เกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Ventura 13.6.3

เอกสารนี้อธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Ventura 13.6.3

เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือรายการอัปเดตออกมาแล้ว รายการที่เผยแพร่ล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

macOS Ventura 13.6.3

วันที่เผยแพร่ 11 ธันวาคม 2023

Accounts

พร้อมให้ใช้งานสำหรับ: macOS Ventura

ผลกระทบ: แอปอาจสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงข้อมูลส่วนตัวของรายการบันทึก

CVE-2023-42919: Kirin (@Pwnrin)

AppleEvents

พร้อมให้ใช้งานสำหรับ: macOS Ventura

ผลกระทบ: แอปอาจสามารถเข้าถึงข้อมูลเกี่ยวกับผู้ติดต่อของผู้ใช้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น

CVE-2023-42894: Noah Roskin-Frazee และ Prof. J. (ZeroClicks.ai Lab)

Archive Utility

พร้อมให้ใช้งานสำหรับ: macOS Ventura

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2023-42924: Mickey Jin (@patch1t)

Assets

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

คำอธิบาย: ปัญหาได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการไฟล์ชั่วคราว

CVE-2023-42896: Mickey Jin (@patch1t)

เพิ่มรายการเมื่อวันที่ 22 มีนาคม 2024

Automation

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปที่มีสิทธิ์ระดับรูทอาจสามารถเข้าถึงข้อมูลส่วนบุคคลได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2023-42952: Zhipeng Huo (@R3dF09) จาก Tencent Security Xuanwu Lab (xlab.tencent.com)

เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024

AVEVideoEncoder

พร้อมให้ใช้งานสำหรับ: macOS Ventura

ผลกระทบ: แอปอาจเปิดเผยหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น

CVE-2023-42884: นักวิจัยที่ไม่ระบุชื่อ

CoreServices

พร้อมให้ใช้งานสำหรับ: macOS Ventura

ผลกระทบ: ผู้ใช้อาจสามารถทำให้แอปหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2023-42886: Koh M. Nakagawa (@tsunek0h)

DiskArbitration

มีให้สำหรับ: macOS Ventura

ผลกระทบ: กระบวนการอาจได้รับสิทธิ์ผู้ดูแลระบบ โดยไม่มีการรับรองความถูกต้องอย่างเหมาะสม

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2023-42931: Yann GASCUEL จาก Alter Solutions

เพิ่มรายการเมื่อวันที่ 22 มีนาคม 2024

FileURL

มีให้สำหรับ: macOS Ventura

ผลกระทบ: ผู้โจมตีเฉพาะที่อาจสามารถยกระดับสิทธิ์ของตนได้

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2023-42892: Anthony Cruz @App Tyrant Corp

เพิ่มรายการเมื่อวันที่ 22 มีนาคม 2024

Find My

พร้อมให้ใช้งานสำหรับ: macOS Ventura

ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น

CVE-2023-42922: Wojciech Regula จาก SecuRing (wojciechregula.blog)

Find My

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการไฟล์

CVE-2023-42834: Csaba Fitzl (@theevilbit) จาก Offensive Security

เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024

ImageIO

พร้อมให้ใช้งานสำหรับ: macOS Ventura

ผลกระทบ: การประมวลผลภาพอาจทำให้มีการรันโค้ดโดยพลการ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

CVE-2023-42899: Meysam Firouzi @R00tkitSMM และ Junsung Lee

IOKit

พร้อมให้ใช้งานสำหรับ: macOS Ventura

ผลกระทบ: แอปอาจสามารถติดตามการกดปุ่มโดยไม่ได้รับอนุญาตจากผู้ใช้

คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2023-42891: นักวิจัยนิรนาม

IOUSBDeviceFamily

มีให้สำหรับ macOS Ventura

ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2023-42974: Pan ZhenPeng (@Peterpan0927) จาก STAR Labs SG Pte. Ltd.

เพิ่มรายการเมื่อวันที่ 22 มีนาคม 2024

Kernel

พร้อมให้ใช้งานสำหรับ: macOS Ventura

ผลกระทบ: แอปอาจสามารถทะลุผ่าน Sandbox ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) จาก Synacktiv (@Synacktiv)

Libsystem

มีให้สำหรับ macOS Ventura

ผลกระทบ: แอปอาจสามารถเข้าถึงข้อมูลที่มีการปกป้องของผู้ใช้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการลบรหัสที่มีความเสี่ยงและการเพิ่มการตรวจสอบเพิ่มเติม

CVE-2023-42893

เพิ่มรายการเมื่อวันที่ 22 มีนาคม 2024

Model I/O

มีให้สำหรับ: macOS Ventura

ผลกระทบ: การประมวลผลภาพอาจส่งผลให้เกิดปัญหาการปฏิเสธการให้บริการ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการนำรหัสที่มีความเสี่ยงออก

CVE-2023-3618

เพิ่มรายการเมื่อวันที่ 22 มีนาคม 2024

ncurses

พร้อมให้ใช้งานสำหรับ: macOS Ventura

ผลกระทบ: ผู้ใช้ระยะไกลอาจทำให้แอปหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2020-19185

CVE-2020-19186

CVE-2020-19187

CVE-2020-19188

CVE-2020-19189

CVE-2020-19190

quarantine

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการจากแซนด์บ็อกซ์หรือด้วยสิทธิ์ขั้นสูงบางอย่าง

คำอธิบาย: ปัญหาการเข้าถึงได้รับการแก้ไขแล้วด้วยการปรับปรุง Sandbox ให้ดียิ่งขึ้น

CVE-2023-42838: Yiğit Can YILMAZ (@yilmazcanyigit) และ Csaba Fitzl (@theevilbit) จาก Offensive Security

เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024

Sandbox

มีให้สำหรับ macOS Ventura

ผลกระทบ: ผู้โจมตีอาจสามารถเข้าถึงไดรฟ์ข้อมูลเครือข่ายที่เชื่อมต่อซึ่งติดตั้งอยู่ในโฮมไดเรกทอรีได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2023-42836: Yiğit Can YILMAZ (@yilmazcanyigit)

เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024

Sandbox

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น

CVE-2023-42936

เพิ่มรายการเมื่อวันที่ 22 มีนาคม 2024

Shell

มีให้สำหรับ: macOS Ventura

ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2023-42930: Arsenii Kostromin (0x3c3e)

เพิ่มรายการเมื่อวันที่ 22 มีนาคม 2024

TCC

พร้อมให้ใช้งานสำหรับ: macOS Ventura

ผลกระทบ: แอปอาจสามารถเข้าถึงข้อมูลที่มีการปกป้องของผู้ใช้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2023-42932: Zhongquan Li (@Guluisacat)

TCC

พร้อมให้ใช้งานสำหรับ: macOS Ventura

ผลกระทบ: แอปอาจสามารถทะลุผ่าน Sandbox ได้

คำอธิบาย: ปัญหาการจัดการพาธได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2023-42947: Zhongquan Li (@Guluisacat) จาก Dawn Security Lab ของ JingDong

เพิ่มรายการเมื่อวันที่ 22 มีนาคม 2024

Vim

พร้อมให้ใช้งานสำหรับ: macOS Ventura

ผลกระทบ: การเปิดไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการอัปเดตเป็น Vim เวอร์ชั่น 9.0.1969

CVE-2023-5344

 

คำขอบคุณพิเศษ

Preview

เราขอขอบคุณสำหรับความช่วยเหลือจาก Akshay Nagpal

เพิ่มรายการเมื่อวันที่ 16 กุมภาพันธ์ 2024

 

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: