Informazioni sui contenuti di sicurezza di macOS Monterey 12.6.8

In questo documento vengono descritti i contenuti di sicurezza di macOS Monterey 12.6.8.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle nuove versioni alla pagina Versioni di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

macOS Monterey 12.6.8

Data di rilascio: 24 luglio 2023

Accessibility

Disponibile per: macOS Monterey

Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.

Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.

CVE-2023-40442: Nick Brook

Voce aggiunta l'8 settembre 2023

Apple Neural Engine

Disponibile per: macOS Monterey

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-34425: pattern-f (@pattern_F_) di Ant Security Light-Year Lab

Voce aggiunta il 27 luglio 2023

AppSandbox

Disponibile per: macOS Monterey

Impatto: un processo sandbox può essere in grado di eludere le restrizioni della sandbox.

Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.

CVE-2023-32364: Gergely Kalman (@gergely_kalman)

Voce aggiunta il 27 luglio 2023

Assets

Disponibile per: macOS Monterey

Impatto: un'app potrebbe modificare parti protette del file system.

Descrizione: il problema è stato risolto attraverso una migliore protezione dei dati.

CVE-2023-35983: Mickey Jin (@patch1t)

CFNetwork

Disponibile per: macOS Monterey

Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.

Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.

CVE-2023-40392: Wojciech Regula di SecuRing (wojciechregula.blog)

Voce aggiunta l'8 settembre 2023

CUPS

Disponibile per: macOS Monterey

Impatto: un utente in una posizione privilegiata nella rete potrebbe divulgare informazioni sensibili

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2023-34241: Sei K.

Voce aggiunta il 27 luglio 2023

curl

Disponibile per: macOS Monterey

Impatto: diversi problemi in curl.

Descrizione: diversi problemi sono stati risolti con l'aggiornamento di curl.

CVE-2023-28319

CVE-2023-28320

CVE-2023-28321

CVE-2023-28322

Find My

Disponibile per: macOS Monterey

Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.

Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.

CVE-2023-32416: Wojciech Regula di SecuRing (wojciechregula.blog)

FontParser

Disponibile per: macOS Monterey

Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente contro le versioni di iOS precedenti alla 15.7.1.

Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.

CVE-2023-41990: Apple, Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) e Boris Larin (@oct0xor) di Kaspersky

Voce aggiunta l'8 settembre 2023

Grapher

Disponibile per: macOS Monterey

Impatto: l'elaborazione di un file può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-36854: Bool di YunShangHuaAn(云上华安)

CVE-2023-32418: Bool di YunShangHuaAn(云上华安)

Kernel

Disponibile per: macOS Monterey

Impatto: un utente collegato in remoto potrebbe causare l'interruzione del servizio.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-38603: Zweig di Kunlun Lab

Voce aggiunta il 27 luglio 2023

Kernel

Disponibile per: macOS Monterey

Impatto: un utente remoto potrebbe causare l'arresto imprevisto del sistema o danneggiare la memoria del kernel

Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.

CVE-2023-38590: Zweig di Kunlun Lab

Voce aggiunta il 27 luglio 2023

Kernel

Disponibile per: macOS Monterey

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2023-38598: Mohamed GHANNAM (@_simo36)

Voce aggiunta il 27 luglio 2023

Kernel

Disponibile per: macOS Monterey

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di overflow dei numeri interi è stato risolto attraverso una migliore convalida dell'input.

CVE-2023-36495: 香农的三蹦子 di Pangu Lab

Voce aggiunta il 27 luglio 2023

Kernel

Disponibile per: macOS Monterey

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2023-37285: Arsenii Kostromin (0x3c3e)

Voce aggiunta il 27 luglio 2023

Kernel

Disponibile per: macOS Monterey

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2023-38604: un ricercatore anonimo

Voce aggiunta il 27 luglio 2023

Kernel

Disponibile per: macOS Monterey

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2023-32381: un ricercatore anonimo

CVE-2023-32433: Zweig di Kunlun Lab

CVE-2023-35993: Kaitao Xie e Xiaolong Bai di Alibaba Group

Kernel

Disponibile per: macOS Monterey

Impatto: un'app potrebbe modificare lo stato sensibile del kernel. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente contro le versioni di iOS precedenti alla 15.7.1.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2023-38606: Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) e Boris Larin (@oct0xor) di Kaspersky

Kernel

Disponibile per: macOS Monterey

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14) di STAR Labs SG Pte. Ltd.

Kernel

Disponibile per: macOS Monterey

Impatto: un utente collegato in remoto potrebbe causare l'interruzione del servizio.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-38603: Zweig di Kunlun Lab

Voce aggiunta il 22 dicembre 2023

libxpc

Disponibile per: macOS Monterey

Impatto: un'app potrebbe ottenere privilegi root

Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.

CVE-2023-38565: Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab (xlab.tencent.com)

libxpc

Disponibile per: macOS Monterey

Impatto: un'app può essere in grado di causare l'interruzione del servizio.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2023-38593: Noah Roskin-Frazee

Mail

Disponibile per: macOS Monterey

Impatto: un'email codificata S/MIME potrebbe essere inviata inavvertitamente

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato delle email codificate S/MIME.

CVE-2023-40440: Taavi Eomäe da Zone Media OÜ

Voce aggiunta l'8 settembre 2023

Music

Disponibile per: macOS Monterey

Impatto: un'app potrebbe bypassare le preferenze sulla privacy.

Descrizione: il problema è stato risolto attraverso una migliore convalida dei link simbolici.

CVE-2023-38571: Gergely Kalman (@gergely_kalman)

Voce aggiunta il 27 luglio 2023

Model I/O

Disponibile per: macOS Monterey

Impatto: l'elaborazione di un modello 3D potrebbe causare la divulgazione dei contenuti della memoria dei processi.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-38421: Mickey Jin (@patch1t) e Michael DePlante (@izobashi) di Zero Day Initiative di Trend Micro

CVE-2023-38258: Mickey Jin (@patch1t)

Voce aggiornata il 27 luglio 2023

Model I/O

Disponibile per: macOS Monterey

Impatto: l'elaborazione di un'immagine potrebbe causare la divulgazione dei contenuti della memoria dei processi.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2023-1916

Voce aggiunta il 22 dicembre 2023

ncurses

Disponibile per: macOS Monterey

Impatto: un'app può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.

CVE-2023-29491: Jonathan Bar Or di Microsoft, Emanuele Cozzi di Microsoft e Michael Pearse di Microsoft

Voce aggiunta l'8 settembre 2023

Net-SNMP

Disponibile per: macOS Monterey

Impatto: un'app potrebbe modificare parti protette del file system.

Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.

CVE-2023-38601: Csaba Fitzl (@theevilbit) di Offensive Security

Voce aggiunta il 27 luglio 2023

NSSpellChecker

Disponibile per: macOS Monterey

Impatto: un processo sandbox può essere in grado di eludere le restrizioni della sandbox.

Descrizione: un problema logico è stato risolto attraverso una migliore convalida.

CVE-2023-32444: Mickey Jin (@patch1t)

Voce aggiunta il 27 luglio 2023

OpenLDAP

Disponibile per: macOS Monterey

Impatto: un utente collegato in remoto potrebbe causare l'interruzione del servizio.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-2953: Sandipan Roy

OpenSSH

Disponibile per: macOS Monterey

Impatto: un'app potrebbe essere in grado di accedere alle passphrase SSH.

Descrizione: il problema è stato risolto attraverso restrizioni aggiuntive sull'osservabilità degli stati delle app.

CVE-2023-42829: James Duffy (mangoSecure)

Voce aggiunta il 22 dicembre 2023

PackageKit

Disponibile per: macOS Monterey

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili degli utenti

Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.

CVE-2023-38259: Mickey Jin (@patch1t)

PackageKit

Disponibile per: macOS Monterey

Impatto: un'app potrebbe modificare parti protette del file system.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2023-38602: Arsenii Kostromin (0x3c3e)

Security

Disponibile per: macOS Monterey

Impatto: un'app potrebbe essere in grado di acquisire l'impronta digitale dell'utente.

Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.

CVE-2023-42831: James Duffy (mangoSecure)

Voce aggiunta il 22 dicembre 2023

Shortcuts

Disponibile per: macOS Monterey

Impatto: un comando rapido potrebbe modificare impostazioni sensibili dell'app Comandi rapidi.

Descrizione: un problema di accesso è stato risolto attraverso migliori restrizioni di accesso.

CVE-2023-32442: un ricercatore anonimo

sips

Disponibile per: macOS Monterey

Impatto: l'elaborazione di un file può causare l'interruzione del servizio o la divulgazione di contenuti presenti in memoria.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2023-32443: David Hoyt di Hoyt LLC

Software Update

Disponibile per: macOS Monterey

Impatto: un'app potrebbe ottenere privilegi root

Descrizione: una race condition è stata risolta attraverso una migliore gestione dello stato.

CVE-2023-42832: Arsenii Kostromin (0x3c3e)

Voce aggiunta il 22 dicembre 2023

SQLite

Disponibile per: macOS Monterey

Impatto: un'app potrebbe bypassare le preferenze sulla privacy.

Descrizione: il problema è stato risolto aggiungendo ulteriori restrizioni di registrazione di SQLite.

CVE-2023-32422: Gergely Kalman (@gergely_kalman) e Wojciech Reguła di SecuRing (wojciechregula.blog)

Voce aggiunta l'8 settembre 2023

SystemMigration

Disponibile per: macOS Monterey

Impatto: un'app potrebbe bypassare le preferenze sulla privacy.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-32429: Wenchao Li e Xiaolong Bai di Hangzhou Orange Shield Information Technology Co., Ltd.

Voce aggiunta il 27 luglio 2023

tcpdump

Disponibile per: macOS Monterey

Impatto: un utente malintenzionato in una posizione privilegiata sulla rete può essere in grado di causare l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2023-1801

Voce aggiunta il 22 dicembre 2023

Vim

Disponibile per: macOS Monterey

Impatto: diversi problemi presenti in Vim.

Descrizione: diversi problemi sono stati risolti con l'aggiornamento di Vim.

CVE-2023-2426

CVE-2023-2609

CVE-2023-2610

Voce aggiunta il 22 dicembre 2023

Weather

Disponibile per: macOS Monterey

Impatto: un'app potrebbe determinare la posizione corrente di un utente.

Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.

CVE-2023-38605: Adam M.

Voce aggiunta l'8 settembre 2023

Altri riconoscimenti

Mail

Ringraziamo Parvez Anwar per l'assistenza.

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: