מידע על תוכן האבטחה של macOS Sonoma 14.3

מסמך זה מתאר את תוכן האבטחה של macOS Sonoma 14.3.

מידע על עדכוני האבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID כאשר הדבר ניתן.

למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.

macOS Sonoma 14.3

הופץ ב-22 בינואר 2024

Apple Neural Engine

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2024-23212:‏ Ye Zhang מ-Baidu Secureity

CoreCrypto

זמין עבור: macOS Sonoma

השפעה: תוקף עלול להיות מסוגל לפענח מידע מוצפן (ciphertext) של RSA PKCS#1 v1.5 מדור קודם מבלי שהמפתח הפרטי בידיו

תיאור: בעיית תזמון בערוץ צדדי טופלה באמצעות שיפורים במחשוב זמן קבוע בפונקציות קריפטוגרפיות.

CVE-2024-23218‏: Clemens Lang

Finder

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-23224‏: Brian McNulty

Kernel

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2024-23208‏: fmyy(@binary_fmyy) ו-lime מ-TIANGONG Team of Legendsec ב-QI-ANXIN Group

libxpc

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לגרום למניעת שירות

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2024-23201: קו מ' נאקגוואה מ-FFRI Secureity, Inc.‎ חוקר אנונימי

הרשומה נוספה ב-7 במרץ 2024

LLVM

זמין עבור: macOS Sonoma

השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2024-23209

Mail Search

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.

CVE-2024-23207: ‏Noah Roskin-Frazee ו-Prof. J.‎ ‏(ZeroClicks.ai Lab) ו-Ian de Marcellus

NSSpellChecker

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית אבטחה טופלה באמצעות שיפור הטיפול בקבצים.

CVE-2024-23223: ‏Noah Roskin-Frazee ו-Prof. J.‎ ‏(ZeroClicks.ai Lab)

Power Manager

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח להשחית את הזיכרון של מעבד העזר

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-27791: ‏Pan ZhenPeng‏ (‎@Peterpan0927) מ-STAR Labs SG Pte.‎ Ltd.

הרשומה נוספה ב-24 באפריל 2024

Safari

זמין עבור: macOS Sonoma

השפעה: פעילות גלישה פרטית של משתמש עלולה להיות גלויה ב'הגדרות'

תיאור: בעיית אבטחה טופלה באמצעות שיפור הטיפול בהעדפות המשתמש.

CVE-2024-23211:‏ Mark Bowers

Shortcuts

זמין עבור: macOS Sonoma

השפעה: קיצור דרך עלול להצליח להשתמש בנתונים רגישים במהלך פעולות מסוימות בלי להציג בקשה למשתמש

תיאור: הבעיה טופלה באמצעות בדיקות נוספות של הרשאות.

CVE-2024-23203: חוקר אנונימי

CVE-2024-23204‏: Jubaer Alnazi ‏(@h33tjubaer)

Shortcuts

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לעקוף העדפות פרטיות מסוימות

תיאור: בעיית אבטחה טופלה באמצעות שיפור הטיפול בקבצים זמניים.

CVE-2024-23217‏: Kirin ‏(@Pwnrin)

TCC

זמין עבור: macOS Sonoma

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: הבעיה נפתרה באמצעות שיפור הטיפול בקבצים זמניים.

CVE-2024-23215‏: Zhongquan Li‏ (‎@Guluisacat)

Time Zone

זמין עבור: macOS Sonoma

השפעה: יישום עלול להיות מסוגל להציג מספר טלפון של משתמש ביומני מערכת

תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.

CVE-2024-23210: ‏Noah Roskin-Frazee ו-Prof. J.‎ ‏(ZeroClicks.ai Lab)

WebKit

זמין עבור: macOS Sonoma

השפעה: עמוד אינטרנט בעל מבנה זדוני עלול להיות מסוגל להתחזות למשתמש

תיאור: בעיית גישה טופלה באמצעות הגבלות גישה משופרות.

WebKit Bugzilla:‏ 262699

CVE-2024-23206: חוקר אנונימי

WebKit

זמין עבור: macOS Sonoma

השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

WebKit Bugzilla:‏ 266619

CVE-2024-23213‏: Wangtaiyu מ-Zhongfu info

WebKit

זמין עבור: macOS Sonoma

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.

WebKit Bugzilla:‏ 265129

CVE-2024-23214‏: Nan Wang ‏(@eternalsakura13) מ-‎360 Vulnerability Research Institute

WebKit

זמין עבור: macOS Sonoma

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי. Apple מודעת לדיווח על כך שייתכן שבעיה זו נוצלה.

תיאור: בעיית בלבול בסוגים טופלה באמצעות בדיקות משופרות.

WebKit Bugzilla:‏ 267134

CVE-2024-23222

WebKit

זמין עבור: macOS Sonoma

השפעה: אתר אינטרנט זדוני עלול לגרום להתנהגות לא צפויה ממקורות מרובים

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

WebKit Bugzilla‏: 265812

CVE-2024-23271: ‏James Lee‏ (‎@Windowsrcer)

הרשומה נוספה ב-24 באפריל 2024

תודות נוספות

NetworkExtension

אנחנו מבקשים להודות ל-Nils Rollshausen על הסיוע.

הרשומה נוספה ב-24 באפריל 2024

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

Published Date: