เกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Monterey 12.6.8
เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Monterey 12.6.8
เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือรายการอัปเดตออกมาแล้ว รายการที่เผยแพร่ล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
macOS Monterey 12.6.8
เผยแพร่เมื่อวันที่ 24 กรกฎาคม 2023
Accessibility
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้
คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลส่วนตัวสำหรับรายการล็อกให้ดียิ่งขึ้น
CVE-2023-40442: Nick Brook
เพิ่มรายการเมื่อวันที่ 8 กันยายน 2023
Apple Neural Engine
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-34425: pattern-f (@pattern_F_) จาก Ant Security Light-Year Lab
เพิ่มรายการเมื่อวันที่ 27 กรกฎาคม 2023
AppSandbox
มีให้สำหรับ: macOS Monterey
ผลกระทบ: โปรเซสที่อยู่ในแซนด์บ็อกซ์อาจเลี่ยงข้อจำกัดของแซนด์บ็อกซ์ได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น
CVE-2023-32364: Gergely Kalman (@gergely_kalman)
เพิ่มรายการเมื่อวันที่ 27 กรกฎาคม 2023
Assets
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกป้องข้อมูลให้ดียิ่งขึ้น
CVE-2023-35983: Mickey Jin (@patch1t)
CFNetwork
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้
คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลส่วนตัวสำหรับรายการล็อกให้ดียิ่งขึ้น
CVE-2023-40392: Wojciech Regula of SecuRing (wojciechregula.blog)
เพิ่มรายการเมื่อวันที่ 8 กันยายน 2023
CUPS
มีให้สำหรับ: macOS Monterey
ผลกระทบ: ผู้ใช้ในตำแหน่งเครือข่ายที่มีสิทธิ์อาจทำให้ข้อมูลที่ละเอียดอ่อนรั่วไหลได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2023-34241: Sei K.
เพิ่มรายการเมื่อวันที่ 27 กรกฎาคม 2023
curl
มีให้สำหรับ: macOS Monterey
ผลกระทบ: มีปัญหาหลายประการใน curl
คำอธิบาย: ปัญหาหลายประการได้รับการแก้ไขแล้วโดยการอัปเดต curl
CVE-2023-28319
CVE-2023-28320
CVE-2023-28321
CVE-2023-28322
Find My
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น
CVE-2023-32416: Wojciech Regula จาก SecuRing (wojciechregula.blog)
FontParser
มีให้สำหรับ: macOS Monterey
ผลกระทบ: การประมวลผลไฟล์แบบอักษรอาจทำให้มีการรันโค้ดโดยพลการ Apple รับทราบถึงรายงานที่แจ้งว่าอาจมีการใช้ช่องโหว่จากปัญหานี้กับ iOS เวอร์ชั่นก่อน iOS 15.7.1
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการแคชให้ดียิ่งขึ้น
CVE-2023-41990: Apple, Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) และ Boris Larin (@oct0xor) จาก Kaspersky
เพิ่มรายการเมื่อวันที่ 8 กันยายน 2023
Grapher
มีให้สำหรับ: macOS Monterey
ผลกระทบ: การประมวลผลไฟล์อาจทำให้แอปหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2023-36854: Bool จาก YunShangHuaAn(云上华安)
CVE-2023-32418: Bool จาก YunShangHuaAn(云上华安)
Kernel
มีให้สำหรับ: macOS Monterey
ผลกระทบ: ผู้ใช้ระยะไกลอาจทำให้เกิด Denial of Service ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2023-38603: Zweig จาก Kunlun Lab
เพิ่มรายการเมื่อวันที่ 27 กรกฎาคม 2023
Kernel
มีให้สำหรับ: macOS Monterey
ผลกระทบ: ผู้ใช้ระยะไกลอาจทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรือสร้างความเสียหายให้กับหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหา Buffer Overflow ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-38590: Zweig จาก Kunlun Lab
เพิ่มรายการเมื่อวันที่ 27 กรกฎาคม 2023
Kernel
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-38598: Mohamed GHANNAM (@_simo36)
เพิ่มรายการเมื่อวันที่ 27 กรกฎาคม 2023
Kernel
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหา Integer Overflow ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบความถูกต้องของอินพุตให้ดียิ่งขึ้น
CVE-2023-36495: 香农的三蹦子 จาก Pangu Lab
เพิ่มรายการเมื่อวันที่ 27 กรกฎาคม 2023
Kernel
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2023-37285: Arsenii Kostromin (0x3c3e)
เพิ่มรายการเมื่อวันที่ 27 กรกฎาคม 2023
Kernel
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบความถูกต้องของอินพุตให้ดียิ่งขึ้น
CVE-2023-38604: นักวิจัยนิรนาม
เพิ่มรายการเมื่อวันที่ 27 กรกฎาคม 2023
Kernel
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-32381: นักวิจัยนิรนาม
CVE-2023-32433: Zweig จาก Kunlun Lab
CVE-2023-35993: Kaitao Xie และ Xiaolong Bai จาก Alibaba Group
Kernel
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจแก้ไขสถานะเคอร์เนลที่ละเอียดอ่อนได้ Apple รับทราบถึงรายงานที่แจ้งว่าอาจมีการใช้ช่องโหว่จากปัญหานี้กับ iOS เวอร์ชั่นก่อน iOS 15.7.1
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2023-38606: Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) และ Boris Larin (@oct0xor) จาก Kaspersky
Kernel
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14) จาก STAR Labs SG Pte. Ltd.
Kernel
มีให้สำหรับ: macOS Monterey
ผลกระทบ: ผู้ใช้ระยะไกลอาจทำให้เกิด Denial of Service ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2023-38603: Zweig จาก Kunlun Lab
เพิ่มรายการเมื่อวันที่ 22 ธันวาคม 2023
libxpc
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจได้รับสิทธิ์ในระดับรูทได้
คำอธิบาย: ปัญหาการจัดการพาธได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบความถูกต้องให้ดียิ่งขึ้น
CVE-2023-38565: Zhipeng Huo (@R3dF09) จาก Tencent Security Xuanwu Lab (xlab.tencent.com)
libxpc
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจทำให้เกิด Denial of Service ได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2023-38593: Noah Roskin-Frazee
มีให้สำหรับ: macOS Monterey
ผลกระทบ: อีเมลที่เข้ารหัส S/MIME อาจถูกส่งโดยไม่เข้ารหัสโดยไม่ได้ตั้งใจ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะของอีเมลที่เข้ารหัส S/MIME ให้ดียิ่งขึ้น
CVE-2023-40440: Taavi Eomäe จาก Zone Media OÜ
เพิ่มรายการเมื่อวันที่ 8 กันยายน 2023
Music
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบความถูกต้องของ symlinks ให้ดียิ่งขึ้น
CVE-2023-38571: Gergely Kalman (@gergely_kalman)
เพิ่มรายการเมื่อวันที่ 27 กรกฎาคม 2023
Model I/O
มีให้สำหรับ: macOS Monterey
ผลกระทบ: การประมวลผลโมเดล 3D อาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2023-38421: Mickey Jin (@patch1t) และ Michael DePlante (@izobashi) จาก Zero Day Initiative ของ Trend Micro
CVE-2023-38258: Mickey Jin (@patch1t)
อัปเดตรายการเมื่อวันที่ 27 กรกฎาคม 2023
Model I/O
มีให้สำหรับ: macOS Monterey
ผลกระทบ: การประมวลผลภาพอาจส่งผลให้มีการเปิดเผยข้อมูลของหน่วยความจำของการประมวลผล
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2023-1916
เพิ่มรายการเมื่อวันที่ 22 ธันวาคม 2023
ncurses
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจทำให้แอปหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการได้
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบความถูกต้องให้ดียิ่งขึ้น
CVE-2023-29491: Jonathan Bar Or จาก Microsoft, Emanuele Cozzi จาก Microsoft และ Michael Pearse จาก Microsoft
เพิ่มรายการเมื่อวันที่ 8 กันยายน 2023
Net-SNMP
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการลบโค้ดที่มีความเสี่ยงออก
CVE-2023-38601: Csaba Fitzl (@theevilbit) จาก Offensive Security
เพิ่มรายการเมื่อวันที่ 27 กรกฎาคม 2023
NSSpellChecker
มีให้สำหรับ: macOS Monterey
ผลกระทบ: โปรเซสที่อยู่ในแซนด์บ็อกซ์อาจเลี่ยงข้อจำกัดของแซนด์บ็อกซ์ได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบความถูกต้องให้ดียิ่งขึ้น
CVE-2023-32444: Mickey Jin (@patch1t)
เพิ่มรายการเมื่อวันที่ 27 กรกฎาคม 2023
OpenLDAP
มีให้สำหรับ: macOS Monterey
ผลกระทบ: ผู้ใช้ระยะไกลอาจทำให้เกิด Denial of Service ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-2953: Sandipan Roy
OpenSSH
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจเข้าถึงรหัสผ่าน SSH ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจํากัดเกี่ยวกับความสามารถในการสังเกตสถานะแอป
CVE-2023-42829: James Duffy (mangoSecure)
เพิ่มรายการเมื่อวันที่ 22 ธันวาคม 2023
PackageKit
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น
CVE-2023-38259: Mickey Jin (@patch1t)
PackageKit
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้
คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด
CVE-2023-38602: Arsenii Kostromin (0x3c3e)
Security
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจสะกดรอยผู้ใช้ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการลบโค้ดที่มีความเสี่ยงออก
CVE-2023-42831: James Duffy (mangoSecure)
เพิ่มรายการเมื่อวันที่ 22 ธันวาคม 2023
Shortcuts
มีให้สำหรับ: macOS Monterey
ผลกระทบ: คำสั่งลัดอาจเปลี่ยนแปลงการตั้งค่าที่ละเอียดอ่อนในแอปคำสั่งลัดได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงข้อจำกัดการเข้าถึงให้ดียิ่งขึ้น
CVE-2023-32442: นักวิจัยนิรนาม
sips
มีให้สำหรับ: macOS Monterey
ผลกระทบ: การประมวลผลไฟล์อาจทำให้เกิด Denial of Service หรืออาจเปิดเผยคอนเทนต์ในหน่วยความจำได้
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบความถูกต้องของอินพุตให้ดียิ่งขึ้น
CVE-2023-32443: David Hoyt จาก Hoyt LLC
Software Update
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจได้รับสิทธิ์ในระดับรูทได้
คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2023-42832: Arsenii Kostromin (0x3c3e)
เพิ่มรายการเมื่อวันที่ 22 ธันวาคม 2023
SQLite
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัดในการบันทึกล็อกของ SQLite
CVE-2023-32422: Gergely Kalman (@gergely_kalman) และ Wojciech Reguła จาก SecuRing (wojciechregula.blog)
เพิ่มรายการเมื่อวันที่ 8 กันยายน 2023
SystemMigration
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2023-32429: Wenchao Li และ Xiaolong Bai จาก Hangzhou Orange Shield Information Technology Co., Ltd.
เพิ่มรายการเมื่อวันที่ 27 กรกฎาคม 2023
tcpdump
มีให้สำหรับ: macOS Monterey
ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจรันโค้ดโดยพลการได้
คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบความถูกต้องของอินพุตให้ดียิ่งขึ้น
CVE-2023-1801
เพิ่มรายการเมื่อวันที่ 22 ธันวาคม 2023
Vim
มีให้สำหรับ: macOS Monterey
ผลกระทบ: มีปัญหาหลายประการใน Vim
คำอธิบาย: ปัญหาหลายประการได้รับการแก้ไขแล้วโดยการอัปเดต Vim
CVE-2023-2426
CVE-2023-2609
CVE-2023-2610
เพิ่มรายการเมื่อวันที่ 22 ธันวาคม 2023
Weather
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจระบุตําแหน่งปัจจุบันของผู้ใช้ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น
CVE-2023-38605: Adam M.
เพิ่มรายการเมื่อวันที่ 8 กันยายน 2023
คำขอบคุณพิเศษ
เราขอขอบคุณสําหรับความช่วยเหลือจาก Parvez Anwar
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม