Bozzato ו-Francesco Benvenuto מ-Cisco Talos.

Safari

זמין עבור: macOS Ventura

השפעה: ביקור באתר שכולל תוכן זדוני עלול להוביל לזיוף זהות בממשק המשתמש

תיאור: הבעיה טופלה באמצעות טיפול משופר בממשק המשתמש.

CVE-2024-40817‏: Yadhu Krishna M ו-Narendra Bhati, מנהל אבטחת סייבר ב-Suma Soft Pvt. Ltd, פונה (הודו)

Scripting Bridge

זמין עבור: macOS Ventura

השפעה: יישום עשוי להצליח להגיע למידע על אנשי הקשר של משתמש

תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.

CVE-2024-27881:‏ Kirin (‏Pwnrin@)

Security

זמין עבור: macOS Ventura

השפעה: תוספי יישומים של צד שלישי עשויים שלא לקבל את ההגבלות הנכונות של sandbox.

תיאור: בעיית גישה טופלה באמצעות הגבלות 'ארגז חול' נוספות.

CVE-2024-40821‏: Joshua Jones

Security

זמין עבור: macOS Ventura

השפעה: יישום עלול להיות מסוגל לקרוא את היסטוריית הגלישה ב-Safari

תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.

CVE-2024-40798:‏ Adam M.‎

Shortcuts

זמין עבור: macOS Ventura

השפעה: קיצור דרך עלול להצליח להשתמש בנתונים רגישים במהלך פעולות מסוימות בלי להציג בקשה למשתמש

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2024-40833: חוקר אנונימי

CVE-2024-40807: חוקר אנונימי

CVE-2024-40835: חוקר אנונימי

Shortcuts

זמין עבור: macOS Ventura

השפעה: קיצור דרך עלול להצליח לעקוף הגדרות רגישות של היישום 'קיצורים'

תיאור: הבעיה טופלה על ידי הוספת בקשה נוספת לקבלת אישור של המשתמש.

CVE-2024-40834‏: Marcio Almeida מ-Tanto Security

Shortcuts

זמין עבור: macOS Ventura

השפעה: קיצור דרך עשוי לעקוף את הדרישות להרשאה לגלישה באינטרנט

תיאור: הבעיה טופלה על ידי הוספת בקשה נוספת לקבלת אישור של המשתמש.

CVE-2024-40787: חוקר אנונימי

Shortcuts

זמין עבור: macOS Ventura

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.

CVE-2024-40793: ‏Kirin‏ (‎@Pwnrin)

Shortcuts

זמין עבור: macOS Ventura

השפעה: קיצור דרך עשוי לעקוף את הדרישות להרשאה לגלישה באינטרנט

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2024-40809: חוקר אנונימי

CVE-2024-40812: חוקר אנונימי

Siri

זמין עבור: macOS Ventura

השפעה: תוקף בעל גישה פיזית עלול להשתמש ב-Siri כדי לגשת לנתוני משתמש רגישים

תיאור: בעיה זו טופלה על ידי הגבלת האפשרויות המוצעות במכשיר נעול.

CVE-2024-40818‏: Bistrit Dahal ו-Srijan Poudel

Siri

זמין עבור: macOS Ventura

השפעה: תוקף עלול להצליח לצפות במידע רגיש אודות המשתמש

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2024-40786: ‏Bistrit Dahal

Siri

זמין עבור: macOS Ventura

השפעה: יישום במצב 'ארגז חול' עלול להצליח לגשת לנתונים רגישים של משתמשים ביומני מערכת

תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.

CVE-2024-44205:‏ Jiahui Hu (‏梅零落) ו-Meng Zhang ‏(鲸落) מ-NorthSea

הרשומה נוספה ב‑15 באוקטובר 2024

StorageKit

זמין עבור: macOS Ventura

השפעה: ייתכן שיישום זדוני יוכל לקבל הרשאות שורש

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-40828‏: Mickey Jin ‏(@patch1t)

אזור זמן

זמין עבור: macOS Ventura

השפעה: ייתכן שתוקף יוכל לקרוא מידע של משתמש אחר

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

CVE-2024-23261‏: Matthew Loewen

‎VoiceOver‎

זמין עבור: macOS Ventura

השפעה: ייתכן שמשתמש יוכל להציג תוכן מוגבל ממסך הנעילה

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-40829: ‏Abhay Kailasia‏ (‎@abhay_kailasia) מ-Lakshmi Narain College of Technology Bhopal בהודו

תודות נוספות

Image Capture

אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.

Shortcuts

אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

Published Date: