Informazioni sui contenuti di sicurezza di macOS Monterey 12.6.4

In questo documento vengono descritti i contenuti di sicurezza di macOS Monterey 12.6.4.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

macOS Monterey 12.6.4

Rilasciato il 27 marzo 2023

Apple Neural Engine

Disponibile per: macOS Monterey

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-23540: Mohamed GHANNAM (@_simo36)

AppleMobileFileIntegrity

Disponibile per: macOS Monterey

Impatto: un utente può ottenere l'accesso a parti protette del file system.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-23527: Mickey Jin (@patch1t)

Archive Utility

Disponibile per: macOS Monterey

Impatto: un archivio potrebbe bypassare Gatekeeper.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-27951: Brandon Dalton (@partyD0lphin) di Red Canary e Csaba Fitzl (@theevilbit) di Offensive Security

Voce aggiornata l'8 giugno 2023

Calendar

Disponibile per: macOS Monterey

Impatto: l'importazione di un invito di calendario dannoso può consentire l'esfiltrazione delle informazioni dell'utente

Descrizione: diversi problemi di convalida sono stati risolti attraverso una migliore sanitizzazione dell'input.

CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)

ColorSync

Disponibile per: macOS Monterey

Impatto: un'app potrebbe leggere file arbitrari

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-27955: JeongOhKyea

CommCenter

Disponibile per: macOS Monterey

Impatto: un'app potrebbe causare l'arresto improvviso del sistema o scrivere sulla memoria del kernel

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2023-27936: Tingting Yin della Tsinghua University

CoreCapture

Disponibile per: macOS Monterey

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-28181: Tingting Yin della Tsinghua University

Voce aggiunta l'8 giugno 2023

dcerpc

Disponibile per: macOS Monterey

Impatto: un utente collegato in remoto può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

CVE-2023-27935: Aleksandar Nikolic di Cisco Talos

dcerpc

Disponibile per: macOS Monterey

Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.

Descrizione: è stato risolto un problema di inizializzazione della memoria.

CVE-2023-27934: Aleksandar Nikolic di Cisco Talos

Voce aggiunta l'8 giugno 2023

dcerpc

Disponibile per: macOS Monterey

Impatto: un utente remoto potrebbe causare l'arresto imprevisto del sistema o danneggiare la memoria del kernel

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-27953: Aleksandar Nikolic di Cisco Talos

CVE-2023-27958: Aleksandar Nikolic di Cisco Talos

Find My

Disponibile per: macOS Monterey

Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.

Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.

CVE-2023-23537: Adam M.

Voce aggiunta il 21 dicembre 2023

FontParser

Disponibile per: macOS Monterey

Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2023-32366: Ye Zhang (@VAR10CK) di Baidu Security

Voce aggiunta il 21 dicembre 2023

Foundation

Disponibile per: macOS Monterey

Impatto: l'elaborazione di un file font dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario

Descrizione: un problema di overflow dei numeri interi è stato risolto attraverso una migliore convalida dell'input.

CVE-2023-27937: un ricercatore anonimo

ImageIO

Disponibile per: macOS Monterey

Impatto: l'elaborazione di un file dannoso può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2023-27946: Mickey Jin (@patch1t)

IOAcceleratorFamily

Disponibile per: macOS Monterey

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2023-32378: Murray Mike

Voce aggiunta il 21 dicembre 2023

Kernel

Disponibile per: macOS Monterey

Impatto: un'app potrebbe rivelare la memoria kernel

Descrizione: si verificava un problema di lettura non nei limiti che causava la divulgazione della memoria del kernel. Il problema è stato risolto attraverso una migliore convalida dell'input.

CVE-2023-27941: Arsenii Kostromin (0x3c3e)

CVE-2023-28199: Arsenii Kostromin (0x3c3e)

Voce aggiunta l'8 giugno 2023 e aggiornata il 21 dicembre 2023

Kernel

Disponibile per: macOS Monterey

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

CVE-2023-23536: Félix Poulin-Bélanger e David Pan Ogea

Voce aggiunta l'8 giugno 2023 e aggiornata il 21 dicembre 2023

Kernel

Disponibile per: macOS Monterey

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2023-23514: Xinru Chi di Pangu Lab e Ned Williamson di Google Project Zero

Kernel

Disponibile per: macOS Monterey

Impatto: un'app con privilegi root potrebbe eseguire codice arbitrario con privilegi kernel

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-27933: sqrtpwn

Kernel

Disponibile per: macOS Monterey

Impatto: un'app potrebbe rivelare la memoria kernel

Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.

CVE-2023-28200: Arsenii Kostromin (0x3c3e)

Kernel

Disponibile per: macOS Monterey

Impatto: un'app può essere in grado di causare l'interruzione del servizio.

Descrizione: un problema di overflow dei numeri interi è stato risolto mediante una migliore convalida degli input.

CVE-2023-28185: Pan ZhenPeng di STAR Labs SG Pte. Ltd.

Voce aggiunta il 21 dicembre 2023

libpthread

Disponibile per: macOS Monterey

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di confusione dei tipi è stato risolto con migliori controlli.

CVE-2023-41075: Zweig di Kunlun Lab

Voce aggiunta il 21 dicembre 2023

Mail

Disponibile per: macOS Monterey

Impatto: un'app potrebbe essere in grado di visualizzare informazioni sensibili.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-28189: Mickey Jin (@patch1t)

Voce aggiunta l'8 giugno 2023

Messages

Disponibile per: macOS Monterey

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili degli utenti

Descrizione: un problema di accesso è stato risolto attraverso ulteriori restrizioni della sandbox.

CVE-2023-28197: Joshua Jones

Voce aggiunta il 21 dicembre 2023

Model I/O

Disponibile per: macOS Monterey

Impatto: l'elaborazione di un file dannoso può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2023-27949: Mickey Jin (@patch1t)

NetworkExtension

Disponibile per: macOS Monterey

Impatto: un utente in una posizione di rete privilegiata potrebbe eseguire lo spoofing di un server VPN la cui unica autenticazione configurata è EAP.

Descrizione: il problema è stato risolto attraverso una migliore autenticazione.

CVE-2023-28182: Zhuowei Zhang

PackageKit

Disponibile per: macOS Monterey

Impatto: un'app potrebbe modificare parti protette del file system.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2023-23538: Mickey Jin (@patch1t)

CVE-2023-27962: Mickey Jin (@patch1t)

Podcast

Disponibile per: macOS Monterey

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili degli utenti

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-27942: Mickey Jin (@patch1t)

Sandbox

Disponibile per: macOS Monterey

Impatto: un'app potrebbe modificare parti protette del file system.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2023-23533: Mickey Jin (@patch1t), Koh M. Nakagawa di FFRI Security, Inc. e Csaba Fitzl (@theevilbit) di Offensive Security

Sandbox

Disponibile per: macOS Monterey

Impatto: un'app potrebbe bypassare le preferenze sulla privacy.

Descrizione: un problema logico è stato risolto attraverso una migliore convalida.

CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)

Shortcuts

Disponibile per: macOS Monterey

Impatto: un comando rapido può essere in grado di utilizzare dati sensibili con determinate azioni senza richiedere l'autorizzazione dell'utente.

Descrizione: il problema è stato risolto attraverso maggiori controlli dei permessi.

CVE-2023-27963: Jubaer Alnazi Jabin di TRS Group Of Companies e Wenchao Li e Xiaolong Bai di Alibaba Group

System Settings

Disponibile per: macOS Monterey

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili degli utenti

Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.

CVE-2023-23542: Adam M.

Voce aggiornata il 21 dicembre 2023

System Settings

Disponibile per: macOS Monterey

Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.

Descrizione: un problema di autorizzazioni è stato risolto attraverso una migliore convalida.

CVE-2023-28192: Guilherme Rambo di Best Buddy Apps (rambo.codes)

Vim

Disponibile per: macOS Monterey

Impatto: diversi problemi presenti in Vim.

Descrizione: diversi problemi sono stati risolti con l'aggiornamento alla versione di Vim 9.0.1191.

CVE-2023-0433

CVE-2023-0512

XPC

Disponibile per: macOS Monterey

Impatto: un'app potrebbe essere in grado di uscire dalla sandbox

Descrizione: questo problema è stato risolto con una nuova autorizzazione.

CVE-2023-27944: Mickey Jin (@patch1t)

Altri riconoscimenti

Activation Lock

Ringraziamo Christian Mina per l'assistenza.

AppleMobileFileIntegrity

Ringraziamo Wojciech Reguła (@_r3ggi) di SecuRing (wojciechregula.blog) per l'assistenza.

CoreServices

Ringraziamo Mickey Jin (@patch1t) per l'assistenza.

NSOpenPanel

Ringraziamo Alexandre Colucci (@timacfr) per l'assistenza.

Wi-Fi

Ringraziamo un ricercatore anonimo per l'assistenza.

 

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: