Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
macOS Big Sur 11.7.5
Rilasciato il 27 marzo 2023
Apple Neural Engine
Disponibile per: macOS Big Sur
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-23540: Mohamed GHANNAM (@_simo36)
AppleAVD
Disponibile per: macOS Big Sur
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2022-26702: un ricercatore anonimo, Antonio Zekic (@antoniozekic) e John Aakerblom (@jaakerblom)
AppleMobileFileIntegrity
Disponibile per: macOS Big Sur
Impatto: un utente può ottenere l'accesso a parti protette del file system.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-23527: Mickey Jin (@patch1t)
Archive Utility
Disponibile per: macOS Big Sur
Impatto: un archivio potrebbe bypassare Gatekeeper.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-27951: Brandon Dalton (@partyD0lphin) di Red Canary e Csaba Fitzl (@theevilbit) di Offensive Security
Voce aggiornata l'11 maggio 2023
Calendar
Disponibile per: macOS Big Sur
Impatto: l'importazione di un invito di calendario dannoso può consentire l'esfiltrazione delle informazioni dell'utente
Descrizione: diversi problemi di convalida sono stati risolti attraverso una migliore sanitizzazione dell'input.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
Carbon Core
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di un'immagine dannosa potrebbe causare la divulgazione dei contenuti della memoria dei processi
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-23534: Mickey Jin (@patch1t)
ColorSync
Disponibile per: macOS Big Sur
Impatto: un'app potrebbe leggere file arbitrari
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-27955: JeongOhKyea
CommCenter
Disponibile per: macOS Big Sur
Impatto: un'app potrebbe causare l'arresto improvviso del sistema o scrivere sulla memoria del kernel
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2023-27936: Tingting Yin della Tsinghua University
dcerpc
Disponibile per: macOS Big Sur
Impatto: un utente collegato in remoto può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto con migliori controlli dei limiti.
CVE-2023-27935: Aleksandar Nikolic di Cisco Talos
dcerpc
Disponibile per: macOS Big Sur
Impatto: un utente remoto potrebbe causare l'arresto imprevisto del sistema o danneggiare la memoria del kernel
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-27953: Aleksandar Nikolic di Cisco Talos
CVE-2023-27958: Aleksandar Nikolic di Cisco Talos
Find My
Disponibile per: macOS Big Sur
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2023-23537: un ricercatore anonimo
FontParser
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2023-32366: Ye Zhang (@VAR10CK) di Baidu Security
Voce aggiunta il 21 dicembre 2023
Foundation
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di un file font dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario
Descrizione: un problema di overflow dei numeri interi è stato risolto attraverso una migliore convalida dell'input.
CVE-2023-27937: un ricercatore anonimo
Identity Services
Disponibile per: macOS Big Sur
Impatto: un'app potrebbe accedere alle informazioni sui contatti di un utente
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2023-27928: Csaba Fitzl (@theevilbit) di Offensive Security
ImageIO
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di un file dannoso può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2023-27946: Mickey Jin (@patch1t)
ImageIO
Disponibile per: macOS Big Sur
Impatto: l'elaborazione di un'immagine dannosa potrebbe causare la divulgazione dei contenuti della memoria dei processi
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-23535: ryuzaki
IOAcceleratorFamily
Disponibile per: macOS Big Sur
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2023-32378: Murray Mike
Voce aggiunta il 21 dicembre 2023
Kernel
Disponibile per: macOS Big Sur
Impatto: un'app potrebbe rivelare la memoria kernel.
Descrizione: si verificava un problema di lettura non nei limiti che causava la divulgazione della memoria del kernel. Il problema è stato risolto attraverso una migliore convalida dell'input.
CVE-2023-27941: Arsenii Kostromin (0x3c3e)
CVE-2023-28199: Arsenii Kostromin (0x3c3e)
Voce aggiunta il 1° maggio 2023 e aggiornata il 21 dicembre 2023
Kernel Disponibile per: macOS Big Sur Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel. Descrizione: il problema è stato risolto con migliori controlli dei limiti. CVE-2023-23536: Félix Poulin-Bélanger e David Pan Ogea Voce aggiunta il 1° maggio 2023 e aggiornata il 21 dicembre 2023
Kernel Disponibile per: macOS Big Sur Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel. Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria. CVE-2023-23514: Xinru Chi di Pangu Lab e Ned Williamson di Google Project Zero Kernel Disponibile per: macOS Big Sur Impatto: un'app potrebbe rivelare la memoria kernel. Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input. CVE-2023-28200: Arsenii Kostromin (0x3c3e) Kernel Disponibile per: macOS Big Sur Impatto: un'app può essere in grado di causare l'interruzione del servizio. Descrizione: un problema di overflow dei numeri interi è stato risolto mediante una migliore convalida degli input. CVE-2023-28185: Pan ZhenPeng di STAR Labs SG Pte. Ltd. Voce aggiunta il 21 dicembre 2023
LaunchServices Disponibile per: macOS Big Sur Impatto: un'app potrebbe ottenere privilegi root Descrizione: il problema è stato risolto attraverso migliori controlli. CVE-2023-23525: Mickey Jin (@patch1t) Voce aggiunta l'11 maggio 2023
libpthread Disponibile per: macOS Big Sur Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel. Descrizione: un problema di confusione dei tipi è stato risolto con migliori controlli. CVE-2023-41075: Zweig di Kunlun Lab Voce aggiunta il 21 dicembre 2023
Mail Disponibile per: macOS Big Sur Impatto: un'app potrebbe essere in grado di visualizzare informazioni sensibili. Descrizione: il problema è stato risolto con controlli migliori. CVE-2023-28189: Mickey Jin (@patch1t) Voce aggiunta l'11 maggio 2023
Messages Disponibile per: macOS Big Sur Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente. Descrizione: un problema di accesso è stato risolto attraverso ulteriori restrizioni della sandbox. CVE-2023-28197: Joshua Jones Voce aggiunta il 21 dicembre 2023
NetworkExtension Disponibile per: macOS Big Sur Impatto: un utente in una posizione di rete privilegiata potrebbe eseguire lo spoofing di un server VPN la cui unica autenticazione configurata è EAP. Descrizione: il problema è stato risolto attraverso una migliore autenticazione. CVE-2023-28182: Zhuowei Zhang PackageKit Disponibile per: macOS Big Sur Impatto: un'app potrebbe modificare parti protette del file system. Descrizione: un problema logico è stato risolto attraverso migliori controlli. CVE-2023-27962: Mickey Jin (@patch1t) Podcast Disponibile per: macOS Big Sur Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente. Descrizione: il problema è stato risolto con controlli migliori. CVE-2023-27942: Mickey Jin (@patch1t) Voce aggiunta l'11 maggio 2023
System Settings Disponibile per: macOS Big Sur Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente. Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log. CVE-2023-23542: Adam M. Voce aggiornata il 21 dicembre 2023
System Settings Disponibile per: macOS Big Sur Impatto: un'applicazione può leggere informazioni sensibili sulla posizione. Descrizione: un problema di autorizzazioni è stato risolto attraverso una migliore convalida. CVE-2023-28192: Guilherme Rambo di Best Buddy Apps (rambo.codes) Vim Disponibile per: macOS Big Sur Impatto: diversi problemi presenti in Vim. Descrizione: diversi problemi sono stati risolti con l'aggiornamento alla versione di Vim 9.0.1191. CVE-2023-0433 CVE-2023-0512 XPC Disponibile per: macOS Big Sur Impatto: un'app potrebbe essere in grado di uscire dalla sandbox Descrizione: questo problema è stato risolto con una nuova autorizzazione. CVE-2023-27944: Mickey Jin (@patch1t)
Altri riconoscimenti
Activation Lock
Ringraziamo Christian Mina per l'assistenza.
AppleMobileFileIntegrity
Ringraziamo Wojciech Reguła (@_r3ggi) di SecuRing (wojciechregula.blog) per l'assistenza.
CoreServices
Ringraziamo Mickey Jin (@patch1t) per l'assistenza.
NSOpenPanel
Ringraziamo Alexandre Colucci (@timacfr) per l'assistenza.
Wi-Fi
Ringraziamo un ricercatore anonimo per l'assistenza.