เกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Monterey 12.0.1

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Monterey 12.0.1

เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

macOS Monterey 12.0.1

เปิดตัวเมื่อวันที่ 25 ตุลาคม 2021

AppKit

มีให้สำหรับ: Mac Pro (ปี 2013 และใหม่กว่า), MacBook Air (ต้นปี 2015 และใหม่กว่า), MacBook Pro (ต้นปี 2015 และใหม่กว่า), Mac mini (ปลายปี 2014 และใหม่กว่า), iMac (ปลายปี 2015 และใหม่กว่า), MacBook (ต้นปี 2016 และใหม่กว่า), iMac Pro (ปี 2017 และใหม่กว่า)

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถยกระดับสิทธิ์ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2021-30873: Thijs Alkemade จาก Computest

AppleScript

ผลกระทบ: การประมวลผล AppleScript ไบนารี่ที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้แอปพลิเคชันหยุดโดยไม่คาดหมาย หรือเปิดเผยหน่วยความจําของการประมวลผล

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2021-30876: Jeremy Brown, hjy79425575

CVE-2021-30879: Jeremy Brown, hjy79425575

CVE-2021-30877: Jeremy Brown

CVE-2021-30880: Jeremy Brown

App Store

ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจสามารถเข้าถึง Apple ID ของผู้ใช้เครื่องได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงข้อจำกัดการเข้าถึงให้ดียิ่งขึ้น

CVE-2021-30994: Sergii Kryvoblotskyi จาก MacPaw Inc.

เพิ่มรายการเมื่อวันที่ 25 พฤษภาคม 2022

Audio

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถยกระดับสิทธิ์ได้

คำอธิบาย: ปัญหาจำนวนเต็มล้นได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2021-30907: Zweig จาก Kunlun Lab

Bluetooth

ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยพลการ

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2021-30899: Weiteng Chen, Zheng Zhang และ Zhiyun Qian จาก UC Riverside และ Yu Wang จาก Didi Research America

Bluetooth

ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจเปิดเผยหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2021-30931: Weiteng Chen, Zheng Zhang และ Zhiyun Qian จาก UC Riverside และ Yu Wang จาก Didi Research America

เพิ่มรายการเมื่อวันที่ 18 พฤศจิกายน 2021

bootp

ผลกระทบ: อุปกรณ์อาจถูกติดตามอย่างเงียบๆ ตามที่อยู่ WiFi MAC ของเครื่อง

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการลบข้อมูลที่อยู่ MAC ที่ออกอากาศ

CVE-2021-30866: Fabien Duchêne จาก UCLouvain (เบลเยียม)

เพิ่มรายการเมื่อวันที่ 18 พฤศจิกายน 2021

ColorSync

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีปัญหาหน่วยความจําเสียหายในการประมวลผลโปรไฟล์ ICC ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2021-30917: Alexandru-Vlad Niculae และ Mateusz Jurczyk จาก Google Project Zero

Continuity Camera

ผลกระทบ: ผู้โจมตีเฉพาะที่อาจสามารถทำให้แอปพลิเคชันหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาสตริงของรูปแบบที่ไม่สามารถควบคุมได้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2021-30903: นักวิจัยนิรนาม

อัปเดตรายการเมื่อวันที่ 25 พฤษภาคม 2022

CoreAudio

ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อทำอันตรายอาจเปิดเผยข้อมูลผู้ใช้

CVE-2021-30905: Mickey Jin (@patch1t) จาก Trend Micro

CoreGraphics

ผลกระทบ: การประมวลผลไฟล์ PDF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจนำไปสู่การใช้โค้ดโดยพลการ

คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2021-30919

Directory Utility

CVE-2020-9846: Wojciech Reguła (@_r3ggi)

เพิ่มรายการเมื่อวันที่ 31 มีนาคม 2022

FileProvider

ผลกระทบ: การเปิดข้อมูลเก็บถาวรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการตรวจสอบอินพุตได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2021-30881: Simon Huang (@HuangShaomang) และ pjf จาก IceSword Lab ของ Qihoo 360

File System

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการปรับปรุงการล็อคให้ดียิ่งขึ้น

CVE-2021-30923: Pan ZhenPeng (@Peterpan0927) จาก Alibaba Security

เพิ่มรายการเมื่อวันที่ 18 พฤศจิกายน 2021

FontParser

ผลกระทบ: การประมวลผลแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2021-30831: Xingwei Lin จาก Ant Security Light-Year Lab

เพิ่มรายการเมื่อวันที่ 18 พฤศจิกายน 2021

FontParser

ผลกระทบ: การประมวลผลไฟล์ dfont ที่จัดทำขึ้นด้วยประสงค์ร้ายอาจสามารถสั่งให้โค้ดทำงานโดยพลการ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2021-30840: Xingwei Lin จาก Ant Security Light-Year Lab

เพิ่มรายการเมื่อวันที่ 18 พฤศจิกายน 2021

Foundation

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2021-30852: Yinyi Wu (@3ndy1) จาก Ant Security Light-Year Lab

เพิ่มรายการเมื่อวันที่ 18 พฤศจิกายน 2021

Game Center

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถเข้าถึงข้อมูลเกี่ยวกับรายชื่อติดต่อของผู้ใช้ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น

CVE-2021-30895: Denis Tokarev

Game Center

ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจสามารถอ่านข้อมูลการเล่นเกมของผู้ใช้ได้

CVE-2021-30896: Denis Tokarev

Graphics Drivers

CVE-2021-30933: Jack Dates จาก RET2 Systems, Inc.

เพิ่มรายการเมื่อวันที่ 31 มีนาคม 2022

iCloud

ผลกระทบ: ผู้โจมตีเฉพาะที่อาจสามารถยกระดับสิทธิ์ของตนได้

CVE-2021-30906: Cees Elzinga

iCloud Photo Library

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถเข้าถึงเมตาดาต้าของรูปภาพได้โดยไม่ต้องมีสิทธิ์เข้าถึงรูปภาพ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบสิทธิ์ให้ดียิ่งขึ้น

CVE-2021-30867: Csaba Fitzl (@theevilbit) จาก Offensive Security

เพิ่มรายการเมื่อวันที่ 18 พฤศจิกายน 2021

ImageIO

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยพลการ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2021-30814: hjy79425575

เพิ่มรายการเมื่อวันที่ 18 พฤศจิกายน 2021

Intel Graphics Driver

คำอธิบาย: ปัญหาการเขียนข้อมูลนอกขอบเขตหลายรายการได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดีขึ้น

CVE-2021-30922: Jack Dates จาก RET2 Systems, Inc., Yinyi Wu (@3ndy1)

เพิ่มรายการเมื่อวันที่ 31 มีนาคม 2022

Intel Graphics Driver

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2021-30824: Antonio Zekic (@antoniozekic) จาก Diverto

Intel Graphics Driver

CVE-2021-30901: Zuozhi Fan (@pattern_F_) จาก Ant Security TianQiong Lab, Yinyi Wu (@3ndy1) จาก Ant Security Light-Year Lab, Jack Dates จาก RET2 Systems, Inc.

IOGraphics

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2021-30821: Tim Michaud (@TimGMichaud) จาก Zoom Video Communications

IOMobileFrameBuffer

ผลกระทบ: แอปพลิเคชันอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

CVE-2021-30883: นักวิจัยนิรนาม

Kernel

ผลกระทบ: ผู้โจมตีจากระยะไกลสามารถทำให้อุปกรณีรีสตาร์ทโดยไม่คาดคิด

คำอธิบาย: ปัญหาการปฏิเสธบริการได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2021-30924: Elaman Iskakov (@darling_x0r) จาก Effective และ Alexey Katkov (@watman27)

เพิ่มรายการเมื่อวันที่ 18 พฤศจิกายน 2021

Kernel

ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยพลการ

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2021-30886: @0xalsr

Kernel

ผลกระทบ: แอปพลิเคชันอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

CVE-2021-30909: Zweig จาก Kunlun Lab

Kernel

CVE-2021-30916: Zweig จาก Kunlun Lab

LaunchServices

ผลกระทบ: กระบวนการที่ถูกวางอยู่ใน Sandbox อาจสามารถหลีกเลี่ยงข้อจำกัดของ Sandbox ได้

CVE-2021-30864: Ron Hass (@ronhass7) จาก Perception Point

Login Window

ผลกระทบ: ผู้ที่สามารถเข้าใช้งาน Mac ที่เป็นโฮสต์อาจสามารถข้ามขั้นตอนหน้าต่างเข้าสู่ระบบใน Remote Desktop เพื่อเข้าสู่อินสแตนซ์ที่ล็อคเอาไว้ของ macOS

CVE-2021-30813: Benjamin Berger จาก BBetterTech LLC, Peter Goedtkindt จาก Informatique-MTF S.A., นักวิจัยนิรนาม

อัปเดตรายการเมื่อวันที่ 25 พฤษภาคม 2022

Managed Configuration

ผลกระทบ: ผู้ใช้ในตำแหน่งเครือข่ายที่มีสิทธิ์อาจทำให้ข้อมูลที่ละเอียดอ่อนรั่วไหลได้

CVE-2021-31011: Michal Moravec จาก Logicworks, s.r.o.

เพิ่มรายการเมื่อวันที่ 16 กันยายน 2022

Messages

ผลกระทบ: ข้อความของผู้ใช้อาจยังคงซิงค์ต่อไปหลังจากที่ผู้ใช้ลงชื่อออกจาก iMessage

คำอธิบาย: ปัญหาการซิงค์ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบสถานะ

CVE-2021-30904: Reed Meseck จาก IBM

เพิ่มรายการเมื่อวันที่ 18 พฤศจิกายน 2021

Model I/O

CVE-2021-30910: Mickey Jin (@patch1t) จาก Trend Micro

Model I/O

ผลกระทบ: การประมวลผลไฟล์ USD ที่ออกแบบมาโดยมีวัตถุประสงค์ร้ายอาจเปิดเผยคอนเทนต์หน่วยความจำ

CVE-2021-30911: Rui Yang และ Xingwei Lin จาก Ant Security Light-Year Lab

NetworkExtension

ผลกระทบ: การกําหนดค่า VPN อาจถูกติดตั้งโดยแอปโดยไม่ได้รับอนุญาตจากผู้ใช้

คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2021-30874: Javier Vieira Boccardo (linkedin.com/javier-vieira-boccardo)

เพิ่มรายการเมื่อวันที่ 18 พฤศจิกายน 2021

Sandbox

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

CVE-2021-30808: Csaba Fitzl (@theevilbit) จาก Offensive Security

เพิ่มรายการเมื่อวันที่ 18 พฤศจิกายน 2021

Sandbox

ผลกระทบ: ผู้โจมตีในระบบอาจสามารถอ่านข้อมูลที่ละเอียดอ่อนได้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2021-30920: Csaba Fitzl (@theevilbit) จาก Offensive Security

Security

ผลกระทบ: แอปพลิเคชันอาจสามารถเข้าถึงสิทธิ์ในระดับที่สูงขึ้นได้

CVE-2021-31004: Csaba Fitzl (@theevilbit) จาก Offensive Security

เพิ่มรายการเมื่อวันที่ 31 มีนาคม 2022

SMB

ผลกระทบ: แอปพลิเคชันประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

CVE-2021-31002: Peter Nguyễn Vũ Hoàng จาก STAR Labs

เพิ่มรายการเมื่อวันที่ 16 กันยายน 2022

SMB

CVE-2021-30868: Peter Nguyen Vu Hoang จาก STAR Labs

SoftwareUpdate

ผลกระทบ: แอปพลิเคชันประสงค์ร้ายอาจสามารถเข้าถึงรายการพวงกุญแจของผู้ใช้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะสิทธิ์อนุญาตให้ดียิ่งขึ้น

CVE-2021-30912: Kirin (@Pwnrin) และ chenyuwang (@mzzzz__) จาก Tencent Security Xuanwu Lab

SoftwareUpdate

ผลกระทบ: แอปพลิเคชันที่ไม่มีสิทธิ์อาจสามารถแก้ไขตัวแปร NVRAM ได้

CVE-2021-30913: Kirin (@Pwnrin) และ chenyuwang (@mzzzz__) จาก Tencent Security Xuanwu Lab

อัปเดตรายการเมื่อวันที่ 25 พฤษภาคม 2022

UIKit

ผลกระทบ: ผู้ที่สามารถเข้าถึงตัวเครื่องของอุปกรณ์อาจสามารถระบุลักษณะของรหัสผ่านของผู้ใช้ในช่องป้อนข้อความที่ปลอดภัยได้

CVE-2021-30915: Kostas Angelopoulos

WebKit

ผลกระทบ: การปิด "บล็อกเนื้อหาระยะไกลทั้งหมด" อาจไม่มีผลกับเนื้อหาระยะไกลทุกประเภท

CVE-2021-31005: Jonathan Austin จาก Wells Fargo, Attila Soki

เพิ่มรายการเมื่อวันที่ 31 มีนาคม 2022

WebKit

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ด

CVE-2021-31008

เพิ่มรายการเมื่อวันที่ 31 มีนาคม 2022

WebKit

ผลกระทบ: เว็บไซต์ที่ประสงค์ร้ายอาจถอนข้อมูลข้ามต้นทาง

คำอธิบาย: มีปัญหาในข้อกำหนดสำหรับ API ช่วงเวลาของแหล่งข้อมูล ข้อกำหนดได้รับการอัปเดตและมีการใช้ข้อกำหนดที่อัปเดตแล้ว

CVE-2021-30897: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 18 พฤศจิกายน 2021

WebKit

ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยประวัติการเข้าชมของผู้ใช้

คำอธิบาย: ปัญหาได้รับการแก้ไขแล้วโดยมีข้อจำกัดเพิ่มเติมเกี่ยวกับการเขียน CSS

CVE-2021-30884: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 18 พฤศจิกายน 2021

WebKit

คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2021-30818: Amar Menezes (@amarekano) จาก Zon8Research

เพิ่มรายการเมื่อวันที่ 18 พฤศจิกายน 2021

WebKit

ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำที่จำกัด

CVE-2021-30836: Peter Nguyen Vu Hoang จาก STAR Labs

เพิ่มรายการเมื่อวันที่ 18 พฤศจิกายน 2021

WebKit

CVE-2021-30846: Sergei Glazunov จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 18 พฤศจิกายน 2021

WebKit

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2021-30849: Sergei Glazunov จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 18 พฤศจิกายน 2021

WebKit

CVE-2021-30848: Sergei Glazunov จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 18 พฤศจิกายน 2021

WebKit

คำอธิบาย: ช่องโหว่ด้านหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการล็อคให้ดียิ่งขึ้น

CVE-2021-30851: Samuel Groß จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 18 พฤศจิกายน 2021

WebKit

CVE-2021-30809: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 18 พฤศจิกายน 2021

WebKit

ผลกระทบ: ผู้โจมตีที่มีตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถบายพาส HSTS ได้

CVE-2021-30823: David Gullasch จาก Recurity Labs

WebKit

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการยกเลิกการบังคับใช้นโยบายความปลอดภัยคอนเทนต์โดยไม่คาดคิด

CVE-2021-30887: Narendra Bhati (@imnarendrabhati) จาก Suma Soft Pvt. Ltd.

WebKit

ผลกระทบ: เว็บไซต์ที่ประสงค์ร้ายที่ใช้รายงานนโยบายความปลอดภัยของเนื้อหาอาจทำให้ข้อมูลรั่วไหลผ่านการเปลี่ยนเส้นทางได้

คำอธิบาย: ปัญหาการรั่วไหลของข้อมูลได้รับการแก้ไขแล้ว

CVE-2021-30888: Prakash (@1lastBr3ath)

WebKit

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2021-30889: Chijin Zhou จาก ShuiMuYuLin Ltd และ Tsinghua wingtecher lab

WebKit

ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจบายพาสการตรวจสอบ Gatekeeper

CVE-2021-30861: Wojciech Reguła (@_r3ggi), Ryan Pickren (ryanpickren.com)

WebKit

ผลกระทบ: การประมวลผลเว็บคอนเทนต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้

CVE-2021-30890: นักวิจัยนิรนาม

WebRTC

ผลกระทบ: ผู้โจมตีอาจสามารถติดตามผู้ใช้ผ่านที่อยู่ IP ของพวกเขาได้

CVE-2021-30930: Oguz Kırat, Matthias Keller (m-keller.com)

เพิ่มรายการเมื่อวันที่ 18 พฤศจิกายน 2021, อัปเดตเมื่อวันที่ 16 กันยายน 2022

Windows Server

ผลกระทบ: ผู้โจมตีในระบบอาจสามารถดูเดสก์ท็อปของผู้ใช้ที่เข้าสู่ระบบก่อนหน้าได้จากหน้าจอการสลับผู้ใช้อย่างเร็ว

CVE-2021-30908: ASentientBot

xar

ผลกระทบ: การคลายไฟล์ข้อมูลเก็บถาวรที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดโอกาสให้ผู้โจมตีเขียนไฟล์ Arbitrary ได้

CVE-2021-30833: Richard Warren จาก NCC Group

zsh

คำอธิบาย: ปัญหาสิทธิ์อนุญาตที่สืบทอดมาได้รับการแก้ไขแล้วด้วยข้อจํากัดเพิ่มเติม

CVE-2021-30892: Jonathan Bar Or จาก Microsoft

คำขอบคุณพิเศษ

APFS

เราขอขอบคุณสำหรับความช่วยเหลือจาก Koh M. Nakagawa จาก FFRI Security, Inc.

AppleScript

เราขอขอบคุณสำหรับความช่วยเหลือจาก Jeremy Brown

เพิ่มรายการเมื่อวันที่ 31 มีนาคม 2022

App Support

เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม, 漂亮鼠 จาก 赛博回忆录

Bluetooth

เราขอขอบคุณสำหรับความช่วยเหลือจาก say2 จาก ENKI

bootp

เราขอขอบคุณสำหรับความช่วยเหลือจาก Alexander Burke (alexburke.ca)

เพิ่มรายการเมื่อวันที่ 31 มีนาคม 2022

CUPS

เราขอขอบคุณสำหรับความช่วยเหลือจาก Nathan Nye จาก WhiteBeam Security

อัปเดตรายการเมื่อวันที่ 31 มีนาคม 2022

iCloud

เราขอขอบคุณสำหรับความช่วยเหลือจาก Ryan Pickren (ryanpickren.com)

Kernel

เราขอขอบคุณสำหรับความช่วยเหลือจาก Anthony Steinhauser จาก Safeside project ของ Google และ Joshua Baums จาก Informatik Baums

อัปเดตรายการเมื่อวันที่ 18 พฤศจิกายน 2021

Mail

เราขอขอบคุณสำหรับความช่วยเหลือจาก Fabian Ising และ Damian Poddebniak จาก Münster University of Applied Sciences

Managed Configuration

เราขอขอบคุณสำหรับความช่วยเหลือจาก Michal Moravec จาก Logicworks, s.r.o.

Setup Assistant

เราขอขอบคุณสำหรับความช่วยเหลือจาก David Schütz (@xdavidhu)

เพิ่มรายการเมื่อวันที่ 18 พฤศจิกายน 2021

smbx

เราขอขอบคุณสำหรับความช่วยเหลือจาก Zhongcheng Li (CK01)

UIKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก Jason Rendel จาก Diligent

เพิ่มรายการเมื่อวันที่ 18 พฤศจิกายน 2021

WebKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก Ivan Fratric จาก Google Project Zero, Pavel Gromadchuk, Nikhil Mittal (@c0d3G33k) และ Matthias Keller (m-keller.com)

อัปเดตรายการเมื่อวันที่ 25 พฤษภาคม 2022

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: 3 พฤศจิกายน 2566