เกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Sequoia 15

เอกสารฉบับนี้อธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Sequoia 15

เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการเผยแพร่เกี่ยวกับความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

macOS Sequoia 15

เผยแพร่เมื่อวันที่ 16 กันยายน 2024

Accounts

มีให้สำหรับ: Mac Studio (ปี 2022 และใหม่กว่า), iMac (ปี 2019 และใหม่กว่า), Mac Pro (ปี 2019 และใหม่กว่า), Mac mini (ปี 2018 และใหม่กว่า), MacBook Air (ปี 2020 และใหม่กว่า), MacBook Pro (ปี 2018 และใหม่กว่า) และ iMac Pro (ปี 2017 และใหม่กว่า)

ผลกระทบ: แอปอาจทำให้ข้อมูลที่ละเอียดอ่อนของผู้ใช้รั่วไหลได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2024-44129

Accounts

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงลอจิกสิทธิ์อนุญาตให้ดียิ่งขึ้น

CVE-2024-44153: Mickey Jin (@patch1t)

Accounts

ผลกระทบ: แอปอาจสามารถเข้าถึงข้อมูลที่มีการปกป้องของผู้ใช้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2024-44188: Bohdan Stasiuk (@Bohdan_Stasiuk)

APFS

ผลกระทบ: แอปพลิเคชันประสงค์ร้ายที่มีสิทธิ์ในระดับรูทอาจสามารถแก้ไขเนื้อหาของไฟล์ระบบได้

CVE-2024-40825: Pedro Tôrres (@t0rr3sp3dr0)

APNs

ผลกระทบ: แอปที่มีสิทธิ์ระดับรูทอาจสามารถเข้าถึงข้อมูลส่วนบุคคลได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกป้องข้อมูลให้ดียิ่งขึ้น

CVE-2024-44130

App Intents

ผลกระทบ: แอปอาจสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนที่บันทึกไว้ได้เมื่อคำสั่งลัดไม่สามารถเปิดแอปอื่นได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น

CVE-2024-44182: Kirin (@Pwnrin)

AppleGraphicsControl

ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิด

คำอธิบาย: ปัญหาการเริ่มต้นหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2024-44154: Michael DePlante (@izobashi) จาก Trend Micro Zero Day Initiative

AppleGraphicsControl

ผลกระทบ: การประมวลผลไฟล์วิดีโอที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบหยุดโดยไม่คาดคิดได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

CVE-2024-40845: Pwn2car ทํางานร่วมกับ Trend Micro Zero Day Initiative

CVE-2024-40846: Michael DePlante (@izobashi) จาก Trend Micro Zero Day Initiative

AppleMobileFileIntegrity

ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวได้

CVE-2024-44164: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

ผลกระทบ: แอปอาจสามารถเข้าถึงข้อมูลที่มีการปกป้องของผู้ใช้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2024-40837: Kirin (@Pwnrin)

AppleMobileFileIntegrity

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยข้อจำกัดการลงนามโค้ดเพิ่มเติม

CVE-2024-40847: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

ผลกระทบ: ผู้โจมตีอาจอ่านข้อมูลผู้ใช้ที่ละเอียดอ่อนได้

คำอธิบาย: ปัญหาการดาวน์เกรดได้รับการแก้ไขแล้วด้วยข้อจำกัดการลงนามโค้ดเพิ่มเติม

CVE-2024-40848: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

คำอธิบาย: ปัญหาการแทรกคำสั่งไลบรารี่ได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2024-44168: Claudio Bozzato และ Francesco Benvenuto จาก Cisco Talos

AppleVA

ผลกระทบ: แอปพลิเคชันอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

CVE-2024-27860: Michael DePlante (@izobashi) จาก Trend Micro Zero Day Initiative

AppleVA

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2024-40841: Michael DePlante (@izobashi) จาก Trend Micro Zero Day Initiative

AppSandbox

ผลกระทบ: ส่วนขยายของกล้องอาจสามารถเข้าถึงอินเทอร์เน็ตได้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2024-40841: Halle Winkler, Politepix @hallewinkler

AppSandbox

ผลกระทบ: แอปอาจสามารถเข้าถึงไฟล์ที่มีการป้องกันภายในคอนเทนเนอร์ App Sandbox ได้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2024-44135: Mickey Jin (@patch1t)

ArchiveService

ผลกระทบ: แอปอาจสามารถทะลุผ่าน Sandbox ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการ symlinks ให้ดียิ่งขึ้น

CVE-2024-44132: Mickey Jin (@patch1t)

Automator

ผลกระทบ: เวิร์กโฟลว์ Quick Action ของ Automator อาจสามารถบายพาส Gatekeeper ได้

คำอธิบาย ปัญหาได้รับการแก้ไขโดยเพิ่มการแจ้งเพิ่มเติมเพื่อขอความยินยอมจากผู้ใช้

CVE-2024-44128: Anton Boegler

bless

ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2024-44151: Mickey Jin (@patch1t)

Compression

ผลกระทบ: การคลายไฟล์ข้อมูลเก็บถาวรที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดโอกาสให้ผู้โจมตีเขียนไฟล์ Arbitrary ได้

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการปรับปรุงการล็อคให้ดียิ่งขึ้น

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Control Center

ผลกระทบ: แอปอาจบันทึกหน้าจอได้โดยไม่แสดงตัวบ่งชี้

CVE-2024-27869: นักวิจัยนิรนาม

Control Center

ผลกระทบ: ตัวบ่งชี้ความเป็นส่วนตัวสําหรับการเข้าถึงไมโครโฟนหรือกล้องอาจไม่ถูกต้อง

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2024-27875: Yiğit Can YILMAZ (@yilmazcanyigit)

copyfile

ผลกระทบ: แอปอาจสามารถทะลุผ่าน Sandbox ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการไฟล์ให้ดียิ่งขึ้น

CVE-2024-44146: นักวิจัยนิรนาม

CUPS

คำอธิบาย: นี่เป็นช่องโหว่ในโค้ดโอเพ่นซอร์สและซอฟต์แวร์ Apple ก็เป็นหนึ่งในโปรเจ็กต์ที่ได้รับผลกระทบ CVE-ID ได้รับการระบุโดยบุคคลภายนอก เรียนรู้เพิ่มเติมเกี่ยวกับปัญหาและ CVE-ID ได้ที่ cve.org

CVE-2023-4504

Disk Images

ผลกระทบ: แอปอาจสามารถทะลุผ่าน Sandbox ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบความถูกต้องของคุณลักษณะไฟล์ให้ดียิ่งขึ้น

CVE-2024-44148: นักวิจัยนิรนาม

Dock

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วโดยการลบข้อมูลที่ละเอียดอ่อน

CVE-2024-44148: นักวิจัยนิรนาม

FileProvider

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบความถูกต้องของ symlinks ให้ดียิ่งขึ้น

CVE-2024-44148: @08Tc3wBB จาก Jamf

Game Center

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาการเข้าถึงไฟล์ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

Image Capture

ผลกระทบ: แอปอาจเข้าถึงคลังรูปภาพของผู้ใช้ได้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2024-40831: Mickey Jin (@patch1t)

ImageIO

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2024-27880: Junsung Lee

ImageIO

ผลกระทบ: การประมวลผลภาพอาจส่งผลให้เกิดปัญหาการปฏิเสธการให้บริการ

คำอธิบาย: ปัญหาด้านการเข้าถึงนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2024-44176: dw0r จาก ZeroPointer Lab ทํางานร่วมกับ Trend Micro Zero Day Initiative, นักวิจัยนิรนาม

Installer

ผลกระทบ: แอปอาจได้รับสิทธิ์ในระดับรูทได้

CVE-2024-40861: Mickey Jin (@patch1t)

Intel Graphics Driver

ผลกระทบ: การประมวลผล Texture ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปหยุดทำงานโดยไม่คาดคิด

คำอธิบาย: ปัญหา Buffer Overflow ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2024-40861: Michael DePlante (@izobashi) จาก Trend Micro Zero Day Initiative

Intel Graphics Driver

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2024-44161: Michael DePlante (@izobashi) จาก Trend Micro Zero Day Initiative

IOSurfaceAccelerator

ผลกระทบ: แอปอาจสามารถทำให้ระบบหยุดทำงานโดยไม่คาดคิด

CVE-2024-44169: Antonio Zekić

Kernel

ผลกระทบ: การรับส่งข้อมูลเครือข่ายอาจรั่วไหลนอกอุโมงค์ VPN

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2024-44165: Andrew Lytvynov

Kernel

ผลกระทบ: แอปอาจเข้าถึงบลูทูธได้โดยไม่ได้รับอนุญาต

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) และ Mathy Vanhoef

libxml2

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้โปรเซสล่มโดยไม่คาดคิด

คำอธิบาย: ปัญหาจำนวนเต็มล้นได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2024-44198: OSS-Fuzz, Ned Williamson จาก Google Project Zero

Mail Accounts

ผลกระทบ: แอปอาจสามารถเข้าถึงข้อมูลเกี่ยวกับรายชื่อติดต่อของผู้ใช้ได้

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลส่วนตัวสำหรับรายการล็อกให้ดียิ่งขึ้น

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

Maps

ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้

คำอธิบาย: ปัญหาได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการไฟล์ชั่วคราว

CVE-2024-44181: Kirin(@Pwnrin) and LFY(@secsys) จากมหาวิทยาลัย Fudan

mDNSResponder

ผลกระทบ: แอปอาจทำให้เกิดการปฏิเสธการให้บริการได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการข้อผิดพลาดให้ดียิ่งขึ้น

CVE-2024-44183: Olivier Levon

Model I/O

ผลกระทบ: การประมวลผลรูปภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้

CVE-2023-5841

Music

ผลกระทบ: แอปอาจสามารถเข้าถึงข้อมูลที่มีการปกป้องของผู้ใช้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2024-27858: Meng Zhang (鲸落) of NorthSea, Csaba Fitzl (@theevilbit) จาก Offensive Security

Notes

ผลกระทบ: แอปอาจเขียนทับไฟล์ได้โดยพลการ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการลบโค้ดที่มีความเสี่ยงออก

CVE-2024-44167: ajajfxhj

Notification Center

ผลกระทบ: แอปที่ประสงค์ร้ายอาจสามารถเข้าถึงการแจ้งเตือนจากอุปกรณ์ของผู้ใช้ได้

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วโดยการย้ายข้อมูลที่ละเอียดอ่อนไปยังตำแหน่งที่มีการปกป้อง

CVE-2024-40838: Brian McNulty, Cristian Dinca จาก "Tudor Vianu" National High School of Computer Science, Romania, Vaibhav Prajapati

NSColor

ผลกระทบ: แอปอาจสามารถเข้าถึงข้อมูลที่มีการปกป้องของผู้ใช้

คำอธิบาย: ปัญหาการเข้าถึงได้รับการแก้ไขแล้วด้วยข้อจำกัด Sandbox เพิ่มเติม

CVE-2024-44186: นักวิจัยนิรนาม

OpenSSH

ผลกระทบ: มีปัญหาหลายประการใน OpenSSH

CVE-2024-39894

PackageKit

ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

CVE-2024-44178: Mickey Jin (@patch1t)

Printing

ผลกระทบ: เอกสารที่ไม่ได้เข้ารหัสอาจถูกเขียนไปยังไฟล์ชั่วคราวขณะใช้การแสดงตัวอย่างของการพิมพ์

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการไฟล์

CVE-2024-40826: นักวิจัยนิรนาม

Quick Look

ผลกระทบ: แอปอาจสามารถเข้าถึงข้อมูลที่มีการปกป้องของผู้ใช้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2024-44149: Wojciech Regula จาก SecuRing (wojciechregula.blog), Csaba Fitzl (@theevilbit) จาก OffSec

Safari

ผลกระทบ: การเข้าดูเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงอินเทอร์เฟซผู้ใช้

CVE-2024-40797: Rifa'i Rejal Maynando

Sandbox

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถทำให้ข้อมูลผู้ใช้ที่มีความสำคัญรั่วไหลได้

CVE-2024-44125: Zhongquan Li (@Guluisacat)

Sandbox

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจเข้าถึงข้อมูลส่วนตัวได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2024-44163: Zhongquan Li (@Guluisacat)

Security Initialization

ผลกระทบ: แอปอาจสามารถเข้าถึงข้อมูลที่มีการปกป้องของผู้ใช้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2024-40801: Zhongquan Li (@Guluisacat), Pedro José Pereira Vieito (@pvieito), นักวิจัยนิรนาม

Shortcuts

ผลกระทบ: แอปอาจสามารถเข้าถึงข้อมูลที่มีการปกป้องของผู้ใช้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2024-40837: Kirin (@Pwnrin)

Shortcuts

ผลกระทบ: ทางลัดอาจส่งเอาต์พุตเป็นข้อมูลผู้ใช้ที่ละเอียดอ่อนโดยไม่ได้ขอความยินยอม

CVE-2024-44158: Kirin (@Pwnrin)

Shortcuts

ผลกระทบ: แอปอาจสามารถสังเกตข้อมูลที่แสดงให้ผู้ใช้เห็นโดยคําสั่งลัดได้

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการไฟล์ชั่วคราว

CVE-2024-40844: Kirin (@Pwnrin) และ luckyu (@uuulucky จาก NorthSea

Siri

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วโดยการย้ายข้อมูลที่ละเอียดอ่อนไปยังตำแหน่งที่ปลอดภัยยิ่งขึ้น

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

sudo

ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

CVE-2024-40860: Arsenii Kostromin (0x3c3e)

System Settings

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงข้อมูลส่วนตัวของรายการบันทึก

CVE-2024-44152: Kirin (@Pwnrin)

CVE-2024-44166: Kirin (@Pwnrin) and LFY (@secsys) จากมหาวิทยาลัย Fudan

System Settings

ผลกระทบ: แอปอาจอ่านไฟล์โดยพลการ

คำอธิบาย: ปัญหาการจัดการพาธได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2024-44190: Rodolphe BRUNETTI (@eisw0lf)

TCC

ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวบางอย่างได้บนอุปกรณ์ MDM ที่ได้รับการจัดการ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการลบโค้ดที่มีความเสี่ยงออก

CVE-2024-44133: Jonathan Bar Or (@yo_yo_yo_jbo) จาก Microsoft

Transparency

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

TV App

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2024-40859: Csaba Fitzl (@theevilbit) จาก Offensive Security

Vim

CVE-2024-41957

WebKit

ผลกระทบ: การประมวลผลเว็บคอนเทนต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้

WebKit Bugzilla: 268724

CVE-2024-40857: Ron Masas

WebKit

ผลกระทบ: การเข้าชมเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงแถบที่อยู่

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุง UI ให้ดียิ่งขึ้น

WebKit Bugzilla: 279451

CVE-2024-40866: Hafiizh และ YoKo Kho (@yokoacc) จาก HakTrak

WebKit

ผลกระทบ: เว็บไซต์ที่ประสงค์ร้ายอาจถอนข้อมูลข้ามต้นทาง

คำอธิบาย: มีปัญหาข้ามต้นทางในองค์ประกอบ "iframe" ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการติดตามต้นทางในการรักษาความปลอดภัยให้ดียิ่งขึ้น

WebKit Bugzilla: 279452

CVE-2024-44187: Narendra Bhati ผู้จัดการของ Cyber Security ที่ Suma Soft Pvt. Ltd, ปูเน่ - (อินเดีย)

Wi-Fi

ผลกระทบ: ผู้ใช้ที่ไม่มีสิทธิ์อาจสามารถแก้ไขการตั้งค่าเครือข่ายที่มีการจำกัดได้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2024-40770: Yiğit Can YILMAZ (@yilmazcanyigit)

Wi-Fi

ผลกระทบ: แอปอาจทำให้เกิดการปฏิเสธการให้บริการได้

CVE-2024-23237: Charly Suchanek

Wi-Fi

ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้

CVE-2024-44134

Wi-Fi

ผลกระทบ: ผู้โจมตีอาจสามารถบังคับให้อุปกรณ์ตัดการเชื่อมต่อจากเครือข่ายที่ปลอดภัยได้

คําอธิบาย: ปัญหาความสมบูรณ์ได้รับการแก้ไขแล้วด้วย Beacon Protection

CVE-2024-40856: Domien Schepers

WindowServer

ผลกระทบ: มีปัญหาตรรกะที่กระบวนการอาจสามารถบันทึกเนื้อหาหน้าจอโดยไม่ได้รับความยินยอมจากผู้ใช้

CVE-2024-44189: Tim Clem

XProtect

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบตัวแปรสภาพแวดล้อมให้ดียิ่งขึ้น

CVE-2024-40842: Gergely Kalman (@gergely_kalman)

XProtect

ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

CVE-2024-40843: Koh M. Nakagawa (@tsunek0h)

คำขอบคุณพิเศษ

Admin Framework

เราขอขอบคุณสำหรับความช่วยเหลือจาก Csaba Fitzl (@theevilbit) จาก Offensive Security

Airport

เราขอขอบคุณสำหรับความช่วยเหลือจาก David Dudok de Wit, Yiğit Can YILMAZ (@yilmazcanyigit)

APFS

เราขอขอบคุณสำหรับความช่วยเหลือจาก Georgi Valkov จาก httpstorm.com

App Store

เราขอขอบคุณสำหรับความช่วยเหลือจาก Csaba Fitzl (@theevilbit) จาก Offensive Security

AppKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก @08Tc3wBB จาก Jamf

Apple Neural Engine

เราขอขอบคุณสําหรับความช่วยเหลือจาก Jiaxun Zhu (@svnswords) และ Minghao Lin (@Y1nKoc)

Automator

เราขอขอบคุณสำหรับความช่วยเหลือจาก Koh M. Nakagawa (@tsunek0h)

Core Bluetooth

เราขอขอบคุณสําหรับความช่วยเหลือจาก Nicholas C. จาก Onymos Inc. (onymos.com)

Core Services

เราขอขอบคุณสําหรับความช่วยเหลือจาก Cristian Dinca จาก "Tudor Vianu" National High School of Computer Science, Romania, Kirin (@Pwnrin) และ 7feilee, Snoolie Keffaber (@0xilis), Tal Lossos, Zhongquan Li (@Guluisacat)

Disk Utility

เราขอขอบคุณสำหรับความช่วยเหลือจาก Csaba Fitzl (@theevilbit) จาก Kandji

FileProvider

เราขอขอบคุณสำหรับความช่วยเหลือจาก Kirin (@Pwnrin)

Foundation

เราขอขอบคุณสำหรับความช่วยเหลือจาก Ostorlab

Kernel

เราขอขอบคุณสําหรับความช่วยเหลือจาก Braxton Anderson, Fakhri Zulkifli (@d0lph1n98) จาก PixiePoint Security

libxpc

เราขอขอบคุณสำหรับความช่วยเหลือจาก Rasmus Sten, F-Secure (Mastodon: @pajp@blog.dll.nu)

LLVM

เราขอขอบคุณสําหรับความช่วยเหลือจาก Victor Duta จาก Universiteit Amsterdam, Fabio Pagani จาก University of California, Santa Barbara, Cristiano Giuffrida จาก Universiteit Amsterdam, Marius Muench และ Fabian Freyer

Maps

เราขอขอบคุณสำหรับความช่วยเหลือจาก Kirin (@Pwnrin)

Music

เราขอขอบคุณสําหรับความช่วยเหลือจาก Khiem Tran จาก databaselog.com/khiemtran, K宝 และ LFY@secsys จาก Fudan University, Yiğit Can YILMAZ (@yilmazcanyigit)

Notifications

เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม

PackageKit

เราขอขอบคุณสําหรับความช่วยเหลือจาก Csaba Fitzl (@theevilbit) จาก OffSec, Mickey Jin (@patch1t), Zhongquan Li (@Guluisacat)

Passwords

เราขอขอบคุณสําหรับความช่วยเหลือจาก Richard Hyunho Im (@r1cheeta)

Photos

เราขอขอบคุณสำหรับความช่วยเหลือจาก Abhay Kailasia (@abhay_kailasia) จาก Lakshmi Narain College Of Technology Bhopal India, Harsh Tyagi, Leandro Chaves

Podcasts

เราขอขอบคุณสำหรับความช่วยเหลือจาก Yiğit Can YILMAZ (@yilmazcanyigit)

Quick Look

เราขอขอบคุณสําหรับความช่วยเหลือจาก Zhipeng Huo (@R3dF09) จาก Tencent Security Xuanwu Lab (xlab.tencent.com)

Safari

เราขอขอบคุณสำหรับความช่วยเหลือจาก Hafiizh และ YoKo Kho (@yokoacc) จาก HakTrak, Junsung Lee, Shaheen Fazim

Sandbox

เราขอขอบคุณสําหรับความช่วยเหลือจาก Cristian Dinca จาก "Tudor Vianu" National High School of Computer Science, Romania, Kirin (@Pwnrin) จาก NorthSea, Wojciech Regula of SecuRing (wojciechregula.blog), Yiğit Can YILMAZ (@yilmazcanyigit)

Screen Capture

เราขอขอบคุณสำหรับความช่วยเหลือจาก Joshua Jewett (@JoshJewett33), Yiğit Can YILMAZ (@yilmazcanyigit) นักวิจัยนิรนาม

Shortcuts

เราขอขอบคุณสำหรับความช่วยเหลือจาก Cristian Dinca จาก "Tudor Vianu" National High School จาก Computer Science, Romania, Jacob Braun นักวิจัยนิรนาม

Siri

เราขอขอบคุณสำหรับความช่วยเหลือจาก Rohan Paudel

SystemMigration

เราขอขอบคุณสำหรับความช่วยเหลือจาก Jamey Wicklund, Kevin Jansen นักวิจัยนิรนาม

TCC

เราขอขอบคุณสําหรับความช่วยเหลือจาก Noah Gregory (wts.dev), Vaibhav Prajapati

UIKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก Andr.Ess

Voice Memos

เราขอขอบคุณสำหรับความช่วยเหลือจาก Lisa B

WebKit

เราขอขอบคุณสําหรับความช่วยเหลือจาก Avi Lumelsky, Uri Katz, (Oligo Security), Johan Carlsson (joaxcar)

Wi-Fi

เราขอขอบคุณสําหรับความช่วยเหลือจาก Antonio Zekic (@antoniozekic) และ ant4g0nist, Tim Michaud (@TimGMichaud) จาก Moveworks.ai

WindowServer

เราขอขอบคุณสำหรับความช่วยเหลือจาก Felix Kratz นักวิจัยนิรนาม

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: 22 กันยายน 2567