Informazioni sui contenuti di sicurezza di macOS Monterey 12.7
In questo documento vengono descritti i contenuti di sicurezza di macOS Monterey 12.7.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle nuove versioni alla pagina Versioni di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
macOS Monterey 12.7
Data di rilascio: giovedì 21 settembre 2023
Apple Neural Engine
Disponibile per: macOS Monterey
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-40412: Mohamed GHANNAM (@_simo36)
CVE-2023-40409: Ye Zhang (@VAR10CK) di Baidu Security
Voce aggiunta il 26 settembre 2023
Apple Neural Engine
Disponibile per: macOS Monterey
Impatto: un'app potrebbe rivelare la memoria kernel
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2023-40410: Tim Michaud (@TimGMichaud) di Moveworks.ai
Voce aggiunta il 26 settembre 2023
Ask to Buy
Disponibile per: macOS Monterey
Impatto: un'app potrebbe accedere ai dati protetti degli utenti.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-38612: Chris Ross (Zoom)
Voce aggiunta il 22 dicembre 2023
Biometric Authentication
Disponibile per: macOS Monterey
Impatto: un'app potrebbe rivelare la memoria kernel
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2023-41232: Liang Wei di PixiePoint Security
Voce aggiunta il 26 settembre 2023
ColorSync
Disponibile per: macOS Monterey
Impatto: un'app potrebbe leggere file arbitrari
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-40406: JeongOhKyea di Theori
Voce aggiunta il 26 settembre 2023
CoreAnimation
Disponibile per: macOS Monterey
Impatto: l'elaborazione di contenuti web potrebbe causare l'interruzione del servizio
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-40420: 이준성(Junsung Lee) di Cross Republic
Voce aggiunta il 26 settembre 2023
Disk Management
Disponibile per: macOS Monterey
Impatto: un'app potrebbe leggere file arbitrari
Descrizione: il problema è stato risolto attraverso una migliore convalida dei link simbolici.
CVE-2023-41968: Mickey Jin (@patch1t) e James Hutchins
Voce aggiunta il 26 settembre 2023
Game Center
Disponibile per: macOS Monterey
Impatto: un'app potrebbe accedere ai contatti.
Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.
CVE-2023-40395: Csaba Fitzl (@theevilbit) di Offensive Security
Voce aggiunta il 26 settembre 2023
Kernel
Disponibile per: macOS Monterey
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) di STAR Labs SG Pte. Ltd.
Voce aggiunta il 26 settembre 2023
Kernel
Disponibile per: macOS Monterey
Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente contro le versioni di iOS rilasciate prima di iOS 16.7.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-41992: Bill Marczak di The Citizen Lab della Munk School della The University of Toronto e Maddie Stone del Threat Analysis Group di Google
libxpc
Disponibile per: macOS Monterey
Impatto: un'app potrebbe accedere ai dati protetti degli utenti.
Descrizione: un problema di autorizzazione è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-41073: Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab (xlab.tencent.com)
Voce aggiunta il 26 settembre 2023
libxpc
Disponibile per: macOS Monterey
Impatto: un'app potrebbe eliminare file per i quali non dispone dell'autorizzazione.
Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.
CVE-2023-40454: Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab (xlab.tencent.com)
Voce aggiunta il 26 settembre 2023
libxslt
Disponibile per: macOS Monterey
Impatto: l'elaborazione di contenuti web potrebbe divulgare informazioni sensibili.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-40403: Dohyun Lee (@l33d0hyun) di PK Security
Voce aggiunta il 26 settembre 2023
Maps
Disponibile per: macOS Monterey
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.
CVE-2023-40427: Adam M., and Wojciech Regula di SecuRing (wojciechregula.blog)
Voce aggiunta il 26 settembre 2023
Sandbox
Disponibile per: macOS Monterey
Impatto: un'app potrebbe sovrascrivere i file arbitrari
Descrizione: il problema è stato risolto con migliori controlli dei limiti.
CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)
Voce aggiunta il 26 settembre 2023
Altri riconoscimenti
Apple Neural Engine
Ringraziamo pattern-f (@pattern_F_) di Ant Security Light-Year Lab per l'assistenza.
Voce aggiunta il 22 dicembre 2023
AppSandbox
Ringraziamo Kirin (@Pwnrin) per l'assistenza.
Voce aggiunta il 26 settembre 2023
Kernel
Ringraziamo Bill Marczak di The Citizen Lab della Munk School della The University of Toronto e Maddie Stone del Threat Analysis Group di Google per l'assistenza.
libxml2
Ringraziamo OSS-Fuzz e Ned Williamson di Google Project Zero per l'assistenza.
Voce aggiunta il 26 settembre 2023
WebKit
Ringraziamo Khiem Tran e Narendra Bhati di Suma Soft Pvt. Ltd, Pune (India) per l'assistenza.
Voce aggiunta il 26 settembre 2023
WebRTC
Ringraziamo un ricercatore anonimo per l'assistenza.
Voce aggiunta il 26 settembre 2023
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.