เกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Monterey 12.7
เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Monterey 12.7
เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือรายการอัปเดตออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการเผยแพร่เกี่ยวกับความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย ให้ดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
macOS Monterey 12.7
เปิดตัวเมื่อวันที่ 21 กันยายน 2023
Apple Neural Engine
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจสามารถทะลุผ่าน Sandbox ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการแคชให้ดียิ่งขึ้น
CVE-2023-42969: pattern-f (@pattern_F_) จาก Ant Security Light-Year Lab
เพิ่มรายการเมื่อวันที่ 7 เมษายน 2025
Apple Neural Engine
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจรันโค้ดโดยพลการภายใต้สิทธิ์เคอร์เนลได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-40412: Mohamed GHANNAM (@_simo36)
CVE-2023-40409: Ye Zhang (@VAR10CK) จาก Baidu Security
เพิ่มรายการเมื่อวันที่ 26 กันยายน 2023
Apple Neural Engine
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจเปิดเผยหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2023-40410: Tim Michaud (@TimGMichaud) จาก Moveworks.ai
เพิ่มรายการเมื่อวันที่ 26 กันยายน 2023
Ask to Buy
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่มีการปกป้องของผู้ใช้ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
CVE-2023-38612: Chris Ross (Zoom)
เพิ่มรายการเมื่อวันที่ 22 ธันวาคม 2023
Biometric Authentication
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจเปิดเผยหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2023-41232: Liang Wei จาก PixiePoint Security
เพิ่มรายการเมื่อวันที่ 26 กันยายน 2023
ColorSync
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจอ่านไฟล์ได้โดยพลการ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
CVE-2023-40406: JeongOhKyea จาก Theori
เพิ่มรายการเมื่อวันที่ 26 กันยายน 2023
CoreAnimation
มีให้สำหรับ: macOS Monterey
ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้เกิดการปฏิเสธการให้บริการ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-40420: 이준성(Junsung Lee) จาก Cross Republic
เพิ่มรายการเมื่อวันที่ 26 กันยายน 2023
Disk Management
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจอ่านไฟล์โดยพลการ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบความถูกต้องของ symlinks ให้ดียิ่งขึ้น
CVE-2023-41968: Mickey Jin (@patch1t) และ James Hutchins
เพิ่มรายการเมื่อวันที่ 26 กันยายน 2023
Game Center
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจเข้าถึงรายชื่อได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการแคชให้ดียิ่งขึ้น
CVE-2023-40395: Csaba Fitzl (@theevilbit) จาก Offensive Security
เพิ่มรายการเมื่อวันที่ 26 กันยายน 2023
Intents
มีให้สำหรับ: macOS Monterey
ผลกระทบ: โปรเซสที่อยู่ในแซนด์บ็อกซ์อาจเลี่ยงข้อจำกัดของแซนด์บ็อกซ์ได้
คำอธิบาย: ปัญหาการจัดการพาธได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2023-42961: Mickey Jin (@patch1t)
เพิ่มรายการเมื่อวันที่ 7 เมษายน 2025
Kernel
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจรันโค้ดโดยพลการภายใต้สิทธิ์เคอร์เนลได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) จาก STAR Labs SG Pte. Ltd.
เพิ่มรายการเมื่อวันที่ 26 กันยายน 2023
Kernel
มีให้สำหรับ: macOS Monterey
ผลกระทบ: ผู้โจมตีจากในระบบอาจสามารถยกระดับสิทธิ์ของตนได้ Apple รับทราบถึงรายงานที่แจ้งว่าอาจมีการใช้ช่องโหว่จากปัญหานี้กับ iOS เวอร์ชั่นก่อน iOS 16.7
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
CVE-2023-41992: Bill Marczak จาก The Citizen Lab ที่ Munk School ของ The University of Toronto และ Maddie Stone จาก Google's Threat Analysis Group
libxpc
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่มีการปกป้องของผู้ใช้ได้
คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2023-41073: Zhipeng Huo (@R3dF09) จาก Tencent Security Xuanwu Lab (xlab.tencent.com)
เพิ่มรายการเมื่อวันที่ 26 กันยายน 2023
libxpc
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจลบไฟล์ที่ไม่ได้รับอนุญาตให้ลบได้
คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด
CVE-2023-40454: Zhipeng Huo (@R3dF09) จาก Tencent Security Xuanwu Lab (xlab.tencent.com)
เพิ่มรายการเมื่อวันที่ 26 กันยายน 2023
libxslt
มีให้สำหรับ: macOS Monterey
ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจเปิดเผยข้อมูลที่ละเอียดอ่อนได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-40403: Dohyun Lee (@l33d0hyun) จาก PK Security
เพิ่มรายการเมื่อวันที่ 26 กันยายน 2023
Maps
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการแคชให้ดียิ่งขึ้น
CVE-2023-40427: Adam M. และ Wojciech Regula จาก SecuRing (wojciechregula.blog)
เพิ่มรายการเมื่อวันที่ 26 กันยายน 2023
Sandbox
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจเขียนทับไฟล์ได้โดยพลการ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ดียิ่งขึ้น
CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)
เพิ่มรายการเมื่อวันที่ 26 กันยายน 2023
คำขอบคุณพิเศษ
AppSandbox
เราขอขอบคุณสำหรับความช่วยเหลือจาก Kirin (@Pwnrin)
เพิ่มรายการเมื่อวันที่ 26 กันยายน 2023
Kernel
เราขอขอบคุณสำหรับความช่วยเหลือจาก Bill Marczak จาก The Citizen Lab ที่ Munk School ของ The University of Toronto และ Maddie Stone จาก Google's Threat Analysis Group
libxml2
เราขอขอบคุณสำหรับความช่วยเหลือจาก OSS-Fuzz และ Ned Williamson จาก Google Project Zero
เพิ่มรายการเมื่อวันที่ 26 กันยายน 2023
WebKit
เราขอขอบคุณสำหรับความช่วยเหลือจาก Khiem Tran และ Narendra Bhati จาก Suma Soft Pvt. Ltd, ปูเน่ (อินเดีย)
เพิ่มรายการเมื่อวันที่ 26 กันยายน 2023
WebRTC
เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม
เพิ่มรายการเมื่อวันที่ 26 กันยายน 2023
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม