אודות תוכן האבטחה של macOS Ventura 13.7
מסמך זה מתאר את תוכן האבטחה של macOS Ventura 13.7.
מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות אבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID במידת האפשר.
למידע נוסף אודות אבטחה, עיינו בדף אבטחת מוצרי Apple.
macOS Ventura 13.7
הופץ ב-16 בספטמבר 2024
Accounts
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח להדליף מידע רגיש אודות המשתמש
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-44129
App Intents
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגשת לנתונים רגישים הנרשמים כאשר קיצור נכשל בהפעלה של יישום אחר
תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.
CVE-2024-44182: Kirin (@Pwnrin)
AppKit
זמין עבור: macOS Ventura
השפעה: יישום לא מורשה עשוי להיות מסוגל לתעד הקשות ביישומים אחרים, כולל כאלה שנעשה בהם שימוש במצב קלט מאובטח
תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.
CVE-2024-27886: Stephan Casas, חוקר אנונימי
AppleMobileFileIntegrity
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: הבעיה טופלה באמצעות הגבלות נוספות על חתימת קוד.
CVE-2024-40847: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
זמין עבור: macOS Ventura
השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות
תיאור: בעיית שנמוך טופלה באמצעות הגבלות נוספות על חתימת קוד.
CVE-2024-40814: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
זמין עבור: macOS Ventura
השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2024-44164: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: בעיית החדרת ספריות טופלה באמצעות הגבלות נוספות.
CVE-2024-44168: Claudio Bozzato ו-Francesco Benvenuto מ-Cisco Talos
AppleMobileFileIntegrity
זמין עבור: macOS Ventura
השפעה: תוקף עלול להצליח לקרוא מידע רגיש
תיאור: בעיית שנמוך טופלה באמצעות הגבלות נוספות על חתימת קוד.
CVE-2024-40848: Mickey Jin (@patch1t)
Automator
זמין עבור: macOS Ventura
השפעה: תהליך עבודה של פעולה מהירה ב-Automator עלול להצליח לעקוף את Gatekeeper
תיאור: הבעיה טופלה על ידי הוספת בקשה נוספת לקבלת אישור של המשתמש.
CVE-2024-44128: Anton Boegler
bless
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.
CVE-2024-44151: Mickey Jin (@patch1t)
Compression
זמין עבור: macOS Ventura
השפעה: פירוק ארכיון בעל מבנה זדוני עלול לאפשר לתוקף לכתוב קבצים שרירותיים
תיאור: מצב מירוץ טופל באמצעות נעילה משופרת.
CVE-2024-27876: Snoolie Keffaber (@0xilis)
Dock
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיית פרטיות טופלה באמצעות הסרה של נתונים רגישים.
CVE-2024-44177: חוקר אנונימי
Game Center
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיית גישה לקבצים טופלה באמצעות אימות קלט משופר.
CVE-2024-40850: Denis Tokarev (@illusionofcha0s)
ImageIO
זמין עבור: macOS Ventura
השפעה: עיבוד תמונה עלול לגרום למניעת שירות
תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2024-44176: dw0r מ-ZeroPointer Lab יחד עם Trend Micro Zero Day Initiative, חוקר אנונימי
Intel Graphics Driver
זמין עבור: macOS Ventura
השפעה: עיבוד מרקם בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום
תיאור: בעיית גלישת חוצץ טופלה באמצעות טיפול משופר בזיכרון.
CVE-2024-44160: Michael DePlante (@izobashi) מ-Trend Micro Zero Day Initiative
Intel Graphics Driver
זמין עבור: macOS Ventura
השפעה: עיבוד מרקם בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום
תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2024-44161: Michael DePlante (@izobashi) מ-Trend Micro Zero Day Initiative
IOSurfaceAccelerator
זמין עבור: macOS Ventura
השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2024-44169: Anton Boegler
Kernel
זמין עבור: macOS Ventura
השפעה: תעבורת רשת עלולה לדלוף אל מחוץ למנהרת VPN
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2024-44165: Andrew Lytvynov
Mail Accounts
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגשת למידע על אנשי הקשר של משתמש
תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.
CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)
Maps
זמין עבור: macOS Ventura
השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום
תיאור: הבעיה נפתרה באמצעות שיפור הטיפול בקבצים זמניים.
CVE-2024-44181: Kirin (@Pwnrin) ו-LFYמ (@secsys) מ-Fudan University
mDNSResponder
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגרום למניעת שירות
תיאור: שגיאת לוגיקה טופלה באמצעות טיפול משופר בשגיאות.
CVE-2024-44183: Olivier Levon
Notes
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח למחוק קבצים שרירותיים
תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.
CVE-2024-44167: ajajfxhj
PackageKit
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: בעיה זו טופלה באמצעות אימות משופר של קישורים סימבוליים.
CVE-2024-44178: Mickey Jin (@patch1t)
Safari
זמין עבור: macOS Ventura
השפעה: ביקור באתר זדוני עלול להוביל לזיוף זהות בממשק המשתמש
תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.
CVE-2024-40797: Rifa'i Rejal Maynando
Sandbox
זמין עבור: macOS Ventura
השפעה: יישום זדוני עלול להצליח לגשת למידע פרטי
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-44163: Zhongquan Li (@Guluisacat)
Shortcuts
זמין עבור: macOS Ventura
השפעה: פעולה של קיצור עלולה להוציא כפלט נתוני משתמש ללא קבלת הסכמה
תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.
CVE-2024-44158: Kirin (@Pwnrin)
Shortcuts
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לצפות בנתונים המוצגים למשתמש באמצעות 'קיצורים'
תיאור: בעיית פרטיות טופלה באמצעות שיפור הטיפול בקבצים זמניים.
CVE-2024-40844: Kirin (@Pwnrin) ו-luckyu (@uuulucky) מ-NorthSea
System Settings
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.
CVE-2024-44166: Kirin (@Pwnrin) ו-LFY (@secsys) מ-Fudan University
System Settings
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לקרוא קבצים שרירותיים
תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.
CVE-2024-44190: Rodolphe BRUNETTI (@eisw0lf)
Transparency
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.
CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)
תודות נוספות
AirPort
אנחנו מבקשים להודות ל-David Dudok de Wit על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.