เกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Ventura 13.4

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ macOS Ventura 13.4

เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

macOS Ventura 13.4

เปิดตัวเมื่อวันที่ 18 พฤษภาคม 2023

Accessibility

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวได้

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงข้อมูลส่วนตัวของรายการบันทึก

CVE-2023-32388: Kirin (@Pwnrin)

Accessibility

มีให้สำหรับ: macOS Ventura

ผลกระทบ: สิทธิ์และสิทธิ์อนุญาตความเป็นส่วนตัวที่มอบให้แอปนี้อาจถูกใช้โดยแอปที่ประสงค์ร้าย

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2023-32400: Mickey Jin (@patch1t)

Accounts

มีให้สำหรับ: macOS Ventura

ผลกระทบ: ผู้โจมตีอาจทำให้อีเมลของบัญชีผู้ใช้รั่วไหลได้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น

CVE-2023-34352: Sergii Kryvoblotskyi จาก MacPaw Inc.

เพิ่มรายการเมื่อวันที่ 5 กันยายน 2023

AMD

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2023-32379: ABC Research s.r.o.

เพิ่มรายการเมื่อวันที่ 5 กันยายน 2023

AppleMobileFileIntegrity

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงสิทธิ์ให้ดียิ่งขึ้น

CVE-2023-32411: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจใส่โค้ดเข้ามาในชุดไบนารีสำคัญที่ให้มาพร้อม Xcode ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการบังคับ Hardened Runtime บนไบนารีที่ได้รับผลกระทบที่ระดับระบบ

CVE-2023-32383: James Duffy (mangoSecure)

เพิ่มรายการเมื่อวันที่ 21 ธันวาคม 2023

Associated Domains

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจทะลุผ่านแซนด์บ็อกซ์ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2023-32371: James Duffy (mangoSecure)

Contacts

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจดูข้อมูลผู้ใช้ที่ไม่มีการป้องกันได้

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการไฟล์ชั่วคราว

CVE-2023-32386: Kirin (@Pwnrin)

Core Location

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการแคช

CVE-2023-32399: Adam M.

อัปเดตรายการเมื่อวันที่ 5 กันยายน 2023

CoreServices

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น

CVE-2023-28191: Mickey Jin (@patch1t)

CUPS

มีให้สำหรับ: macOS Ventura

ผลกระทบ: ผู้ใช้ที่ไม่ได้รับการตรวจสอบสิทธิ์อาจเข้าถึงเอกสารที่พิมพ์ล่าสุดได้

คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2023-32360: Gerhard Muth

dcerpc

มีให้สำหรับ: macOS Ventura

ผลกระทบ: ผู้โจมตีระยะไกลอาจทำให้แอปหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการได้

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2023-32387: Dimitrios Tatsis จาก Cisco Talos

DesktopServices

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจทะลุผ่านแซนด์บ็อกซ์ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2023-32414: Mickey Jin (@patch1t)

Face Gallery

มีให้สำหรับ: macOS Ventura

ผลกระทบ: ผู้โจมตีที่เข้าถึงตัวเครื่อง Apple Watch ที่ล็อคอยู่อาจดูรูปภาพหรือรายชื่อของผู้ใช้ผ่านคุณสมบัติการช่วยการเข้าถึงได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการจำกัดตัวเลือกที่นำเสนอบนอุปกรณ์ที่ล็อคอยู่

CVE-2023-32417: Zitong Wu (吴梓桐) จาก Zhuhai No.1 High School (珠海市第一中学)

เพิ่มรายการเมื่อวันที่ 5 กันยายน 2023

GeoServices

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้

CVE-2023-32392: Adam M.

อัปเดตรายการเมื่อวันที่ 5 กันยายน 2023

ImageIO

มีให้สำหรับ: macOS Ventura

ผลกระทบ: การประมวลผลภาพอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2023-32372: Meysam Firouzi @R00tkitSMM จาก Mbition Mercedes-Benz Innovation Lab ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

อัปเดตรายการเมื่อวันที่ 5 กันยายน 2023

ImageIO

มีให้สำหรับ: macOS Ventura

ผลกระทบ: การประมวลผลภาพอาจทำให้มีการรันโค้ดโดยพลการ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2023-32384: Meysam Firouzi @R00tkitsmm ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

IOSurface

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจทำให้สถานะเคอร์เนลที่ละเอียดอ่อนรั่วไหลได้

CVE-2023-32410: hou xuewei (@p1ay8y3ar) vmk msu

IOSurfaceAccelerator

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรือมีการอ่านข้อมูลหน่วยความจำเคอร์เนล

CVE-2023-32420: ทีม CertiK SkyFall และ Linus Henze จาก Pinauten GmbH (pinauten.de)

อัปเดตรายการเมื่อวันที่ 5 กันยายน 2023

Kernel

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล

คำอธิบาย: ปัญหาความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2023-27930: 08Tc3wBB จาก Jamf

Kernel

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปในแซนด์บ็อกซ์อาจดูการเชื่อมต่อเครือข่ายทั้งระบบได้

คำอธิบาย: ปัญหาได้รับการแก้ไขแล้วด้วยการตรวจสอบสิทธิ์อนุญาตเพิ่มเติม

CVE-2023-27940: James Duffy (mangoSecure)

Kernel

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล

CVE-2023-32398: Adam Doupé จาก ASU SEFCOM

Kernel

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจได้รับสิทธิ์ในระดับรูทได้

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) จาก Synacktiv (@Synacktiv) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

LaunchServices

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจเลี่ยงการตรวจสอบของ Gatekeeper ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2023-32352: Wojciech Reguła (@_r3ggi) จาก SecuRing (wojciechregula.blog)

libxml2

มีให้สำหรับ: macOS Ventura

ผลกระทบ: มีปัญหาหลายประการใน libxml2

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2023-29469: OSS-Fuzz, Ned Williamson จาก Google Project Zero

CVE-2023-42869: OSS-Fuzz, Ned Williamson จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 21 ธันวาคม 2023

libxpc

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2023-32369: Jonathan Bar Or จาก Microsoft, Anurag Bohra จาก Microsoft และ Michael Pearse จาก Microsoft

libxpc

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจได้รับสิทธิ์ในระดับรูทได้

CVE-2023-32405: Thijs Alkemade (@xnyhps) จาก Computest Sector 7

MallocStackLogging

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจได้รับสิทธิ์ในระดับรูทได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการไฟล์

CVE-2023-32428: Gergely Kalman (@gergely_kalman)

เพิ่มรายการเมื่อวันที่ 5 กันยายน 2023

Metal

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวได้

CVE-2023-32407: Gergely Kalman (@gergely_kalman)

Model I/O

มีให้สำหรับ: macOS Ventura

ผลกระทบ: การประมวลผลโมเดล 3D อาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล

CVE-2023-32368: Mickey Jin (@patch1t)

CVE-2023-32375: Michael DePlante (@izobashi) จาก Trend Micro Zero Day Initiative

CVE-2023-32382: Mickey Jin (@patch1t)

Model I/O

มีให้สำหรับ: macOS Ventura

ผลกระทบ: การประมวลผลโมเดล 3D อาจทำให้มีการรันโค้ดโดยพลการ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2023-32380: Mickey Jin (@patch1t)

NetworkExtension

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้

CVE-2023-32403: Adam M.

อัปเดตรายการเมื่อวันที่ 5 กันยายน 2023

NSURLSession

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจทะลุผ่านแซนด์บ็อกซ์ได้

คําอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงโปรโตคอลการจัดการไฟล์

CVE-2023-32437: Thijs Alkemade (@) จาก Computest Sector 7

เพิ่มรายการเมื่อวันที่ 5 กันยายน 2023

PackageKit

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

CVE-2023-32355: Mickey Jin (@patch1t)

PDFKit

มีให้สำหรับ: macOS Ventura

ผลกระทบ: การเปิดไฟล์ PDF อาจทำให้แอปหยุดทำงานโดยไม่คาดคิด

คำอธิบาย: ปัญหา Denial of Service ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2023-32385: Jonathan Fritz

Perl

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

CVE-2023-32395: Arsenii Kostromin (0x3c3e)

Photos

มีให้สำหรับ: macOS Ventura

ผลกระทบ: รูปภาพที่อยู่ในอัลบั้มรูปภาพที่ซ่อนสามารถดูโดยไม่ได้รับการตรวจสอบสิทธิ์ได้ผ่าน Visual Lookup

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2023-32390: Julian Szulc

Quick Look

มีให้สำหรับ: macOS Ventura

ผลกระทบ: การแยกวิเคราะห์เอกสาร Office อาจทำให้แอปหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

CVE-2023-32401: Holger Fuhrmannek จาก Deutsche Telekom Security GmbH ในนามของ BSI (German Federal Office for Information Security)

เพิ่มรายการเมื่อวันที่ 21 ธันวาคม 2023

Sandbox

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจคงการเข้าถึงไฟล์การกำหนดค่าระบบไว้ได้แม้ว่าจะเพิกถอนการอนุญาตไปแล้วก็ตาม

CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Koh M. Nakagawa จาก FFRI Security, Inc., Kirin (@Pwnrin), Jeff Johnson (underpassapp.com) และ Csaba Fitzl (@theevilbit) จาก Offensive Security

Screen Saver

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวได้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการลบโค้ดที่มีความเสี่ยงและการเพิ่มการตรวจสอบเพิ่มเติม

CVE-2023-32363: Mickey Jin (@patch1t)

Security

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

CVE-2023-32367: James Duffy (mangoSecure)

Share Sheet

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

CVE-2023-32432: Kirin (@Pwnrin)

เพิ่มรายการเมื่อวันที่ 5 กันยายน 2023

Shell

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

CVE-2023-32397: Arsenii Kostromin (0x3c3e)

Shortcuts

มีให้สำหรับ: macOS Ventura

ผลกระทบ: คำสั่งลัดอาจใช้ข้อมูลที่ละเอียดอ่อนเพื่อดำเนินการบางอย่างได้โดยไม่แจ้งให้ผู้ใช้ทราบ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2023-32391: Wenchao Li และ Xiaolong Bai จาก Alibaba Group

Shortcuts

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวได้

CVE-2023-32404: Mickey Jin (@patch1t), Zhipeng Huo (@R3dF09) จาก Tencent Security Xuanwu Lab (xlab.tencent.com) และนักวิจัยนิรนาม

Siri

มีให้สำหรับ: macOS Ventura

ผลกระทบ: บุคคลที่เข้าถึงตัวเครื่องของอุปกรณ์อาจดูข้อมูลรายชื่อจากหน้าจอล็อคได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2023-32394: Khiem Tran

SQLite

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัดการบันทึก SQLite เพิ่มเติม

CVE-2023-32422: Gergely Kalman (@gergely_kalman) และ Wojciech Reguła จาก SecuRing (wojciechregula.blog)

อัปเดตรายการเมื่อวันที่ 2 มิถุนายน 2023

StorageKit

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

CVE-2023-32376: Yiğit Can YILMAZ (@yilmazcanyigit)

sudo

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจมีสิทธิ์ในระดับที่สูงขึ้นได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการอัปเดต sudo

CVE-2023-22809

เพิ่มรายการเมื่อวันที่ 5 กันยายน 2023

System Settings

มีให้สำหรับ: macOS Ventura

ผลกระทบ: การตั้งค่าไฟร์วอลล์แอปอาจไม่มีผลหลังจากออกจากแอปการตั้งค่า

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2023-28202: Satish Panduranga และนักวิจัยนิรนาม

Telephony

มีให้สำหรับ: macOS Ventura

CVE-2023-32412: Ivan Fratric จาก Google Project Zero

TV App

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการแคช

CVE-2023-32408: Adam M.

Weather

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้

CVE-2023-32415: Wojciech Regula จาก SecuRing (wojciechregula.blog) และนักวิจัยนิรนาม

WebKit

มีให้สำหรับ: macOS Ventura

ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจเปิดเผยข้อมูลที่ละเอียดอ่อนได้

WebKit Bugzilla: 255075
CVE-2023-32402: Ignacio Sanmillan (@ulexec)

อัปเดตรายการเมื่อวันที่ 21 ธันวาคม 2023

WebKit

มีให้สำหรับ: macOS Ventura

ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจเปิดเผยข้อมูลที่ละเอียดอ่อนได้

WebKit Bugzilla: 254781
CVE-2023-32423: Ignacio Sanmillan (@ulexec)

WebKit

มีให้สำหรับ: macOS Ventura

ผลกระทบ: ผู้โจมตีระยะไกลอาจทะลุผ่านแซนด์บ็อกซ์ของคอนเทนต์บนเว็บได้ Apple รับทราบถึงรายงานที่แจ้งว่ามีการตั้งใจใช้ประโยชน์จากปัญหานี้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ดียิ่งขึ้น

WebKit Bugzilla: 255350
CVE-2023-32409: Clément Lecigne จาก Google's Threat Analysis Group และ Donncha Ó Cearbhaill จาก Security Lab ของ Amnesty International

WebKit

มีให้สำหรับ: macOS Ventura

ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจเปิดเผยข้อมูลที่ละเอียดอ่อนได้ Apple รับทราบถึงรายงานที่แจ้งว่ามีการตั้งใจใช้ประโยชน์จากปัญหานี้

WebKit Bugzilla: 254930
CVE-2023-28204: นักวิจัยนิรนาม

ปัญหานี้ได้รับการแก้ไขครั้งแรกในการตอบสนองด้านความปลอดภัยที่ฉับไว macOS 13.3.1 (a)

WebKit

มีให้สำหรับ: macOS Ventura

ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการรันโค้ดโดยพลการ Apple รับทราบถึงรายงานที่แจ้งว่ามีการตั้งใจใช้ประโยชน์จากปัญหานี้

WebKit Bugzilla: 254840
CVE-2023-32373: นักวิจัยนิรนาม

Wi-Fi

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจเปิดเผยหน่วยความจำเคอร์เนลได้

CVE-2023-32389: Pan ZhenPeng (@Peterpan0927) จาก STAR Labs SG Pte. Ltd.

คำขอบคุณพิเศษ

Accounts

เราขอขอบคุณสำหรับความช่วยเหลือจาก Sergii Kryvoblotskyi จาก MacPaw Inc.

CloudKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก Iconic

Find My

เราขอขอบคุณสำหรับความช่วยเหลือจาก Abhinav Thakur, Artem Starovoitov, Hodol K และนักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 21 ธันวาคม 2023

libxml2

เราขอขอบคุณสำหรับความช่วยเหลือจาก OSS-Fuzz, Ned Williamson จาก Google Project Zero

Reminders

เราขอขอบคุณสำหรับความช่วยเหลือจาก Kirin (@Pwnrin)

Rosetta

เราขอขอบคุณสำหรับความช่วยเหลือจาก Koh M. Nakagawa จาก FFRI Security, Inc.

Safari

เราขอขอบคุณสำหรับความช่วยเหลือจาก Khiem Tran (databaselog.com)

อัปเดตรายการเมื่อวันที่ 21 ธันวาคม 2023

Security

เราขอขอบคุณสำหรับความช่วยเหลือจาก Brandon Toms

Share Sheet

เราขอขอบคุณสำหรับความช่วยเหลือจาก Kirin (@Pwnrin)

Wallet

เราขอขอบคุณสำหรับความช่วยเหลือจาก James Duffy (mangoSecure)

WebRTC

เราขอขอบคุณสำหรับความช่วยเหลือจาก Dohyun Lee (@l33d0hyun) จาก PK Security และนักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 21 ธันวาคม 2023

Wi-Fi

เราขอขอบคุณสำหรับความช่วยเหลือจาก Adam M.

อัปเดตรายการเมื่อวันที่ 21 ธันวาคม 2023

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: 3 มกราคม 2567