เกี่ยวกับเนื้อหาความปลอดภัยของ macOS Monterey 12.7.4

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ macOS Monterey 12.7.4

เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือรายการอัปเดตออกมาแล้ว รายการที่เผยแพร่ล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

macOS Monterey 12.7.4

เปิดตัวเมื่อวันที่ 7 มีนาคม 2024

Admin Framework

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปอาจสามารถเข้าถึงสิทธิ์ในระดับที่สูงขึ้น

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2024-23276: Kirin (@Pwnrin)

AirPort

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น

CVE-2024-23227: Brian McNulty

AppleMobileFileIntegrity

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

คำอธิบาย: ปัญหาการดาวน์เกรดที่ส่งผลกระทบต่อคอมพิวเตอร์ Mac ที่ใช้ Intel ได้รับการแก้ไขแล้วด้วยข้อจำกัดการลงนามโค้ดเพิ่มเติม

CVE-2024-23269: Mickey Jin (@patch1t)

ColorSync

มีให้สำหรับ: macOS Monterey

ผลกระทบ: การประมวลผลไฟล์อาจทำให้แอปหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

CVE-2024-23247: m4yfly กับ TianGong Team จาก Legendsec at Qi'anxin Group

CoreCrypto

มีให้สำหรับ: macOS Monterey

ผลกระทบ: ผู้โจมตีอาจสามารถถอดรหัส Ciphertext RSA PKCS#1 v1.5 รุ่นเก่าได้โดยไม่ต้องมีกุญแจส่วนตัว

คำอธิบาย: ปัญหาการโจมตีช่องทางด้านข้างแบบกำหนดเวลาได้รับการแก้ไขด้วยการปรับปรุงการคำนวณเวลาแบบคงที่ในฟังก์ชันการเข้ารหัส

CVE-2024-23218: Clemens Lang

Disk Images

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปอาจสามารถทะลุผ่าน Sandbox ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2024-23299: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 29 พฤษภาคม 2024

Dock

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปจากบัญชีผู้ใช้มาตรฐานอาจสามารถยกระดับสิทธิ์ได้หลังจากเข้าสู่ระบบผู้ใช้ที่เป็นผู้ดูแลระบบ

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น

CVE-2024-23244: Csaba Fitzl (@theevilbit) จาก OffSec

Image Processing

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

CVE-2024-23270: นักวิจัยนิรนาม

ImageIO

มีให้สำหรับ: macOS Monterey

ผลกระทบ: การประมวลผลภาพอาจทำให้มีการรันโค้ดโดยพลการ

คำอธิบาย: ปัญหา Buffer Overflow ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2024-23286: Junsung Lee ซึ่งทำงานร่วมกับ Trend Micro Zero Day Initiative, Amir Bazine และ Karsten König จาก CrowdStrike Counter Adversary Operations, Dohyun Lee (@l33d0hyun) และ Lyutoon และ Mr.R

อัปเดตรายการเมื่อวันที่ 29 พฤษภาคม 2024

ImageIO

มีให้สำหรับ: macOS Monterey

ผลกระทบ: การประมวลผลภาพอาจส่งผลให้มีการเปิดเผยข้อมูลของหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

CVE-2024-23257: Junsung Lee ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

Intel Graphics Driver

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล

คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2024-23234: Murray Mike

Kerberos v5 PAM module

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2024-23266: Pedro Tôrres (@t0rr3sp3dr0)

Kernel

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปอาจทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรือมีการเขียนข้อมูลหน่วยความจำเคอร์เนล

คำอธิบาย: ช่องโหว่ด้านหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการล็อคให้ดียิ่งขึ้น

CVE-2024-23265: Xinru Chi จาก Pangu Lab

Kernel

มีให้สำหรับ: macOS Monterey

ผลกระทบ: ผู้โจมตีที่มีความสามารถในการอ่านและการเขียนข้อมูลเคอร์เนลโดยพลการอาจสามารถบายพาสการป้องกันหน่วยความจำเคอร์เนลได้ Apple รับทราบถึงรายงานที่แจ้งว่ามีการตั้งใจใช้ประโยชน์จากปัญหานี้

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2024-23225

libxpc

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปอาจทำให้เกิด Denial of Service ได้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2024-23201: Koh M. Nakagawa จาก FFRI Security, Inc. และนักวิจัยนิรนาม

MediaRemote

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น

CVE-2023-28826: Meng Zhang (鲸落) จาก NorthSea

Metal

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปพลิเคชันอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2024-23264: Meysam Firouzi @R00tkitsmm ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

Notes

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงข้อมูลส่วนตัวของรายการบันทึก

CVE-2024-23283

PackageKit

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปอาจสามารถเข้าถึงสิทธิ์ในระดับที่สูงขึ้น

คำอธิบาย: ปัญหาการป้อนข้อมูลได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2024-23274: Bohdan Stasiuk (@Bohdan_Stasiuk)

CVE-2024-23268: Mickey Jin (@patch1t) และ Pedro Tôrres (@t0rr3sp3dr0)

PackageKit

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปอาจสามารถเข้าถึงข้อมูลที่มีการปกป้องของผู้ใช้

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม

CVE-2024-23275: Mickey Jin (@patch1t)

PackageKit

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวบางอย่างได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2024-23267: Mickey Jin (@patch1t)

PackageKit

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปอาจเขียนทับไฟล์ได้โดยพลการ

คำอธิบาย: ปัญหาการจัดการพาธได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2024-23216: Pedro Tôrres (@t0rr3sp3dr0)

SharedFileList

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการไฟล์

CVE-2024-23230: Mickey Jin (@patch1t)

Shortcuts

มีให้สำหรับ: macOS Monterey

ผลกระทบ: คำสั่งลัดอาจสามารถใช้ข้อมูลสำคัญเพื่อดำเนินการบางอย่างโดยไม่แจ้งให้ผู้ใช้ทราบ

คำอธิบาย: ปัญหาได้รับการแก้ไขแล้วด้วยการตรวจสอบสิทธิ์อนุญาตเพิ่มเติม

CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)

Shortcuts

มีให้สำหรับ: macOS Monterey

ผลกระทบ: คำสั่งลัดของบริษัทอื่นอาจใช้การดำเนินการแบบเดิมจาก Automator เพื่อส่งเหตุการณ์ไปยังแอปโดยไม่ได้รับความยินยอมจากผู้ใช้

คำอธิบาย ปัญหาได้รับการแก้ไขโดยเพิ่มการแจ้งเพิ่มเติมเพื่อขอความยินยอมจากผู้ใช้

CVE-2024-23245: นักวิจัยนิรนาม

Storage Services

มีให้สำหรับ: macOS Monterey

ผลกระทบ: ผู้ใช้อาจเข้าถึงส่วนที่มีการป้องกันของระบบไฟล์ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2024-23272: Mickey Jin (@patch1t)

Transparency

มีให้สำหรับ: macOS Monterey

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการจำกัดการเข้าถึงคอนเทนเนอร์ของข้อมูลให้ดียิ่งขึ้น

CVE-2023-40389: Csaba Fitzl (@theevilbit) จาก Offensive Security และ Joshua Jewett (@JoshJewett33)

เพิ่มรายการเมื่อวันที่ 29 พฤษภาคม 2024

 

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: