เกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Monterey 12.7.6
เอกสารฉบับนี้อธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Monterey 12.7.6
เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการเผยแพร่เกี่ยวกับความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
macOS Monterey 12.7.6
เผยแพร่เมื่อวันที่ 29 กรกฎาคม 2024
APFS
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจบายพาสการตั้งค่าความเป็นส่วนตัวได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการจำกัดการเข้าถึงคอนเทนเนอร์ของข้อมูลให้ดียิ่งขึ้น
CVE-2024-40783: Csaba Fitzl (@theevilbit) จาก Kandji
Apple Neural Engine
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2024-27826: Minghao Lin และ Ye Zhang (@VAR10CK) จาก Baidu Security
AppleMobileFileIntegrity
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจทำให้ข้อมูลที่ละเอียดอ่อนของผู้ใช้รั่วไหลได้
คำอธิบาย: ปัญหาการดาวน์เกรดได้รับการแก้ไขแล้วด้วยข้อจำกัดการลงนามโค้ดเพิ่มเติม
CVE-2024-40775: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวได้
คำอธิบาย: ปัญหาการดาวน์เกรดได้รับการแก้ไขแล้วด้วยข้อจำกัดการลงนามโค้ดเพิ่มเติม
CVE-2024-40774: Mickey Jin (@patch1t)
AppleVA
มีให้สำหรับ: macOS Monterey
ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิด Denial of Service หรืออาจเปิดเผยคอนเทนต์ในหน่วยความจำได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2024-27877: Michael DePlante (@izobashi) จาก Trend Micro Zero Day Initiative
CoreGraphics
มีให้สำหรับ: macOS Monterey
ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิด
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2024-40799: D4m0n
CoreMedia
มีให้สำหรับ: macOS Monterey
ผลกระทบ: การประมวลผลไฟล์วิดีโอที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบหยุดโดยไม่คาดคิดได้
คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2024-27873: Amir Bazine และ Karsten König จาก CrowdStrike Counter Adversary Operations
curl
มีให้สำหรับ: macOS Monterey
ผลกระทบ: มีปัญหาหลายประการใน curl
คำอธิบาย: นี่เป็นช่องโหว่ในโค้ดโอเพ่นซอร์สและซอฟต์แวร์ Apple ก็เป็นหนึ่งในโปรเจ็กต์ที่ได้รับผลกระทบ CVE-ID ได้รับการระบุโดยบุคคลภายนอก เรียนรู้เพิ่มเติมเกี่ยวกับปัญหาและ CVE-ID ได้ที่ cve.org
CVE-2024-2004
CVE-2024-2379
CVE-2024-2398
CVE-2024-2466
DesktopServices
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจเขียนทับไฟล์ได้โดยพลการ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2024-40827: นักวิจัยนิรนาม
Disk Management
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปที่เป็นอันตรายอาจสามารถได้รับสิทธิ์ในระดับราก
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2024-40828: Mickey Jin (@patch1t)
ImageIO
มีให้สำหรับ: macOS Monterey
ผลกระทบ: การประมวลผลภาพอาจส่งผลให้เกิดปัญหาการปฏิเสธการให้บริการ
คำอธิบาย: นี่เป็นช่องโหว่ในโค้ดโอเพ่นซอร์สและซอฟต์แวร์ Apple ก็เป็นหนึ่งในโปรเจ็กต์ที่ได้รับผลกระทบ CVE-ID ได้รับการระบุโดยบุคคลภายนอก เรียนรู้เพิ่มเติมเกี่ยวกับปัญหาและ CVE-ID ได้ที่ cve.org
CVE-2023-6277
CVE-2023-52356
ImageIO
มีให้สำหรับ: macOS Monterey
ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิด
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2024-40806: Yisumi
Kernel
มีให้สำหรับ: macOS Monterey
ผลกระทบ: ผู้โจมตีในระบบอาจทำให้ระบบปิดลงโดยไม่คาดคิด
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2024-40816: sqrtpwn
Kernel
มีให้สำหรับ: macOS Monterey
ผลกระทบ: ผู้โจมตีในระบบอาจทำให้ระบบปิดลงโดยไม่คาดคิด
คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2024-40788: Minghao Lin และ Jiaxun Zhu from Zhejiang University
Keychain Access
มีให้สำหรับ: macOS Monterey
ผลกระทบ: ผู้โจมตีอาจทำให้แอปหยุดทำงานโดยไม่คาดคิด
คำอธิบาย: ปัญหาความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2024-40803: Patrick Wardle จาก DoubleYou และ Objective-See Foundation
NetworkExtension
มีให้สำหรับ: macOS Monterey
ผลกระทบ: การท่องเว็บแบบส่วนตัวอาจทำให้ประวัติการท่องเว็บบางส่วนรั่วไหล
คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลส่วนตัวสำหรับรายการล็อกให้ดียิ่งขึ้น
CVE-2024-40796: Adam M.
OpenSSH
มีให้สำหรับ: macOS Monterey
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: นี่เป็นช่องโหว่ในโค้ดโอเพ่นซอร์สและซอฟต์แวร์ Apple ก็เป็นหนึ่งในโปรเจ็กต์ที่ได้รับผลกระทบ CVE-ID ได้รับการระบุโดยบุคคลภายนอก เรียนรู้เพิ่มเติมเกี่ยวกับปัญหาและ CVE-ID ได้ที่ cve.org
CVE-2024-6387
PackageKit
มีให้สำหรับ: macOS Monterey
ผลกระทบ: ผู้โจมตีเฉพาะที่อาจสามารถยกระดับสิทธิ์ของตนได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2024-40781: Mickey Jin (@patch1t)
CVE-2024-40802: Mickey Jin (@patch1t)
PackageKit
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2024-40823: Zhongquan Li (@Guluisacat) จาก Dawn Security Lab of JingDong
PackageKit
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้
คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด
CVE-2024-27882: Mickey Jin (@patch1t)
CVE-2024-27883: Csaba Fitzl (@theevilbit) จาก Kandji และ Mickey Jin (@patch1t)
Restore Framework
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้
คำอธิบาย: ปัญหาการตรวจสอบอินพุตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2024-40800: Claudio Bozzato และ Francesco Benvenuto จาก Cisco Talos
RTKit
มีให้สำหรับ: macOS Monterey
ผลกระทบ: ผู้โจมตีที่มีความสามารถในการอ่านและการเขียนข้อมูลเคอร์เนลโดยพลการอาจสามารถบายพาสการปกป้องข้อมูลหน่วยความจำเคอร์เนลได้ Apple รับทราบถึงรายงานที่แจ้งว่ามีการตั้งใจใช้ประโยชน์จากปัญหานี้
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2024-23296
Safari
มีให้สำหรับ: macOS Monterey
ผลกระทบ: การเข้าเว็บไซต์ที่มีเนื้อหาประสงค์ร้ายอาจทำให้เกิดการปลอมแปลง UI
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการ UI ให้ดียิ่งขึ้น
CVE-2024-40817: Yadhu Krishna M และ Narendra Bhati, ผู้จัดการ Cyber Security ที่ Suma Soft Pvt. Ltd, ปูเน่ - (อินเดีย)
Scripting Bridge
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจเข้าถึงข้อมูลเกี่ยวกับรายชื่อติดต่อของผู้ใช้ได้
คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลส่วนตัวสำหรับรายการล็อกให้ดียิ่งขึ้น
CVE-2024-27881: Kirin (@Pwnrin)
ความปลอดภัย
มีให้สำหรับ: macOS Monterey
ผลกระทบ: ส่วนขยายแอปของบริษัทอื่นอาจไม่ได้รับข้อจำกัดของ Sandbox ที่ถูกต้อง
คำอธิบาย: ปัญหาการเข้าถึงได้รับการแก้ไขแล้วด้วยข้อจำกัด Sandbox เพิ่มเติม
CVE-2024-40821: Joshua Jones
ความปลอดภัย
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจอ่านประวัติการท่องเว็บของ Safari ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น
CVE-2024-40798: Adam M.
Shortcuts
มีให้สำหรับ: macOS Monterey
ผลกระทบ: คำสั่งลัดอาจสามารถใช้ข้อมูลสำคัญเพื่อดำเนินการบางอย่างโดยไม่แจ้งให้ผู้ใช้ทราบ
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2024-40833: นักวิจัยนิรนาม
CVE-2024-40835: นักวิจัยนิรนาม
CVE-2024-40807: นักวิจัยนิรนาม
Shortcuts
มีให้สำหรับ: macOS Monterey
ผลกระทบ: คำสั่งลัดอาจบายพาสการตั้งค่าที่ละเอียดอ่อนในแอปคำสั่งลัดได้
คำอธิบาย ปัญหาได้รับการแก้ไขโดยเพิ่มการแจ้งเพิ่มเติมเพื่อขอความยินยอมจากผู้ใช้
CVE-2024-40834: Marcio Almeida จาก Tanto Security
Shortcuts
มีให้สำหรับ: macOS Monterey
ผลกระทบ: คำสั่งลัดอาจสามารถบายพาสข้อกำหนดสิทธิ์อินเทอร์เน็ตได้
คำอธิบาย ปัญหาได้รับการแก้ไขโดยเพิ่มการแจ้งเพิ่มเติมเพื่อขอความยินยอมจากผู้ใช้
CVE-2024-40787: นักวิจัยนิรนาม
Shortcuts
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการนำรหัสที่มีความเสี่ยงออก
CVE-2024-40793: Kirin (@Pwnrin)
Shortcuts
มีให้สำหรับ: macOS Monterey
ผลกระทบ: คำสั่งลัดอาจสามารถบายพาสข้อกำหนดสิทธิ์อินเทอร์เน็ตได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2024-40809: นักวิจัยนิรนาม
CVE-2024-40812: นักวิจัยนิรนาม
Siri
มีให้สำหรับ: macOS Monterey
ผลกระทบ: แอปที่อยู่ในแซนด์บ็อกซ์อาจสามารถเข้าถึงข้อมูลผู้ใช้ที่ละเอียดอ่อนในล็อกของระบบ
คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลส่วนตัวสำหรับรายการล็อกให้ดียิ่งขึ้น
CVE-2024-44205: Jiahui Hu (梅零落) และ Meng Zhang (鲸落) จาก NorthSea
เพิ่มรายการเมื่อ 15 ตุลาคม 2024
เขตเวลา
มีให้สำหรับ: macOS Monterey
ผลกระทบ: ผู้โจมตีอาจอ่านข้อมูลของผู้ใช้รายอื่นได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2024-23261: Matthew Loewen
คำขอบคุณพิเศษ
ตัวจับภาพ
เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม
Shortcuts
เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม