Informazioni sui contenuti di sicurezza di macOS Sonoma 14.2
In questo documento vengono descritti i contenuti di sicurezza di macOS Sonoma 14.2.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle nuove versioni alla pagina Versioni di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
macOS Sonoma 14.2
Data di rilascio: 11 dicembre 2023
Accessibility
Disponibile per: macOS Sonoma
Impatto: i campi di testo protetto possono essere visualizzati tramite Tastiera accessibile quando si utilizza una tastiera fisica.
Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-42874: Don Clarke
Accessibility
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2023-42937: Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab)
Voce aggiunta il 22 gennaio 2024
Accounts
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2023-42919: Kirin (@Pwnrin)
AppleEvents
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe accedere alle informazioni sui contatti di un utente.
Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.
CVE-2023-42894: Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab)
AppleGraphicsControl
Disponibile per: macOS Sonoma
Impatto: l'elaborazione di un file dannoso può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida dell'input.
CVE-2023-42901: Ivan Fratric di Google Project Zero
CVE-2023-42902: Ivan Fratric of Google Project Zero e Michael DePlante (@izobashi) di Trend Micro Zero Day Initiative
CVE-2023-42912: Ivan Fratric di Google Project Zero
CVE-2023-42903: Ivan Fratric di Google Project Zero
CVE-2023-42904: Ivan Fratric di Google Project Zero
CVE-2023-42905: Ivan Fratric di Google Project Zero
CVE-2023-42906: Ivan Fratric di Google Project Zero
CVE-2023-42907: Ivan Fratric di Google Project Zero
CVE-2023-42908: Ivan Fratric di Google Project Zero
CVE-2023-42909: Ivan Fratric di Google Project Zero
CVE-2023-42910: Ivan Fratric di Google Project Zero
CVE-2023-42911: Ivan Fratric di Google Project Zero
CVE-2023-42926: Ivan Fratric di Google Project Zero
AppleVA
Disponibile per: macOS Sonoma
Impatto: l'elaborazione di un'immagine può causare l'esecuzione di un codice arbitrario.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-42882: Ivan Fratric di Google Project Zero
AppleVA
Disponibile per: macOS Sonoma
Impatto: l'elaborazione di un file può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-42881: Ivan Fratric di Google Project Zero
Voce aggiunta il 12 dicembre 2023
Archive Utility
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2023-42924: Mickey Jin (@patch1t)
Assets
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: un problema è stato risolto attraverso una migliore gestione dei file temporanei.
CVE-2023-42896: Mickey Jin (@patch1t)
Voce aggiunta il 22 marzo 2024
AVEVideoEncoder
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe rivelare la memoria kernel.
Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.
CVE-2023-42884: un ricercatore anonimo
Bluetooth
Disponibile per: macOS Sonoma
Impatto: un utente malintenzionato con una posizione privilegiata nella rete potrebbe servirsi dello spoofing della tastiera per digitare tasti.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-45866: Marc Newlin of SkySafe
CoreMedia Playback
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-42900: Mickey Jin (@patch1t)
CoreServices
Disponibile per: macOS Sonoma
Impatto: un utente può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2023-42886: Koh M. Nakagawa (@tsunek0h)
curl
Disponibile per: macOS Sonoma
Impatto: diversi problemi in curl.
Descrizione: diversi problemi sono stati risolti con l'aggiornamento di curl alla versione 8.4.0.
CVE-2023-38545
CVE-2023-38039
CVE-2023-38546
Voce aggiunta il 22 gennaio 2024 e aggiornata il 13 febbraio 2024
DiskArbitration
Disponibile per: macOS Sonoma
Impatto: un processo può acquisire privilegi di amministratore senza una corretta autenticazione.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-42931: Yann GASCUEL di Alter Solutions
Voce aggiunta il 22 marzo 2024
FileURL
Disponibile per: macOS Sonoma
Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.
Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2023-42892: Anthony Cruz @App Tyrant Corp
Voce aggiunta il 22 marzo 2024
Find My
Disponibile per: macOS Sonoma
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione
Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.
CVE-2023-42922: Wojciech Regula di SecuRing (wojciechregula.blog)
ImageIO
Disponibile per: macOS Sonoma
Impatto: l'elaborazione di un'immagine può causare l'esecuzione di un codice arbitrario.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-42898: Zhenjiang Zhao di Pangu Team, Qianxin e Junsung Lee
CVE-2023-42899: Meysam Firouzi @R00tkitSMM e Junsung Lee
Voce aggiornata il 22 marzo 2024
ImageIO
Disponibile per: macOS Sonoma
Impatto: l'elaborazione di un'immagine dannosa potrebbe causare la divulgazione dei contenuti della memoria dei processi
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-42888: Michael DePlante (@izobashi) della Zero Day Initiative di Trend Micro
Voce aggiunta il 22 gennaio 2024
IOKit
Disponibile per: macOS Sonoma
Impatto: un'app può essere in grado di monitorare le pressioni di tasti senza autorizzazione da parte dell'utente.
Descrizione: un problema di autenticazione è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-42891: un ricercatore anonimo
IOUSBDeviceFamily
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel
Descrizione: una race condition è stata risolta attraverso una migliore gestione dello stato.
CVE-2023-42974: Pan ZhenPeng (@Peterpan0927) di STAR Labs SG Pte. Ltd.
Voce aggiunta il 22 marzo 2024
Kernel
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe essere in grado di uscire dalla sandbox
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) di Synacktiv (@Synacktiv)
Libsystem
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe accedere ai dati protetti degli utenti.
Descrizione: un problema relativo ai permessi è stato risolto rimuovendo il codice vulnerabile e aggiungendo ulteriori controlli.
CVE-2023-42893
Voce aggiunta il 22 marzo 2024
Model I/O
Disponibile per: macOS Sonoma
Impatto: l'elaborazione di un'immagine potrebbe causare l'interruzione del servizio
Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.
CVE-2023-3618
Voce aggiunta il 22 marzo 2024
ncurses
Disponibile per: macOS Sonoma
Impatto: un utente collegato in remoto può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2020-19185
CVE-2020-19186
CVE-2020-19187
CVE-2020-19188
CVE-2020-19189
CVE-2020-19190
NSOpenPanel
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe leggere file arbitrari.
Descrizione: un problema di accesso è stato risolto attraverso ulteriori restrizioni della sandbox.
CVE-2023-42887: Ron Masas di BreakPoint.sh
Voce aggiunta il 22 gennaio 2024
Sandbox
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.
CVE-2023-42936: Csaba Fitzl (@theevilbit) di OffSec
Voce aggiunta il 22 marzo 2024 e aggiornata il 16 luglio 2024
Share Sheet
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: un problema di privacy è stato risolto spostando i dati sensibili in una posizione protetta.
CVE-2023-40390: Csaba Fitzl (@theevilbit) di Offensive Security e Mickey Jin (@patch1t)
Voce aggiunta il 22 marzo 2024
SharedFileList
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2023-42842: un ricercatore anonimo
Shell
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2023-42930: Arsenii Kostromin (0x3c3e)
Voce aggiunta il 22 marzo 2024
System Settings
Disponibile per: macOS Sonoma
Impatto: sessioni di accesso remoto potrebbe ottenere i permessi per il pieno accesso al disco.
Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-42913: Mattie Behrens e Joshua Jewett (@JoshJewett33)
Voce aggiunta il 22 marzo 2024
TCC
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe accedere ai dati protetti degli utenti.
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2023-42932: Zhongquan Li (@Guluisacat)
TCC
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe essere in grado di uscire dalla sandbox
Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.
CVE-2023-42947: Zhongquan Li (@Guluisacat) di Dawn Security Lab di JingDong
Voce aggiunta il 22 marzo 2024
Transparency
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: il problema è stato risolto attraverso una migliore restrizione dell'accesso al container dati.
CVE-2023-40389: Csaba Fitzl (@theevilbit) di Offensive Security e Joshua Jewett (@JoshJewett33)
Voce aggiunta il 16 luglio 2024
Vim
Disponibile per: macOS Sonoma
Impatto: l'apertura di un file dannoso può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto con l'aggiornamento di Vim alla versione 9.0.1969.
CVE-2023-5344
WebKit
Disponibile per: macOS Sonoma
Impatto: l'elaborazione di contenuti web potrebbe causare l'esecuzione di codice arbitrario
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
WebKit Bugzilla: 259830
CVE-2023-42890: Pwn2car
WebKit
Disponibile per: macOS Sonoma
Impatto: l'elaborazione di un'immagine potrebbe causare l'interruzione del servizio.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
WebKit Bugzilla: 263349
CVE-2023-42883: Offensive Security Team di Zoom
WebKit
Disponibile per: macOS Sonoma
Impatto: l'elaborazione di contenuti web dannosi potrebbe causare l'esecuzione di codice arbitrario.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
WebKit Bugzilla: 263682
CVE-2023-42950: Nan Wang (@eternalsakura13) di 360 Vulnerability Research Institute e Rushikesh Nandedkar
Voce aggiunta il 22 marzo 2024
WebKit
Disponibile per: macOS Sonoma
Impatto: l'elaborazione di contenuti web potrebbe causare l'interruzione del servizio
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
WebKit Bugzilla: 263989
CVE-2023-42956: SungKwon Lee (Demon.Team)
Voce aggiunta il 22 marzo 2024
Altri riconoscimenti
Memoji
Ringraziamo Jerry Tenenbaum per l'assistenza.
WebSheet
Ringraziamo Paolo Ruggero di e-phors S.p.A. (A FINCANTIERI S.p.A. Company) per l'assistenza.
Voce aggiunta il 22 marzo 2024
Wi-Fi
Ringraziamo Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab) per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.