Informazioni sui contenuti di sicurezza di macOS Big Sur 11.7.5
In questo documento vengono descritti i contenuti di sicurezza di macOS Big Sur 11.7.5.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver effettuato un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina relativa agli aggiornamenti di sicurezza Apple.
Quando possibile, i documenti sulla sicurezza Apple utilizzano i CVE-ID per indicare la vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
macOS Big Sur 11.7.5
Rilasciato il 27 marzo 2023
Apple Neural Engine
Disponibile per: macOS Big Sur
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-23540: Mohamed GHANNAM (@_simo36)
AppleAVD
Disponibile per: macOS Big Sur
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2022-26702: un ricercatore anonimo, Antonio Zekic (@antoniozekic) e John Aakerblom (@jaakerblom)
AppleMobileFileIntegrity
Disponibile per: macOS Big Sur
Impatto: un plugin potrebbe essere in grado di ereditare le autorizzazioni dell'app e accedere ai dati dell'utente.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-28207: Wojciech Reguła (@_r3ggi) di SecuRing
Voce aggiunta il 20 marzo 2025
AppleMobileFileIntegrity
Disponibile per: macOS Big Sur
Impatto: un utente può ottenere l'accesso a parti protette del file system.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-23527: Mickey Jin (@patch1t)
Archive Utility
Disponibile per: macOS Big Sur
Impatto: un archivio potrebbe bypassare Gatekeeper.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-27951: Brandon Dalton (@partyD0lphin) di Red Canary e Csaba Fitzl (@theevilbit) di Offensive Security
Voce aggiornata l'11 maggio 2023
Calendar
Disponibile per: macOS Big Sur
Impatto: l'importazione di un invito di calendario dannoso può consentire l'esfiltrazione delle informazioni dell'utente
Descrizione: diversi problemi di convalida sono stati risolti attraverso una migliore sanitizzazione dell'input.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
Carbon Core
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di un'immagine dannosa potrebbe causare la divulgazione dei contenuti della memoria dei processi.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-23534: Mickey Jin (@patch1t)
ColorSync
Disponibile per: macOS Big Sur
Impatto: un'app potrebbe leggere file arbitrari
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-27955: JeongOhKyea
CommCenter
Disponibile per: macOS Big Sur
Impatto: un'app potrebbe causare l'arresto improvviso del sistema o scrivere sulla memoria del kernel
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2023-27936: Tingting Yin della Tsinghua University
CoreServices
Disponibile per: macOS Big Sur
Impatto: un processo sandbox può essere in grado di eludere le restrizioni della sandbox.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2023-40398: Mickey Jin (@patch1t)
Voce aggiunta il 16 luglio 2024
dcerpc
Disponibile per: macOS Big Sur
Impatto: un utente collegato in remoto può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto con migliori controlli dei limiti.
CVE-2023-27935: Aleksandar Nikolic di Cisco Talos
dcerpc
Disponibile per: macOS Big Sur
Impatto: un utente remoto potrebbe causare l'arresto imprevisto del sistema o danneggiare la memoria del kernel
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-27953: Aleksandar Nikolic di Cisco Talos
CVE-2023-27958: Aleksandar Nikolic di Cisco Talos
Find My
Disponibile per: macOS Big Sur
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2023-23537: un ricercatore anonimo
FontParser
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2023-32366: Ye Zhang (@VAR10CK) di Baidu Security
Voce aggiunta il 21 dicembre 2023
Foundation
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di un file font dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario
Descrizione: un problema di overflow dei numeri interi è stato risolto attraverso una migliore convalida dell'input.
CVE-2023-27937: un ricercatore anonimo
Identity Services
Disponibile per: macOS Big Sur
Impatto: un'app potrebbe accedere alle informazioni sui contatti di un utente
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2023-27928: Csaba Fitzl (@theevilbit) di Offensive Security
ImageIO
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di un file dannoso può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2023-27946: Mickey Jin (@patch1t)
ImageIO
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di un'immagine dannosa potrebbe causare la divulgazione dei contenuti della memoria dei processi.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-23535: ryuzaki
IOAcceleratorFamily
Disponibile per: macOS Big Sur
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2023-32378: Murray Mike
Voce aggiunta il 21 dicembre 2023
Kernel
Disponibile per: macOS Big Sur
Impatto: un'app potrebbe rivelare la memoria kernel.
Descrizione: si verificava un problema di lettura non nei limiti che causava la divulgazione della memoria del kernel. Il problema è stato risolto attraverso una migliore convalida dell'input.
CVE-2023-27941: Arsenii Kostromin (0x3c3e)
CVE-2023-28199: Arsenii Kostromin (0x3c3e)
Voce aggiunta l'11 maggio 2023 e aggiornata il 21 dicembre 2023
Kernel
Disponibile per: macOS Big Sur
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con migliori controlli dei limiti.
CVE-2023-23536: Félix Poulin-Bélanger e David Pan Ogea
Voce aggiunta l'11 maggio 2023 e aggiornata il 21 dicembre 2023
Kernel
Disponibile per: macOS Big Sur
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2023-23514: Xinru Chi di Pangu Lab e Ned Williamson di Google Project Zero
Kernel
Disponibile per: macOS Big Sur
Impatto: un'app potrebbe rivelare la memoria kernel.
Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.
CVE-2023-28200: Arsenii Kostromin (0x3c3e)
Kernel
Disponibile per: macOS Big Sur
Impatto: un'app potrebbe essere in grado di causare un'interruzione del servizio.
Descrizione: un problema di overflow dei numeri interi è stato risolto mediante una migliore convalida degli input.
CVE-2023-28185: Pan ZhenPeng di STAR Labs SG Pte. Ltd.
Voce aggiunta il 21 dicembre 2023
LaunchServices
Disponibile per: macOS Big Sur
Impatto: un'app potrebbe ottenere privilegi root
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2023-23525: Mickey Jin (@patch1t)
Voce aggiunta l'11 maggio 2023
libpthread
Disponibile per: macOS Big Sur
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di confusione dei tipi è stato risolto con migliori controlli.
CVE-2023-41075: Zweig di Kunlun Lab
Voce aggiunta il 21 dicembre 2023
Disponibile per: macOS Big Sur
Impatto: un'app potrebbe essere in grado di visualizzare informazioni sensibili.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-28189: Mickey Jin (@patch1t)
Voce aggiunta l'11 maggio 2023
Messages
Disponibile per: macOS Big Sur
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: un problema di accesso è stato risolto attraverso ulteriori restrizioni della sandbox.
CVE-2023-28197: Joshua Jones
Voce aggiunta il 21 dicembre 2023
NetworkExtension
Disponibile per: macOS Big Sur
Impatto: un utente in una posizione di rete privilegiata potrebbe eseguire lo spoofing di un server VPN la cui unica autenticazione configurata è EAP.
Descrizione: il problema è stato risolto attraverso una migliore autenticazione.
CVE-2023-28182: Zhuowei Zhang
PackageKit
Disponibile per: macOS Big Sur
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2023-27962: Mickey Jin (@patch1t)
Podcasts
Disponibile per: macOS Big Sur
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-27942: Mickey Jin (@patch1t)
Voce aggiunta l'11 maggio 2023
System Settings
Disponibile per: macOS Big Sur
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2023-23542: Adam M.
Voce aggiornata il 21 dicembre 2023
System Settings
Disponibile per: macOS Big Sur
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: un problema di autorizzazioni è stato risolto attraverso una migliore convalida.
CVE-2023-28192: Guilherme Rambo di Best Buddy Apps (rambo.codes)
Vim
Disponibile per: macOS Big Sur
Impatto: diversi problemi presenti in Vim.
Descrizione: diversi problemi sono stati risolti con l'aggiornamento alla versione di Vim 9.0.1191.
CVE-2023-0433
CVE-2023-0512
XPC
Disponibile per: macOS Big Sur
Impatto: un'app potrebbe essere in grado di uscire dalla sandbox
Descrizione: questo problema è stato risolto con una nuova autorizzazione.
CVE-2023-27944: Mickey Jin (@patch1t)
Altri riconoscimenti
Activation Lock
Ringraziamo Christian Mina per l'assistenza.
CoreServices
Ringraziamo Mickey Jin (@patch1t) per l'assistenza.
NSOpenPanel
Ringraziamo Alexandre Colucci (@timacfr) per l'assistenza.
Wi-Fi
Ringraziamo un ricercatore anonimo per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.