เกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Sequoia 15.1

เอกสารฉบับนี้อธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Sequoia 15.1

เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการเผยแพร่เกี่ยวกับความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

macOS Sequoia 15.1

เผยแพร่เมื่อวันที่ 28 ตุลาคม 2024

Apache

ผลกระทบ: มีปัญหาจำนวนมากใน Apache

คำอธิบาย: นี่เป็นช่องโหว่ในโค้ดโอเพ่นซอร์สและซอฟต์แวร์ Apple ก็เป็นหนึ่งในโปรเจ็กต์ที่ได้รับผลกระทบ CVE-ID ได้รับการระบุโดยบุคคลภายนอก เรียนรู้เพิ่มเติมเกี่ยวกับปัญหาและ CVE-ID ได้ที่ cve.org

CVE-2024-39573

CVE-2024-38477

CVE-2024-38476

App Support

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: แอปที่ประสงค์ร้ายอาจสามารถเรียกใช้คำสั่งลัดโดยพลการโดยไม่ได้รับความยินยอมจากผู้ใช้

คำอธิบาย: ปัญหาการจัดการพาธได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น

CVE-2024-44255: นักวิจัยนิรนาม

AppleAVD

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: การแยกวิเคราะห์ไฟล์วิดีโอที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบหยุดโดยไม่คาดคิดได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ดียิ่งขึ้น

CVE-2024-44232: Ivan Fratric จาก Google Project Zero

CVE-2024-44233: Ivan Fratric จาก Google Project Zero

CVE-2024-44234: Ivan Fratric จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 1 พฤศจิกายน 2024

AppleMobileFileIntegrity

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: โปรเซสที่อยู่ในแซนด์บ็อกซ์อาจเลี่ยงข้อจำกัดของแซนด์บ็อกซ์ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2024-44270: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

คำอธิบาย: ปัญหาการดาวน์เกรดที่ส่งผลกระทบต่อคอมพิวเตอร์ Mac ที่ใช้ Intel ได้รับการแก้ไขแล้วด้วยข้อจำกัดการเซ็นโค้ดเพิ่มเติม

CVE-2024-44280: Mickey Jin (@patch1t)

Assets

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: แอปพลิเคชันประสงค์ร้ายที่มีสิทธิ์ในระดับรูทอาจสามารถแก้ไขเนื้อหาของไฟล์ระบบได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการลบโค้ดที่มีความเสี่ยงออก

CVE-2024-44260: Mickey Jin (@patch1t)

Contacts

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: แอปอาจสามารถเข้าถึงข้อมูลเกี่ยวกับรายชื่อติดต่อของผู้ใช้ได้

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลส่วนตัวสำหรับรายการล็อกให้ดียิ่งขึ้น

CVE-2024-44298: Kirin (@Pwnrin) และ 7feilee

CoreMedia Playback

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: แอปที่ประสงค์ร้ายอาจเข้าถึงข้อมูลส่วนตัวได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการ symlinks ให้ดียิ่งขึ้น

CVE-2024-44273: pattern-f (@pattern_F_), Hikerell จาก Loadshine Lab

CoreServicesUIAgent

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขด้วยการตรวจสอบสิทธิ์เพิ่มเติม

CVE-2024-44295: นักวิจัยนิรนาม

CoreText

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: การประมวลผลแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2024-44240: Hossein Lotfi (@hosselot) จาก Trend Micro Zero Day Initiative

CVE-2024-44302: Hossein Lotfi (@hosselot) จาก Trend Micro Zero Day Initiative

CUPS

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถทำให้ข้อมูลสำคัญของผู้ใช้รั่วไหลได้

คำอธิบาย: มีปัญหาในการแยกวิเคราะห์ URL ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2024-44213: Alexandre Bedard

Find My

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้

CVE-2024-44289: Kirin (@Pwnrin)

Foundation

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: การแยกวิเคราะห์ไฟล์อาจทำให้เกิดการเปิดเผยข้อมูลของผู้ใช้

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2024-44282: Hossein Lotfi (@hosselot) จาก Trend Micro Zero Day Initiative

Game Controllers

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: ผู้โจมตีที่มีสิทธิ์เข้าถึงตัวเครื่องของอุปกรณ์สามารถป้อนเหตุการณ์ของตัวควบคุมเกมไปยังแอปที่ทำงานบนอุปกรณ์ที่ล็อคอยู่ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขโดยจำกัดตัวเลือกที่นำเสนอบนอุปกรณ์ที่ล็อคอยู่

CVE-2024-44265: Ronny Stiftel

ImageIO

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: การประมวลผลภาพอาจส่งผลให้มีการเปิดเผยข้อมูลของหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2024-44215: Junsung Lee ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

ImageIO

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: การประมวลผลข้อความที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้

CVE-2024-44297: Jex Amro

Installer

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาการเข้าถึงได้รับการแก้ไขแล้วด้วยข้อจำกัด Sandbox เพิ่มเติม

CVE-2024-44216: Zhongquan Li (@Guluisacat)

Installer

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2024-44287: Mickey Jin (@patch1t)

IOGPUFamily

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: แอปที่ประสงค์ร้ายอาจสามารถทำให้เกิดการปฏิเสธการให้บริการได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

CVE-2024-44197: Wang Yu จาก Cyberserval

IOMobileFrameBuffer

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: ผู้โจมตีอาจทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการในเฟิร์มแวร์ DCP ได้

CVE-2024-44299: Ye Zhang (@VAR10CK) จาก Baidu Security

CVE-2024-44241: Ye Zhang (@VAR10CK) จาก Baidu Security

CVE-2024-44242: Ye Zhang (@VAR10CK) จาก Baidu Security

เพิ่มรายการเมื่อวันที่ 11 ธันวาคม 2024

IOSurface

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: แอปอาจทำให้ระบบหยุดทำงานหรือทำให้ข้อมูลหน่วยความจำเคอร์เนลเสียหายโดยไม่คาดคิด

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2024-44285: นักวิจัยนิรนาม

Kernel

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: แอปอาจทำให้สถานะเคอร์เนลที่ละเอียดอ่อนรั่วไหลได้

คำอธิบาย: ปัญหาการเปิดเผยข้อมูลได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลส่วนตัวสำหรับรายการล็อกให้ดียิ่งขึ้น

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

LaunchServices

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: แอปอาจสามารถทะลุผ่าน Sandbox ได้

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม

CVE-2024-40849: Arsenii Kostromin (0x3c3e)

เพิ่มรายการเมื่อวันที่ 11 ธันวาคม 2024

libarchive

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้

CVE-2024-44201: Ben Roeder

เพิ่มรายการเมื่อวันที่ 11 ธันวาคม 2024

Login Window

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: บุคคลที่สามารถเข้าถึง Mac อาจสามารถข้ามหน้าต่างการเข้าสู่ระบบได้ในระหว่างการอัปเดตซอฟต์แวร์

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2024-44231: Toomas Römer

Login Window

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: ผู้โจมตีที่เข้าถึงตัวเครื่องของ Mac ได้อาจสามารถดูคอนเทนต์ที่ได้รับการป้องกันจากหน้าจอลงชื่อเข้าใช้

CVE-2024-44223: Jaime Bertran

Maps

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น

CVE-2024-44222: Kirin (@Pwnrin)

Messages

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: แอปอาจสามารถทะลุผ่าน Sandbox ได้

คำอธิบาย: ปัญหาได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2024-44256: Mickey Jin (@patch1t)

NetAuth

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถทำให้ข้อมูลประจำตัวของผู้ใช้รั่วไหลได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขด้วยการตรวจสอบสิทธิ์เพิ่มเติม

CVE-2024-54471: Noah Gregory (wts.dev)

เพิ่มรายการเมื่อวันที่ 11 ธันวาคม 2024

Notification Center

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

CVE-2024-44292: Kirin (@Pwnrin)

Notification Center

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: ผู้ใช้อาจดูข้อมูลผู้ใช้ที่ละเอียดอ่อนได้

CVE-2024-44293: Kirin (@Pwnrin) และ 7feilee

PackageKit

มีให้สำหรับ: macOS Sequoia

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2024-44247: Un3xploitable จาก CW Research Inc

CVE-2024-44267: Bohdan Stasiuk (@Bohdan_Stasiuk), Un3xploitable จาก CW Research Inc, Pedro Tôrres (@t0rr3sp3dr0)

CVE-2024-44301: Bohdan Stasiuk (@Bohdan_Stasiuk), Un3xploitable จาก CW Research Inc, Pedro Tôrres (@t0rr3sp3dr0)

CVE-2024-44275: Arsenii Kostromin (0x3c3e)

CVE-2024-44303: Pedro Tôrres (@t0rr3sp3dr0)

อัปเดตรายการเมื่อวันที่ 11 ธันวาคม 2024

PackageKit

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวได้

คำอธิบาย: ช่องโหว่ของการลบพาธได้รับการแก้ไขแล้วโดยการป้องกันไม่ให้โค้ดที่มีช่องโหว่ทำงานด้วยสิทธิ์

CVE-2024-44156: Arsenii Kostromin (0x3c3e)

CVE-2024-44159: Mickey Jin (@patch1t)

PackageKit

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

CVE-2024-44253: Mickey Jin (@patch1t), Csaba Fitzl (@theevilbit) จาก Kandji

PackageKit

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: ผู้โจมตีที่มีสิทธิ์ในระดับรูทอาจสามารถลบไฟล์ระบบที่มีการป้องกันได้

CVE-2024-44294: Mickey Jin (@patch1t)

PackageKit

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2024-44196: Csaba Fitzl (@theevilbit) จาก Kandji

Photos

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: แอปอาจเข้าถึงรายชื่อได้โดยไม่ได้รับความยินยอมจากผู้ใช้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2024-40858: Csaba Fitzl (@theevilbit) จาก Kandji

Pro Res

มีให้สำหรับ: macOS Sequoia

CVE-2024-44277: นักวิจัยนิรนามและ Yinyi Wu(@_3ndy1) จาก Dawn Security Lab of JD.com, Inc.

Quick Look

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: แอปอาจอ่านไฟล์โดยพลการ

CVE-2024-44195: นักวิจัยนิรนาม

Safari Downloads

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: ผู้โจมตีอาจสามารถนำความสัมพันธ์แบบเชื่อใจไปใช้ในทางที่ผิดเพื่อดาวน์โหลดคอนเทนต์ที่ประสงค์ร้าย

CVE-2024-44259: Narendra Bhati ผู้จัดการของ Cyber Security ที่ Suma Soft Pvt. Ltd, ปูเน่ - (อินเดีย)

Safari Private Browsing

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: การท่องเว็บแบบส่วนตัวอาจทำให้ประวัติการท่องเว็บบางส่วนรั่วไหล

คำอธิบาย: ข้อมูลรั่วไหลได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม

CVE-2024-44229: Lucas Di Tomase

Sandbox

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบความถูกต้องของ symlinks ให้ดียิ่งขึ้น

CVE-2024-44211: Gergely Kalman (@gergely_kalman) และ Csaba Fitzl (@theevilbit)

Sandbox

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายที่มีสิทธิ์ระดับรากอาจเข้าถึงข้อมูลส่วนบุคคลได้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2024-44219: Ryan Dowd (@_rdowd)

เพิ่มรายการเมื่อวันที่ 11 ธันวาคม 2024

SceneKit

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อทำอันตรายอาจทำให้ฮีพล่ม

CVE-2024-44218: Michael DePlante (@izobashi) จาก Trend Micro Zero Day Initiative

Screen Sharing Server

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: ผู้ใช้ที่มีสิทธิ์เข้าถึงการแชร์หน้าจออาจสามารถดูหน้าจอของผู้ใช้คนอื่นได้

CVE-2024-44248: Halle Winkler, Politepix (theoffcuts.org)

เพิ่มรายการเมื่อวันที่ 11 ธันวาคม 2024

Security

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: ผู้โจมตีระยะไกลอาจทำให้เกิด Denial of Service ได้

คำอธิบาย: ปัญหา Denial of Service ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2024-54538: Bing Shi, Wenchao Li และ Xiaolong Bai จาก Alibaba Group และ Luyi Xing จาก Indiana University Bloomington

เพิ่มรายการเมื่อวันที่ 19 ธันวาคม 2024

Shortcuts

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

CVE-2024-44254: Kirin (@Pwnrin)

Shortcuts

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: แอปที่ประสงค์ร้ายอาจใช้คำสั่งลัดเพื่อเข้าถึงไฟล์ที่มีการจำกัดสิทธิ์ได้

CVE-2024-44269: Kirin (@Pwnrin) และนักวิจัยนิรนาม

อัปเดตรายการเมื่อวันที่ 11 ธันวาคม 2024

sips

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิด

คำอธิบาย: ปัญหาด้านการเข้าถึงนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2024-44236: Hossein Lotfi (@hosselot) จาก Zero Day Initiative ของ Trend Micro

CVE-2024-44237: Hossein Lotfi (@hosselot) จาก Zero Day Initiative ของ Trend Micro

sips

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: การแยกวิเคราะห์ไฟล์อาจทำให้เกิดการเปิดเผยข้อมูลของผู้ใช้

CVE-2024-44279: Hossein Lotfi (@hosselot) จาก Zero Day Initiative ของ Trend Micro

CVE-2024-44281: Hossein Lotfi (@hosselot) จาก Zero Day Initiative ของ Trend Micro

sips

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: การแยกวิเคราะห์ไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิด

CVE-2024-44283: Hossein Lotfi (@hosselot) จาก Zero Day Initiative ของ Trend Micro

sips

มีให้สำหรับ: macOS Sequoia

คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2024-44284: Junsung Lee, dw0r! ทำงานร่วมกับ Trend Micro Zero Day Initiative

Siri

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

CVE-2024-44194: Rodolphe Brunetti (@eisw0lf)

Siri

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้

CVE-2024-44200: Cristian Dinca (icmd.tech)

เพิ่มรายการเมื่อวันที่ 11 ธันวาคม 2024

Siri

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: แอปในแซนด์บ็อกซ์อาจสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ในบันทึกระบบได้

CVE-2024-44278: Kirin (@Pwnrin)

SystemMigration

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: แอปที่ประสงค์ร้ายอาจสร้าง symlink ไปยังพื้นที่ของดิสก์ที่ได้รับการป้องกันได้

CVE-2024-44264: Mickey Jin (@patch1t)

Weather

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: แอปอาจสามารถระบุตำแหน่งปัจจุบันของผู้ใช้ได้

CVE-2024-44290: Kirin (@Pwnrin)

เพิ่มรายการเมื่อวันที่ 11 ธันวาคม 2024

WebKit

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจป้องกันไม่ให้บังคับใช้นโยบายความปลอดภัยคอนเทนต์

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

WebKit Bugzilla: 278765

CVE-2024-44296: Narendra Bhati ผู้จัดการของ Cyber Security ที่ Suma Soft Pvt. Ltd, ปูเน่ - (อินเดีย)

WebKit

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: คุกกี้ที่เป็นของต้นทางหนึ่งอาจถูกส่งไปที่ต้นทางอื่น

ปัญหาการจัดการคุกกี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

WebKit Bugzilla: 279226

CVE-2024-44212: Wojciech Regula จาก SecuRing (wojciechregula.blog)

เพิ่มรายการเมื่อวันที่ 11 ธันวาคม 2024

WebKit

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้โปรเซสล่มโดยไม่คาดคิด

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

WebKit Bugzilla: 279780

CVE-2024-44244: นักวิจัยนิรนาม, Q1IQ (@q1iqF) และ P1umer (@p1umer)

WindowServer

มีให้สำหรับ: macOS Sequoia

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

CVE-2024-44257: Bohdan Stasiuk (@Bohdan_Stasiuk)

คำขอบคุณพิเศษ

Airport

เราขอขอบคุณสำหรับความช่วยเหลือจาก Bohdan Stasiuk (@Bohdan_Stasiuk) และ K宝(@Pwnrin)

Calculator

เราขอขอบคุณสำหรับความช่วยเหลือจาก Kenneth Chew

Calendar

เราขอขอบคุณสำหรับความช่วยเหลือจาก K宝(@Pwnrin)

ImageIO

เราขอขอบคุณสำหรับความช่วยเหลือจาก Amir Bazine และ Karsten König นักวิจัยนิรนามจาก CrowdStrike Counter Adversary Operations

Messages

เราขอขอบคุณสำหรับความช่วยเหลือจาก Collin Potter นักวิจัยนิรนาม

NetworkExtension

เราขอขอบคุณสำหรับความช่วยเหลือจาก Patrick Wardle จาก DoubleYou และ Objective-See Foundation

Notification Center

เราขอขอบคุณสำหรับความช่วยเหลือจาก Kirin (@Pwnrin) และ LFYSec

Photos

เราขอขอบคุณสำหรับความช่วยเหลือจาก James Robertson

Safari Private Browsing

เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนามและ Jacob Compton

อัปเดตรายการเมื่อวันที่ 11 ธันวาคม 2024

Safari Tabs

เราขอขอบคุณสำหรับความช่วยเหลือจาก Jaydev Ahire

Siri

เราขอขอบคุณสำหรับความช่วยเหลือจาก Bistrit Dahal

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: 31 ธันวาคม 2567