اپل در 24 جولای 2023 ، 2 مرداد 1402 ، در بولتن امنیتیش اعلام کرده که 46 آسیب پذیری رو در محصولات مختلفش اصلاح کرده.
یکی از آسیب پذیریها به شناسه CVE-2023-38606 هم زیرودی بوده و در حملات هدفمندی استفاده شده، این یازدهمین زیرودی اپل از ابتدای امسال بوده.
اپل در هفته های اخیر هم یه بروزرسانی RSR رو برای اصلاح یه آسیب پذیری زیرودی در محصول منتشر کرده بود.
جدول زیر نسخه های اصلاح شده و محصولات تحت تاثیر رو نشون میده .
| نسخه های بروز شده | محصولات تحت تاثیر |
|---|---|
| Safari 16.6 | macOS Big Sur and macOS Monterey |
| iOS 16.6 and iPadOS 16.6 | iPhone 8 and later, iPad Pro (all models), iPad Air 3rd generation and later, iPad 5th generation and later, and iPad mini 5th generation and later |
| iOS 15.7.8 and iPadOS 15.7.8 | iPhone 6s (all models), iPhone 7 (all models), iPhone SE (1st generation), iPad Air 2, iPad mini (4th generation), and iPod touch (7th generation) |
| macOS Ventura 13.5 | macOS Ventura |
| macOS Monterey 12.6.8 | macOS Monterey |
| macOS Big Sur 11.7.9 | macOS Big Sur |
| tvOS 16.6 | Apple TV 4K (all models) and Apple TV HD |
| watchOS 9.6 | Apple Watch Series 4 and later |
در جدول زیر هم جزییات آسیب پذیری هایی که در این بروزرسانی اصلاح شدن رو مشاهده می کنید .
نکته: تنها آسیب پذیری زیرودی جدید برای این بروزرسانی CVE-2023-38606 هستش و بقیه مواردی که با عنوان زیرودی مشخص شدن، قبلا افشاء شدن و در این بروزرسانی برای اون محصول اصلاح شدن.
| آسیب پذیری | مولفه | نسخه بروزشده | توضیحات |
| CVE-2023-38136 | Apple Neural Engine |
watchOS 9.6 iOS 16.6 and iPadOS 16.6 |
برنامه مخرب امکان اجرای کد دلخواه با امتیاز کرنل رو داره. |
| CVE-2023-23540 | Apple Neural Engine |
iOS 15.7.8 and iPadOS 15.7.8 |
برنامه مخرب امکان اجرای کد دلخواه با امتیاز کرنل رو داره. |
| CVE-2023-38580 | Apple Neural Engine |
watchOS 9.6 macOS Ventura 13.5 iOS 16.6 and iPadOS 16.6 |
برنامه مخرب امکان اجرای کد دلخواه با امتیاز کرنل رو داره. |
| CVE-2023-32416 | Find My |
watchOS 9.6 macOS Monterey 12.6.8 macOS Ventura 13.5 iOS 15.7.8 and iPadOS 15.7.8 iOS 16.6 and iPadOS 16.6 |
برنامه مخرب امکان خوندن اطلاعات مکانی حساس رو داره. |
| CVE-2023-32734 | Kernel |
watchOS 9.6 tvOS 16.6 macOS Ventura 13.5 iOS 16.6 and iPadOS 16.6 |
برنامه مخرب امکان اجرای کد دلخواه با امتیاز کرنل رو داره. |
| CVE-2023-32441 | Kernel |
watchOS 9.6 tvOS 16.6 macOS Big Sur 11.7.9 macOS Monterey 12.6.8 macOS Ventura 13.5 iOS 15.7.8 and iPadOS 15.7.8 iOS 16.6 and iPadOS 16.6 |
برنامه مخرب امکان اجرای کد دلخواه با امتیاز کرنل رو داره. |
| CVE-2023-32381 | Kernel |
watchOS 9.6 tvOS 16.6 macOS Big Sur 11.7.9 macOS Monterey 12.6.8 macOS Ventura 13.5 iOS 16.6 and iPadOS 16.6 |
برنامه مخرب امکان اجرای کد دلخواه با امتیاز کرنل رو داره. آسیب پذیری از نوع UAF هستش. |
| CVE-2023-32433 | Kernel |
watchOS 9.6 tvOS 16.6 macOS Big Sur 11.7.9 macOS Monterey 12.6.8 macOS Ventura 13.5 iOS 15.7.8 and iPadOS 15.7.8 iOS 16.6 and iPadOS 16.6 |
برنامه مخرب امکان اجرای کد دلخواه با امتیاز کرنل رو داره. آسیب پذیری از نوع UAF هستش. |
| CVE-2023-35993 | Kernel |
watchOS 9.6 tvOS 16.6 macOS Big Sur 11.7.9 macOS Monterey 12.6.8 macOS Ventura 13.5 iOS 15.7.8 and iPadOS 15.7.8 iOS 16.6 and iPadOS 16.6 |
برنامه مخرب امکان اجرای کد دلخواه با امتیاز کرنل رو داره. آسیب پذیری از نوع UAF هستش. |
| CVE-2023-38606 | Kernel |
watchOS 9.6 tvOS 16.6 macOS Big Sur 11.7.9 macOS Monterey 12.6.8 macOS Ventura 13.5 iOS 15.7.8 and iPadOS 15.7.8 iOS 16.6 and iPadOS 16.6 |
برنامه مخرب امکان دستکاری وضعیت کرنل رو داره. این آسیب پذیری زیرودی بوده و در حملاتی که نسخه های قبل از iOS 15.7.1 رو هدف قرار داده بوده، استفاده شده. این آسیب پذیری زیروکلیک هم در کمپین Triangulation مورد استفاده قرار گرفته بود. |
| CVE-2023-38261 | Kernel |
macOS Ventura 13.5 iOS 16.6 and iPadOS 16.6 |
برنامه مخرب امکان اجرای کد با امتیاز کرنل داره |
| CVE-2023-38424 | Kernel |
macOS Ventura 13.5 iOS 16.6 and iPadOS 16.6 |
برنامه مخرب امکان اجرای کد با امتیاز کرنل داره |
| CVE-2023-38425 | Kernel |
macOS Ventura 13.5 iOS 16.6 and iPadOS 16.6 |
برنامه مخرب امکان اجرای کد با امتیاز کرنل داره |
| CVE-2023-38410 | Kernel |
macOS Ventura 13.5 iOS 16.6 and iPadOS 16.6 |
کاربر امکان افزایش امتیاز داره. |
| CVE-2023-38603 | Kernel |
macOS Ventura 13.5 iOS 16.6 and iPadOS 16.6 |
مهاجم راه دور امکان DoS داره. |
| CVE-2023-38565 | libxpc |
watchOS 9.6 macOS Big Sur 11.7.9 macOS Monterey 12.6.8 macOS Ventura 13.5 iOS 16.6 and iPadOS 16.6 |
برنامه مخرب امکان افزایش امتیاز به root داره. |
| CVE-2023-38593 | libxpc |
watchOS 9.6 macOS Big Sur 11.7.9 macOS Monterey 12.6.8 macOS Ventura 13.5 iOS 16.6 and iPadOS 16.6 |
برنامه مخرب امکان DoS داره. |
| CVE-2023-38572 | WebKit |
watchOS 9.6 tvOS 16.6 macOS Ventura 13.5 iOS 15.7.8 and iPadOS 15.7.8 iOS 16.6 and iPadOS 16.6 Safari 16.6 |
سایت امکان دور زدن Same Origin Policy رو داره. |
| CVE-2023-38594 | WebKit |
watchOS 9.6 tvOS 16.6 macOS Ventura 13.5 iOS 15.7.8 and iPadOS 15.7.8 iOS 16.6 and iPadOS 16.6 Safari 16.6 |
پردازش محتوای یه سایت مخرب امکان اجرای کد رو میده. |
| CVE-2023-38595 | WebKit |
watchOS 9.6 tvOS 16.6 macOS Ventura 13.5 iOS 16.6 and iPadOS 16.6 Safari 16.6 |
پردازش محتوای یه سایت مخرب امکان اجرای کد رو میده. |
| CVE-2023-38600 | WebKit |
watchOS 9.6 tvOS 16.6 macOS Ventura 13.5 iOS 16.6 and iPadOS 16.6 Safari 16.6 |
پردازش محتوای یه سایت مخرب امکان اجرای کد رو میده. |
| CVE-2023-38611 | WebKit |
watchOS 9.6 tvOS 16.6 macOS Ventura 13.5 iOS 16.6 and iPadOS 16.6 Safari 16.6 |
پردازش محتوای یه سایت مخرب امکان اجرای کد رو میده. |
| CVE-2023-37450 | WebKit |
watchOS 9.6 tvOS 16.6 macOS Ventura 13.5 iOS 16.6 and iPadOS 16.6 |
پردازش محتوای یه سایت مخرب امکان اجرای کد رو میده. این آسیب پذیری هم زیرودی بوده و در حملاتی استفاده شده. |
| CVE-2023-32409 | WebKit |
iOS 15.7.8 and iPadOS 15.7.8 |
مهاجم راه دور امکان دور زدن سندباکس Web Content داره. این آسیب پذیری هم زیرودی بوده. |
| CVE-2023-38133 | WebKit Web Inspector |
watchOS 9.6 tvOS 16.6 macOS Ventura 13.5 iOS 15.7.8 and iPadOS 15.7.8 iOS 16.6 and iPadOS 16.6 Safari 16.6 |
پردازش محتوای یه سایت مخرب امکان افشای اطلاعات حساس رو میده. |
| CVE-2023-35983 | Assets |
macOS Big Sur 11.7.9 macOS Monterey 12.6.8 macOS Ventura 13.5 |
برنامه مخرب امکان دستکاری بخش محافظت شده فایل سیستم رو داره. |
| CVE-2023-28319 | curl |
macOS Big Sur 11.7.9 macOS Monterey 12.6.8 macOS Ventura 13.5 |
مشکلات مرتبط با curl |
| CVE-2023-28320 | curl |
macOS Big Sur 11.7.9 macOS Monterey 12.6.8 macOS Ventura 13.5 |
مشکلات مرتبط با cur |
| CVE-2023-28321 | curl |
macOS Big Sur 11.7.9 macOS Monterey 12.6.8 macOS Ventura 13.5 |
مشکلات مرتبط با cur |
| CVE-2023-28322 | curl |
macOS Big Sur 11.7.9 macOS Monterey 12.6.8 macOS Ventura 13.5 |
مشکلات مرتبط با cur |
| CVE-2023-36854 | Grapher |
macOS Big Sur 11.7.9 macOS Monterey 12.6.8 macOS Ventura 13.5 |
پردازش فایل مخرب امکان اجرای کد یا خاتمه برنامه رو میده. |
| CVE-2023-32418 | Grapher |
macOS Big Sur 11.7.9 macOS Monterey 12.6.8 macOS Ventura 13.5 |
پردازش فایل مخرب امکان اجرای کد یا خاتمه برنامه رو میده. |
| CVE-2023-2953 | OpenLDAP |
macOS Big Sur 11.7.9 macOS Monterey 12.6.8 macOS Ventura 13.5 |
مهاجم راه دور امکان DoS داره. |
| CVE-2023-38259 | PackageKit |
macOS Big Sur 11.7.9 macOS Monterey 12.6.8 macOS Ventura 13.5 |
برنامه مخرب امکان دسترسی به داده های حساس کاربر داره. |
| CVE-2023-38602 | PackageKit |
macOS Big Sur 11.7.9 macOS Monterey 12.6.8 macOS Ventura 13.5 |
برنامه مخرب امکان دستکاری بخش محافظت شده فایل سیستم داره. |
| CVE-2023-38564 | PackageKit |
macOS Ventura 13.5 |
برنامه مخرب امکان دستکاری بخش محافظت شده فایل سیستم داره. |
| CVE-2023-32443 | sips |
macOS Big Sur 11.7.9 macOS Monterey 12.6.8 macOS Ventura 13.5 |
پردازش یه فایل مخرب امکان افضاش محتوای مموری یا DoS داره. آسیب پذیری از نوع out-of-bounds read هستش. |
| CVE-2023-38421 | Model I/O |
macOS Monterey 12.6.8 macOS Ventura 13.5 |
پردازش یه مدل سه بعدی امکان افشای مموری پروسس رو میده. |
| CVE-2023-38258 | Model I/O |
macOS Monterey 12.6.8 macOS Ventura 13.5 |
پردازش یه مدل سه بعدی امکان افشای مموری پروسس رو میده. |
| CVE-2023-32442 | Shortcuts |
macOS Monterey 12.6.8 macOS Ventura 13.5 |
یه شورتکات امکان دستکاری تنظیمات حساس Shortcuts app رو داره |
| CVE-2023-36862 | AppleMobileFileIntegrity |
macOS Ventura 13.5 |
برنامه مخرب امکان مشخص کردن مکان فعلی کاربر داره. |
| CVE-2023-32364 | AppSandbox |
macOS Ventura 13.5 |
یه پروسس سندباکسی، امکان دور زدن محدودیتهای سندباکس داره. |
| CVE-2023-32429 | SystemMigration |
macOS Ventura 13.5 |
برنامه امکان دور زدن ویژگی های Privacy رو داره. |
| CVE-2023-38608 | Voice Memos |
macOS Ventura 13.5 |
برنامه مخرب امکان دسترسی به داده های حساس کاربر داره. |
| CVE-2023-38597 | WebKit Process Model |
macOS Ventura 13.5 iOS 15.7.8 and iPadOS 15.7.8 iOS 16.6 and iPadOS 16.6 Safari 16.6 |
پردازش محتوای مخرب وب، امکان اجرای کد میده. |
| CVE-2023-32437 | NSURLSession |
iOS 16.6 and iPadOS 16.6 |
برنامه مخرب امکان دور زدن سندباکس داره. |