เกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Monterey 12.7.1

เอกสารนี้อธิบายเนื้อหาด้านความปลอดภัยของ macOS Monterey 12.7.1

เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการเผยแพร่เกี่ยวกับความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย ให้ดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

macOS Monterey 12.7.1

เปิดตัวเมื่อวันที่ 25 ตุลาคม 2023

Automation

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปที่มีสิทธิ์ระดับรูทอาจสามารถเข้าถึงข้อมูลส่วนบุคคลได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2023-42952: Zhipeng Huo (@R3dF09) จาก Tencent Security Xuanwu Lab (xlab.tencent.com)

เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024

CoreAnimation

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปอาจทำให้เกิด Denial of Service ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

CVE-2023-40449: Tomi Tokics (@tomitokics) จาก iTomsn0w

Core Recents

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการล้างการบันทึก

CVE-2023-42823

เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024

FileProvider

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปอาจทำให้เกิด Denial of Service ไปยังไคลเอ็นต์ Endpoint Security

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการลบโค้ดที่มีความเสี่ยงออก

CVE-2023-42854: Noah Roskin-Frazee และ Prof. J. (ZeroClicks.ai Lab)

Find My

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการแคชให้ดียิ่งขึ้น

CVE-2023-40413: Adam M.

Foundation

มีให้สำหรับ: macOS Monterey

ผลกระทบ: เว็บไซต์อาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้เมื่อแก้ไข symlink

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการ symlinks ให้ดียิ่งขึ้น

CVE-2023-42844: Ron Masas จาก BreakPoint.SH

libc

มีให้สำหรับ: macOS Monterey

ผลกระทบ: การประมวลผลอินพุตที่สร้างขึ้นเพื่อประสงค์ร้ายอาจทำให้เกิดการรันโค้ดโดยพลการในแอปที่ผู้ใช้ติดตั้ง

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

CVE-2023-40446: inooo

เพิ่มรายการเมื่อวันที่ 3 พฤศจิกายน 2023

ImageIO

มีให้สำหรับ: macOS Monterey

ผลกระทบ: การประมวลผลภาพอาจส่งผลให้มีการเปิดเผยข้อมูลของหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

CVE-2023-40416: JZ

IOTextEncryptionFamily

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

CVE-2023-40423: นักวิจัยนิรนาม

Kernel

มีให้สำหรับ: macOS Monterey

ผลกระทบ: ผู้โจมตีที่สั่งให้โค้ดทำงานในระดับเคอร์เนลได้แล้ว อาจสามารถหลบเลี่ยงกลไกป้องกันปัญหาช่องโหว่หน่วยความจำเคอร์เนลได้ด้วย

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

CVE-2023-42849: Linus Henze จาก Pinauten GmbH (pinauten.de)

Model I/O

มีให้สำหรับ: macOS Monterey

ผลกระทบ: การประมวลผลไฟล์อาจทำให้แอปหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

CVE-2023-42856: Michael DePlante (@izobashi) จาก Trend Micro Zero Day Initiative

PackageKit

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2023-42859: Arsenii Kostromin (0x3c3e), Mickey Jin (@patch1t) และ Hevel Engineering

CVE-2023-42877: Arsenii Kostromin (0x3c3e)

เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024

PackageKit

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2023-42840: Mickey Jin (@patch1t) และ Csaba Fitzl (@theevilbit) จาก Offensive Security

เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024

PackageKit

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวบางอย่างได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2023-42889: Mickey Jin (@patch1t)

เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024

PackageKit

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2023-42853: Mickey Jin (@patch1t)

เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024

PackageKit

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2023-42860: Koh M. Nakagawa (@tsunek0h) จาก FFRI Security, Inc.

เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024

Pro Res

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ดียิ่งขึ้น

CVE-2023-42873: Mingxuan Yang (@PPPF00L) และ happybabywu และ Guang Gong จาก 360 Vulnerability Research Institute

เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024

Sandbox

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปที่มีสิทธิ์ระดับรูทอาจสามารถเข้าถึงข้อมูลส่วนบุคคลได้

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลส่วนตัวสำหรับรายการล็อกให้ดียิ่งขึ้น

CVE-2023-40425: Csaba Fitzl (@theevilbit) จาก Offensive Security

SQLite

มีให้สำหรับ: macOS Monterey

ผลกระทบ: ผู้ใช้ระยะไกลอาจสามารถทำให้ระบบเกิดปัญหาการปฏิเสธการให้บริการ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2023-36191

เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024

talagent

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2023-40421: Noah Roskin-Frazee และ Prof. J. (ZeroClicks.ai Lab)

WindowServer

มีให้สำหรับ: macOS Monterey

ผลกระทบ: เว็บไซต์อาจสามารถเข้าถึงไมโครโฟนโดยไม่มีสถานะการใช้ไมโครโฟนแสดงขึ้น

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการลบโค้ดที่มีความเสี่ยงออก

CVE-2023-41975: นักวิจัยนิรนาม

WindowServer

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2023-42858: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024

คำขอบคุณพิเศษ

GPU Drivers

เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม

libarchive

เราขอขอบคุณสำหรับความช่วยเหลือจาก Bahaa Naamneh

libxml2

เราขอขอบคุณสำหรับความช่วยเหลือจาก OSS-Fuzz, Ned Williamson จาก Google Project Zero

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: