เกี่ยวกับเนื้อหาความปลอดภัยของ macOS Sonoma 14.4

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ macOS Sonoma 14.4

เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือรายการอัปเดตออกมาแล้ว รายการที่เผยแพร่ล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

macOS Sonoma 14.4

เปิดตัวเมื่อวันที่ 7 มีนาคม 2024

Accessibility

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปที่ประสงค์ร้ายอาจสามารถดูข้อมูลผู้ใช้ในรายการบันทึกที่เกี่ยวกับการแจ้งเตือนการช่วยการเข้าถึงได้

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลส่วนตัวสำหรับรายการล็อกให้ดียิ่งขึ้น

CVE-2024-23291

Admin Framework

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจสามารถเข้าถึงสิทธิ์ในระดับที่สูงขึ้น

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2024-23276: Kirin (@Pwnrin)

AirPort

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น

CVE-2024-23227: Brian McNulty

AppKit

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปที่ไม่ได้รับสิทธิพิเศษอาจสามารถบันทึกการกดปุ่มคีย์บอร์ดในแอปอื่นๆ รวมถึงแอปที่ใช้การป้อนข้อมูลอย่างปลอดภัย

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น

CVE-2024-27886: Stephan Casas และนักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 29 กรกฎาคม 2024

AppleMobileFileIntegrity

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: สิทธิ์และสิทธิ์อนุญาตความเป็นส่วนตัวที่มอบให้แอปนี้อาจถูกใช้โดยแอปที่ประสงค์ร้าย

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2024-23233: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

คำอธิบาย: ปัญหาการดาวน์เกรดที่ส่งผลกระทบต่อคอมพิวเตอร์ Mac ที่ใช้ Intel ได้รับการแก้ไขแล้วด้วยข้อจำกัดการเซ็นโค้ดเพิ่มเติม

CVE-2024-23269: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจสามารถเข้าถึงสิทธิ์ในระดับที่สูงขึ้น

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการนำรหัสที่มีความเสี่ยงออก

CVE-2024-23288: Wojciech Regula จาก SecuRing (wojciechregula.blog) และ Kirin (@Pwnrin)

Bluetooth

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถแทรกการกดปุ่มคียบอร์ดได้โดยการปลอมแปลงคีย์บอร์ด

CVE-2024-23277: Marc Newlin จาก SkySafe

ColorSync

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: การประมวลผลไฟล์อาจทำให้แอปหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

CVE-2024-23247: m4yfly กับ TianGong Team จาก Legendsec at Qi'anxin Group

ColorSync

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: การประมวลผลไฟล์อาจทำให้เกิด Denial of Service หรืออาจเปิดเผยคอนเทนต์ในหน่วยความจำได้

CVE-2024-23248: m4yfly กับ TianGong Team จาก Legendsec at Qi'anxin Group

CVE-2024-23249: m4yfly กับ TianGong Team จาก Legendsec at Qi'anxin Group

CoreBluetooth - LE

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจสามารถเข้าถึงไมโครโฟนที่เชื่อมผ่านบลูทูธอยู่ได้โดยไม่ได้รับอนุญาตจากผู้ใช้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงข้อจำกัดการเข้าถึงให้ดียิ่งขึ้น

CVE-2024-23250: Guilherme Rambo จาก Best Buddy Apps (rambo.codes)

Disk Images

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจสามารถทะลุผ่าน Sandbox ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2024-23299: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 29 พฤษภาคม 2024

Dock

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปจากบัญชีผู้ใช้มาตรฐานอาจสามารถเลื่อนระดับสิทธิ์ได้หลังจากที่มีการเข้าสู่ระบบโดยผู้ใช้ที่เป็นผู้ดูแลระบบ

CVE-2024-23244: Csaba Fitzl (@theevilbit) จาก OffSec

ExtensionKit

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

CVE-2024-23205

file

มีให้สำหรับ: macOS Sonoma

CVE-2022-48554

Find My

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถเข้าถึงข้อมูล Find My ได้

CVE-2024-23229: Joshua Jewett (@JoshJewett33)

เพิ่มรายการเมื่อวันที่ 13 พฤษภาคม 2024

Foundation

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

CVE-2024-27789: Mickey Jin (@patch1t)

เพิ่มรายการเมื่อวันที่ 13 พฤษภาคม 2024

Image Capture

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจเข้าถึงคลังรูปภาพของผู้ใช้ได้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2024-23253: Mickey Jin (@patch1t)

Image Processing

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจสามารถรันโค้ดโดยพลการภายใต้สิทธิ์เคอร์เนลได้

CVE-2024-23270: นักวิจัยนิรนาม

ImageIO

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: การประมวลผลภาพอาจส่งผลให้มีการเปิดเผยข้อมูลของหน่วยความจำของการประมวลผล

CVE-2024-23257: Junsung Lee ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

ImageIO

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: การประมวลผลภาพอาจทำให้มีการรันโค้ดโดยพลการ

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบความถูกต้องของอินพุตให้ดียิ่งขึ้น

CVE-2024-23258: Zhenjiang Zhao จาก pangu team, Qianxin และ Amir Bazine และ Karsten König จาก CrowdStrike Counter Adversary Operations

อัปเดตรายการเมื่อวันที่ 29 พฤษภาคม 2024

ImageIO

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: การประมวลผลภาพอาจทำให้มีการรันโค้ดโดยพลการ

คำอธิบาย: ปัญหา Buffer Overflow ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2024-23286: Junsung Lee ซึ่งทำงานร่วมกับ Trend Micro Zero Day Initiative, Amir Bazine และ Karsten König จาก CrowdStrike Counter Adversary Operations, Dohyun Lee (@l33d0hyun) และ Lyutoon และ Mr.R

อัปเดตรายการเมื่อวันที่ 29 พฤษภาคม 2024

Intel Graphics Driver

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจสามารถรันโค้ดโดยพลการภายใต้สิทธิ์เคอร์เนลได้

คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2024-23234: Murray Mike

Kerberos v5 PAM module

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

CVE-2024-23266: Pedro Tôrres (@t0rr3sp3dr0)

Kernel

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม

CVE-2024-23235

Kernel

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรือมีการเขียนข้อมูลหน่วยความจำเคอร์เนล

คำอธิบาย: ช่องโหว่ด้านหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการล็อคให้ดียิ่งขึ้น

CVE-2024-23265: Xinru Chi จาก Pangu Lab

Kernel

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: ผู้โจมตีที่มีความสามารถในการอ่านและการเขียนข้อมูลเคอร์เนลโดยพลการอาจสามารถบายพาสการปกป้องข้อมูลหน่วยความจำเคอร์เนลได้ Apple รับทราบถึงรายงานที่แจ้งว่ามีการตั้งใจใช้ประโยชน์จากปัญหานี้

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2024-23225

libarchive

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: ไฟล์ ZIP เก็บถาวรที่ออกแบบมาเพื่อประสงค์ร้ายอาจบายพาสการตรวจสอบ Gatekeeper

CVE-2024-27853: koocola

เพิ่มรายการเมื่อวันที่ 29 กรกฎาคม 2024

libxpc

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจสามารถทะลุผ่าน Sandbox ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2024-23278: นักวิจัยที่ไม่เปิดเผยชื่อ

libxpc

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการจาก Sandbox หรือด้วยสิทธิ์ขั้นสูงบางอย่าง

CVE-2024-0258: ali yabuz

MediaRemote

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงข้อมูลส่วนตัวของรายการบันทึก

CVE-2024-23279: นักวิจัยนิรนาม

Messages

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการไฟล์ชั่วคราว

CVE-2024-23287: Kirin (@Pwnrin)

Metal

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปพลิเคชันอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2024-23264: Meysam Firouzi @R00tkitsmm ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

Music

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจสร้าง symlink ไปยังพื้นที่ของดิสก์ที่ได้รับการป้องกันได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการ symlinks ให้ดียิ่งขึ้น

CVE-2024-23285: @08Tc3wBB จาก Jamf

Music

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

CVE-2024-27809: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 29 กรกฎาคม 2024

Notes

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

CVE-2024-23283

NSSpellChecker

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาการจัดการพาธได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2024-27887: Mickey Jin (@patch1t)

เพิ่มรายการเมื่อวันที่ 29 กรกฎาคม 2024

OpenSSH

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: มีปัญหาหลายประการใน OpenSSH

คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วโดยการอัปเดตเป็น OpenSSH 9.6

CVE-2023-48795

CVE-2023-51384

CVE-2023-51385

PackageKit

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2022-42816: Mickey Jin (@patch1t)

PackageKit

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจเขียนทับไฟล์ได้โดยพลการ

CVE-2024-23216: Pedro Tôrres (@t0rr3sp3dr0)

PackageKit

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวบางอย่างได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2024-23267: Mickey Jin (@patch1t)

PackageKit

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจสามารถเข้าถึงสิทธิ์ในระดับที่สูงขึ้น

คำอธิบาย: ปัญหาการป้อนข้อมูลได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2024-23268: Mickey Jin (@patch1t), Pedro Tôrres (@t0rr3sp3dr0)

CVE-2024-23274: Bohdan Stasiuk (@Bohdan_Stasiuk)

PackageKit

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

CVE-2023-42853: Mickey Jin (@patch1t)

PackageKit

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่มีการปกป้องของผู้ใช้ได้

CVE-2024-23275: Mickey Jin (@patch1t)

PackageKit

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการลบรหัสที่มีความเสี่ยงและการเพิ่มการตรวจสอบเพิ่มเติม

CVE-2024-27888: Mickey Jin (@patch1t)

เพิ่มรายการเมื่อวันที่ 29 กรกฎาคม 2024

Photos

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: อาจมีการดูรูปภาพในอัลบั้มรูปภาพที่ซ่อนอยู่ได้โดยไม่ต้องมีการตรวจสอบสิทธิ์

คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2024-23255: Harsh Tyagi

QuartzCore

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: การประมวลผลอินพุตที่ประสงค์ร้ายอาจทำให้มีการรันโค้ด

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการนำรหัสที่มีความเสี่ยงออก

CVE-2024-23294: Wojciech Regula จาก SecuRing (wojciechregula.blog)

RTKit

มีให้สำหรับ: macOS Sonoma

CVE-2024-23296

Safari

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้เกิดการปฏิเสธการให้บริการ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2024-23259: Lyra Rebane (rebane2001)

Safari Private Browsing

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: อาจมีการเข้าถึงแถบ ท่องเว็บแบบส่วนตัว โดยไม่มีการตรวจสอบสิทธิ์

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2024-23273: Matej Rabzelj

Sandbox

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจสามารถแก้ไขตัวแปร NVRAM ได้

CVE-2024-23238

Sandbox

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจทำให้ข้อมูลที่ละเอียดอ่อนของผู้ใช้รั่วไหลได้

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2024-23239: Mickey Jin (@patch1t)

Sandbox

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

CVE-2024-23290: Wojciech Regula จาก SecuRing (wojciechregula.blog)

Screen Capture

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจสามารถจับภาพหน้าจอของผู้ใช้ได้

CVE-2024-23232: Yiğit Can YILMAZ (@yilmazcanyigit)

Share Sheet

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

CVE-2024-23231: Kirin (@Pwnrin) และ luckyu (@uuulucky)

SharedFileList

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการไฟล์

CVE-2024-23230: Mickey Jin (@patch1t)

Shortcuts

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: คำสั่งลัดของบริษัทอื่นอาจสามารถใช้การทำงานเก่าจาก Automator เพื่อส่งกิจกรรมไปยังแอปได้โดยไม่ได้รับความยินยอมจากผู้ใช้

คำอธิบาย ปัญหาได้รับการแก้ไขโดยเพิ่มการแจ้งเพิ่มเติมเพื่อขอความยินยอมจากผู้ใช้

CVE-2024-23245: นักวิจัยนิรนาม

Shortcuts

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจสามารถเข้าถึงข้อมูลเกี่ยวกับรายชื่อติดต่อของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกป้องข้อมูลให้ดียิ่งขึ้น

CVE-2024-23292: K宝 และ LFY@secsys จาก Fudan University

Siri

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: ผู้ที่สามารถเข้าใช้งานตัวเครื่องของอุปกรณ์อาจสามารถใช้ Siri เพื่อเข้าถึงข้อมูลปฏิทินส่วนตัวได้

คำอธิบาย: ปัญหาหน้าจอล็อคได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2024-23289: Lewis Hardy

Siri

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: ผู้โจมตีที่สามารถเข้าถึงตัวเครื่องอาจสามารถใช้ Siri เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

CVE-2024-23293: Bistrit Dahal

Spotlight

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจทำให้ข้อมูลที่ละเอียดอ่อนของผู้ใช้รั่วไหลได้

CVE-2024-23241

Storage Services

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: ผู้โจมตีอาจเข้าถึงส่วนที่มีการป้องกันของระบบไฟล์ได้

CVE-2024-23272: Mickey Jin (@patch1t)

อัปเดตรายการเมื่อวันที่ 13 พฤษภาคม 2024

Synapse

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจสามารถดูข้อมูลของแอปเมลได้

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการไม่บันทึกเนื้อหาของช่องข้อความ

CVE-2024-23242

System Settings

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

CVE-2024-23281: Joshua Jewett (@JoshJewett33)

TCC

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย ปัญหานี้ได้รับการแก้ไขแล้วโดยการเพิ่มข้อความแจ้งเพื่อขอความยินยอมจากผู้ใช้

CVE-2024-27792: Mickey Jin (@patch1t)

เพิ่มรายการเมื่อวันที่ 29 พฤษภาคม 2024

Time Zone

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: ผู้โจมตีอาจอ่านข้อมูลของผู้ใช้รายอื่นได้

CVE-2024-23261: Matthew Loewen

เพิ่มรายการเมื่อวันที่ 29 กรกฎาคม 2024

TV App

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการนำสิทธิ์เพิ่มเติมออก

CVE-2024-23260: Joshua Jewett (@JoshJewett33)

UIKit

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจสามารถทะลุผ่าน Sandbox ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการนำรหัสที่มีความเสี่ยงออก

CVE-2024-23246: Deutsche Telekom Security GmbH ที่สนับสนุนโดย Bundesamt für Sicherheit in der Informationstechnik

WebKit

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้มีการรันโค้ดโดยพลการ

WebKit Bugzilla: 259694

CVE-2024-23226: Pwn2car

WebKit

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: เว็บไซต์ที่ประสงค์ร้ายอาจลักลอบถอนข้อมูลเสียงข้ามต้นทาง

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการ UI ให้ดียิ่งขึ้น

WebKit Bugzilla: 263795

CVE-2024-23254: James Lee (@Windowsrcer)

WebKit

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจป้องกันไม่ให้บังคับใช้นโยบายความปลอดภัยคอนเทนต์

WebKit Bugzilla: 264811

CVE-2024-23263: Johan Carlsson (joaxcar)

WebKit

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: หน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจสามารถสร้างเอกลักษณ์ที่ใช้ยืนยันตัวตนของผู้ใช้ได้

คำอธิบาย: ปัญหาการป้อนได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

WebKit Bugzilla: 266703

CVE-2024-23280: นักวิจัยนิรนาม

WebKit

มีให้สำหรับ: macOS Sonoma

WebKit Bugzilla: 267241

CVE-2024-23284: Georg Felber และ Marco Squarcina

คำขอบคุณพิเศษ

AppKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก Stephan Casas และนักวิจัยนิรนาม

อัปเดตรายการเมื่อวันที่ 29 พฤษภาคม 2024

CoreAnimation

เราขอขอบคุณสำหรับความช่วยเหลือจาก Junsung Lee

CoreMotion

เราขอขอบคุณสำหรับความช่วยเหลือจาก Eric Dorphy จาก Twin Cities App Dev LLC

Endpoint Security

เราขอขอบคุณสำหรับความช่วยเหลือจาก Matthew White

Find My

เราขอขอบคุณสำหรับความช่วยเหลือจาก Meng Zhang (鲸落) จาก NorthSea

Kernel

เราขอขอบคุณสำหรับความช่วยเหลือจาก Tarek Joumaa (@tjkr0wn) และ 이준성(Junsung Lee)

libxml2

เราขอขอบคุณสำหรับความช่วยเหลือจาก OSS-Fuzz และ Ned Williamson จาก Google Project Zero

libxpc

เราขอขอบคุณสำหรับความช่วยเหลือจาก Rasmus Sten, F-Secure (Mastodon: @pajp@blog.dll.nu) และนักวิจัยนิรนาม

Model I/O

เราขอขอบคุณสำหรับความช่วยเหลือจาก Junsung Lee

Photos

เราขอขอบคุณสำหรับความช่วยเหลือจาก Abhay Kailasia (@abhay_kailasia) จาก Lakshmi Narain College Of Technology Bhopal

Power Management

เราขอขอบคุณสำหรับความช่วยเหลือจาก Pan ZhenPeng (@Peterpan0927) จาก STAR Labs SG Pte Ltd.

Safari

เราขอขอบคุณสำหรับความช่วยเหลือจาก Abhinav Saraswat, Matthew C และ 이동하 ( Lee Dong Ha จาก ZeroPointer Lab )

Sandbox

เราขอขอบคุณสำหรับความช่วยเหลือจาก Wojciech Regula จาก SecuRing (wojciechregula.blog) และ Zhongquan Li (@Guluisacat)

เพิ่มรายการเมื่อวันที่ 29 กรกฎาคม 2024

SharedFileList

เราขอขอบคุณสำหรับความช่วยเหลือจาก Phil Schneider จาก Canva

Shortcuts

เราขอขอบคุณสำหรับความช่วยเหลือจาก Yusuf Kelany

เพิ่มรายการเมื่อวันที่ 29 กรกฎาคม 2024

Siri

เราขอขอบคุณสำหรับความช่วยเหลือจาก Bistrit Dahal

Storage Driver

เราขอขอบคุณสำหรับความช่วยเหลือจาก Liang Wei จาก PixiePoint Security

SystemMigration

เราขอขอบคุณสำหรับความช่วยเหลือจาก Eugene Gershnik

TCC

เราขอขอบคุณสำหรับความช่วยเหลือจาก Mickey Jin (@patch1t)

WebKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก Nan Wang (@eternalsakura13) จาก 360 Vulnerability Research Institute, Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina และ Lorenzo Veronese จาก TU Wien

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: 13 สิงหาคม 2567