Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
macOS Ventura 13.4
Data di rilascio; 18 maggio 2023
Accessibility
Disponibile per: macOS Ventura
Impatto: un'app potrebbe bypassare le preferenze sulla privacy.
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2023-32388: Kirin (@Pwnrin)
Accessibility
Disponibile per: macOS Ventura
Impatto: autorizzazioni e permessi di privacy concessi all'app possono essere utilizzati da un'app dannosa.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2023-32400: Mickey Jin (@patch1t)
Accounts
Disponibile per: macOS Ventura
Impatto: un utente malintenzionato potrebbe essere in grado di divulgare le email di account utente
Descrizione: un problema di permessi è stato risolto migliorando la redazione delle informazioni sensibili.
CVE-2023-34352: Sergii Kryvoblotskyi di MacPaw Inc.
Voce aggiunta il 5 settembre 2023
AMD
Disponibile per: macOS Ventura
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.
CVE-2023-32379: ABC Research s.r.o.
Voce aggiunta il 5 settembre 2023
AppleMobileFileIntegrity
Disponibile per: macOS Ventura
Impatto: un'app potrebbe bypassare le preferenze sulla privacy.
Descrizione: questo problema è stato risolto attraverso migliori autorizzazioni.
CVE-2023-32411: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Disponibile per: macOS Ventura
Impatto: un'app potrebbe essere in grado di inserire codice in codici binari riservati inclusi in Xcode.
Descrizione: questo problema è stato risolto forzando runtime rafforzato sui codici binari interessati a livello di sistema.
CVE-2023-32383: James Duffy (mangoSecure)
Voce aggiunta il 21 dicembre 2023
Associated Domains
Disponibile per: macOS Ventura
Impatto: un'app potrebbe essere in grado di uscire dalla sandbox
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-32371: James Duffy (mangoSecure)
Contacts
Disponibile per: macOS Ventura
Impatto: un'app può essere in grado di osservare i dati non protetti dell'utente
Descrizione: un problema di privacy è stato risolto attraverso una migliore gestione dei file temporanei.
CVE-2023-32386: Kirin (@Pwnrin)
Core Location
Disponibile per: macOS Ventura
Impatto: un'applicazione potrebbe leggere informazioni sensibili sulla posizione.
Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.
CVE-2023-32399: Adam M.
Voce aggiornata il 5 settembre 2023
CoreServices
Disponibile per: macOS Ventura
Impatto: un'app potrebbe bypassare le preferenze sulla privacy.
Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.
CVE-2023-28191: Mickey Jin (@patch1t)
CUPS
Disponibile per: macOS Ventura
Impatto: un utente non autenticato potrebbe accedere ai documenti stampati di recente.
Descrizione: un problema di autenticazione è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-32360: Gerhard Muth
dcerpc
Disponibile per: macOS Ventura
Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2023-32387: Dimitrios Tatsis di Cisco Talos
DesktopServices
Disponibile per: macOS Ventura
Impatto: un'app potrebbe essere in grado di uscire dalla sandbox
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-32414: Mickey Jin (@patch1t)
Face Gallery
Disponibile per: macOS Ventura
Impatto: un utente malintenzionato con accesso fisico a un Apple Watch bloccato potrebbe essere in grado di visualizzare le foto o i contatti degli utenti tramite le funzioni di accessibilità.
Descrizione: il problema è stato risolto limitando le opzioni offerte su un dispositivo bloccato.
CVE-2023-32417: Zitong Wu (吴梓桐) della Zhuhai No.1 High School (珠海市第一中学)
Voce aggiunta il 5 settembre 2023
GeoServices
Disponibile per: macOS Ventura
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2023-32392: Adam M.
Voce aggiornata il 5 settembre 2023
ImageIO
Disponibile per: macOS Ventura
Impatto: l'elaborazione di un'immagine potrebbe causare la divulgazione dei contenuti della memoria dei processi.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2023-32372: Meysam Firouzi @R00tkitSMM di Mbition Mercedes Benz Innovation Lab in collaborazione con Zero Day Initiative di Trend Micro
Voce aggiornata il 5 settembre 2023
ImageIO
Disponibile per: macOS Ventura
Impatto: l'elaborazione di un'immagine può causare l'esecuzione di un codice arbitrario.
Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.
CVE-2023-32384: Meysam Firouzi @R00tkitsmm in collaborazione con Zero Day Initiative di Trend Micro
IOSurface
Disponibile per: macOS Ventura
Impatto: un'app potrebbe divulgare lo stato sensibile del kernel
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2023-32410: hou xuewei (@p1ay8y3ar) vmk msu
IOSurfaceAccelerator
Disponibile per: macOS Ventura
Impatto: un'app potrebbe causare l'arresto improvviso del sistema o leggere sulla memoria del kernel.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2023-32420: Certik Skyfall Team e Linus Henze di Pinauten GmbH (pinauten.de)
Voce aggiornata il 5 settembre 2023
Kernel
Disponibile per: macOS Ventura
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di confusione dei tipi è stato risolto con migliori controlli.
CVE-2023-27930: 08Tc3wBB di Jamf
Kernel
Disponibile per: macOS Ventura
Impatto: un'applicazione sandbox può essere in grado di osservare le connessioni di rete a livello di sistema.
Descrizione: il problema è stato risolto attraverso maggiori controlli dei permessi.
CVE-2023-27940: James Duffy (mangoSecure)
Kernel
Disponibile per: macOS Ventura
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2023-32398: Adam Doupé di ASU SEFCOM
Kernel
Disponibile per: macOS Ventura
Impatto: un'app potrebbe ottenere privilegi root
Descrizione: una race condition è stata risolta attraverso una migliore gestione dello stato.
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) di Synacktiv (@Synacktiv) in collaborazione con Zero Day Initiative di Trend Micro
LaunchServices
Disponibile per: macOS Ventura
Impatto: un'app può bypassare i controlli di Gatekeeper.
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2023-32352: Wojciech Reguła (@_r3ggi) di SecuRing (wojciechregula.blog)
libxml2
Disponibile per: macOS Ventura
Impatto: diversi problemi presenti in libxml2.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida dell'input.
CVE-2023-29469: OSS-Fuzz, Ned Williamson di Google Project Zero
CVE-2023-42869: OSS-Fuzz, Ned Williamson di Google Project Zero
Voce aggiunta il 21 dicembre 2023
libxpc
Disponibile per: macOS Ventura
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-32369: Jonathan Bar Or di Microsoft, Anurag Bohra di Microsoft e Michael Pearse di Microsoft
libxpc
Disponibile per: macOS Ventura
Impatto: un'app potrebbe ottenere privilegi root
Descrizione: un problema logico è stato risolto attraverso controlli migliori.
CVE-2023-32405: Thijs Alkemade (@xnyhps) di Computest Sector 7
MallocStackLogging
Disponibile per: macOS Ventura
Impatto: un'app potrebbe ottenere privilegi root
Descrizione: questo problema è stato risolto con una migliore gestione dei file.
CVE-2023-32428: Gergely Kalman (@gergely_kalman)
Voce aggiunta il 5 settembre 2023
Metal
Disponibile per: macOS Ventura
Impatto: un'app potrebbe bypassare le preferenze sulla privacy.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
Model I/O
Disponibile per: macOS Ventura
Impatto: l'elaborazione di un modello 3D potrebbe causare la divulgazione dei contenuti della memoria dei processi.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2023-32368: Mickey Jin (@patch1t)
CVE-2023-32375: Michael DePlante (@izobashi) di Trend Micro Zero Day Initiative
CVE-2023-32382: Mickey Jin (@patch1t)
Model I/O
Disponibile per: macOS Ventura
Impatto: l'elaborazione di un modello 3D può causare l'esecuzione di un codice arbitrario.
Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2023-32380: Mickey Jin (@patch1t)
NetworkExtension
Disponibile per: macOS Ventura
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.
CVE-2023-32403: Adam M.
Voce aggiornata il 5 settembre 2023
NSURLSession
Disponibile per: macOS Ventura
Impatto: un'app potrebbe essere in grado di uscire dalla sandbox
Descrizione: il problema è stato risolto con miglioramenti al protocollo di gestione dei file.
CVE-2023-32437: Thijs Alkemade di Computest Sector 7
Voce aggiunta il 5 settembre 2023
PackageKit
Disponibile per: macOS Ventura
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-32355: Mickey Jin (@patch1t)
PDFKit
Disponibile per: macOS Ventura
Impatto: l'apertura di un file PDF può causare la chiusura improvvisa dell'app.
Descrizione: un problema di interruzione del servizio è stato risolto con una migliore gestione della memoria.
CVE-2023-32385: Jonathan Fritz
Perl
Disponibile per: macOS Ventura
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-32395: Arsenii Kostromin (0x3c3e)
Photos
Disponibile per: macOS Ventura
Impatto: le foto appartenenti all'album delle foto nascoste potrebbero essere visualizzate senza autenticazione con Ricerca visiva.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-32390: Julian Szulc
Quick Look
Disponibile per: macOS Ventura
Impatto: l'analisi di un documento di Office può causare una chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.
CVE-2023-32401: Holger Fuhrmannek di Deutsche Telekom Security GmbH per conto del BSI (ufficio federale tedesco per la sicurezza informatica Security)
Voce aggiunta il 21 dicembre 2023
Sandbox
Disponibile per: macOS Ventura
Impatto: un'app può essere in grado di mantenere l'accesso ai file di configurazione del sistema anche dopo la revoca dell'autorizzazione.
Descrizione: un problema di autorizzazione è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Koh M. Nakagawa di FFRI Security, Inc., Kirin (@Pwnrin), Jeff Johnson (underpassapp.com) e Csaba Fitzl (@theevilbit) di Offensive Security
Screen Saver
Disponibile per: macOS Ventura
Impatto: un'app potrebbe bypassare le preferenze sulla privacy.
Descrizione: un problema relativo ai permessi è stato risolto rimuovendo il codice vulnerabile e aggiungendo ulteriori controlli.
CVE-2023-32363: Mickey Jin (@patch1t)
Security
Disponibile per: macOS Ventura
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: questo problema è stato risolto attraverso migliori autorizzazioni.
CVE-2023-32367: James Duffy (mangoSecure)
Share Sheet
Disponibile per: macOS Ventura
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: un problema di privacy è stato risolto attraverso una migliore gestione dei file temporanei.
CVE-2023-32432: Kirin (@Pwnrin)
Voce aggiunta il 5 settembre 2023
Shell
Disponibile per: macOS Ventura
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-32397: Arsenii Kostromin (0x3c3e)
Shortcuts
Disponibile per: macOS Ventura
Impatto: un comando rapido può essere in grado di utilizzare dati sensibili con determinate azioni senza richiedere l'autorizzazione dell'utente.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-32391: Wenchao Li e Xiaolong Bai di Alibaba Group
Shortcuts
Disponibile per: macOS Ventura
Impatto: un'app potrebbe bypassare le preferenze sulla privacy.
Descrizione: questo problema è stato risolto attraverso migliori autorizzazioni.
CVE-2023-32404: Mickey Jin (@patch1t), Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab (xlab.tencent.com) e un ricercatore anonimo
Siri
Disponibile per: macOS Ventura
Impatto: una persona con accesso fisico a un dispositivo può essere in grado di visualizzare le informazioni di contatto dalla schermata di blocco.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-32394: Khiem Tran
SQLite
Disponibile per: macOS Ventura
Impatto: un'app potrebbe bypassare le preferenze sulla privacy.
Descrizione: il problema è stato risolto aggiungendo ulteriori restrizioni di registrazione di SQLite.
CVE-2023-32422: Gergely Kalman (@gergely_kalman) e Wojciech Reguła di SecuRing (wojciechregula.blog)
Voce aggiornata il 2 giugno 2023
StorageKit
Disponibile per: macOS Ventura
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: questo problema è stato risolto attraverso migliori autorizzazioni.
CVE-2023-32376: Yiğit Can YILMAZ (@yilmazcanyigit)
sudo
Disponibile per: macOS Ventura
Impatto: un'app potrebbe riuscire a rendere i privilegi più elevati
Descrizione: il problema è stato risolto con l'aggiornamento di sudo.
CVE-2023-22809
Voce aggiunta il 5 settembre 2023
System Settings
Disponibile per: macOS Ventura
Impatto: un'impostazione relativa al firewall dell'app potrebbe non avere effetto dopo l'uscita dall'app Impostazioni.
Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-28202: Satish Panduranga e un ricercatore anonimo
Telephony
Disponibile per: macOS Ventura
Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2023-32412: Ivan Fratric di Google Project Zero
TV App
Disponibile per: macOS Ventura
Impatto: un'applicazione potrebbe leggere informazioni sensibili sulla posizione.
Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.
CVE-2023-32408: Adam M.
Weather
Disponibile per: macOS Ventura
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.
CVE-2023-32415: Wojciech Regula di SecuRing (wojciechregula.blog) e un ricercatore anonimo
WebKit
Disponibile per: macOS Ventura
Impatto: l'elaborazione dei contenuti web può divulgare informazioni sensibili.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
WebKit Bugzilla: 255075
CVE-2023-32402: Ignacio Sanmillan (@ulexec)
Voce aggiornata il 21 dicembre 2023
WebKit
Disponibile per: macOS Ventura
Impatto: l'elaborazione dei contenuti web può divulgare informazioni sensibili.
Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.
WebKit Bugzilla: 254781
CVE-2023-32423: Ignacio Sanmillan (@ulexec)
WebKit
Disponibile per: macOS Ventura
Impatto: un utente malintenzionato può uscire dalla sandbox dei contenuti web. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente.
Descrizione: il problema è stato risolto con migliori controlli dei limiti.
WebKit Bugzilla: 255350
CVE-2023-32409: Clément Lecigne of Google's Threat Analysis Group e Donncha Ó Cearbhaill del Security Lab di Amnesty International
WebKit
Disponibile per: macOS Ventura
Impatto: l'elaborazione dei contenuti web può divulgare informazioni sensibili. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
WebKit Bugzilla: 254930
CVE-2023-28204: un ricercatore anonimo
Questo problema è stato risolto per la prima volta negli interventi di sicurezza rapidi per macOS 13.3.1 (a).
WebKit
Disponibile per: macOS Ventura
Impatto: l'elaborazione di un contenuto web pericoloso potrebbe causare l'esecuzione di codice arbitrario. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente.
Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.
WebKit Bugzilla: 254840
CVE-2023-32373: un ricercatore anonimo
Questo problema è stato risolto per la prima volta negli interventi di sicurezza rapidi per macOS 13.3.1 (a).
Wi-Fi
Disponibile per: macOS Ventura
Impatto: un'app potrebbe rivelare la memoria kernel.
Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.
CVE-2023-32389: Pan ZhenPeng (@Peterpan0927) di STAR Labs SG Pte. Ltd.
Altri riconoscimenti
Accounts
Ringraziamo Sergii Kryvoblotskyi di MacPaw Inc. per l'assistenza.
CloudKit
Ringraziamo Iconic per l'assistenza.
Find My
Ringraziamo Abhinav Thakur, Artem Starovoitov, Hodol K e un ricercatore anonimo per l'assistenza.
Voce aggiunta il 21 dicembre 2023
libxml2
Ringraziamo OSS-Fuzz, Ned Williamson di Google Project Zero per l'assistenza.
Reminders
Ringraziamo Kirin (@Pwnrin) per l'assistenza.
Rosetta
Ringraziamo Koh M. Nakagawa di FFRI Security, Inc. per l'assistenza.
Safari
Ringraziamo Khiem Tran (databaselog.com) per l'assistenza.
Voce aggiornata il 21 dicembre 2023
Security
Ringraziamo Brandon Toms per l'assistenza.
Share Sheet
Ringraziamo Kirin (@Pwnrin) per l'assistenza.
Wallet
Ringraziamo James Duffy (mangoSecure) per l'assistenza.
WebRTC
Ringraziamo Dohyun Lee (@l33d0hyun) di PK Security e un ricercatore anonimo per l'assistenza.
Voce aggiunta il 21 dicembre 2023
Wi-Fi
Ringraziamo Adam M. per l'assistenza.
Voce aggiornata il 21 dicembre 2023