เกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Monterey 12.6.6
เอกสารนี้จะอธิบายเนื้อหาด้านความปลอดภัยของ macOS Monterey 12.6.6
เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย ให้ดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
macOS Monterey 12.6.6
เปิดตัวเมื่อวันที่ 18 พฤษภาคม 2023
Accessibility
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวได้
คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงข้อมูลส่วนตัวของรายการบันทึก
CVE-2023-32388: Kirin (@Pwnrin)
AppleEvents
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงแก้ไขข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น
CVE-2023-28191: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงสิทธิ์ให้ดียิ่งขึ้น
CVE-2023-32411: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจใส่โค้ดเข้ามาในชุดไบนารีสำคัญที่ให้มาพร้อม Xcode ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการบังคับ Hardened Runtime บนไบนารีที่ได้รับผลกระทบที่ระดับระบบ
CVE-2023-32383: James Duffy (mangoSecure)
Contacts
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจสามารถดูข้อมูลผู้ใช้ที่ไม่มีการป้องกันได้
คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการไฟล์ชั่วคราว
CVE-2023-32386: Kirin (@Pwnrin)
CUPS
มีให้สำหรับ: macOS Monterey
ผลกระทบ: ผู้ใช้ที่ไม่ได้รับอนุญาตอาจสามารถเข้าถึงเอกสารที่เพิ่งพิมพ์ล่าสุด
คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2023-32360: Gerhard Muth
dcerpc
มีให้สำหรับ: macOS Monterey
ผลกระทบ: ผู้โจมตีระยะไกลอาจเป็นเหตุให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิด หรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-32387: Dimitrios Tatsis of Cisco Talos
Dev Tools
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอป Sandbox อาจสามารถเก็บบันทึกข้อมูลในระบบได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงสิทธิ์ให้ดียิ่งขึ้น
CVE-2023-27945: Mickey Jin (@patch1t)
GeoServices
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้
คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงข้อมูลส่วนตัวของรายการบันทึก
CVE-2023-32392: Adam M.
อัปเดตรายการเมื่อวันที่ 21 ธันวาคม 2023
ImageIO
มีให้สำหรับ: macOS Monterey
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-23535: ryuzaki
ImageIO
มีให้สำหรับ: macOS Monterey
ผลกระทบ: การประมวลผลภาพอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2023-32384: Meysam Firouzi @R00tkitsmm ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
IOSurface
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจทำให้สถานะเคอร์เนลที่ละเอียดอ่อนรั่วไหลได้
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2023-32410: hou xuewei (@p1ay8y3ar) vmk msu
Kernel
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปที่มีการทำ Sandbox อาจสามารถดูการเชื่อมต่อเครือข่ายทั้งระบบ
คำอธิบาย: ปัญหาได้รับการแก้ไขแล้วด้วยการตรวจสอบสิทธิ์อนุญาตเพิ่มเติม
CVE-2023-27940: James Duffy (mangoSecure)
Kernel
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจได้รับสิทธิ์ในระดับรูทได้
คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) จาก Synacktiv (@Synacktiv) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
Kernel
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-32398: Adam Doupé จาก ASU SEFCOM
LaunchServices
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจเลี่ยงการตรวจสอบของ Gatekeeper ได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2023-32352: Wojciech Reguła (@_r3ggi) จาก SecuRing (wojciechregula.blog)
libxpc
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2023-32369: Jonathan Bar Or จาก Microsoft, Anurag Bohra จาก Microsoft และ Michael Pearse จาก Microsoft
libxpc
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจได้รับสิทธิ์ในระดับรูทได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2023-32405: Thijs Alkemade (@xnyhps) จาก Computest Sector 7
MallocStackLogging
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจได้รับสิทธิ์ในระดับรูทได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการไฟล์
CVE-2023-32428: Gergely Kalman (@gergely_kalman)
เพิ่มรายการเมื่อวันที่ 21 ธันวาคม 2023
Metal
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
Model I/O
มีให้สำหรับ: macOS Monterey
ผลกระทบ: การประมวลผลโมเดล 3D อาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2023-32375: Michael DePlante (@izobashi) จาก Zero Day Initiative ของ Trend Micro
CVE-2023-32382: Mickey Jin (@patch1t)
CVE-2023-32368: Mickey Jin (@patch1t)
Model I/O
มีให้สำหรับ: macOS Monterey
ผลกระทบ: การประมวลผลโมเดล 3D อาจทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2023-32380: Mickey Jin (@patch1t)
NetworkExtension
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น
CVE-2023-32403: Adam M.
อัปเดตรายการเมื่อวันที่ 21 ธันวาคม 2023
PackageKit
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2023-32355: Mickey Jin (@patch1t)
Perl
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2023-32395: Arsenii Kostromin (0x3c3e)
Quick Look
มีให้สำหรับ: macOS Monterey
ผลกระทบ: การแยกวิเคราะห์เอกสาร Office อาจทำให้แอปหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ
คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2023-32401: Holger Fuhrmannek จาก Deutsche Telekom Security GmbH ในนามของ BSI (German Federal Office for Information Security)
เพิ่มรายการเมื่อวันที่ 21 ธันวาคม 2023
Sandbox
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจสามารถคงสิทธิ์การเข้าถึงไฟล์การกำหนดค่าระบบไว้ได้ แม้ว่าจะเพิกถอนการอนุญาตแล้วก็ตาม
คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Jeff Johnson, Koh M. Nakagawa จาก FFRI Security, Inc., Kirin (@Pwnrin) และ Csaba Fitzl (@theevilbit) จาก Offensive Security
Shell
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2023-32397: Arsenii Kostromin (0x3c3e)
Telephony
มีให้สำหรับ: macOS Monterey
ผลกระทบ: ผู้โจมตีระยะไกลอาจเป็นเหตุให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิด หรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-32412: Ivan Fratric จาก Google Project Zero
TV App
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการแคช
CVE-2023-32408: Adam M.
คำขอบคุณพิเศษ
libxml2
เราขอขอบคุณสำหรับความช่วยเหลือจาก OSS-Fuzz และ Ned Williamson จาก Google Project Zero
Reminders
เราขอขอบคุณความช่วยเหลือจาก Kirin (@Pwnrin)
Security
เราขอขอบคุณสำหรับความช่วยเหลือจาก James Duffy (mangoSecure)
Wi-Fi
เราขอขอบคุณสำหรับความช่วยเหลือจาก Adam M.
อัปเดตรายการเมื่อวันที่ 21 ธันวาคม 2023
Wi-Fi Connectivity
เราขอขอบคุณสำหรับความช่วยเหลือจาก Adam M.
อัปเดตรายการเมื่อวันที่ 21 ธันวาคม 2023
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม