Informazioni sui contenuti di sicurezza di macOS Sonoma 14.3

In questo documento vengono descritti i contenuti di sicurezza di macOS Sonoma 14.3.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma problemi relativi alla sicurezza prima di aver completato un'indagine approfondita e preparato le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle nuove versioni alla pagina Versioni di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

macOS Sonoma 14.3

Data di rilascio: 22 gennaio 2024

Apple Neural Engine

Disponibile per: macOS Sonoma

Impatto: un'app potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel

Descrizione: il problema è stato risolto migliorando la gestione della memoria.

CVE-2024-23212: Ye Zhang di Baidu Security

CoreCrypto

Disponibile per: macOS Sonoma

Impatto: un utente malintenzionato potrebbe riuscire a decrittografare i testi cifrati con chiave RSA PKCS#1 v1.5 legacy senza disporre della chiave privata.

Descrizione: un problema side-channel che sfrutta il tempo è stato risolto migliorando il calcolo del tempo costante nelle funzioni di crittografia.

CVE-2024-23218: Clemens Lang

Finder

Disponibile per: macOS Sonoma

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2024-23224: Brian McNulty

Kernel

Disponibile per: macOS Sonoma

Impatto: un'app potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel

Descrizione: il problema è stato risolto migliorando la gestione della memoria.

CVE-2024-23208: fmyy(@binary_fmyy) e lime del TIANGONG Team di Legendsec presso QI-ANXIN Group

libxpc

Disponibile per: macOS Sonoma

Impatto: un'app potrebbe causare l'interruzione del servizio.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2024-23201: Koh M. Nakagawa di FFRI Security, Inc. e un ricercatore anonimo

Voce aggiunta il 7 marzo 2024

LLVM

Disponibile per: macOS Sonoma

Impatto: l'elaborazione di contenuti web potrebbe causare l'esecuzione di codice arbitrario

Descrizione: il problema è stato risolto migliorando la gestione della memoria.

CVE-2024-23209

Mail Search

Disponibile per: macOS Sonoma

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.

CVE-2024-23207: Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab) e Ian de Marcellus

NSSpellChecker

Disponibile per: macOS Sonoma

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: un problema di privacy è stato risolto migliorando la gestione dei file.

CVE-2024-23223: Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab)

Power Manager

Disponibile per: macOS Sonoma

Impatto: un'app potrebbe danneggiare la memoria del coprocessore.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-27791: Pan ZhenPeng (@Peterpan0927) di STAR Labs SG Pte. Ltd.

Voce aggiunta il 24 aprile 2024

Safari

Disponibile per: macOS Sonoma

Impatto: l'attività di navigazione privata di un utente potrebbe essere visibile in Impostazioni.

Descrizione: un problema di privacy è stato risolto attraverso una migliore gestione delle preferenze dell'utente.

CVE-2024-23211: Mark Bowers

Shortcuts

Disponibile per: macOS Sonoma

Impatto: un comando rapido può essere in grado di utilizzare dati sensibili con determinate azioni senza richiedere l'autorizzazione dell'utente.

Descrizione: il problema è stato risolto attraverso maggiori controlli dei permessi.

CVE-2024-23203: un ricercatore anonimo

CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)

Shortcuts

Disponibile per: macOS Sonoma

Impatto: un'app potrebbe bypassare alcune preferenze di privacy.

Descrizione: un problema di privacy è stato risolto attraverso una migliore gestione dei file temporanei.

CVE-2024-23217: Kirin (@Pwnrin)

TCC

Disponibile per: macOS Sonoma

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente

Descrizione: un problema è stato risolto migliorando la gestione dei file temporanei.

CVE-2024-23215: Zhongquan Li (@Guluisacat)

Time Zone

Disponibile per: macOS Sonoma

Impatto: un'app potrebbe riuscire a visualizzare il numero di telefono di un utente nei log di sistema.

Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.

CVE-2024-23210: Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab)

WebKit

Disponibile per: macOS Sonoma

Impatto: una pagina web dannosa potrebbe essere in grado di creare una rappresentazione univoca dell'utente.

Descrizione: un problema di accesso è stato risolto migliorando le restrizioni di accesso.

WebKit Bugzilla: 262699

CVE-2024-23206: un ricercatore anonimo

WebKit

Disponibile per: macOS Sonoma

Impatto: l'elaborazione di contenuti web potrebbe causare l'esecuzione di codice arbitrario

Descrizione: il problema è stato risolto migliorando la gestione della memoria.

WebKit Bugzilla: 266619

CVE-2024-23213: Wangtaiyu di Zhongfu info

WebKit

Disponibile per: macOS Sonoma

Impatto: l'elaborazione di contenuti web dannosi potrebbe causare l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.

WebKit Bugzilla: 265129

CVE-2024-23214: Nan Wang (@eternalsakura13) di 360 Vulnerability Research Institute

WebKit

Disponibile per: macOS Sonoma

Impatto: l'elaborazione di un contenuto web pericoloso potrebbe causare l'esecuzione di codice arbitrario. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato.

Descrizione: un problema di confusione dei tipi è stato risolto migliorando i controlli.

WebKit Bugzilla: 267134

CVE-2024-23222

WebKit

Disponibile per: macOS Sonoma

Impatto: un sito web dannoso può causare un comportamento multiorigine inaspettato.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

WebKit Bugzilla: 265812

CVE-2024-23271: James Lee (@Windowsrcer)

Voce aggiunta il 24 aprile 2024

Altri riconoscimenti

NetworkExtension

Ringraziamo Nils Rollshausen per l'assistenza.

Voce aggiunta il 24 aprile 2024

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: