เกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Ventura 13.3

เอกสารนี้จะอธิบายเนื้อหาด้านความปลอดภัยของ macOS Ventura 13.3

เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

macOS Ventura 13.3

เปิดตัวเมื่อวันที่ 27 มีนาคม 2023

AMD

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรือมีการเขียนข้อมูลหน่วยความจำเคอร์เนล

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ดียิ่งขึ้น

CVE-2023-32436: ABC Research s.r.o.

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2023

AMD

มีให้สำหรับ: macOS Ventura

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2023-27968: ABC Research s.r.o.

CVE-2023-28209: ABC Research s.r.o.

CVE-2023-28210: ABC Research s.r.o.

CVE-2023-28211: ABC Research s.r.o.

CVE-2023-28212: ABC Research s.r.o.

CVE-2023-28213: ABC Research s.r.o.

CVE-2023-28214: ABC Research s.r.o.

CVE-2023-28215: ABC Research s.r.o.

CVE-2023-32356: ABC Research s.r.o.

เพิ่มรายการเมื่อวันที่ 5 กันยายน 2023

Apple Neural Engine

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจทะลุผ่านแซนด์บ็อกซ์ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2023-23532: Mohamed Ghannam (@_simo36)

AppleMobileFileIntegrity

มีให้สำหรับ: macOS Ventura

ผลกระทบ: ผู้ใช้อาจเข้าถึงส่วนที่มีการป้องกันของระบบไฟล์ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2023-23527: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการนำโค้ดที่มีความเสี่ยงออก

CVE-2023-27931: Mickey Jin (@patch1t)

AppleScript

มีให้สำหรับ: macOS Ventura

ผลกระทบ: การประมวลผล AppleScript ไบนารี่ที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้แอปหยุดทำงานโดยไม่คาดคิด หรือเปิดเผยหน่วยความจําของการประมวลผล

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

CVE-2023-28179: Mickey Jin (@patch1t)

เพิ่มรายการเมื่อวันที่ 1 สิงหาคม 2023

App Store

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงข้อมูลส่วนตัวของรายการบันทึก

CVE-2023-42830: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 21 ธันวาคม 2023

Archive Utility

มีให้สำหรับ: macOS Ventura

ผลกระทบ: อาร์ไคฟ์อาจเลี่ยง Gatekeeper ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2023-27951: Brandon Dalton (@partyD0lphin) จาก Red Canary, Chan Shue Long, และ Csaba Fitzl (@theevilbit) จาก Offensive Security

อัปเดตรายการเมื่อวันที่ 5 กันยายน 2023

Calendar

มีให้สำหรับ: macOS Ventura

ผลกระทบ: คำเชิญบนปฏิทินที่ออกแบบมาเพื่อประสงค์ร้ายอาจถอนข้อมูลของผู้ใช้

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)

อัปเดตรายการเมื่อวันที่ 5 กันยายน 2023

Camera

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปในแซนด์บ็อกซ์อาจระบุได้ว่าแอปใดกำลังใช้กล้องอยู่

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยข้อจํากัดเพิ่มเติมเกี่ยวกับความสามารถในการสังเกตสถานะแอป

CVE-2023-23543: Yiğit Can YILMAZ (@yilmazcanyigit)

Carbon Core

มีให้สำหรับ: macOS Ventura

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2023-23534: Mickey Jin (@patch1t)

ColorSync

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจอ่านไฟล์ได้โดยพลการ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2023-27955: JeongOhKyea

CommCenter

มีให้สำหรับ: macOS Ventura

คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2023-27936: Tingting Yin จาก Tsinghua University

CoreCapture

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล

CVE-2023-28181: Tingting Yin จาก Tsinghua University

Crash Reporter

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจได้รับสิทธิ์ในระดับรูทได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2023-32426: Junoh Lee ที่ Theori

เพิ่มรายการเมื่อวันที่ 5 กันยายน 2023

curl

มีให้สำหรับ: macOS Ventura

ผลกระทบ: มีปัญหาหลายประการใน curl

คำอธิบาย: ปัญหาหลายประการได้รับการแก้ไขแล้วโดยการอัปเดต curl

CVE-2022-43551

CVE-2022-43552

dcerpc

มีให้สำหรับ: macOS Ventura

ผลกระทบ: ผู้โจมตีระยะไกลอาจทำให้แอปหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการได้

คำอธิบาย: ปัญหาการเริ่มต้นหน่วยความจำได้รับการแก้ไขแล้ว

CVE-2023-27934: Aleksandar Nikolic จาก Cisco Talos

อัปเดตรายการเมื่อวันที่ 8 มิถุนายน 2023

dcerpc

มีให้สำหรับ: macOS Ventura

ผลกระทบ: ผู้ใช้ในตําแหน่งเครือข่ายที่มีสิทธิ์อาจทำให้เกิด Denial of Service ได้

คำอธิบาย: ปัญหา Denial of Service ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2023-28180: Aleksandar Nikolic จาก Cisco Talos

dcerpc

มีให้สำหรับ: macOS Ventura

ผลกระทบ: ผู้ใช้ระยะไกลอาจทำให้แอปหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการได้

CVE-2023-27935: Aleksandar Nikolic จาก Cisco Talos

dcerpc

มีให้สำหรับ: macOS Ventura

ผลกระทบ: ผู้ใช้ระยะไกลอาจทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรือสร้างความเสียหายให้กับหน่วยความจำเคอร์เนลได้

CVE-2023-27953: Aleksandar Nikolic จาก Cisco Talos

CVE-2023-27958: Aleksandar Nikolic จาก Cisco Talos

DesktopServices

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจเลี่ยงการตรวจสอบของ Gatekeeper ได้

CVE-2023-40433: Mikko Kenttälä (@Turmio_ ) of SensorFu

เพิ่มรายการเมื่อวันที่ 21 ธันวาคม 2023

FaceTime

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วโดยการย้ายข้อมูลที่ละเอียดอ่อนไปยังตำแหน่งที่ปลอดภัยยิ่งขึ้น

CVE-2023-28190: Joshua Jones

Find My

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้

CVE-2023-23537: Adam M.

CVE-2023-28195: Adam M.

เพิ่มรายการเมื่อวันที่ 5 กันยายน 2023, อัปเดตเมื่อวันที่ 21 ธันวาคม 2023

FontParser

มีให้สำหรับ: macOS Ventura

CVE-2023-27956: Ye Zhang (@VAR10CK) จาก Baidu Security

อัปเดตรายการเมื่อวันที่ 31 ตุลาคม 2023

FontParser

มีให้สำหรับ: macOS Ventura

ผลกระทบ: การประมวลผลไฟล์แบบอักษรอาจทำให้มีการรันโค้ดโดยพลการ

CVE-2023-32366: Ye Zhang (@VAR10CK) จาก Baidu Security

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2023

Foundation

มีให้สำหรับ: macOS Ventura

ผลกระทบ: การแยกวิเคราะห์ plist ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

คำอธิบาย: ปัญหาจำนวนเต็มเกินได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2023-27937: นักวิจัยนิรนาม

iCloud

มีให้สำหรับ: macOS Ventura

ผลกระทบ: ไฟล์จากโฟลเดอร์ iCloud ที่แชร์โดยฉันอาจเลี่ยง Gatekeeper ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบเพิ่มเติมโดย Gatekeeper สำหรับไฟล์ที่ดาวน์โหลดจากโฟลเดอร์ iCloud ที่แชร์โดยฉัน

CVE-2023-23526: Jubaer Alnazi จาก TRS Group of Companies

Identity Services

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจเข้าถึงข้อมูลเกี่ยวกับรายชื่อติดต่อของผู้ใช้ได้

CVE-2023-27928: Csaba Fitzl (@theevilbit) จาก Offensive Security

ImageIO

มีให้สำหรับ: macOS Ventura

ผลกระทบ: การประมวลผลภาพอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2023-27939: jzhu ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2023-27947: Meysam Firouzi @R00tkitSMM จาก Mbition Mercedes-Benz Innovation Lab

CVE-2023-27948: Meysam Firouzi (@R00tkitSMM) จาก Mbition Mercedes-Benz Innovation Lab

CVE-2023-42862: Meysam Firouzi (@R00tkitSMM) จาก Mbition Mercedes-Benz Innovation Lab

CVE-2023-42865: jzhu ซึ่งทำงานร่วมกับ Trend Micro Zero Day Initiative และ Meysam Firouzi (@R00tkitSMM) จาก Mbition Mercedes-Benz Innovation Lab

เพิ่มรายการเมื่อวันที่ 1 สิงหาคม 2023, อัปเดตเมื่อวันที่ 21 ธันวาคม 2023

ImageIO

มีให้สำหรับ: macOS Ventura

CVE-2023-23535: ryuzaki

ImageIO

มีให้สำหรับ: macOS Ventura

CVE-2023-27929: Meysam Firouzi (@R00tkitSMM) จาก Mbition Mercedes-Benz Innovation Lab และ Jzhu ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

ImageIO

มีให้สำหรับ: macOS Ventura

ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2023-27946: Mickey Jin (@patch1t)

ImageIO

มีให้สำหรับ: macOS Ventura

CVE-2023-27957: Yiğit Can YILMAZ (@yilmazcanyigit)

IOAcceleratorFamily

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2023-32378: Murray Mike

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2023

Kernel

มีให้สำหรับ: macOS Ventura

ผลกระทบ: ผู้ใช้อาจทำให้เกิด Denial of Service ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2023-28187: Pan ZhenPeng (@Peterpan0927) จาก STAR Labs SG Pte. Ltd.

เพิ่มรายการเมื่อวันที่ 5 กันยายน 2023

Kernel

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจเปิดเผยหน่วยความจำเคอร์เนลได้

คำอธิบาย: มีปัญหาการอ่านข้อมูลนอกขอบเขตที่นำไปสู่การเปิดเผยหน่วยความจำเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2023-27941: Arsenii Kostromin (0x3c3e)

CVE-2023-28199: Arsenii Kostromin (0x3c3e)

เพิ่มรายการเมื่อวันที่ 1 สิงหาคม 2023, อัปเดตรายการเมื่อวันที่ 31ตุลาคม 2023

Kernel

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล

CVE-2023-23536: Félix Poulin-Bélanger และ David Pan Ogea

เพิ่มรายการเมื่อวันที่ 1 พฤษภาคม 2023, อัปเดตรายการเมื่อวันที่ 31 ตุลาคม 2023

Kernel

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล

CVE-2023-23514: Xinru Chi จาก Pangu Lab และ Ned Williamson จาก Google Project Zero

CVE-2023-27969: Adam Doupé จาก ASU SEFCOM

Kernel

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปที่มีสิทธิ์ระดับรูทอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล

CVE-2023-27933: sqrtpwn

Kernel

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจเปิดเผยหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2023-28200: Arsenii Kostromin (0x3c3e)

LaunchServices

มีให้สำหรับ: macOS Ventura

ผลกระทบ: ไฟล์ที่ดาวน์โหลดจากอินเทอร์เน็ตอาจไม่มีการตั้งค่าสถานะกักกัน

CVE-2023-27943: นักวิจัยนิรนาม, Brandon Dalton (@partyD0lphin) จาก Red Canary, Milan Tenk และ Arthur Valiev จาก F-Secure Corporation

อัปเดตรายการเมื่อวันที่ 31 ตุลาคม 2023

LaunchServices

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจได้รับสิทธิ์ในระดับรูทได้

CVE-2023-23525: Mickey Jin (@patch1t)

libc

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาการจัดการพาธได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2023-40383: Mickey Jin (@patch1t)

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2023

libpthread

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล

คำอธิบาย: ปัญหาความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2023-41075: Zweig จาก Kunlun Lab

เพิ่มรายการเมื่อวันที่ 21 ธันวาคม 2023

Mail

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจดูข้อมูลที่ละเอียดอ่อนได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2023-28189: Mickey Jin (@patch1t)

เพิ่มรายการเมื่อวันที่ 1 พฤษภาคม 2023

Messages

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาการเข้าถึงได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัดของแซนด์บ็อกซ์

CVE-2023-28197: Joshua Jones

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2023

Model I/O

มีให้สำหรับ: macOS Ventura

CVE-2023-27950: Mickey Jin (@patch1t)

เพิ่มรายการเมื่อวันที่ 5 กันยายน 2023

Model I/O

มีให้สำหรับ: macOS Ventura

CVE-2023-27949: Mickey Jin (@patch1t)

NetworkExtension

มีให้สำหรับ: macOS Ventura

ผลกระทบ: ผู้ใช้ในตําแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถปลอมเซิร์ฟเวอร์ VPN ที่กำหนดค่าด้วยการตรวจสอบสิทธิ์แบบ EAP เท่านั้นได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบสิทธิ์ให้ดียิ่งขึ้น

CVE-2023-28182: Zhuowei Zhang

PackageKit

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

CVE-2023-23538: Mickey Jin (@patch1t)

CVE-2023-27962: Mickey Jin (@patch1t)

Photos

มีให้สำหรับ: macOS Ventura

ผลกระทบ: รูปภาพที่อยู่ในอัลบั้มรูปภาพที่ซ่อนสามารถดูโดยไม่ได้รับการตรวจสอบสิทธิ์ได้ผ่าน Visual Lookup

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น

CVE-2023-23523: developStorm

Podcasts

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2023-27942: Mickey Jin (@patch1t)

Quick Look

มีให้สำหรับ: macOS Ventura

ผลกระทบ: เว็บไซต์อาจติดตามข้อมูลที่มีความละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: เปลี่ยนแปลงการจัดการข้อผิดพลาดเพื่อไม่ให้เปิดเผยข้อมูลที่ละเอียดอ่อน

CVE-2023-32362: Khiem Tran

เพิ่มรายการเมื่อวันที่ 5 กันยายน 2023

Safari

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจเลี่ยงการตรวจสอบของ Gatekeeper ได้

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการปรับปรุงการล็อคให้ดียิ่งขึ้น

CVE-2023-27952: Csaba Fitzl (@theevilbit) จาก Offensive Security

Sandbox

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

CVE-2023-23533: Mickey Jin (@patch1t), Koh M. Nakagawa จาก FFRI Security, Inc. และ Csaba Fitzl (@theevilbit) จาก Offensive Security

Sandbox

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวได้

CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)

SharedFileList

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจทะลุผ่านแซนด์บ็อกซ์ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2023-27966: Masahiro Kawada (@kawakatz) จาก GMO Cybersecurity by Ierae

เพิ่มรายการเมื่อวันที่ 1 พฤษภาคม 2023 อัปเดตรายการเมื่อวันที่ 1 สิงหาคม 2023

Shortcuts

มีให้สำหรับ: macOS Ventura

ผลกระทบ: คำสั่งลัดอาจใช้ข้อมูลที่ละเอียดอ่อนเพื่อดำเนินการบางอย่างได้โดยไม่แจ้งให้ผู้ใช้ทราบ

คำอธิบาย: ปัญหาได้รับการแก้ไขแล้วด้วยการตรวจสอบสิทธิ์อนุญาตเพิ่มเติม

CVE-2023-27963: Jubaer Alnazi Jabin จาก TRS Group of Companies และ Wenchao Li และ Xiaolong Bai จาก Alibaba Group

System Settings

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

CVE-2023-23542: Adam M.

อัปเดตรายการเมื่อวันที่ 5 กันยายน 2023

System Settings

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2023-28192: Guilherme Rambo จาก Best Buddy Apps (rambo.codes)

TCC

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการนำโค้ดที่มีความเสี่ยงออก

CVE-2023-27931: Mickey Jin (@patch1t)

TextKit

มีให้สำหรับ: macOS Ventura

ผลกระทบ: ผู้ใช้ระยะไกลอาจทำให้เกิด Denial of Service ได้

คำอธิบาย: ปัญหา Denial of Service ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2023-28188: Xin Huang (@11iaxH)

เพิ่มรายการเมื่อวันที่ 5 กันยายน 2023

Vim

มีให้สำหรับ: macOS Ventura

ผลกระทบ: มีปัญหาหลายประการใน Vim

คำอธิบาย: ปัญหาหลายประการได้รับการแก้ไขแล้วโดยการอัปเดต Vim เป็นเวอร์ชั่น 9.0.1191

CVE-2023-0049

CVE-2023-0051

CVE-2023-0054

CVE-2023-0288

CVE-2023-0433

CVE-2023-0512

WebKit

มีให้สำหรับ: macOS Ventura

ผลกระทบ: นโยบายความปลอดภัยคอนเทนต์เพื่อบล็อกโดเมนที่มีตัวอักษรแทน (Wildcard) อาจล้มเหลว

WebKit Bugzilla: 250709
CVE-2023-32370: Gertjan Franken จาก imec-DistriNet, KU Leuven

เพิ่มรายการเมื่อวันที่ 5 กันยายน 2023

WebKit

มีให้สำหรับ: macOS Ventura

ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้มีการรันโค้ดโดยพลการ

WebKit Bugzilla: 250429
CVE-2023-28198: hazbinhotel ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 1 สิงหาคม 2023

WebKit

มีให้สำหรับ: macOS Ventura

ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้มีการรันโค้ดโดยพลการ Apple รับทราบถึงรายงานที่แจ้งว่าอาจมีการใช้ช่องโหว่จากปัญหานี้กับ iOS เวอร์ชั่นก่อน iOS 15.7

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

WebKit Bugzilla: 251890
CVE-2023-32435: Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_), Boris Larin (@oct0xor) และ Valentin Pashkov จาก Kaspersky

เพิ่มรายการเมื่อ 21 มิถุนายน 2023 อัปเดตเมื่อ 1 สิงหาคม 2023

WebKit

มีให้สำหรับ: macOS Ventura

ผลกระทบ: การประมวลผลเว็บคอนเทนต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจเลี่ยงนโยบายต้นกำเนิดเดียวกันได้

CVE-2023-27932: นักวิจัยนิรนาม

WebKit

มีให้สำหรับ: macOS Ventura

ผลกระทบ: เว็บไซต์อาจติดตามข้อมูลที่มีความละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการลบข้อมูลต้นทางออก

CVE-2023-27954: นักวิจัยนิรนาม

WebKit

มีให้สำหรับ: macOS Ventura

ผลกระทบ: การประมวลผลไฟล์อาจทำให้เกิด Denial of Service หรืออาจเปิดเผยคอนเทนต์ในหน่วยความจำได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

WebKit Bugzilla: 249434
CVE-2014-1745: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 21 ธันวาคม 2023

WebKit PDF

มีให้สำหรับ: macOS Ventura

ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้มีการรันโค้ดโดยพลการ

WebKit Bugzilla: 249169
CVE-2023-32358: บุคคลนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 1 สิงหาคม 2023

WebKit Web Inspector

มีให้สำหรับ: macOS Ventura

CVE-2023-28201: Dohyun Lee (@l33d0hyun) และ crixer (@pwning_me) จาก SSD Labs

เพิ่มรายการเมื่อวันที่ 1 พฤษภาคม 2023

XPC

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจทะลุผ่านแซนด์บ็อกซ์ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการให้สิทธิ์ใหม่

CVE-2023-27944: Mickey Jin (@patch1t)

คำขอบคุณพิเศษ

Activation Lock

เราขอขอบคุณสำหรับความช่วยเหลือจาก Christian Mina

AppleMobileFileIntegrity

เราขอขอบคุณสำหรับความช่วยเหลือจาก Wojciech Reguła (@_r3ggi) จาก SecuRing

เพิ่มรายการเมื่อวันที่ 21 ธันวาคม 2023

AppleScript

เราขอขอบคุณสำหรับความช่วยเหลือจาก Mickey Jin (@patch1t)

Calendar UI

เราขอขอบคุณสำหรับความช่วยเหลือจาก Rafi Andhika Galuh (@rafipiun)

เพิ่มรายการเมื่อวันที่ 1 สิงหาคม 2023

CFNetwork

เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม

Control Center

เราขอขอบคุณสำหรับความช่วยเหลือจาก Adam M.

อัปเดตรายการเมื่อวันที่ 21 ธันวาคม 2023

CoreServices

เราขอขอบคุณสำหรับความช่วยเหลือจาก Mickey Jin (@patch1t)

dcerpc

เราขอขอบคุณสำหรับความช่วยเหลือจาก Aleksandar Nikolic จาก Cisco Talos

FaceTime

เราขอขอบคุณสำหรับความช่วยเหลือจาก Sajan Karki

file_cmds

เราขอขอบคุณสำหรับความช่วยเหลือจาก Lukas Zronek

File Quarantine

เราขอขอบคุณสำหรับความช่วยเหลือจาก Koh M. Nakagawa จาก FFRI Security, Inc.

เพิ่มรายการเมื่อวันที่ 1 พฤษภาคม 2023

Git

เราขอขอบคุณสำหรับความช่วยเหลือ

Heimdal

เราขอขอบคุณสำหรับความช่วยเหลือจาก Evgeny Legerov จาก Intevydis

ImageIO

เราขอขอบคุณสำหรับความช่วยเหลือจาก Meysam Firouzi @R00tkitSMM

Mail

เราขอขอบคุณสำหรับความช่วยเหลือจาก Chen Zhang, Fabian Ising จาก FH Münster University of Applied Sciences, Damian Poddebniak จาก FH Münster University of Applied Sciences, Tobias Kappert จาก Münster University of Applied Sciences, Christoph Saatjohann จาก Münster University of Applied Sciences, Sebast, และ Merlin Chlosta จาก CISPA Helmholtz Center for Information Security

NSOpenPanel

เราขอขอบคุณสำหรับความช่วยเหลือจาก Alexandre Colucci (@timacfr)

Password Manager

เราขอขอบคุณสำหรับความช่วยเหลือจาก Sebastian S. Andersen จาก OCA Creations LLC

เพิ่มรายการเมื่อวันที่ 1 พฤษภาคม 2023

quarantine

เราขอขอบคุณสำหรับความช่วยเหลือจาก Koh M. Nakagawa จาก FFRI Security, Inc.

Safari Downloads

เราขอขอบคุณสำหรับความช่วยเหลือจาก Andrew Gonzalez

WebKit

เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม

WebKit Web Inspector

เราขอขอบคุณสำหรับความช่วยเหลือจาก Dohyun Lee (@l33d0hyun) และ crixer (@pwning_me) จาก SSD Labs

Wi-Fi

เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: 3 มกราคม 2567