Informazioni sui contenuti di sicurezza di macOS Monterey 12.7.1
In questo documento vengono descritti i contenuti di sicurezza di macOS Monterey 12.7.1.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Versioni di sicurezza di Apple.
Quando possibile, i documenti sulla sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
macOS Monterey 12.7.1
Data di rilascio: 25 ottobre 2023
Automation
Disponibile per: macOS Monterey
Impatto: un'app con privilegi root potrebbe accedere a informazioni private.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-42952: Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab (xlab.tencent.com)
Voce aggiunta il 16 febbraio 2024
CoreAnimation
Disponibile per: macOS Monterey
Impatto: un'app potrebbe causare l'interruzione del servizio.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-40449: Tomi Tokics (@tomitokics) di iTomsn0w
Core Recents
Disponibile per: macOS Monterey
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili degli utenti
Descrizione: il problema è stato risolto ripulendo i log
CVE-2023-42823
Voce aggiunta il 16 febbraio 2024
FileProvider
Disponibile per: macOS Monterey
Impatto: un'app potrebbe causare una negazione del servizio ai client Endpoint Security
Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.
CVE-2023-42854: Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab)
Find My
Disponibile per: macOS Monterey
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.
CVE-2023-40413: Adam M.
Foundation
Disponibile per: macOS Monterey
Impatto: un sito web potrebbe essere in grado di accedere ai dati sensibili degli utenti quando si risolvono i link simbolici
Descrizione: il problema è stato risolto attraverso una migliore gestione dei link simbolici.
CVE-2023-42844: Ron Masas di BreakPoint.SH
libc
Disponibile per: macOS Monterey
Impatto: l'elaborazione di un input dannoso può causare l'esecuzione di codice arbitrario in app installate dall'utente
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-40446: inooo
Voce aggiunta il 3 novembre 2023
ImageIO
Disponibile per: macOS Monterey
Impatto: l'elaborazione di un'immagine potrebbe causare la divulgazione dei contenuti della memoria dei processi.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-40416: JZ
IOTextEncryptionFamily
Disponibile per: macOS Monterey
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto migliorando la gestione della memoria.
CVE-2023-40423: un ricercatore anonimo
Kernel
Disponibile per: macOS Monterey
Impatto: un utente malintenzionato che ha già ottenuto l'esecuzione del codice kernel può essere in grado di bypassare le mitigazioni della memoria del kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-42849: Linus Henze di Pinauten GmbH (pinauten.de)
Model I/O
Disponibile per: macOS Monterey
Impatto: l'elaborazione di un file può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-42856: Michael DePlante (@izobashi) di Trend Micro Zero Day Initiative
PackageKit
Disponibile per: macOS Monterey
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-42859: Arsenii Kostromin (0x3c3e), Mickey Jin (@patch1t) ed Hevel Engineering
CVE-2023-42877: Arsenii Kostromin (0x3c3e)
Voce aggiunta il 16 febbraio 2024
PackageKit
Disponibile per: macOS Monterey
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-42840: Mickey Jin (@patch1t) e Csaba Fitzl (@theevilbit) di Offensive Security
Voce aggiunta il 16 febbraio 2024
PackageKit
Disponibile per: macOS Monterey
Impatto: un'app potrebbe bypassare alcune preferenze di privacy.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-42889: Mickey Jin (@patch1t)
Voce aggiunta il 16 febbraio 2024
PackageKit
Disponibile per: macOS Monterey
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2023-42853: Mickey Jin (@patch1t)
Voce aggiunta il 16 febbraio 2024
PackageKit
Disponibile per: macOS Monterey
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.
CVE-2023-42860: Koh M. Nakagawa (@tsunek0h) di FFRI Security, Inc.
Voce aggiunta il 16 febbraio 2024
Pro Res
Disponibile per: macOS Monterey
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con migliori controlli dei limiti.
CVE-2023-42873: Mingxuan Yang (@PPPF00L), happybabywu e Guang Gong del 360 Vulnerability Research Institute
Voce aggiunta il 16 febbraio 2024
Sandbox
Disponibile per: macOS Monterey
Impatto: un'app con privilegi root potrebbe accedere a informazioni private
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2023-40425: Csaba Fitzl (@theevilbit) di Offensive Security
SQLite
Disponibile per: macOS Monterey
Impatto: un utente collegato in remoto potrebbe causare l'interruzione del servizio.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2023-36191
Voce aggiunta il 16 febbraio 2024
talagent
Disponibile per: macOS Monterey
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.
CVE-2023-40421: Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab)
WindowServer
Disponibile per: macOS Monterey
Impatto: un sito web potrebbe riuscire ad accedere al microfono senza che venga mostrato l'indicatore di utilizzo del microfono.
Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.
CVE-2023-41975: un ricercatore anonimo
WindowServer
Disponibile per: macOS Monterey
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-42858: un ricercatore anonimo
Voce aggiunta il 16 febbraio 2024
Altri riconoscimenti
GPU Drivers
Ringraziamo un ricercatore anonimo per l'assistenza.
libarchive
Ringraziamo Bahaa Naamneh per l'assistenza.
libxml2
Ringraziamo OSS-Fuzz, Ned Williamson di Google Project Zero per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.