เกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Sequoia 15

เอกสารฉบับนี้อธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Sequoia 15

เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการเผยแพร่เกี่ยวกับความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

macOS Sequoia 15

เผยแพร่เมื่อวันที่ 16 กันยายน 2024

Accounts

มีให้สำหรับ: Mac Studio (ปี 2022 และใหม่กว่า), iMac (ปี 2019 และใหม่กว่า), Mac Pro (ปี 2019 และใหม่กว่า), Mac mini (ปี 2018 และใหม่กว่า), MacBook Air (ปี 2020 และใหม่กว่า), MacBook Pro (ปี 2018 และใหม่กว่า) และ iMac Pro (ปี 2017 และใหม่กว่า)

ผลกระทบ: แอปอาจทำให้ข้อมูลที่ละเอียดอ่อนของผู้ใช้รั่วไหลได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2024-44129

Accounts

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงลอจิกสิทธิ์อนุญาตให้ดียิ่งขึ้น

CVE-2024-44153: Mickey Jin (@patch1t)

Accounts

ผลกระทบ: แอปอาจสามารถเข้าถึงข้อมูลที่มีการปกป้องของผู้ใช้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2024-44188: Bohdan Stasiuk (@Bohdan_Stasiuk)

Airport

ผลกระทบ: แอปที่ประสงค์ร้ายอาจสามารถการตั้งค่าเครือข่ายได้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2024-40792: Yiğit Can YILMAZ (@yilmazcanyigit)

เพิ่มรายการเมื่อวันที่ 28 ตุลาคม 2024

APFS

ผลกระทบ: แอปพลิเคชันประสงค์ร้ายที่มีสิทธิ์ในระดับรูทอาจสามารถแก้ไขเนื้อหาของไฟล์ระบบได้

CVE-2024-40825: Pedro Tôrres (@t0rr3sp3dr0)

APNs

ผลกระทบ: แอปที่มีสิทธิ์ระดับรูทอาจสามารถเข้าถึงข้อมูลส่วนบุคคลได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกป้องข้อมูลให้ดียิ่งขึ้น

CVE-2024-44130

App Intents

ผลกระทบ: แอปอาจสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนที่บันทึกไว้ได้เมื่อทางลัดไม่สามารถเปิดแอปอื่นได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น

CVE-2024-44182: Kirin (@Pwnrin)

AppleGraphicsControl

ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิด

คำอธิบาย: ปัญหาการเริ่มต้นหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2024-44154: Michael DePlante (@izobashi) จาก Trend Micro Zero Day Initiative

AppleGraphicsControl

ผลกระทบ: การประมวลผลไฟล์วิดีโอที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบหยุดโดยไม่คาดคิดได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

CVE-2024-40845: Pwn2car ที่ทำงานร่วมกับ Trend Micro Zero Day Initiative

CVE-2024-40846: Michael DePlante (@izobashi) จาก Trend Micro Zero Day Initiative

AppleMobileFileIntegrity

ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวได้

CVE-2024-44164: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

ผลกระทบ: แอปอาจสามารถเข้าถึงข้อมูลที่มีการปกป้องของผู้ใช้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2024-40837: Kirin (@Pwnrin)

AppleMobileFileIntegrity

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาได้รับการแก้ไขแล้วด้วยข้อจำกัดการลงนามโค้ดเพิ่มเติม

CVE-2024-40847: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

ผลกระทบ: ผู้โจมตีอาจสามารถอ่านข้อมูลที่ละเอียดอ่อนได้

คำอธิบาย: ปัญหาการดาวน์เกรดได้รับการแก้ไขแล้วด้วยข้อจำกัดการลงนามโค้ดเพิ่มเติม

CVE-2024-40848: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

คำอธิบาย: ปัญหาการป้อนข้อมูลคลังได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2024-44168: Claudio Bozzato และ Francesco Benvenuto จาก Cisco Talos

AppleVA

ผลกระทบ: แอปพลิเคชันอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

CVE-2024-27860: Michael DePlante (@izobashi) จาก Trend Micro Zero Day Initiative

CVE-2024-27861: Michael DePlante (@izobashi) จาก Trend Micro Zero Day Initiative

AppleVA

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2024-40841: Michael DePlante (@izobashi) จาก Trend Micro Zero Day Initiative

AppSandbox

ผลกระทบ: ส่วนขยายของกล้องอาจสามารถเข้าถึงอินเทอร์เน็ตได้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2024-27795: Halle Winkler, Politepix @hallewinkler

AppSandbox

ผลกระทบ: แอปอาจสามารถเข้าถึงไฟล์ที่มีการป้องกันภายในคอนเทนเนอร์ App Sandbox ได้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2024-44135: Mickey Jin (@patch1t)

ArchiveService

ผลกระทบ: แอปอาจสามารถทะลุผ่าน Sandbox ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการ symlinks ให้ดียิ่งขึ้น

CVE-2024-44132: Mickey Jin (@patch1t)

ARKit

ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อทำอันตรายอาจทำให้ฮีพล่ม

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2024-44126: Holger Fuhrmannek

เพิ่มรายการเมื่อวันที่ 28 ตุลาคม 2024

Automator

ผลกระทบ: เวิร์กโฟลว์การทำงานด่วนของ Automator อาจสามารถบายพาส Gatekeeper ได้

คำอธิบาย ปัญหาได้รับการแก้ไขโดยเพิ่มการแจ้งเพิ่มเติมเพื่อขอความยินยอมจากผู้ใช้

CVE-2024-44128: Anton Boegler

bless

ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2024-44151: Mickey Jin (@patch1t)

Compression

ผลกระทบ: การคลายไฟล์ข้อมูลเก็บถาวรที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดโอกาสให้ผู้โจมตีเขียนไฟล์ Arbitrary ได้

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการปรับปรุงการล็อคให้ดียิ่งขึ้น

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Control Center

ผลกระทบ: แอปอาจบันทึกหน้าจอได้โดยไม่แสดงตัวบ่งชี้

CVE-2024-27869: นักวิจัยนิรนาม

Control Center

ผลกระทบ: ตัวบ่งชี้ความเป็นส่วนตัวสำหรับการเข้าถึงไมโครโฟนหรือกล้องอาจไม่ถูกต้อง

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2024-27875: Yiğit Can YILMAZ (@yilmazcanyigit)

copyfile

ผลกระทบ: แอปอาจสามารถทะลุผ่าน Sandbox ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการไฟล์ให้ดียิ่งขึ้น

CVE-2024-44146: นักวิจัยนิรนาม

Core Data

ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลส่วนตัวสำหรับรายการล็อกให้ดียิ่งขึ้น

CVE-2024-27849: Kirin (@Pwnrin), Rodolphe Brunetti (@eisw0lf)

เพิ่มรายการเมื่อวันที่ 28 ตุลาคม 2024

CUPS

คำอธิบาย: นี่เป็นช่องโหว่ในโค้ดโอเพ่นซอร์สและซอฟต์แวร์ Apple ก็เป็นหนึ่งในโปรเจ็กต์ที่ได้รับผลกระทบ CVE-ID ได้รับการระบุโดยบุคคลภายนอก เรียนรู้เพิ่มเติมเกี่ยวกับปัญหาและ CVE-ID ได้ที่ cve.org

CVE-2023-4504

DiskArbitration

ผลกระทบ: แอปในแซนด์บ็อกซ์อาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2024-40855: Csaba Fitzl (@theevilbit) จาก Kandji

เพิ่มรายการเมื่อวันที่ 28 ตุลาคม 2024

Disk Images

ผลกระทบ: แอปอาจสามารถทะลุผ่าน Sandbox ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบความถูกต้องของคุณลักษณะไฟล์ให้ดียิ่งขึ้น

CVE-2024-44148: นักวิจัยนิรนาม

Dock

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วโดยการลบข้อมูลที่ละเอียดอ่อน

CVE-2024-44177: นักวิจัยนิรนาม

FileProvider

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบความถูกต้องของ symlinks ให้ดียิ่งขึ้น

CVE-2024-44131: @08Tc3wBB จาก Jamf

Game Center

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาการเข้าถึงไฟล์ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

Image Capture

ผลกระทบ: แอปอาจเข้าถึงคลังรูปภาพของผู้ใช้ได้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2024-40831: Mickey Jin (@patch1t)

ImageIO

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2024-27880: Junsung Lee

ImageIO

ผลกระทบ: การประมวลผลภาพอาจส่งผลให้เกิดปัญหาการปฏิเสธการให้บริการ

คำอธิบาย: ปัญหาด้านการเข้าถึงนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2024-44176: dw0r จาก ZeroPointer Lab ที่ทำงานร่วมกับ Trend Micro Zero Day Initiative นักวิจัยนิรนาม

Installer

ผลกระทบ: แอปอาจได้รับสิทธิ์ในระดับรูทได้

CVE-2024-40861: Mickey Jin (@patch1t)

Intel Graphics Driver

ผลกระทบ: การประมวลพื้นผิวที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิด

คำอธิบาย: ปัญหา Buffer Overflow ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2024-44160: Michael DePlante (@izobashi) จาก Trend Micro Zero Day Initiative

Intel Graphics Driver

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2024-44161: Michael DePlante (@izobashi) จาก Trend Micro Zero Day Initiative

IOSurfaceAccelerator

ผลกระทบ: แอปอาจสามารถทำให้ระบบหยุดทำงานโดยไม่คาดคิด

CVE-2024-44169: Antonio Zekić

Kernel

ผลกระทบ: การรับส่งข้อมูลเครือข่ายอาจรั่วไหลออกนอกช่องสัญญาณ VPN

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2024-44165: Andrew Lytvynov

Kernel

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

CVE-2024-44175: Csaba Fitzl (@theevilbit) จาก Kandji

เพิ่มรายการเมื่อวันที่ 28 ตุลาคม 2024

Kernel

ผลกระทบ: แอปอาจเข้าถึงบลูทูธได้โดยไม่ได้รับอนุญาต

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) และ Mathy Vanhoef

LaunchServices

ผลกระทบ: แอปพลิเคชันอาจสามารถแยกตัวออกจาก Sandbox ได้

CVE-2024-44122: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 28 ตุลาคม 2024

libxml2

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้โปรเซสล่มโดยไม่คาดคิด

คำอธิบาย: ปัญหาจำนวนเต็มล้นได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2024-44198: OSS-Fuzz, Ned Williamson จาก Google Project Zero

Mail Accounts

ผลกระทบ: แอปอาจสามารถเข้าถึงข้อมูลเกี่ยวกับรายชื่อติดต่อของผู้ใช้ได้

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

Maps

ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้

คำอธิบาย: ปัญหาได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการไฟล์ชั่วคราว

CVE-2024-44181: Kirin(@Pwnrin) และ LFY(@secsys) จาก Fudan University

mDNSResponder

ผลกระทบ: แอปอาจทำให้เกิดการปฏิเสธการให้บริการได้

คำอธิบาย: ข้อผิดพลาดตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการข้อผิดพลาดให้ดียิ่งขึ้น

CVE-2024-44183: Olivier Levon

Model I/O

ผลกระทบ: การประมวลผลรูปภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้

CVE-2023-5841

Music

ผลกระทบ: แอปอาจสามารถเข้าถึงข้อมูลที่มีการปกป้องของผู้ใช้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2024-27858: Meng Zhang (鲸落) จาก NorthSea, Csaba Fitzl (@theevilbit) จาก Kandji

อัปเดตรายการเมื่อวันที่ 28 ตุลาคม 2024

Notes

ผลกระทบ: แอปอาจเขียนทับไฟล์ได้โดยพลการ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการลบโค้ดที่มีความเสี่ยงออก

CVE-2024-44167: ajajfxhj

Notification Center

ผลกระทบ: แอปที่ประสงค์ร้ายอาจสามารถเข้าถึงการแจ้งเตือนจากอุปกรณ์ของผู้ใช้ได้

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วโดยการย้ายข้อมูลที่ละเอียดอ่อนไปยังตำแหน่งที่มีการปกป้อง

CVE-2024-40838: Brian McNulty, Cristian Dinca จาก "Tudor Vianu" National High School of Computer Science, Romania, Vaibhav Prajapati

NSColor

ผลกระทบ: แอปอาจสามารถเข้าถึงข้อมูลที่มีการปกป้องของผู้ใช้

คำอธิบาย: ปัญหาการเข้าถึงได้รับการแก้ไขแล้วด้วยข้อจำกัด Sandbox เพิ่มเติม

CVE-2024-44186: นักวิจัยนิรนาม

OpenSSH

ผลกระทบ: มีปัญหาหลายประการใน OpenSSH

CVE-2024-39894

PackageKit

ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

CVE-2024-44178: Mickey Jin (@patch1t)

Printing

ผลกระทบ: เอกสารที่ไม่ได้เข้ารหัสอาจถูกเขียนไปยังไฟล์ชั่วคราวขณะใช้การแสดงตัวอย่างของการพิมพ์

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการไฟล์

CVE-2024-40826: นักวิจัยนิรนาม

Quick Look

ผลกระทบ: แอปอาจสามารถเข้าถึงข้อมูลที่มีการปกป้องของผู้ใช้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2024-44149: Wojciech Regula จาก SecuRing (wojciechregula.blog), Csaba Fitzl (@theevilbit) จาก Kandji

อัปเดตรายการเมื่อวันที่ 28 ตุลาคม 2024

Safari

ผลกระทบ: การเข้าดูเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงอินเทอร์เฟซผู้ใช้

CVE-2024-40797: Rifa'i Rejal Maynando

Safari

ผลกระทบ: คอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจละเมิดนโยบาย Sandboxing ของ iframe

คำอธิบาย: ปัญหาการจัดการแบบแผน URL ที่กำหนดเองได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2024-44155: Narendra Bhati ผู้จัดการของ Cyber Security ที่ Suma Soft Pvt. Ltd, ปูเน่ - (อินเดีย)

เพิ่มรายการเมื่อวันที่ 28 ตุลาคม 2024

Sandbox

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถทำให้ข้อมูลผู้ใช้ที่มีความสำคัญรั่วไหลได้

CVE-2024-44125: Zhongquan Li (@Guluisacat)

Sandbox

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจเข้าถึงข้อมูลส่วนตัวได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2024-44163: Zhongquan Li (@Guluisacat)

Sandbox

ผลกระทบ: แอปอาจเข้าถึงคลังรูปภาพของผู้ใช้ได้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2024-44203: Yiğit Can YILMAZ (@yilmazcanyigit), Wojciech Regula จาก SecuRing (wojciechregula.blog), Kirin (@Pwnrin) จาก NorthSea

เพิ่มรายการเมื่อวันที่ 28 ตุลาคม 2024

SceneKit

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขนาดให้ดียิ่งขึ้น

CVE-2024-44144: 냥냥

เพิ่มรายการเมื่อวันที่ 28 ตุลาคม 2024

Screen Capture

ผลกระทบ: ผู้โจมตีที่สามารถเข้าถึงตัวเครื่องอาจสามารถแชร์รายการต่างๆ จากหน้าจอล็อคได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2024-44137: Halle Winkler, Politepix @hallewinkler

เพิ่มรายการเมื่อวันที่ 28 ตุลาคม 2024

Screen Capture

ผลกระทบ: ผู้โจมตีอาจดูคอนเทนต์ที่ถูกจำกัดไว้จากหน้าจอล็อคได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2024-44174: Vivek Dhar

เพิ่มรายการเมื่อวันที่ 28 ตุลาคม 2024

Security

ผลกระทบ: แอปประสงค์ร้ายที่มีสิทธิ์ในระดับรูทอาจเข้าถึงการป้อนข้อมูลด้วยคีย์บอร์ดและข้อมูลตำแหน่งที่ตั้งโดยไม่ได้รับความยินยอมจากผู้ใช้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2024-44123: Wojciech Regula จาก SecuRing (wojciechregula.blog)

เพิ่มรายการเมื่อวันที่ 28 ตุลาคม 2024

Security Initialization

ผลกระทบ: แอปอาจสามารถเข้าถึงข้อมูลที่มีการปกป้องของผู้ใช้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2024-40801: Zhongquan Li (@Guluisacat), Pedro José Pereira Vieito (@pvieito) นักวิจัยนิรนาม

Shortcuts

ผลกระทบ: แอปอาจสามารถเข้าถึงข้อมูลที่มีการปกป้องของผู้ใช้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2024-40837: Kirin (@Pwnrin)

Shortcuts

ผลกระทบ: ทางลัดอาจส่งเอาต์พุตเป็นข้อมูลผู้ใช้ที่ละเอียดอ่อนโดยไม่ได้ขอความยินยอม

CVE-2024-44158: Kirin (@Pwnrin)

Shortcuts

ผลกระทบ: แอปอาจสามารถสังเกตข้อมูลที่ทางลัดแสดงต่อผู้ใช้ได้

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการไฟล์ชั่วคราว

CVE-2024-40844: Kirin (@Pwnrin) และ luckyu (@uuulucky) จาก NorthSea

Sidecar

ผลกระทบ: ผู้โจมตีที่สามารถเข้าถึงตัวเครื่องอุปกรณ์ macOS โดยเปิดใช้งาน Sidecar อาจสามารถเลี่ยงหน้าจอล็อคได้

CVE-2024-44145: Om Kothawade, Omar A. Alanis จาก UNTHSC College of Pharmacy

เพิ่มรายการเมื่อวันที่ 28 ตุลาคม 2024

Siri

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วโดยการย้ายข้อมูลที่ละเอียดอ่อนไปยังตำแหน่งที่ปลอดภัยยิ่งขึ้น

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

sudo

ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

CVE-2024-40860: Arsenii Kostromin (0x3c3e)

System Settings

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

CVE-2024-44152: Kirin (@Pwnrin)

CVE-2024-44166: Kirin (@Pwnrin) และ LFY (@secsys) จาก Fudan University

System Settings

ผลกระทบ: แอปอาจอ่านไฟล์โดยพลการ

คำอธิบาย: ปัญหาการจัดการพาธได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2024-44190: Rodolphe BRUNETTI (@eisw0lf)

TCC

ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวบางอย่างได้บนอุปกรณ์ MDM ที่ได้รับการจัดการ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการลบโค้ดที่มีความเสี่ยงออก

CVE-2024-44133: Jonathan Bar Or (@yo_yo_yo_jbo) จาก Microsoft

Transparency

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

TV App

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2024-40859: Csaba Fitzl (@theevilbit) จาก Kandji

อัปเดตรายการเมื่อวันที่ 28 ตุลาคม 2024

Vim

CVE-2024-41957

WebKit

ผลกระทบ: การประมวลผลเว็บคอนเทนต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้

WebKit Bugzilla: 268724

CVE-2024-40857: Ron Masas

WebKit

ผลกระทบ: การเข้าชมเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงแถบที่อยู่

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุง UI ให้ดียิ่งขึ้น

WebKit Bugzilla: 279451

CVE-2024-40866: Hafiizh และ YoKo Kho (@yokoacc) จาก HakTrak

WebKit

ผลกระทบ: เว็บไซต์ที่ประสงค์ร้ายอาจถอนข้อมูลข้ามต้นทาง

คำอธิบาย: มีปัญหาข้ามต้นทางในองค์ประกอบ "iframe" ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการติดตามต้นทางในการรักษาความปลอดภัยให้ดียิ่งขึ้น

WebKit Bugzilla: 279452

CVE-2024-44187: Narendra Bhati ผู้จัดการของ Cyber Security ที่ Suma Soft Pvt. Ltd, ปูเน่ - (อินเดีย)

Wi-Fi

ผลกระทบ: ผู้ใช้ที่ไม่มีสิทธิ์อาจสามารถแก้ไขการตั้งค่าเครือข่ายที่มีการจำกัดได้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2024-40770: Yiğit Can YILMAZ (@yilmazcanyigit)

Wi-Fi

ผลกระทบ: แอปอาจทำให้เกิดการปฏิเสธการให้บริการได้

CVE-2024-23237: Charly Suchanek

Wi-Fi

ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้

CVE-2024-44134

Wi-Fi

ผลกระทบ: ผู้โจมตีอาจสามารถบังคับให้อุปกรณ์ตัดการเชื่อมต่อจากเครือข่ายที่ปลอดภัยได้

คําอธิบาย: ปัญหาความสมบูรณ์ได้รับการแก้ไขแล้วด้วย Beacon Protection

CVE-2024-40856: Domien Schepers

WindowServer

ผลกระทบ: มีปัญหาตรรกะที่กระบวนการอาจสามารถบันทึกเนื้อหาหน้าจอโดยไม่ได้รับความยินยอมจากผู้ใช้

CVE-2024-44189: Tim Clem

WindowServer

ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวบางอย่างได้

CVE-2024-44208: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 28 ตุลาคม 2024

XProtect

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบตัวแปรสภาพแวดล้อมให้ดียิ่งขึ้น

CVE-2024-40842: Gergely Kalman (@gergely_kalman)

XProtect

ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

CVE-2024-40843: Koh M. Nakagawa (@tsunek0h)

คำขอบคุณพิเศษ

Admin Framework

เราขอขอบคุณสำหรับความช่วยเหลือจาก Csaba Fitzl (@theevilbit) จาก Kandji

อัปเดตรายการเมื่อวันที่ 28 ตุลาคม 2024

Airport

เราขอขอบคุณสำหรับความช่วยเหลือจาก David Dudok de Wit

อัปเดตรายการเมื่อวันที่ 28 ตุลาคม 2024

APFS

เราขอขอบคุณสำหรับความช่วยเหลือจาก Georgi Valkov จาก httpstorm.com

App Store

เราขอขอบคุณสำหรับความช่วยเหลือจาก Csaba Fitzl (@theevilbit) จาก Kandji

อัปเดตรายการเมื่อวันที่ 28 ตุลาคม 2024

AppKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก @08Tc3wBB จาก Jamf

Apple Neural Engine

เราขอขอบคุณสำหรับความช่วยเหลือจาก Jiaxun Zhu (@svnswords) และ Minghao Lin (@Y1nKoc)

Automator

เราขอขอบคุณสำหรับความช่วยเหลือจาก Koh M. Nakagawa (@tsunek0h)

Core Bluetooth

เราขอขอบคุณสำหรับความช่วยเหลือจาก Nicholas C. จาก Onymos Inc. (onymos.com)

Core Services

เราขอขอบคุณสำหรับความช่วยเหลือจาก Cristian Dinca จาก "Tudor Vianu" National High School of Computer Science, Romania, Kirin (@Pwnrin) และ 7feilee, Snoolie Keffaber (@0xilis), Tal Lossos, Zhongquan Li (@Guluisacat)

CUPS

เราขอขอบคุณสำหรับความช่วยเหลือจาก moein abas

เพิ่มรายการเมื่อวันที่ 28 ตุลาคม 2024

Disk Utility

เราขอขอบคุณสำหรับความช่วยเหลือจาก Csaba Fitzl (@theevilbit) จาก Kandji

dyld

เราขอขอบคุณสำหรับความช่วยเหลือจาก Pietro Francesco Tirenna, Davide Silvetti, Abdel Adim Oisfi จาก Shielder (shielder.com)

เพิ่มรายการเมื่อวันที่ 28 ตุลาคม 2024

FileProvider

เราขอขอบคุณสำหรับความช่วยเหลือจาก Kirin (@Pwnrin)

Foundation

เราขอขอบคุณสำหรับความช่วยเหลือจาก Ostorlab

Kernel

เราขอขอบคุณสำหรับความช่วยเหลือจาก Braxton Anderson, Fakhri Zulkifli (@d0lph1n98) จาก PixiePoint Security

libxpc

เราขอขอบคุณสำหรับความช่วยเหลือจาก Rasmus Sten, F-Secure (Mastodon: @pajp@blog.dll.nu)

LLVM

เราขอขอบคุณสำหรับความช่วยเหลือจาก Victor Duta จาก Universiteit Amsterdam, Fabio Pagani จาก University of California, Santa Barbara, Cristiano Giuffrida จาก Universiteit Amsterdam, Marius Muench และ Fabian Freyer

Maps

เราขอขอบคุณสำหรับความช่วยเหลือจาก Kirin (@Pwnrin)

Music

เราขอขอบคุณสำหรับความช่วยเหลือจาก Khiem Tran จาก databaselog.com/khiemtran, K宝 และ LFY@secsys จาก Fudan University, Yiğit Can YILMAZ (@yilmazcanyigit)

Notification Center

เราขอขอบคุณสำหรับความช่วยเหลือจาก Kirin (@Pwnrin) และ LFYSec

เพิ่มรายการเมื่อวันที่ 28 ตุลาคม 2024

Notifications

เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม

PackageKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก Csaba Fitzl (@theevilbit) จาก Kandji, Mickey Jin (@patch1t), Zhongquan Li (@Guluisacat)

อัปเดตรายการเมื่อวันที่ 28 ตุลาคม 2024

Passwords

เราขอขอบคุณสำหรับความช่วยเหลือจาก Richard Hyunho Im (@r1cheeta)

Photos

เราขอขอบคุณสำหรับความช่วยเหลือจาก Abhay Kailasia (@abhay_kailasia) จาก Lakshmi Narain College Of Technology Bhopal India, Harsh Tyagi, Leandro Chaves

Podcasts

เราขอขอบคุณสำหรับความช่วยเหลือจาก Yiğit Can YILMAZ (@yilmazcanyigit)

Quick Look

เราขอขอบคุณสำหรับความช่วยเหลือจาก Zhipeng Huo (@R3dF09) จาก Tencent Security Xuanwu Lab (xlab.tencent.com)

Safari

เราขอขอบคุณสำหรับความช่วยเหลือจาก Hafiizh และ YoKo Kho (@yokoacc) จาก HakTrak, Junsung Lee, Shaheen Fazim

Sandbox

เราขอขอบคุณสำหรับความช่วยเหลือจาก Cristian Dinca จาก "Tudor Vianu" National High School จาก Computer Science, Romania

อัปเดตรายการเมื่อวันที่ 28 ตุลาคม 2024

Screen Capture

เราขอขอบคุณสำหรับความช่วยเหลือจาก Joshua Jewett (@JoshJewett33), Yiğit Can YILMAZ (@yilmazcanyigit) นักวิจัยนิรนาม

Shortcuts

เราขอขอบคุณสำหรับความช่วยเหลือจาก Cristian Dinca จาก "Tudor Vianu" National High School จาก Computer Science, Romania, Jacob Braun นักวิจัยนิรนาม

Siri

เราขอขอบคุณสำหรับความช่วยเหลือจาก Abhay Kailasia (@abhay_kailasia) จาก Lakshmi Narain College of Technology Bhopal India, Rohan Paudel, นักวิจัยนิรนาม

อัปเดตรายการเมื่อวันที่ 28 ตุลาคม 2024

SystemMigration

เราขอขอบคุณสำหรับความช่วยเหลือจาก Jamey Wicklund, Kevin Jansen นักวิจัยนิรนาม

TCC

เราขอขอบคุณสำหรับความช่วยเหลือจาก Noah Gregory (wts.dev), Vaibhav Prajapati

UIKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก Andr.Ess

Voice Memos

เราขอขอบคุณสำหรับความช่วยเหลือจาก Lisa B

WebKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก Avi Lumelsky จาก Oligo Security, Uri Katz of Oligo Security, Braylon (@softwarescool), Eli Grey (eligrey.com), Johan Carlsson (joaxcar), Numan Türle - Rıza

อัปเดตรายการเมื่อวันที่ 28 ตุลาคม 2024

Wi-Fi

เราขอขอบคุณสำหรับความช่วยเหลือจาก Antonio Zekic (@antoniozekic) และ ant4g0nist, Tim Michaud (@TimGMichaud) จาก Moveworks.ai

WindowServer

เราขอขอบคุณสำหรับความช่วยเหลือจาก Felix Kratz

อัปเดตรายการเมื่อวันที่ 28 ตุลาคม 2024

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: 4 พฤศจิกายน 2567