Informazioni sui contenuti di sicurezza di macOS Ventura 13.2
In questo documento vengono descritti i contenuti di sicurezza di macOS Ventura 13.2.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
macOS Ventura 13.2
Data di rilascio 23 gennaio 2023
AppleMobileFileIntegrity
Disponibile per: macOS Ventura
Impatto: un'app potrebbe bypassare le preferenze sulla privacy.
Descrizione: questo problema è stato risolto attraverso migliori controlli in modo da evitare azioni non autorizzate.
CVE-2023-32438: Csaba Fitzl (@theevilbit) di Offensive Security e Mickey Jin (@patch1t)
Voce aggiunta il 5 settembre 2023
AppleMobileFileIntegrity
Disponibile per: macOS Ventura
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: il problema è stato risolto abilitando runtime rafforzato.
CVE-2023-23499: Wojciech Reguła (@_r3ggi) di SecuRing (wojciechregula.blog)
Crash Reporter
Disponibile per: macOS Ventura
Impatto: un utente potrebbe riuscire a leggere file arbitrari come root.
Descrizione: una race condition è stata risolta con un'ulteriore convalida.
CVE-2023-23520: Cees Elzinga
Voce aggiunta il 20 febbraio 2023
curl
Disponibile per: macOS Ventura
Impatto: diversi problemi in curl.
Descrizione: diversi problemi sono stati risolti con l'aggiornamento di curl alla versione 7.86.0.
CVE-2022-42915
CVE-2022-42916
CVE-2022-32221
CVE-2022-35260
dcerpc
Disponibile per: macOS Ventura
Impatto: l'attivazione di una rete Samba condivisa dannosa può portare all'esecuzione di codice arbitrario.
Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.
CVE-2023-23539: Aleksandar Nikolic e Dimitrios Tatsis di Cisco Talos
CVE-2023-23513: Dimitrios Tatsis e Aleksandar Nikolic di Cisco Talos
Voce aggiornata il 1 maggio 2023
DiskArbitration
Disponibile per: macOS Ventura
Impatto: un volume codificato può essere disattivato e riattivato da un altro utente senza richiedere la password
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-23493: Oliver Norpoth (@norpoth) di KLIXX GmbH (klixx.com)
FontParser
Disponibile per: macOS Ventura
Impatto: l'elaborazione di un file di font può causare l'esecuzione di codice arbitrario. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente contro le versioni di iOS precedenti alla 15.7.1.
Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.
CVE-2023-41990: Apple
Voce aggiunta l'8 settembre 2023
Foundation
Disponibile per: macOS Ventura
Impatto: un'app può eseguire codice arbitrario al di fuori della sandbox o con determinati privilegi elevati
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-23530: Austin Emmitt (@alkalinesec), Senior Security Researcher di Trellix Advanced Research Center
Voce aggiunta il 20 febbraio 2023 e aggiornata il 1° maggio 2023
Foundation
Disponibile per: macOS Ventura
Impatto: un'app può eseguire codice arbitrario al di fuori della sandbox o con determinati privilegi elevati
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-23531: Austin Emmitt (@alkalinesec), Senior Security Researcher di Trellix Advanced Research Center
Voce aggiunta il 20 febbraio 2023 e aggiornata il 1° maggio 2023
ImageIO
Disponibile per: macOS Ventura
Impatto: l'elaborazione di un'immagine potrebbe causare l'interruzione del servizio
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-23519: Meysam Firouzi @R00tkitSMM di Mbition Mercedes-Benz Innovation Lab, Yiğit Can YILMAZ (@yilmazcanyigit) e jzhu in collaborazione con Zero Day Initiative di Trend Micro
Voce aggiornata il 5 settembre 2023
Intel Graphics Driver
Disponibile per: macOS Ventura
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con migliori controlli dei limiti.
CVE-2023-23507: un ricercatore anonimo
Kernel
Disponibile per: macOS Ventura
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-23516: Jordy Zomer (@pwningsystems)
Voce aggiunta il 1 maggio 2023
Kernel
Disponibile per: macOS Ventura
Impatto: un'app potrebbe divulgare lo stato sensibile del kernel
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-23500: Pan ZhenPeng (@Peterpan0927) di STAR Labs SG Pte. Ltd. (@starlabs_sg)
Kernel
Disponibile per: macOS Ventura
Impatto: un'app può determinare il layout della memoria del kernel
Descrizione: un problema di divulgazione delle informazioni è stato risolto rimuovendo il codice vulnerabile.
CVE-2023-23502: Pan ZhenPeng (@Peterpan0927) di STAR Labs SG Pte. Ltd. (@starlabs_sg)
Kernel
Disponibile per: macOS Ventura
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-23504: Adam Doupé di ASU SEFCOM
libxpc
Disponibile per: macOS Ventura
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: un problema di autorizzazioni è stato risolto attraverso una migliore convalida.
CVE-2023-23506: Guilherme Rambo di Best Buddy Apps (rambo.codes)
Mail Drafts
Disponibile per: macOS Ventura
Impatto: il messaggio originale citato potrebbe essere selezionato dall'email errata quando si inoltra un'email da un account Exchange
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-23498: Jose Lizandro Luevano
Voce aggiornata il 1 maggio 2023
Maps
Disponibile per: macOS Ventura
Impatto: un'app potrebbe bypassare le preferenze sulla privacy.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-23503: un ricercatore anonimo
Messages
Disponibile per: macOS Ventura
Impatto: un utente può inviare un testo da un'eSIM secondaria nonostante abbia configurato un contatto per utilizzare un'eSIM principale
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-28208: freshman
Voce aggiunta il 5 settembre 2023
PackageKit
Disponibile per: macOS Ventura
Impatto: un'app potrebbe ottenere privilegi root
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-23497: Mickey Jin (@patch1t)
Safari
Disponibile per: macOS Ventura
Impatto: un'app può essere in grado di accedere alla cronologia Safari dell'utente.
Descrizione: un problema di autorizzazioni è stato risolto attraverso una migliore convalida.
CVE-2023-23510: Guilherme Rambo di Best Buddy Apps (rambo.codes)
Safari
Disponibile per: macOS Ventura
Impatto: l'accesso a un sito web può causare un'interruzione del servizio dell'app
Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.
CVE-2023-23512: Adriatik Raci
Screen Time
Disponibile per: macOS Ventura
Impatto: un'app potrebbe accedere alle informazioni sui contatti di un utente
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2023-23505: Wojciech Reguła di SecuRing (wojciechregula.blog) e Csaba Fitzl (@theevilbit) di Offensive Security
Voce aggiornata il 1 maggio 2023
Vim
Disponibile per: macOS Ventura
Impatto: diversi problemi presenti in Vim.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2022-3705
Weather
Disponibile per: macOS Ventura
Impatto: un'app potrebbe bypassare le preferenze sulla privacy.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-23511: Wojciech Regula di SecuRing (wojciechregula.blog), un ricercatore anonimo
WebKit
Disponibile per: macOS Ventura
Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
WebKit Bugzilla: 248885
CVE-2023-32393: Francisco Alonso (@revskills)
Voce aggiunta il 28 giugno 2023
WebKit
Disponibile per: macOS Ventura
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto con controlli migliori.
WebKit Bugzilla: 245464
CVE-2023-23496: ChengGang Wu, Yan Kang, YuHao Hu, Yue Sun, Jiming Wang, JiKai Ren e Hang Shu dell'Institute of Computing Technology, Chinese Academy of Sciences
WebKit
Disponibile per: macOS Ventura
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
WebKit Bugzilla: 248268
CVE-2023-23518: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) del Team ApplePIE
WebKit Bugzilla: 248268
CVE-2023-23517: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) del Team ApplePIE
Wi-Fi
Disponibile per: macOS Ventura
Impatto: un'app potrebbe rivelare la memoria kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria
CVE-2023-23501: Pan ZhenPeng (@Peterpan0927) di STAR Labs SG Pte. Ltd. (@starlabs_sg)
Windows Installer
Disponibile per: macOS Ventura
Impatto: un'app potrebbe bypassare le preferenze sulla privacy.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-23508: Mickey Jin (@patch1t)
WebKit
Disponibile per: macOS Ventura
Impatto: un documento HTML potrebbe eseguire il rendering degli iFrame con informazioni sensibili dell'utenza
Descrizione: questo problema è stato risolto attraverso una migliore applicazione della sandbox iframe.
WebKit Bugzilla: 241753
CVE-2022-0108: Luan Herrera (@lbherrera_)
Voce aggiunta il 1 maggio 2023
Altri riconoscimenti
AppleMobileFileIntegrity
Ringraziamo Csaba Fitzl (@theevilbit) di Offensive Security per l'assistenza.
Voce aggiunta il 1 maggio 2023
Bluetooth
Ringraziamo un ricercatore anonimo per l'assistenza.
Core Data
Ringraziamo Austin Emmitt (@alkalinesec), Senior Security Researcher presso Trellix Advanced Research Center, per l'assistenza.
Voce aggiunta l'8 settembre 2023
Kernel
Ringraziamo Nick Stenning di Replicate per l'assistenza.
Shortcuts
Ringraziamo Baibhav Anand Jha di ReconWithMe e Cristian Dinca della Tudor Vianu National High School of Computer Science, Romania per l'assistenza.
WebKit
Ringraziamo Eliya Stein di Confiant per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.