Informazioni sui contenuti di sicurezza di macOS Sonoma 14
In questo documento vengono descritti i contenuti di sicurezza di macOS Sonoma 14.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle nuove versioni alla pagina Versioni di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
macOS Sonoma 14
Data di rilascio: 26 settembre 2023
Airport
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: un problema di permessi è stato risolto migliorando la redazione delle informazioni sensibili.
CVE-2023-40384: Adam M.
AMD
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.
CVE-2023-32377: ABC Research s.r.o.
AMD
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-38615: ABC Research s.r.o.
App Store
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un utente malintenzionato collegato in remoto potrebbe essere in grado di uscire dalla sandbox Contenuti web
Descrizione: il problema è stato risolto attraverso una migliore gestione dei protocolli.
CVE-2023-40448: w0wbox
Apple Neural Engine
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-40432: Mohamed GHANNAM (@_simo36)
CVE-2023-42871: Mohamed GHANNAM (@_simo36)
Voce aggiornata il 22 dicembre 2023
Apple Neural Engine
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe rivelare la memoria kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-40399: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe rivelare la memoria kernel.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2023-40410: Tim Michaud (@TimGMichaud) di Moveworks.ai
AppleMobileFileIntegrity
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: il problema è stato risolto attraverso maggiori controlli dei permessi.
CVE-2023-42872: Mickey Jin (@patch1t)
Voce aggiunta il 22 dicembre 2023
AppSandbox
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe accedere ai dati protetti degli utenti.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-42929: Mickey Jin (@patch1t)
Voce aggiunta il 22 dicembre 2023
AppSandbox
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe accedere agli allegati di Note.
Descrizione: il problema è stato risolto attraverso una migliore restrizione dell'accesso al container dati.
CVE-2023-42925: Wojciech Reguła (@_r3ggi) e Kirin (@Pwnrin)
Voce aggiunta il 16 luglio 2024
Ask to Buy
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe accedere ai dati protetti degli utenti.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-38612: Chris Ross (Zoom)
Voce aggiunta il 22 dicembre 2023
AuthKit
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.
CVE-2023-32361: Csaba Fitzl (@theevilbit) di Offensive Security
Bluetooth
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un utente malintenzionato nelle immediate vicinanze può causare una scrittura al di fuori dei limiti circoscritta.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-35984: zer0k
Bluetooth
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.
CVE-2023-40402: Yiğit Can YILMAZ (@yilmazcanyigit)
Bluetooth
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe bypassare alcune preferenze di privacy.
Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.
CVE-2023-40426: Yiğit Can YILMAZ (@yilmazcanyigit)
BOM
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: l'elaborazione di un file potrebbe causare l'interruzione del servizio o la divulgazione di contenuti presenti in memoria.
Descrizione: il problema è stato risolto con migliori controlli dei limiti.
CVE-2023-42876: Koh M. Nakagawa (@tsunek0h)
Voce aggiunta il 22 dicembre 2023
bootp
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2023-41065: Adam M., Noah Roskin-Frazee e Professor Jason Lau (ZeroClicks.ai Lab)
Calendar
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe accedere ai dati del calendario salvati in una directory temporanea.
Descrizione: un problema di privacy è stato risolto attraverso una migliore gestione dei file temporanei.
CVE-2023-29497: Kirin (@Pwnrin) e Yishu Wang
CFNetwork
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe non riuscire ad applicare il protocollo App Transport Security.
Descrizione: il problema è stato risolto attraverso una migliore gestione dei protocolli.
CVE-2023-38596: Will Brattain di Trail of Bits
Clock
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2023-42943: Cristian Dinca della Tudor Vianu National High School of Computer Science, Romania
Voce aggiunta il 16 luglio 2024
ColorSync
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe leggere file arbitrari.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-40406: JeongOhKyea di Theori
CoreAnimation
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: l'elaborazione di contenuti web potrebbe causare l'interruzione del servizio.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-40420: 이준성(Junsung Lee) di Cross Republic
Core Data
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe bypassare le preferenze sulla privacy
Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.
CVE-2023-40528: Kirin (@Pwnrin) di NorthSea
Voce aggiunta il 22 gennaio 2024
Core Image
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe accedere alle foto modificate salvate in una directory temporanea.
Descrizione: un problema è stato risolto attraverso una migliore gestione dei file temporanei.
CVE-2023-40438: Wojciech Regula di SecuRing (wojciechregula.blog)
Voce aggiunta il 22 dicembre 2023
CoreMedia
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: una prolunga per la videocamera potrebbe accedere alla vista della videocamera da app diverse da quella per cui è stata concessa l'autorizzazione.
Descrizione: un problema logico è stato risolto attraverso migliori controlli
CVE-2023-41994: Halle Winkler, Politepix @hallewinkler
Voce aggiunta il 22 dicembre 2023
CUPS
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un utente malintenzionato remoto può essere in grado di provocare un'interruzione del servizio.
Descrizione: il problema è stato risolto con migliori controlli dei limiti.
CVE-2023-40407: Sei K.
Dev Tools
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe riuscire ad acquisire privilegi elevati
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2023-32396: Mickey Jin (@patch1t)
CVE-2023-42933: Mickey Jin (@patch1t)
Voce aggiornata il 22 dicembre 2023
FileProvider
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe bypassare le preferenze sulla privacy.
Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.
CVE-2023-41980: Noah Roskin-Frazee e Professor Jason Lau (ZeroClicks.ai Lab)
FileProvider
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: il problema è stato risolto attraverso una migliore protezione dei dati.
CVE-2023-40411: Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab), nonché Csaba Fitzl (@theevilbit) di Offensive Security
Voce aggiunta il 22 dicembre 2023
Game Center
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe accedere ai contatti.
Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.
CVE-2023-40395: Csaba Fitzl (@theevilbit) di Offensive Security
GPU Drivers
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe rivelare la memoria kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-40391: Antonio Zekic (@antoniozekic) di Dataflow Security
GPU Drivers
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: l'elaborazione di contenuti web potrebbe causare l'interruzione del servizio.
Descrizione: un problema di esaurimento delle risorse è stato risolto attraverso una migliore convalida dell'input.
CVE-2023-40441: Ron Masas di Imperva
Graphics Drivers
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: una race condition è stata risolta attraverso una migliore gestione dello stato.
CVE-2023-42959: Murray Mike
Voce aggiunta il 16 luglio 2024
iCloud
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: un problema di autorizzazioni è stato risolto migliorando la redazione delle informazioni sensibili.
CVE-2023-23495: Csaba Fitzl (@theevilbit) di Offensive Security
iCloud Photo Library
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe accedere alla Libreria foto dell'utente.
Descrizione: un problema di configurazione è stato risolto attraverso restrizioni aggiuntive.
CVE-2023-40434: Mikko Kenttälä (@Turmio_) di SensorFu
Image Capture
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un processo sandbox può essere in grado di eludere le restrizioni della sandbox.
Descrizione: un problema di accesso è stato risolto attraverso ulteriori restrizioni della sandbox.
CVE-2023-38586: Yiğit Can YILMAZ (@yilmazcanyigit)
IOAcceleratorFamily
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un utente malintenzionato potrebbe causare l'arresto improvviso del sistema o leggere la memoria del kernel.
Descrizione: il problema è stato risolto con migliori controlli dei limiti.
CVE-2023-40436: Murray Mike
IOUserEthernet
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel
Descrizione: il problema è stato risolto migliorando la gestione della memoria.
CVE-2023-40396: Certik Skyfall Team
Voce aggiunta il 16 luglio 2024
Kernel
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2023-41995: Certik Skyfall Team e pattern-f (@pattern_F_) di Ant Security Light-Year Lab
CVE-2023-42870: Zweig of Kunlun Lab
Voce aggiornata il 22 dicembre 2023
Kernel
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un utente malintenzionato che ha già ottenuto l'esecuzione del codice kernel può essere in grado di bypassare le mitigazioni della memoria del kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-41981: Linus Henze di Pinauten GmbH (pinauten.de)
Kernel
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) di STAR Labs SG Pte. Ltd.
Kernel
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: un problema di autorizzazioni è stato risolto attraverso una migliore convalida.
CVE-2023-40429: Michael (Biscuit) Thomas e 张师傅(@京东蓝军)
Kernel
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un utente collegato in remoto potrebbe provocare l'esecuzione del codice kernel.
Descrizione: un problema di confusione dei tipi è stato risolto attraverso migliori controlli.
CVE-2023-41060: Joseph Ravichandran (@0xjprx) di MIT CSAIL
Voce aggiunta il 22 dicembre 2023
LaunchServices
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app può bypassare i controlli di Gatekeeper.
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2023-41067: Ferdous Saljooki (@malwarezoo) di Jamf Software e un ricercatore anonimo
libpcap
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un utente remoto potrebbe causare la chiusura improvvisa di un'app o l'esecuzione di codice arbitrario
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2023-40400: Sei K.
libxpc
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe eliminare file per i quali non dispone dell'autorizzazione.
Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.
CVE-2023-40454: Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab (xlab.tencent.com)
libxpc
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe accedere ai dati protetti degli utenti.
Descrizione: un problema di autorizzazione è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-41073: Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab (xlab.tencent.com)
libxslt
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: l'elaborazione di contenuti web potrebbe divulgare informazioni sensibili.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-40403: Dohyun Lee (@l33d0hyun) di PK Security
Maps
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.
CVE-2023-40427: Adam M. e Wojciech Regula di SecuRing (wojciechregula.blog)
Maps
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.
CVE-2023-42957: Adam M. e Ron Masas di BreakPoint Security Research
Voce aggiunta il 16 luglio 2024
Messages
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app può essere in grado di osservare i dati non protetti dell'utente
Descrizione: un problema di privacy è stato risolto attraverso una migliore gestione dei file temporanei.
CVE-2023-32421: Meng Zhang (鲸落) di NorthSea, Ron Masas di BreakPoint Security Research, Brian McNulty e Kishan Bagaria di Texts.com
Model I/O
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: l'elaborazione di un file potrebbe causare l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-42826: Michael DePlante (@izobashi) di Trend Micro Zero Day Initiative
Voce aggiunta il 19 ottobre 2023
Model I/O
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un processo sandbox può essere in grado di eludere le restrizioni della sandbox.
Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.
CVE-2023-42918: Mickey Jin (@patch1t)
Voce aggiunta il 16 luglio 2024
Music
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-41986: Gergely Kalman (@gergely_kalman)
NetFSFramework
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un processo sandbox può essere in grado di eludere le restrizioni della sandbox.
Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.
CVE-2023-40455: Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab (xlab.tencent.com)
Notes
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe accedere agli allegati di Note.
Descrizione: un problema di privacy è stato risolto attraverso una migliore gestione dei file temporanei.
CVE-2023-40386: Kirin (@Pwnrin)
OpenSSH
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: è stata scoperta una vulnerabilità nel remote forwarding di OpenSSH.
Descrizione: questo problema è stato risolto attraverso l'aggiornamento di OpenSSH alla versione 9.3p2.
CVE-2023-38408: baba yaga, un ricercatore anonimo
Voce aggiunta il 22 dicembre 2023
Passkeys
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un utente malintenzionato potrebbe accedere alle passkey senza autenticazione
Descrizione: il problema è stato risolto attraverso maggiori controlli dei permessi.
CVE-2023-40401: weize she e un ricercatore anonimo
Voce aggiunta il 22 dicembre 2023
Photos
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: le foto appartenenti all'album delle foto nascoste potrebbero essere visualizzate senza autenticazione
Descrizione: un problema di autenticazione è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-40393: un ricercatore anonimo, Berke Kırbaş e Harsh Jaiswal
Voce aggiunta il 22 dicembre 2023
Photos
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe accedere alle foto modificate salvate in una directory temporanea.
Descrizione: il problema è stato risolto attraverso una migliore protezione dei dati.
CVE-2023-42949: Kirin (@Pwnrin)
Voce aggiunta il 16 luglio 2024
Photos Storage
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app con privilegi root potrebbe accedere a informazioni private.
Descrizione: un problema di divulgazione delle informazioni è stato risolto rimuovendo il codice vulnerabile.
CVE-2023-42934: Wojciech Regula di SecuRing (wojciechregula.blog)
Voce aggiunta il 22 dicembre 2023
Power Management
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un utente potrebbe visualizzare i contenuti con restrizioni dalla schermata di blocco
Descrizione: un problema della schermata di blocco è stato risolto con una migliore gestione dello stato.
CVE-2023-37448: Serkan Erayabakan, David Kotval, Akincibor, Sina Ahmadi della George Mason University e Billy Tabrizi
Voce aggiornata il 22 dicembre 2023
Printing
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe modificare le impostazioni della stampante.
Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.
CVE-2023-38607: Yiğit Can YILMAZ (@yilmazcanyigit)
Voce aggiunta il 22 dicembre 2023
Printing
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2023-41987: Kirin (@Pwnrin) e Wojciech Regula di SecuRing (wojciechregula.blog)
Voce aggiunta il 22 dicembre 2023
Pro Res
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-41063: Certik Skyfall Team
QuartzCore
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe causare l'interruzione del servizio.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-40422: Tomi Tokics (@tomitokics) di iTomsn0w
Safari
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: l'elaborazione di contenuti web potrebbe divulgare informazioni sensibili.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-39233: Luan Herrera (@lbherrera_)
Safari
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: Safari potrebbe salvare le foto in un'ubicazione non protetta.
Descrizione: un problema di privacy è stato risolto attraverso una migliore gestione dei file temporanei.
CVE-2023-40388: Kirin (@Pwnrin)
Safari
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe identificare le altre applicazioni installate dall'utente.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-35990: Adriatik Raci di Sentry Cybersecurity
Safari
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: l'accesso a un sito web che presenta contenuti dannosi potrebbe causare lo spoofing dell'interfaccia utente.
Descrizione: un problema di gestione delle finestre è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati) di Suma Soft Pvt. Ltd, Pune (India)
Voce aggiornata il 22 dicembre 2023
Sandbox
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe sovrascrivere i file arbitrari.
Descrizione: il problema è stato risolto con migliori controlli dei limiti.
CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)
Sandbox
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe accedere ai volumi removibili senza il consenso dell'utente.
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2023-40430: Yiğit Can YILMAZ (@yilmazcanyigit)
Voce aggiunta il 22 dicembre 2023
Sandbox
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: le app che non superano i controlli di verifica potrebbero essere avviate comunque.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-41996: Mickey Jin (@patch1t) e Yiğit Can YILMAZ (@yilmazcanyigit)
Voce aggiunta il 22 dicembre 2023
Screen Sharing
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe bypassare alcune preferenze di privacy.
Descrizione: un problema di autorizzazione è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-41078: Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab (xlab.tencent.com)
Share Sheet
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe accedere ai dati sensibili registrati quando un utente condivide un link.
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2023-41070: Kirin (@Pwnrin)
Shortcuts
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'abbreviazione potrebbe esporre dati sensibili dell'utente senza consenso.
Descrizione: questo problema è stato risolto aggiungendo una richiesta aggiuntiva di consenso dell'utente.
CVE-2023-40541: Noah Roskin-Frazee (ZeroClicks.ai Lab) e James Duffy (mangoSecure)
Shortcuts
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe bypassare le preferenze sulla privacy.
Descrizione: il problema è stato risolto attraverso una migliore logica delle autorizzazioni.
CVE-2023-41079: Ron Masas of BreakPoint.sh e un ricercatore anonimo
Spotlight
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe ottenere privilegi root
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-40443: Gergely Kalman (@gergely_kalman)
Voce aggiunta il 22 dicembre 2023
StorageKit
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe leggere file arbitrari.
Descrizione: il problema è stato risolto attraverso una migliore convalida dei link simbolici.
CVE-2023-41968: Mickey Jin (@patch1t) e James Hutchins
System Preferences
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app può bypassare i controlli di Gatekeeper.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-40450: Thijs Alkemade (@xnyhps) di Computest Sector 7
System Settings
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: quando si attiva un Mac in macOS Recovery, la password Wi-Fi potrebbe non essere eliminata.
Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-42948: Andrew Haggard
Voce aggiunta il 16 luglio 2024
TCC
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-40424: Arsenii Kostromin (0x3c3e), Joshua Jewett (@JoshJewett33) e Csaba Fitzl (@theevilbit) di Offensive Security
WebKit
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario
Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.
WebKit Bugzilla: 249451
CVE-2023-39434: Francisco Alonso (@revskills) e Dohyun Lee (@l33d0hyun) di PK Security
WebKit Bugzilla: 258992
CVE-2023-40414: Francisco Alonso (@revskills)
Voce aggiornata il 22 dicembre 2023
WebKit
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario
Descrizione: il problema è stato risolto con controlli migliori.
WebKit Bugzilla: 256551
CVE-2023-41074: 이준성(Junsung Lee) di Cross Republic e Jie Ding(@Lime) di HKUS3 Lab
Voce aggiornata il 22 dicembre 2023
WebKit
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: l'elaborazione di contenuti web potrebbe causare l'esecuzione di codice arbitrario
Descrizione: il problema è stato risolto migliorando la gestione della memoria.
WebKit Bugzilla: 239758
CVE-2023-35074: Ajou University Abysslab Dong Jun Kim(@smlijun) e Jong Seong Kim(@nevul37)
Voce aggiornata il 22 dicembre 2023
WebKit
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: l'elaborazione di un contenuto web può causare l'esecuzione di codice arbitrario. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente contro le versioni di iOS rilasciate prima di iOS 16.7.
Descrizione: il problema è stato risolto con controlli migliori.
WebKit Bugzilla: 261544
CVE-2023-41993: Bill Marczak di The Citizen Lab della Munk School della University of Toronto e Maddie Stone del Threat Analysis Group di Google
WebKit
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: la password di un utente potrebbe essere letta ad alta voce da VoiceOver.
Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.
WebKit Bugzilla: 248717
CVE-2023-32359: Claire Houston
Voce aggiunta il 22 dicembre 2023
WebKit
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un utente malintenzionato remoto potrebbe visualizzare query DNS divulgate con la funzione Relay privato attivata.
Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.
WebKit Bugzilla: 257303
CVE-2023-40385: anonimo
Voce aggiunta il 22 dicembre 2023
WebKit
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario
Descrizione: un problema di correttezza è stato risolto attraverso migliori controlli.
WebKit Bugzilla: 258592
CVE-2023-42833: Dong Jun Kim (@smlijun) e Jong Seong Kim (@nevul37) di AbyssLab
Voce aggiunta il 22 dicembre 2023
Wi-Fi
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe causare l'arresto improvviso del sistema o scrivere sulla memoria del kernel
Descrizione: un problema di danneggiamento della memoria è stato risolto rimuovendo il codice vulnerabile.
CVE-2023-38610: Wang Yu di Cyberserval
Voce aggiunta il 22 dicembre 2023
Windows Server
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe divulgare inaspettatamente le credenziali di un utente da campi di testo protetti.
Descrizione: un problema di autenticazione è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-41066: un ricercatore anonimo, Jeremy Legendre di MacEnhance e Felix Kratz
Voce aggiornata il 22 dicembre 2023
XProtectFramework
Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: una race condition è stata risolta attraverso un blocco migliore.
CVE-2023-41979: Koh M. Nakagawa (@tsunek0h)
Altri riconoscimenti
Airport
Ringraziamo Adam M., Noah Roskin-Frazee e il Professor Jason Lau (ZeroClicks.ai Lab) per l'assistenza.
AppKit
Ringraziamo un ricercatore anonimo per l'assistenza.
Apple Neural Engine
Ringraziamo pattern-f (@pattern_F_) di Ant Security Light-Year Lab per l'assistenza.
Voce aggiunta il 22 dicembre 2023
AppSandbox
Ringraziamo Kirin (@Pwnrin) per l'assistenza.
Archive Utility
Ringraziamo Mickey Jin (@patch1t) per l'assistenza.
Audio
Ringraziamo Mickey Jin (@patch1t) per l'assistenza.
Bluetooth
Ringraziamo Jianjun Dai e Guang Gong del 360 Vulnerability Research Institute per l'assistenza.
Books
Ringraziamo Aapo Oksman di Nixu Cybersecurity per l'assistenza.
Voce aggiunta il 22 dicembre 2023
Control Center
Ringraziamo Yiğit Can YILMAZ (@yilmazcanyigit) per l'assistenza.
Voce aggiunta il 22 dicembre 2023
Core Location
Ringraziamo Wouter Hennen per l'assistenza.
CoreMedia Playback
Ringraziamo Mickey Jin (@patch1t) per l'assistenza.
CoreServices
Ringraziamo Thijs Alkemade di Computest Sector 7, Wojciech Reguła (@_r3ggi) di SecuRing e un ricercatore anonimo per l'assistenza.
Voce aggiunta il 22 dicembre 2023
Data Detectors UI
Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College Of Technology Bhopal per l'assistenza.
Find My
Ringraziamo Cher Scarlett per l'assistenza.
Home
Ringraziamo Jake Derouin (jakederouin.com) per l'assistenza.
IOGraphics
Ringraziamo un ricercatore anonimo per l'assistenza.
IOUserEthernet
Ringraziamo Certik Skyfall Team per l'assistenza.
Voce aggiunta il 22 dicembre 2023
Kernel
Ringraziamo Bill Marczak di The Citizen Lab della Munk School della University of Toronto e Maddie Stone del Threat Analysis Group di Google, Xinru Chi di Pangu Lab e 永超 王 per l'assistenza.
libxml2
Ringraziamo OSS-Fuzz, Ned Williamson di Google Project Zero per l'assistenza.
libxpc
Ringraziamo un ricercatore anonimo per l'assistenza.
libxslt
Ringraziamo Dohyun Lee (@l33d0hyun) di PK Security, OSS-Fuzz, Ned Williamson di Google Project Zero per l'assistenza.
Ringraziamo Taavi Eomäe di Zone Media OÜ per l'assistenza.
Voce aggiunta il 22 dicembre 2023
Menus
Ringraziamo Matthew Denton di Google Chrome Security per l'assistenza.
Voce aggiunta il 22 dicembre 2023
NSURL
Ringraziamo Zhanpeng Zhao (行之), 糖豆爸爸(@晴天组织) per l'assistenza.
PackageKit
Ringraziamo Csaba Fitzl (@theevilbit) di Offensive Security e un ricercatore anonimo per l'assistenza.
Photos
Ringraziamo Anatolii Kozlov, Dawid Pałuska, Lyndon Cornelius e Paul Lurin per l'assistenza.
Voce aggiornata il 16 luglio 2024
Power Services
Ringraziamo Mickey Jin (@patch1t) per l'assistenza.
Voce aggiunta il 22 dicembre 2023
Reminders
Ringraziamo Paweł Szafirowski per l'assistenza.
Safari
Ringraziamo Kang Ali di Punggawa Cyber Security per l'assistenza.
Sandbox
Ringraziamo Yiğit Can YILMAZ (@yilmazcanyigit) per l'assistenza.
SharedFileList
Ringraziamo Christopher Lopez - @L0Psec e Kandji, Leo Pitt di Zoom Video Communications, Masahiro Kawada (@kawakatz) di GMO Cybersecurity by Ierae e Ross Bingham (@PwnDexter) per l'assistenza.
Voce aggiornata il 22 dicembre 2023
Shortcuts
Ringraziamo Alfie CG, Christian Basting di Bundesamt für Sicherheit in der Informationstechnik, Cristian Dinca della “Tudor Vianu” National High School of Computer Science, Romania, Giorgos Christodoulidis, Jubaer Alnazi di TRS Group Of Companies, KRISHAN KANT DWIVEDI (@xenonx7) e Matthew Butler per l'assistenza.
Voce aggiornata il 24 aprile 2024
Software Update
Ringraziamo Omar Siman per l'assistenza.
Spotlight
Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College Of Technology Bhopal e Dawid Pałuska per l'assistenza.
StorageKit
Ringraziamo Mickey Jin (@patch1t) per l'assistenza.
Video Apps
Ringraziamo James Duffy (mangoSecure) per l'assistenza.
WebKit
Ringraziamo Khiem Tran, Narendra Bhati di Suma Soft Pvt. Ltd, Pune (India) e un ricercatore anonimo per l'assistenza.
WebRTC
Ringraziamo un ricercatore anonimo per l'assistenza.
Wi-Fi
Ringraziamo Adam M. e Wang Yu di Cyberserval per l'assistenza.
Voce aggiornata il 22 dicembre 2023
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.