מידע על תוכן האבטחה של macOS Ventura 13.6.7
מסמך זה מתאר את תוכן האבטחה של macOS Ventura 13.6.7.
מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID כאשר הדבר ניתן.
למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.
macOS Ventura 13.6.7
הופץ ב-13 במאי 2024
Core Data
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיה טופלה באמצעות אימות משופר של משתני סביבה.
CVE-2024-27805: Kirin (@Pwnrin) ו-小来来 (@Smi1eSEC)
הרשומה נוספה ב-10 ביוני 2024
CoreMedia
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-27817: pattern-f (@pattern_F_) מ-Ant Security Light-Year Lab
הרשומה נוספה ב-10 ביוני 2024
CoreMedia
זמין עבור: macOS Ventura
השפעה: עיבוד של קובץ עלול להוביל לסיום בלתי צפוי של פעולת יישום או להפעלת קוד שרירותי
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2024-27831: Amir Bazine ו-Karsten König מ-CrowdStrike Counter Adversary Operations
הרשומה נוספה ב-10 ביוני 2024
Finder
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לקרוא קבצים שרירותיים
תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.
CVE-2024-27827: חוקר אנונימי
הרשומה נוספה ב-10 ביוני 2024
Foundation
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2024-27789: Mickey Jin (@patch1t)
IOHIDFamily
זמין עבור: macOS Ventura
השפעה: יישום לא מורשה עשוי להיות מסוגל לתעד הקשות ביישומים אחרים, כולל כאלה שנעשה בהם שימוש במצב קלט מאובטח
תיאור: בעיה זו טופלה באמצעות בדיקות הרשאות נוספות.
CVE-2024-27799: חוקר אנונימי
הרשומה נוספה ב-10 ביוני 2024
Kernel
זמין עבור: macOS Ventura
השפעה: תוקף שכבר הצליח להשיג הפעלת קוד ליבה עלול להצליח לעקוף הגנות של זיכרון ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2024-27840: חוקר אנונימי
הרשומה נוספה ב-10 ביוני 2024
Kernel
זמין עבור: macOS Ventura
השפעה: תוקף במיקום מורשה ברשת עלול להצליח לזייף מנות רשת
תיאור: מצב מירוץ טופל באמצעות נעילה משופרת.
CVE-2024-27823: פרופ' בני פנקס מאוניברסיטת בר אילן, פרופ' עמית קליין מהאוניברסיטה העברית ו-EP
הרשומה נוספה ב-29 ביולי 2024
Login Window
זמין עבור: macOS Ventura
השפעה: תוקף בעל ידע בנושא אישורים של משתמש רגיל יכול לבטל את הנעילה של מסך נעול של משתמש רגיל אחר באותו Mac
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
CVE-2023-42861: חוקר אנונימי, 凯 王, Steven Maser, Matthew McLean, Brandon Chesser, CPU IT, inc ו-Avalon IT Team of Concentrix
Maps
זמין עבור: macOS Ventura
השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום
תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.
CVE-2024-27810: LFY@secsys מ-Fudan University
הרשומה נוספה ב-10 ביוני 2024
Messages
זמין עבור: macOS Ventura
השפעה: עיבוד הודעה בעלת מבנה זדוני עלול להוביל למניעת שירות
תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.
CVE-2024-27800: Daniel Zajork ו-Joshua Zajork
הרשומה נוספה ב-10 ביוני 2024
Metal
זמין עבור: macOS Ventura
השפעה: עיבוד של קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום או להפעלת קוד שרירותי
תיאור: קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) בעבודה עם Trend Micro Zero Day Initiative
הרשומה נוספה ב-10 ביוני 2024
PackageKit
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: בעיה זו טופלה באמצעות אימות משופר של קישורים סימבוליים.
CVE-2024-27885: Mickey Jin (@patch1t)
הרשומה נוספה ב-10 ביוני 2024
PackageKit
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח להעלות את רמת ההרשאות שלו
תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.
CVE-2024-27824: Pedro Tôrres (@t0rr3sp3dr0)
הרשומה נוספה ב-10 ביוני 2024
RTKit
זמין עבור: macOS Ventura
השפעה: תוקף עם יכולות קריאה וכתיבה שרירותיות של ליבה עלול לעקוף הגנות של זיכרון ליבה. Apple מודעת לדיווח על כך שייתכן שבעיה זו נוצלה.
תיאור: בעיית השחתת זיכרון טופלה באמצעות שיפור האימות.
CVE-2024-23296
SharedFileList
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח להעלות את רמת ההרשאות שלו
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2024-27843: Mickey Jin (@patch1t)
הרשומה נוספה ב-10 ביוני 2024
Shortcuts
זמין עבור: macOS Ventura
השפעה: קיצור דרך עלול להצליח להשתמש בנתונים רגישים במהלך פעולות מסוימות בלי להציג בקשה למשתמש
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-27855: חוקר אנונימי
הרשומה נוספה ב-10 ביוני 2024
Spotlight
זמין עבור: macOS Ventura
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיה זו טופלה באמצעות סניטציה משופרת של הסביבה.
CVE-2024-27806
הרשומה נוספה ב-10 ביוני 2024
StorageKit
זמין עבור: macOS Ventura
השפעה: משתמש עלול להצליח להשיג הרשאות ברמה גבוהה יותר
תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.
CVE-2024-27798: Yann GASCUEL מ-Alter Solutions
הרשומה נוספה ב-10 ביוני 2024
Sync Services
זמין עבור: macOS Ventura
השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות
CVE-2024-27847: Mickey Jin (@patch1t)
הרשומה נוספה ב-10 ביוני 2024
Voice Control
זמין עבור: macOS Ventura
השפעה: משתמש עלול להצליח להשיג הרשאות ברמה גבוהה יותר
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-27796: ajajfxhj
הרשומה נוספה ב-10 ביוני 2024
תודות נוספות
App Store
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.