เกี่ยวกับเนื้อหาความปลอดภัยของ macOS Sonoma 14.2
เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ macOS Sonoma 14.2
เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือรายการอัปเดตออกมาแล้ว รายการที่เผยแพร่ล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
macOS Sonoma 14.2
วันที่เผยแพร่ 11 ธันวาคม 2023
Accessibility
มีให้สำหรับ: macOS Sonoma
ผลกระทบ: ช่องข้อความที่ปลอดภัยอาจแสดงผ่านคีย์บอร์ดการช่วยการเข้าถึงเมื่อใช้แป้นพิมพ์จริง
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2023-42874: Don Clarke
Accessibility
มีให้สำหรับ: macOS Sonoma
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลส่วนตัวสำหรับรายการล็อกให้ดียิ่งขึ้น
CVE-2023-42937: Noah Roskin-Frazee และ Prof. J. (ZeroClicks.ai Lab)
เพิ่มรายการเมื่อวันที่ 22 มกราคม 2024
Accounts
มีให้สำหรับ: macOS Sonoma
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลส่วนตัวสำหรับรายการล็อกให้ดียิ่งขึ้น
CVE-2023-42919: Kirin (@Pwnrin)
AppleEvents
มีให้สำหรับ: macOS Sonoma
ผลกระทบ: แอปอาจสามารถเข้าถึงข้อมูลเกี่ยวกับรายชื่อติดต่อของผู้ใช้ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น
CVE-2023-42894: Noah Roskin-Frazee และ Prof. J. (ZeroClicks.ai Lab)
AppleGraphicsControl
มีให้สำหรับ: macOS Sonoma
ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2023-42901: Ivan Fratric จาก Google Project Zero
CVE-2023-42902: Ivan Fratric จาก Google Project Zero และ Michael DePlante (@izobashi) จาก Zero Day Initiative ของ Trend Micro
CVE-2023-42912: Ivan Fratric จาก Google Project Zero
CVE-2023-42903: Ivan Fratric จาก Google Project Zero
CVE-2023-42904: Ivan Fratric จาก Google Project Zero
CVE-2023-42905: Ivan Fratric จาก Google Project Zero
CVE-2023-42906: Ivan Fratric จาก Google Project Zero
CVE-2023-42907: Ivan Fratric จาก Google Project Zero
CVE-2023-42908: Ivan Fratric จาก Google Project Zero
CVE-2023-42909: Ivan Fratric จาก Google Project Zero
CVE-2023-42910: Ivan Fratric จาก Google Project Zero
CVE-2023-42911: Ivan Fratric จาก Google Project Zero
CVE-2023-42926: Ivan Fratric จาก Google Project Zero
AppleVA
มีให้สำหรับ: macOS Sonoma
ผลกระทบ: การประมวลผลภาพอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-42882: Ivan Fratric จาก Google Project Zero
AppleVA
มีให้สำหรับ: macOS Sonoma
ผลกระทบ: การประมวลผลไฟล์อาจทำให้แอปหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-42881: Ivan Fratric จาก Google Project Zero
เพิ่มรายการเมื่อวันที่ 12 ธันวาคม 2023
Archive Utility
มีให้สำหรับ: macOS Sonoma
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2023-42924: Mickey Jin (@patch1t)
Assets
มีให้สำหรับ: macOS Sonoma
ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้
คำอธิบาย: ปัญหาได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการไฟล์ชั่วคราว
CVE-2023-42896: Mickey Jin (@patch1t)
เพิ่มรายการเมื่อวันที่ 22 มีนาคม 2024
AVEVideoEncoder
มีให้สำหรับ: macOS Sonoma
ผลกระทบ: แอปอาจเปิดเผยหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น
CVE-2023-42884: นักวิจัยที่ไม่ระบุชื่อ
Bluetooth
มีให้สำหรับ: macOS Sonoma
ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถแทรกการกดปุ่มคียบอร์ดได้โดยการปลอมแปลงคีย์บอร์ด
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2023-45866: Marc Newlin จาก SkySafe
CoreMedia Playback
มีให้สำหรับ: macOS Sonoma
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
CVE-2023-42900: Mickey Jin (@patch1t)
CoreServices
มีให้สำหรับ: macOS Sonoma
ผลกระทบ: ผู้ใช้อาจสามารถทำให้แอปหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2023-42886: Koh M. Nakagawa (@tsunek0h)
curl
มีให้สำหรับ: macOS Sonoma
ผลกระทบ: มีปัญหาหลายประการใน curl
คำอธิบาย: ปัญหาหลายประการได้รับการแก้ไขแล้วโดยการอัปเดตเป็น curl เวอร์ชั่น 8.4.0
CVE-2023-38545
CVE-2023-38039
CVE-2023-38546
เพิ่มรายการเมื่อวันที่ 22 มกราคม 2024 และอัปเดตรายการเมื่อวันที่ 13 กุมภาพันธ์ 2024
DiskArbitration
มีให้สำหรับ: macOS Sonoma
ผลกระทบ: กระบวนการอาจได้รับสิทธิ์ผู้ดูแลระบบ โดยไม่มีการรับรองความถูกต้องอย่างเหมาะสม
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
CVE-2023-42931: Yann GASCUEL จาก Alter Solutions
เพิ่มรายการเมื่อวันที่ 22 มีนาคม 2024
FileURL
มีให้สำหรับ: macOS Sonoma
ผลกระทบ: ผู้โจมตีเฉพาะที่อาจสามารถยกระดับสิทธิ์ของตนได้
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-42892: Anthony Cruz @App Tyrant Corp
เพิ่มรายการเมื่อวันที่ 22 มีนาคม 2024
Find My
มีให้สำหรับ: macOS Sonoma
ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น
CVE-2023-42922: Wojciech Regula จาก SecuRing (wojciechregula.blog)
ImageIO
มีให้สำหรับ: macOS Sonoma
ผลกระทบ: การประมวลผลภาพอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-42898: Zhenjiang Zhao จาก Pangu Team, Qianxin และ Junsung Lee
CVE-2023-42899: Meysam Firouzi @R00tkitSMM และ Junsung Lee
อัปเดตรายการเมื่อวันที่ 22 มีนาคม 2024
ImageIO
มีให้สำหรับ: macOS Sonoma
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
CVE-2023-42888: Michael DePlante (@izobashi) จาก Trend Micro Zero Day Initiative
เพิ่มรายการเมื่อวันที่ 22 มกราคม 2024
IOKit
มีให้สำหรับ: macOS Sonoma
ผลกระทบ: แอปอาจสามารถติดตามการกดปุ่มคีย์บอร์ดโดยไม่ได้รับอนุญาตจากผู้ใช้
คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2023-42891: นักวิจัยนิรนาม
IOUSBDeviceFamily
มีให้สำหรับ: macOS Sonoma
ผลกระทบ: แอปอาจสามารถรันโค้ดโดยพลการภายใต้สิทธิ์เคอร์เนลได้
คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2023-42974: Pan ZhenPeng (@Peterpan0927) จาก STAR Labs SG Pte. Ltd.
เพิ่มรายการเมื่อวันที่ 22 มีนาคม 2024
Kernel
มีให้สำหรับ: macOS Sonoma
ผลกระทบ: แอปอาจแยกตัวออกจาก Sandbox ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) จาก Synacktiv (@Synacktiv)
Libsystem
มีให้สำหรับ: macOS Sonoma
ผลกระทบ: แอปอาจสามารถเข้าถึงข้อมูลที่มีการปกป้องของผู้ใช้
คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการลบรหัสที่มีความเสี่ยงและการเพิ่มการตรวจสอบเพิ่มเติม
CVE-2023-42893
เพิ่มรายการเมื่อวันที่ 22 มีนาคม 2024
Model I/O
มีให้สำหรับ: macOS Sonoma
ผลกระทบ: การประมวลผลภาพอาจส่งผลให้เกิดปัญหาการปฏิเสธการให้บริการ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการนำรหัสที่มีความเสี่ยงออก
CVE-2023-3618
เพิ่มรายการเมื่อวันที่ 22 มีนาคม 2024
ncurses
มีให้สำหรับ: macOS Sonoma
ผลกระทบ: ผู้ใช้ระยะไกลอาจเป็นเหตุให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิด หรือมีการรันโค้ดโดยพลการ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2020-19185
CVE-2020-19186
CVE-2020-19187
CVE-2020-19188
CVE-2020-19189
CVE-2020-19190
NSOpenPanel
มีให้สำหรับ: macOS Sonoma
ผลกระทบ: แอปอาจอ่านไฟล์ได้โดยพลการ
คำอธิบาย: ปัญหาการเข้าถึงได้รับการแก้ไขแล้วด้วยข้อจำกัด Sandbox เพิ่มเติม
CVE-2023-42887: Ron Masas จาก BreakPoint.sh
เพิ่มรายการเมื่อวันที่ 22 มกราคม 2024
Sandbox
มีให้สำหรับ: macOS Sonoma
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น
CVE-2023-42936: Csaba Fitzl (@theevilbit) จาก OffSec
เพิ่มรายการเมื่อวันที่ 22 มีนาคม 2024, อัปเดตเมื่อวันที่ 16 กรกฎาคม 2024
Share Sheet
มีให้สำหรับ: macOS Sonoma
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วโดยการย้ายข้อมูลที่ละเอียดอ่อนไปยังตำแหน่งที่มีการปกป้อง
CVE-2023-40390: Csaba Fitzl (@theevilbit) จาก Offensive Security และ Mickey Jin (@patch1t)
เพิ่มรายการเมื่อวันที่ 22 มีนาคม 2024
SharedFileList
มีให้สำหรับ: macOS Sonoma
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2023-42842: นักวิจัยนิรนาม
Shell
มีให้สำหรับ: macOS Sonoma
ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2023-42930: Arsenii Kostromin (0x3c3e)
เพิ่มรายการเมื่อวันที่ 22 มีนาคม 2024
System Settings
มีให้สำหรับ: macOS Sonoma
ผลกระทบ: เซสชั่นการเข้าสู่ระบบระยะไกลอาจสามารถรับสิทธิ์การเข้าถึงดิสก์แบบเต็มได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2023-42913: Mattie Behrens และ Joshua Jewett (@JoshJewett33)
เพิ่มรายการเมื่อวันที่ 22 มีนาคม 2024
TCC
มีให้สำหรับ: macOS Sonoma
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่มีการปกป้องของผู้ใช้ได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2023-42932: Zhongquan Li (@Guluisacat)
TCC
มีให้สำหรับ: macOS Sonoma
ผลกระทบ: แอปอาจสามารถทะลุผ่าน Sandbox ได้
คำอธิบาย: ปัญหาการจัดการพาธได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2023-42947: Zhongquan Li (@Guluisacat) จาก Dawn Security Lab of JingDong
เพิ่มรายการเมื่อวันที่ 22 มีนาคม 2024
Transparency
มีให้สำหรับ: macOS Sonoma
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการจำกัดการเข้าถึงคอนเทนเนอร์ของข้อมูลให้ดียิ่งขึ้น
CVE-2023-40389: Csaba Fitzl (@theevilbit) จาก Offensive Security และ Joshua Jewett (@JoshJewett33)
เพิ่มรายการเมื่อวันที่ 16 กรกฎาคม 2024
Vim
มีให้สำหรับ: macOS Sonoma
ผลกระทบ: การเปิดไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดโดยไม่คาดหมาย หรือทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการอัปเดตเป็น Vim เวอร์ชั่น 9.0.1969
CVE-2023-5344
WebKit
มีให้สำหรับ: macOS Sonoma
ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้มีการรันโค้ดโดยพลการ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 259830
CVE-2023-42890: Pwn2car
WebKit
มีให้สำหรับ: macOS Sonoma
ผลกระทบ: การประมวลผลภาพอาจส่งผลให้เกิดปัญหาการปฏิเสธการให้บริการ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 263349
CVE-2023-42883: Zoom Offensive Security Team
WebKit
มีให้สำหรับ: macOS Sonoma
ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการรันโค้ดโดยพลการ
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 263682
CVE-2023-42950: Nan Wang (@eternalsakura13) จาก 360 Vulnerability Research Institute และ rushikesh nandedkar
เพิ่มรายการเมื่อวันที่ 22 มีนาคม 2024
WebKit
มีให้สำหรับ: macOS Sonoma
ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้เกิด Denial of Service
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 263989
CVE-2023-42956: SungKwon Lee (Demon.Team)
เพิ่มรายการเมื่อวันที่ 22 มีนาคม 2024
คำขอบคุณพิเศษ
Memoji
เราขอขอบคุณสำหรับความช่วยเหลือจาก Jerry Tenenbaum
WebSheet
เราขอขอบคุณสำหรับความช่วยเหลือจาก Paolo Ruggero จาก e-phors S.p.A. (A FINCANTIERI S.p.A. Company)
เพิ่มรายการเมื่อวันที่ 22 มีนาคม 2024
Wi-Fi
เราขอขอบคุณสำหรับความช่วยเหลือจาก Noah Roskin-Frazee และ Prof. J. (ZeroClicks.ai Lab)
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม