เกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Ventura 13.6.7
เอกสารนี้อธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ macOS Ventura 13.6.7
เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือรายการอัปเดตออกมาแล้ว รายการที่เผยแพร่ล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
macOS Ventura 13.6.7
เปิดตัวเมื่อวันที่ 13 พฤษภาคม 2024
Core Data
มีให้สำหรับ: macOS Ventura
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบตัวแปรสภาพแวดล้อมให้ดียิ่งขึ้น
CVE-2024-27805: Kirin (@Pwnrin) และ 小来来 (@Smi1eSEC)
เพิ่มรายการเมื่อวันที่ 10 มิถุนายน 2024
CoreMedia
มีให้สำหรับ: macOS Ventura
ผลกระทบ: แอปอาจสามารถรันโค้ดโดยพลการภายใต้สิทธิ์เคอร์เนลได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2024-27817: pattern-f (@pattern_F_) จาก Ant Security Light-Year Lab
เพิ่มรายการเมื่อวันที่ 10 มิถุนายน 2024
CoreMedia
มีให้สำหรับ: macOS Ventura
ผลกระทบ: การประมวลผลไฟล์อาจทำให้แอปหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ
คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2024-27831: Amir Bazine และ Karsten König จาก CrowdStrike Counter Adversary Operations
เพิ่มรายการเมื่อวันที่ 10 มิถุนายน 2024
Finder
มีให้สำหรับ: macOS Ventura
ผลกระทบ: แอปอาจอ่านไฟล์ได้โดยพลการ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2024-27827: นักวิจัยที่ไม่ระบุชื่อ
เพิ่มรายการเมื่อวันที่ 10 มิถุนายน 2024
Foundation
มีให้สำหรับ: macOS Ventura
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2024-27789: Mickey Jin (@patch1t)
IOHIDFamily
มีให้สำหรับ: macOS Ventura
ผลกระทบ: แอปที่ไม่ได้รับสิทธิพิเศษอาจสามารถบันทึกการกดปุ่มคีย์บอร์ดในแอปอื่นๆ รวมถึงแอปที่ใช้การป้อนข้อมูลอย่างปลอดภัย
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขด้วยการตรวจสอบสิทธิ์เพิ่มเติม
CVE-2024-27799: นักวิจัยนิรนาม
เพิ่มรายการเมื่อวันที่ 10 มิถุนายน 2024
Kernel
มีให้สำหรับ macOS Ventura
ผลกระทบ: ผู้โจมตีที่มีการรันโค้ดเคอร์เนลแล้วอาจเลี่ยงการปกป้องหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2024-27840: นักวิจัยนิรนาม
เพิ่มรายการเมื่อวันที่ 10 มิถุนายน 2024
Kernel
มีให้สำหรับ macOS Ventura
ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถปลอมแปลงแพ็กเก็ตเครือข่ายได้
คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการปรับปรุงการล็อคให้ดียิ่งขึ้น
CVE-2024-27823: Prof. Benny Pinkas จาก Bar-Ilan University, Prof. Amit Klein จาก Hebrew University และ EP
เพิ่มรายการเมื่อวันที่ 29 กรกฎาคม 2024
Login Window
มีให้สำหรับ: macOS Ventura
ผลกระทบ: ผู้โจมตีที่ทราบข้อมูลประจำตัวของผู้ใช้มาตรฐานสามารถปลดล็อคหน้าจอล็อคของผู้ใช้มาตรฐานรายอื่นบน Mac เครื่องเดียวกันได้
คำอธิบาย: ปัญหาลอจิกได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2023-42861: นักวิจัยนิรนาม, 凯 王, Steven Maser, Matthew McLean, Brandon Chesser, CPU IT, inc และ Avalon IT Team of Concentrix
Maps
มีให้สำหรับ macOS Ventura
ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้
คำอธิบาย: ปัญหาการจัดการพาธได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2024-27810: LFY@secsys จาก Fudan University
เพิ่มรายการเมื่อวันที่ 10 มิถุนายน 2024
Messages
มีให้สำหรับ: macOS Ventura
ผลกระทบ: การประมวลผลข้อความที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการลบโค้ดที่มีความเสี่ยงออก
CVE-2024-27800: Daniel Zajork และ Joshua Zajork
เพิ่มรายการเมื่อวันที่ 10 มิถุนายน 2024
Metal
มีให้สำหรับ: macOS Ventura
ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) ซึ่งทำงานร่วมกับ Trend Micro Zero Day Initiative
เพิ่มรายการเมื่อวันที่ 10 มิถุนายน 2024
PackageKit
มีให้สำหรับ macOS Ventura
ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบความถูกต้องของ symlinks ให้ดียิ่งขึ้น
CVE-2024-27885: Mickey Jin (@patch1t)
เพิ่มรายการเมื่อวันที่ 10 มิถุนายน 2024
PackageKit
มีให้สำหรับ: macOS Ventura
ผลกระทบ: แอปอาจสามารถเข้าถึงสิทธิ์ในระดับที่สูงขึ้น
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการนำรหัสที่มีความเสี่ยงออก
CVE-2024-27824: Pedro Tôrres (@t0rr3sp3dr0)
เพิ่มรายการเมื่อวันที่ 10 มิถุนายน 2024
RTKit
มีให้สำหรับ: macOS Ventura
ผลกระทบ: ผู้โจมตีที่มีความสามารถในการอ่านและการเขียนข้อมูลเคอร์เนลโดยพลการอาจสามารถบายพาสการปกป้องข้อมูลหน่วยความจำเคอร์เนลได้ Apple รับทราบถึงรายงานที่แจ้งว่ามีการตั้งใจใช้ประโยชน์จากปัญหานี้
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2024-23296
SharedFileList
มีให้สำหรับ: macOS Ventura
ผลกระทบ: แอปอาจสามารถเข้าถึงสิทธิ์ในระดับที่สูงขึ้น
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2024-27843: Mickey Jin (@patch1t)
เพิ่มรายการเมื่อวันที่ 10 มิถุนายน 2024
Shortcuts
มีให้สำหรับ: macOS Ventura
ผลกระทบ: คำสั่งลัดอาจสามารถใช้ข้อมูลสำคัญเพื่อดำเนินการบางอย่างโดยไม่แจ้งให้ผู้ใช้ทราบ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
CVE-2024-27855: นักวิจัยนิรนาม
เพิ่มรายการเมื่อวันที่ 10 มิถุนายน 2024
Spotlight
มีให้สำหรับ: macOS Ventura
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลสภาพแวดล้อมให้ดียิ่งขึ้น
CVE-2024-27806
เพิ่มรายการเมื่อวันที่ 10 มิถุนายน 2024
StorageKit
มีให้สำหรับ: macOS Ventura
ผลกระทบ: ผู้ใช้อาจยกระดับสิทธิ์ได้
คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2024-27798: Yann GASCUEL จาก Alter Solutions
เพิ่มรายการเมื่อวันที่ 10 มิถุนายน 2024
Sync Services
มีให้สำหรับ macOS Ventura
ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2024-27847: Mickey Jin (@patch1t)
เพิ่มรายการเมื่อวันที่ 10 มิถุนายน 2024
Voice Control
มีให้สำหรับ: macOS Ventura
ผลกระทบ: ผู้ใช้อาจยกระดับสิทธิ์ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2024-27796: ajajfxhj
เพิ่มรายการเมื่อวันที่ 10 มิถุนายน 2024
คำขอบคุณพิเศษ
App Store
เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม