เกี่ยวกับเนื้อหาความปลอดภัยของ macOS Sonoma 14.4

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ macOS Sonoma 14.4

เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือรายการอัปเดตออกมาแล้ว รายการที่เผยแพร่ล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

macOS Sonoma 14.4

เปิดตัวเมื่อวันที่ 7 มีนาคม 2024

Accessibility

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปที่เป็นอันตรายอาจสามารถดูข้อมูลของผู้ใช้ในรายการบันทึกที่เกี่ยวข้องกับการแจ้งเตือนคุณสมบัติการช่วยการเข้าถึงได้

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลส่วนตัวสำหรับรายการล็อกให้ดียิ่งขึ้น

CVE-2024-23291

Admin Framework

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจมีสิทธิ์ในระดับที่สูงขึ้นได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2024-23276: Kirin (@Pwnrin)

AirPort

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น

CVE-2024-23227: Brian McNulty

AppleMobileFileIntegrity

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: สิทธิ์และสิทธิ์อนุญาตความเป็นส่วนตัวที่มอบให้แอปนี้อาจถูกใช้โดยแอปที่ประสงค์ร้าย

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2024-23233: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

คําอธิบาย: ปัญหาการดาวน์เกรดที่ส่งผลกระทบต่อคอมพิวเตอร์ Mac ที่ใช้ Intel ได้รับการแก้ไขแล้วด้วยข้อจํากัดการเซ็นโค้ดเพิ่มเติม

CVE-2024-23269: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจมีสิทธิ์ในระดับที่สูงขึ้นได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการนำรหัสที่มีความเสี่ยงออก

CVE-2024-23288: Wojciech Regula จาก SecuRing (wojciechregula.blog) และ Kirin (@Pwnrin)

Bluetooth

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถแทรกการกดปุ่มคียบอร์ดได้โดยการปลอมแปลงคีย์บอร์ด

CVE-2024-23277: Marc Newlin จาก SkySafe

ColorSync

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: การประมวลผลไฟล์อาจทำให้แอปหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

CVE-2024-23247: m4yfly กับ TianGong Team จาก Legendsec at Qi'anxin Group

ColorSync

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: การประมวลผลไฟล์อาจทำให้เกิด Denial of Service หรืออาจเปิดเผยคอนเทนต์ในหน่วยความจำได้

CVE-2024-23248: m4yfly กับ TianGong Team จาก Legendsec at Qi'anxin Group

CVE-2024-23249: m4yfly กับ TianGong Team จาก Legendsec at Qi'anxin Group

CoreBluetooth - LE

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจสามารถเข้าถึงไมโครโฟนที่เชื่อมต่อผ่านบลูทูธได้โดยไม่ได้รับอนุญาตจากผู้ใช้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงข้อจำกัดการเข้าถึงให้ดียิ่งขึ้น

CVE-2024-23250: Guilherme Rambo จาก Best Buddy Apps (rambo.codes)

Dock

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปจากบัญชีผู้ใช้มาตรฐานอาจสามารถยกระดับสิทธิ์ได้หลังจากเข้าสู่ระบบผู้ใช้ที่เป็นผู้ดูแลระบบ

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น

CVE-2024-23244: Csaba Fitzl (@theevilbit) จาก OffSec

ExtensionKit

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงข้อมูลส่วนตัวของรายการบันทึก

CVE-2024-23205

file

มีให้สำหรับ: macOS Sonoma

CVE-2022-48554

Image Capture

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจเข้าถึงคลังรูปภาพของผู้ใช้ได้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2024-23253: Mickey Jin (@patch1t)

Image Processing

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจสามารถรันโค้ดโดยพลการภายใต้สิทธิ์เคอร์เนลได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2024-23270: นักวิจัยนิรนาม

ImageIO

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: การประมวลผลภาพอาจส่งผลให้มีการเปิดเผยข้อมูลของหน่วยความจำของการประมวลผล

CVE-2024-23257: Junsung Lee ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

ImageIO

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: การประมวลผลภาพอาจทำให้มีการรันโค้ดโดยพลการ

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบความถูกต้องของอินพุตให้ดียิ่งขึ้น

CVE-2024-23258: Zhenjiang Zhao จาก pangu team, Qianxin

ImageIO

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: การประมวลผลภาพอาจทำให้มีการรันโค้ดโดยพลการ

คำอธิบาย: ปัญหา Buffer Overflow ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2024-23286: Dohyun Lee (@l33d0hyun)

Intel Graphics Driver

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล

คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2024-23234: Murray Mike

Kerberos v5 PAM module

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

CVE-2024-23266: Pedro Tôrres (@t0rr3sp3dr0)

Kernel

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม

CVE-2024-23235

Kernel

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรือมีการเขียนข้อมูลหน่วยความจำเคอร์เนล

คำอธิบาย: ช่องโหว่ด้านหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการล็อคให้ดียิ่งขึ้น

CVE-2024-23265: Xinru Chi จาก Pangu Lab

Kernel

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: ผู้โจมตีที่มีความสามารถในการอ่านและการเขียนข้อมูลเคอร์เนลโดยพลการอาจสามารถบายพาสการป้องกันหน่วยความจำเคอร์เนลได้ Apple รับทราบถึงรายงานที่แจ้งว่ามีการตั้งใจใช้ประโยชน์จากปัญหานี้

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2024-23225

libxpc

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจสามารถทะลุผ่าน Sandbox ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2024-23278: นักวิจัยนิรนาม

libxpc

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการจากแซนด์บ็อกซ์หรือด้วยสิทธิ์ขั้นสูงบางอย่าง

CVE-2024-0258: ali yabuz

MediaRemote

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

CVE-2024-23279: นักวิจัยนิรนาม

Messages

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการไฟล์ชั่วคราว

CVE-2024-23287: Kirin (@Pwnrin)

Metal

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปพลิเคชันอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2024-23264: Meysam Firouzi @R00tkitsmm ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

Music

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจสร้าง symlink ไปยังพื้นที่ของดิสก์ที่ได้รับการป้องกันได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขโดยปรับปรุงการจัดการ symlinks

CVE-2024-23285: @08Tc3wBB จาก Jamf

Notes

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

CVE-2024-23283

OpenSSH

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: มีปัญหาหลายประการใน OpenSSH

คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วโดยการอัปเดตเป็น OpenSSH 9.6

CVE-2023-48795

CVE-2023-51384

CVE-2023-51385

PackageKit

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2022-42816: Mickey Jin (@patch1t)

PackageKit

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจเขียนทับไฟล์ได้โดยพลการ

คำอธิบาย: ปัญหาการจัดการพาธได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2024-23216: Pedro Tôrres (@t0rr3sp3dr0)

PackageKit

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวบางอย่างได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2024-23267: Mickey Jin (@patch1t)

PackageKit

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจมีสิทธิ์ในระดับที่สูงขึ้นได้

คำอธิบาย: ปัญหาการป้อนข้อมูลได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2024-23268: Mickey Jin (@patch1t), Pedro Tôrres (@t0rr3sp3dr0)

CVE-2024-23274: Bohdan Stasiuk (@Bohdan_Stasiuk)

PackageKit

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

CVE-2023-42853: Mickey Jin (@patch1t)

PackageKit

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่มีการปกป้องของผู้ใช้ได้

CVE-2024-23275: Mickey Jin (@patch1t)

Photos

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: อาจมีการดูรูปภาพในอัลบั้มรูปภาพที่ซ่อนอยู่ได้โดยไม่ต้องมีการตรวจสอบสิทธิ์

คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2024-23255: Harsh Tyagi

QuartzCore

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: การประมวลผลอินพุตที่ประสงค์ร้ายอาจทำให้มีการรันโค้ด

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการนำรหัสที่มีความเสี่ยงออก

CVE-2024-23294: Wojciech Regula จาก SecuRing (wojciechregula.blog)

RTKit

มีให้สำหรับ: macOS Sonoma

CVE-2024-23296

Safari

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้เกิด Denial of Service

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2024-23259: Lyra Rebane (rebane2001)

Safari Private Browsing

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: อาจมีการเข้าถึงแถบ ท่องเว็บแบบส่วนตัว โดยไม่มีการตรวจสอบสิทธิ์

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2024-23273: Matej Rabzelj

Sandbox

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจสามารถแก้ไขตัวแปร NVRAM ได้

CVE-2024-23238

Sandbox

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจทำให้ข้อมูลที่ละเอียดอ่อนของผู้ใช้รั่วไหลได้

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2024-23239: Mickey Jin (@patch1t)

Sandbox

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

CVE-2024-23290: Wojciech Regula จาก SecuRing (wojciechregula.blog)

Screen Capture

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจสามารถจับภาพหน้าจอของผู้ใช้ได้

CVE-2024-23232: Yiğit Can YILMAZ (@yilmazcanyigit)

Share Sheet

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

CVE-2024-23231: Kirin (@Pwnrin) และ luckyu (@uuulucky)

SharedFileList

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการไฟล์

CVE-2024-23230: Mickey Jin (@patch1t)

Shortcuts

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: คำสั่งลัดของบริษัทอื่นอาจใช้การดำเนินการแบบเดิมจาก Automator เพื่อส่งเหตุการณ์ไปยังแอปโดยไม่ได้รับความยินยอมจากผู้ใช้

คำอธิบาย ปัญหาได้รับการแก้ไขโดยเพิ่มการแจ้งเพิ่มเติมเพื่อขอความยินยอมจากผู้ใช้

CVE-2024-23245: นักวิจัยนิรนาม

Shortcuts

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจสามารถเข้าถึงข้อมูลเกี่ยวกับรายชื่อติดต่อของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกป้องข้อมูลให้ดียิ่งขึ้น

CVE-2024-23292: K宝 และ LFY@secsys จาก Fudan University

Siri

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: ผู้ที่สามารถเข้าใช้งานตัวเครื่องของอุปกรณ์อาจสามารถใช้ Siri เพื่อเข้าถึงข้อมูลปฏิทินส่วนตัวได้

คำอธิบาย: ปัญหาหน้าจอล็อคได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2024-23289: Lewis Hardy

Siri

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: ผู้โจมตีที่สามารถเข้าถึงตัวเครื่องอาจสามารถใช้ Siri เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

CVE-2024-23293: Bistrit Dahal

Spotlight

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจทำให้ข้อมูลที่ละเอียดอ่อนของผู้ใช้รั่วไหลได้

CVE-2024-23241

Storage Services

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: ผู้ใช้อาจเข้าถึงส่วนที่มีการป้องกันของระบบไฟล์ได้

CVE-2024-23272: Mickey Jin (@patch1t)

Synapse

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจสามารถดูข้อมูลของแอปเมลได้

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการไม่บันทึกเนื้อหาของช่องข้อความ

CVE-2024-23242

System Settings

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2024-23281: Joshua Jewett (@JoshJewett33)

TV App

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการนำสิทธิ์เพิ่มเติมออก

CVE-2024-23260: Joshua Jewett (@JoshJewett33)

UIKit

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: แอปอาจสามารถทะลุผ่าน Sandbox ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการนำรหัสที่มีความเสี่ยงออก

CVE-2024-23246: Deutsche Telekom Security GmbH สนับสนุนโดย Bundesamt für Sicherheit in der Informationstechnik

WebKit

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้มีการรันโค้ดโดยพลการ

WebKit Bugzilla: 259694
CVE-2024-23226: Pwn2car

WebKit

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: เว็บไซต์ที่ประสงค์ร้ายอาจลักลอบถอนข้อมูลเสียงข้ามต้นทาง

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการ UI ให้ดียิ่งขึ้น

WebKit Bugzilla: 263795
CVE-2024-23254: James Lee (@Windowsrcer)

WebKit

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจป้องกันไม่ให้บังคับใช้นโยบายความปลอดภัยคอนเทนต์

WebKit Bugzilla: 264811
CVE-2024-23263: Johan Carlsson (joaxcar)

WebKit

มีให้สำหรับ: macOS Sonoma

ผลกระทบ: หน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจสามารถสร้างเอกลักษณ์ที่ใช้ยืนยันตัวตนของผู้ใช้ได้

คำอธิบาย: ปัญหาการป้อนได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

WebKit Bugzilla: 266703
CVE-2024-23280: นักวิจัยนิรนาม

WebKit

มีให้สำหรับ: macOS Sonoma

WebKit Bugzilla: 267241
CVE-2024-23284: Georg Felber และ Marco Squarcina

คำขอบคุณพิเศษ

AppKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก Stephan Casas

CoreAnimation

เราขอขอบคุณสำหรับความช่วยเหลือจาก Junsung Lee

CoreMotion

เราขอขอบคุณสำหรับความช่วยเหลือจาก Eric Dorphy จาก Twin Cities App Dev LLC

Endpoint Security

เราขอขอบคุณสำหรับความช่วยเหลือจาก Matthew White

Find My

Matthew White Meng Zhang (鲸落) of NorthSea

Kernel

Matthew White Tarek Joumaa (@tjkr0wn) และ 이준성(Junsung Lee)

libarchive

เราขอขอบคุณสำหรับความช่วยเหลือจาก koocola

libxml2

เราขอขอบคุณสำหรับความช่วยเหลือจาก OSS-Fuzz และ Ned Williamson จาก Google Project Zero

libxpc

เราขอขอบคุณสำหรับความช่วยเหลือจาก Rasmus Sten, F-Secure (Mastodon: @pajp@blog.dll.nu) และนักวิจัยนิรนาม

Model I/O

เราขอขอบคุณสำหรับความช่วยเหลือจาก Junsung Lee

Photos

เราขอขอบคุณสำหรับความช่วยเหลือจาก Abhay Kailasia (@abhay_kailasia) จาก Lakshmi Narain College Of Technology Bhopal

Power Management

เราขอขอบคุณสำหรับความช่วยเหลือจาก Pan ZhenPeng (@Peterpan0927) จาก STAR Labs SG Pte. Ltd.

Safari

เราขอขอบคุณสำหรับความช่วยเหลือจาก Abhinav Saraswat, Matthew C และ 이동하 (Lee Dong Ha จาก ZeroPointer Lab)

SharedFileList

เราขอขอบคุณสำหรับความช่วยเหลือจาก Phil Schneider จาก Canva

Siri

เราขอขอบคุณสำหรับความช่วยเหลือจาก Bistrit Dahal

Storage Driver

เราขอขอบคุณสำหรับความช่วยเหลือจาก Liang Wei จาก PixiePoint Security

SystemMigration

เราขอขอบคุณสำหรับความช่วยเหลือจาก Eugene Gershnik

TCC

เราขอขอบคุณสำหรับความช่วยเหลือจาก Mickey Jin (@patch1t)

WebKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก Nan Wang (@eternalsakura13) จาก 360 Vulnerability Research Institute, Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina และ Lorenzo Veronese จาก TU Wien

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: 28 มีนาคม 2567