เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
macOS Big Sur 11.7.5
เปิดตัวเมื่อวันที่ 27 มีนาคม 2023
Apple Neural Engine
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-23540: Mohamed GHANNAM (@_simo36)
AppleAVD
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปพลิเคชันอาจรันโค้ดโดยพลการด้วยสิทธิ์เคอร์เนลได้
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2022-26702: นักวิจัยนิรนาม, Antonio Zekic (@antoniozekic) และ John Aakerblom (@jaakerblom)
AppleMobileFileIntegrity
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: ผู้ใช้อาจเข้าถึงส่วนที่มีการป้องกันของระบบไฟล์ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
CVE-2023-23527: Mickey Jin (@patch1t)
Archive Utility
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: อาร์ไคฟ์อาจเลี่ยง Gatekeeper ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
CVE-2023-27951: Brandon Dalton (@partyD0lphin) จาก Red Canary และ Csaba Fitzl (@theevilbit) จาก Offensive Security
อัปเดตรายการเมื่อวันที่ 11 พฤษภาคม 2023
Calendar
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: คำเชิญบนปฏิทินที่ออกแบบมาเพื่อประสงค์ร้ายอาจถอนข้อมูลของผู้ใช้
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
Carbon Core
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
CVE-2023-23534: Mickey Jin (@patch1t)
ColorSync
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปอาจอ่านไฟล์ได้โดยพลการ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
CVE-2023-27955: JeongOhKyea
CommCenter
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปอาจทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรือมีการเขียนข้อมูลหน่วยความจำเคอร์เนล
คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2023-27936: Tingting Yin จาก Tsinghua University
dcerpc
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: ผู้ใช้ระยะไกลอาจทำให้แอปหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ดียิ่งขึ้น
CVE-2023-27935: Aleksandar Nikolic จาก Cisco Talos
dcerpc
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: ผู้ใช้ระยะไกลอาจทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรือสร้างความเสียหายให้กับหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-27953: Aleksandar Nikolic จาก Cisco Talos
CVE-2023-27958: Aleksandar Nikolic จาก Cisco Talos
Find My
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้
คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงข้อมูลส่วนตัวของรายการบันทึก
CVE-2023-23537: นักวิจัยนิรนาม
FontParser
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: การประมวลผลไฟล์แบบอักษรอาจทำให้มีการรันโค้ดโดยพลการ
คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2023-32366: Ye Zhang (@VAR10CK) จาก Baidu Security
เพิ่มรายการเมื่อวันที่ 21 ธันวาคม 2023
Foundation
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: การแยกวิเคราะห์ plist ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ
คำอธิบาย: ปัญหาจำนวนเต็มเกินได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2023-27937: นักวิจัยนิรนาม
Identity Services
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปอาจเข้าถึงข้อมูลเกี่ยวกับรายชื่อติดต่อของผู้ใช้ได้
คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงข้อมูลส่วนตัวของรายการบันทึก
CVE-2023-27928: Csaba Fitzl (@theevilbit) จาก Offensive Security
ImageIO
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2023-27946: Mickey Jin (@patch1t)
ImageIO
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-23535: ryuzaki
IOAcceleratorFamily
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-32378: Murray Mike
เพิ่มรายการเมื่อวันที่ 21 ธันวาคม 2023
Kernel
มีให้สำหรับ: macOS Big Sur
ผลกระทบ: แอปอาจเปิดเผยหน่วยความจำเคอร์เนลได้
คำอธิบาย: มีปัญหาการอ่านข้อมูลนอกขอบเขตที่นำไปสู่การเปิดเผยหน่วยความจำเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2023-27941: Arsenii Kostromin (0x3c3e)
CVE-2023-28199: Arsenii Kostromin (0x3c3e)
เพิ่มรายการเมื่อวันที่ 11 พฤษภาคม 2023, อัปเดตเมื่อวันที่ 21 ธันวาคม 2023
Kernel มีให้สำหรับ: macOS Big Sur ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ดียิ่งขึ้น CVE-2023-23536: Félix Poulin-Bélanger และ David Pan Ogea เพิ่มรายการเมื่อวันที่ 11 พฤษภาคม 2023, อัปเดตเมื่อวันที่ 21 ธันวาคม 2023
Kernel มีให้สำหรับ: macOS Big Sur ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น CVE-2023-23514: Xinru Chi จาก Pangu Lab และ Ned Williamson จาก Google Project Zero Kernel มีให้สำหรับ: macOS Big Sur ผลกระทบ: แอปอาจเปิดเผยหน่วยความจำเคอร์เนลได้ คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น CVE-2023-28200: Arsenii Kostromin (0x3c3e) Kernel มีให้สำหรับ: macOS Big Sur ผลกระทบ: แอปอาจทำให้เกิด Denial of Service ได้ คำอธิบาย: ปัญหาจำนวนเต็มล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น CVE-2023-28185: Pan ZhenPeng จาก STAR Labs SG Pte. Ltd. เพิ่มรายการเมื่อวันที่ 21 ธันวาคม 2023
LaunchServices มีให้สำหรับ: macOS Big Sur ผลกระทบ: แอปอาจได้รับสิทธิ์ในระดับรูทได้ คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น CVE-2023-23525: Mickey Jin (@patch1t) เพิ่มรายการเมื่อวันที่ 11 พฤษภาคม 2023
libpthread มีให้สำหรับ: macOS Big Sur ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล คำอธิบาย: ปัญหาความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น CVE-2023-41075: Zweig จาก Kunlun Lab เพิ่มรายการเมื่อวันที่ 21 ธันวาคม 2023
Mail มีให้สำหรับ: macOS Big Sur ผลกระทบ: แอปอาจดูข้อมูลที่ละเอียดอ่อนได้ คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ CVE-2023-28189: Mickey Jin (@patch1t) เพิ่มรายการเมื่อวันที่ 11 พฤษภาคม 2023
Messages มีให้สำหรับ: macOS Big Sur ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้ คำอธิบาย: ปัญหาการเข้าถึงได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัดของแซนด์บ็อกซ์ CVE-2023-28197: Joshua Jones เพิ่มรายการเมื่อวันที่ 21 ธันวาคม 2023
NetworkExtension มีให้สำหรับ: macOS Big Sur ผลกระทบ: ผู้ใช้ในตําแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถปลอมเซิร์ฟเวอร์ VPN ที่กำหนดค่าด้วยการตรวจสอบสิทธิ์แบบ EAP เท่านั้นได้ คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบสิทธิ์ให้ดียิ่งขึ้น CVE-2023-28182: Zhuowei Zhang PackageKit มีให้สำหรับ: macOS Big Sur ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้ คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น CVE-2023-27962: Mickey Jin (@patch1t) Podcasts มีให้สำหรับ: macOS Big Sur ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้ คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ CVE-2023-27942: Mickey Jin (@patch1t) เพิ่มรายการเมื่อวันที่ 11 พฤษภาคม 2023
System Settings มีให้สำหรับ: macOS Big Sur ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้ คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงข้อมูลส่วนตัวของรายการบันทึก CVE-2023-23542: Adam M. อัปเดตรายการเมื่อวันที่ 21 ธันวาคม 2023
System Settings มีให้สำหรับ: macOS Big Sur ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้ คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น CVE-2023-28192: Guilherme Rambo จาก Best Buddy Apps (rambo.codes) Vim มีให้สำหรับ: macOS Big Sur ผลกระทบ: มีปัญหาหลายประการใน Vim คำอธิบาย: ปัญหาหลายประการได้รับการแก้ไขแล้วโดยการอัปเดต Vim เป็นเวอร์ชั่น 9.0.1191 CVE-2023-0433 CVE-2023-0512 XPC มีให้สำหรับ: macOS Big Sur ผลกระทบ: แอปอาจทะลุผ่านแซนด์บ็อกซ์ได้ คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการให้สิทธิ์ใหม่ CVE-2023-27944: Mickey Jin (@patch1t)
คำขอบคุณพิเศษ
Activation Lock
เราขอขอบคุณสำหรับความช่วยเหลือจาก Christian Mina
AppleMobileFileIntegrity
เราขอขอบคุณสำหรับความช่วยเหลือจาก Wojciech Reguła (@_r3ggi) จาก SecuRing (wojciechregula.blog)
CoreServices
เราขอขอบคุณสำหรับความช่วยเหลือจาก Mickey Jin (@patch1t)
NSOpenPanel
เราขอขอบคุณสำหรับความช่วยเหลือจาก Alexandre Colucci (@timacfr)
Wi-Fi
เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม