เกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Big Sur 11.7.5
เอกสารนี้จะอธิบายเนื้อหาด้านความปลอดภัยของ macOS Big Sur 11.7.5
เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย ให้ดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
macOS Big Sur 11.7.5
เปิดตัวเมื่อวันที่ 27 มีนาคม 2023
Apple Neural Engine
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-23540: Mohamed GHANNAM (@_simo36)
AppleAVD
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลโดยพลการ
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2022-26702: นักวิจัยนิรนาม, Antonio Zekic (@antoniozekic) และ John Aakerblom (@jaakerblom)
AppleMobileFileIntegrity
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: ปลั๊กอินอาจรับค่าสิทธิ์การอนุญาตของแอปและเข้าถึงข้อมูลผู้ใช้ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
CVE-2023-28207: Wojciech Reguła (@_r3ggi) จาก SecuRing
เพิ่มรายการเมื่อวันที่ 20 มีนาคม 2025
AppleMobileFileIntegrity
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: ผู้ใช้อาจเข้าถึงส่วนที่มีการป้องกันของระบบไฟล์ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
CVE-2023-23527: Mickey Jin (@patch1t)
Archive Utility
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: อาร์ไคฟ์อาจเลี่ยง Gatekeeper ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
CVE-2023-27951: Brandon Dalton (@partyD0lphin) จาก Red Canary และ Csaba Fitzl (@theevilbit) จาก Offensive Security
อัปเดตรายการเมื่อวันที่ 11 พฤษภาคม 2023
Calendar
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: คำเชิญบนปฏิทินที่ออกแบบมาเพื่อประสงค์ร้ายอาจถอนข้อมูลของผู้ใช้
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
Carbon Core
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
CVE-2023-23534: Mickey Jin (@patch1t)
ColorSync
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปอาจอ่านไฟล์ได้โดยพลการ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
CVE-2023-27955: JeongOhKyea
CommCenter
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปอาจทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรือมีการเขียนข้อมูลหน่วยความจำเคอร์เนล
คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2023-27936: Tingting Yin จาก Tsinghua University
CoreServices
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: โปรเซสที่อยู่ในแซนด์บ็อกซ์อาจเลี่ยงข้อจำกัดของแซนด์บ็อกซ์ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2023-40398: Mickey Jin (@patch1t)
เพิ่มรายการเมื่อวันที่ 16 กรกฎาคม 2024
dcerpc
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: ผู้ใช้ระยะไกลอาจเป็นเหตุให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิด หรือมีการรันโค้ดโดยพลการ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ดียิ่งขึ้น
CVE-2023-27935: Aleksandar Nikolic จาก Cisco Talos
dcerpc
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: ผู้ใช้ระยะไกลอาจทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรือสร้างความเสียหายให้กับหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-27953: Aleksandar Nikolic จาก Cisco Talos
CVE-2023-27958: Aleksandar Nikolic จาก Cisco Talos
Find My
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้
คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงข้อมูลส่วนตัวของรายการบันทึก
CVE-2023-23537: นักวิจัยนิรนาม
FontParser
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: การประมวลผลไฟล์แบบอักษรอาจทำให้มีการรันโค้ดโดยพลการ
คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2023-32366: Ye Zhang (@VAR10CK) จาก Baidu Security
เพิ่มรายการเมื่อวันที่ 21 ธันวาคม 2023
Foundation
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: การแยกวิเคราะห์ plist ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ
คำอธิบาย: ปัญหาจำนวนเต็มเกินได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2023-27937: นักวิจัยนิรนาม
Identity Services
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปอาจเข้าถึงข้อมูลเกี่ยวกับรายชื่อติดต่อของผู้ใช้ได้
คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงข้อมูลส่วนตัวของรายการบันทึก
CVE-2023-27928: Csaba Fitzl (@theevilbit) จาก Offensive Security
ImageIO
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2023-27946: Mickey Jin (@patch1t)
ImageIO
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-23535: ryuzaki
IOAcceleratorFamily
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-32378: Murray Mike
เพิ่มรายการเมื่อวันที่ 21 ธันวาคม 2023
Kernel
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปอาจเปิดเผยหน่วยความจำเคอร์เนลได้
คำอธิบาย: มีปัญหาการอ่านข้อมูลนอกขอบเขตที่นำไปสู่การเปิดเผยหน่วยความจำเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2023-27941: Arsenii Kostromin (0x3c3e)
CVE-2023-28199: Arsenii Kostromin (0x3c3e)
เพิ่มรายการเมื่อวันที่ 11 พฤษภาคม 2023, อัปเดตเมื่อวันที่ 21 ธันวาคม 2023
Kernel
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ดียิ่งขึ้น
CVE-2023-23536: Félix Poulin-Bélanger และ David Pan Ogea
เพิ่มรายการเมื่อวันที่ 11 พฤษภาคม 2023, อัปเดตเมื่อวันที่ 21 ธันวาคม 2023
Kernel
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-23514: Xinru Chi จาก Pangu Lab และ Ned Williamson จาก Google Project Zero
Kernel
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปอาจเปิดเผยหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น
CVE-2023-28200: Arsenii Kostromin (0x3c3e)
Kernel
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปอาจทำให้เกิดการปฏิเสธการให้บริการได้
คำอธิบาย: ปัญหาจำนวนเต็มล้นได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2023-28185: Pan ZhenPeng จาก STAR Labs SG Pte. Ltd.
เพิ่มรายการเมื่อวันที่ 21 ธันวาคม 2023
LaunchServices
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปอาจได้รับสิทธิ์ในระดับรูทได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2023-23525: Mickey Jin (@patch1t)
เพิ่มรายการเมื่อวันที่ 11 พฤษภาคม 2023
libpthread
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหาความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2023-41075: Zweig จาก Kunlun Lab
เพิ่มรายการเมื่อวันที่ 21 ธันวาคม 2023
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปอาจดูข้อมูลที่ละเอียดอ่อนได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
CVE-2023-28189: Mickey Jin (@patch1t)
เพิ่มรายการเมื่อวันที่ 11 พฤษภาคม 2023
Messages
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหาการเข้าถึงได้รับการแก้ไขแล้วด้วยข้อจำกัด Sandbox เพิ่มเติม
CVE-2023-28197: Joshua Jones
เพิ่มรายการเมื่อวันที่ 21 ธันวาคม 2023
NetworkExtension
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: ผู้ใช้ในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถปลอมเซิร์ฟเวอร์ VPN ที่กำหนดค่าด้วยการตรวจสอบสิทธิ์แบบ EAP เท่านั้นได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบสิทธิ์ให้ดียิ่งขึ้น
CVE-2023-28182: Zhuowei Zhang
PackageKit
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2023-27962: Mickey Jin (@patch1t)
Podcasts
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
CVE-2023-27942: Mickey Jin (@patch1t)
เพิ่มรายการเมื่อวันที่ 11 พฤษภาคม 2023
System Settings
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงข้อมูลส่วนตัวของรายการบันทึก
CVE-2023-23542: Adam M.
อัปเดตรายการเมื่อวันที่ 21 ธันวาคม 2023
System Settings
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้
คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2023-28192: Guilherme Rambo จาก Best Buddy Apps (rambo.codes)
Vim
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: มีปัญหาหลายประการใน Vim
คำอธิบาย: ปัญหาหลายประการได้รับการแก้ไขแล้วโดยการอัปเดต Vim เป็นเวอร์ชั่น 9.0.1191
CVE-2023-0433
CVE-2023-0512
XPC
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปอาจสามารถทะลุผ่าน Sandbox ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการให้สิทธิ์ใหม่
CVE-2023-27944: Mickey Jin (@patch1t)
คำขอบคุณพิเศษ
Activation Lock
เราขอขอบคุณสำหรับความช่วยเหลือจาก Christian Mina
CoreServices
เราขอขอบคุณสำหรับความช่วยเหลือจาก Mickey Jin (@patch1t)
NSOpenPanel
เราขอขอบคุณสำหรับความช่วยเหลือจาก Alexandre Colucci (@timacfr)
Wi-Fi
เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม