Informazioni sui contenuti di sicurezza di macOS Big Sur 11.7.7

In questo documento vengono descritti i contenuti di sicurezza di macOS Big Sur 11.7.7.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

macOS Big Sur 11.7.7

Data di rilascio: 18 maggio 2023

Accessibility

Disponibile per: macOS Big Sur

Impatto: un'app potrebbe bypassare le preferenze sulla privacy.

Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.

CVE-2023-32388: Kirin (@Pwnrin)

AppleEvents

Disponibile per: macOS Big Sur

Impatto: un'app potrebbe bypassare le preferenze sulla privacy.

Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.

CVE-2023-28191: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Disponibile per: macOS Big Sur

Impatto: un'app potrebbe bypassare le preferenze sulla privacy.

Descrizione: questo problema è stato risolto attraverso migliori autorizzazioni.

CVE-2023-32411: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Disponibile per: macOS Big Sur

Impatto: un'app potrebbe essere in grado di inserire codice in codici binari riservati inclusi in Xcode.

Descrizione: questo problema è stato risolto forzando runtime rafforzato sui codici binari interessati a livello di sistema.

CVE-2023-32383: James Duffy (mangoSecure)

Voce aggiunta il 21 dicembre 2023

Contacts

Disponibile per: macOS Big Sur

Impatto: un'app può essere in grado di osservare i dati non protetti dell'utente

Descrizione: un problema di privacy è stato risolto attraverso una migliore gestione dei file temporanei.

CVE-2023-32386: Kirin (@Pwnrin)

CoreCapture

Disponibile per: macOS Big Sur

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-28181: Tingting Yin della Tsinghua University

CUPS

Disponibile per: macOS Big Sur

Impatto: una persona non autenticata potrebbe accedere ai documenti stampati di recente.

Descrizione: un problema di autenticazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2023-32360: Gerhard Muth

dcerpc

Disponibile per: macOS Big Sur

Impatto: una persona malintenzionata collegata in remoto può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2023-32387: Dimitrios Tatsis di Cisco Talos

Dev Tools

Disponibile per: macOS Big Sur

Impatto: un'applicazione sandbox potrebbe essere in grado di raccogliere i log di sistema

Descrizione: questo problema è stato risolto attraverso migliori autorizzazioni.

CVE-2023-27945: Mickey Jin (@patch1t)

GeoServices

Disponibile per: macOS Big Sur

Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.

Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.

CVE-2023-32392: Adam M.

Voce aggiornata il 21 dicembre 2023

ImageIO

Disponibile per: macOS Big Sur

Impatto: l'elaborazione di un'immagine può causare l'esecuzione di un codice arbitrario.

Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.

CVE-2023-32384: Meysam Firouzi @R00tkitsmm in collaborazione con Zero Day Initiative di Trend Micro

IOSurface

Disponibile per: macOS Big Sur

Impatto: un'app potrebbe divulgare lo stato sensibile del kernel

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2023-32410: hou xuewei (@p1ay8y3ar) vmk msu

Kernel

Disponibile per: macOS Big Sur

Impatto: un'app potrebbe ottenere privilegi root

Descrizione: una race condition è stata risolta attraverso una migliore gestione dello stato.

CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) di Synacktiv (@Synacktiv) in collaborazione con Zero Day Initiative di Trend Micro

Kernel

Disponibile per: macOS Big Sur

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2023-32398: Adam Doupé di ASU SEFCOM

LaunchServices

Disponibile per: macOS Big Sur

Impatto: un'app può bypassare i controlli di Gatekeeper.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2023-32352: Wojciech Reguła (@_r3ggi) di SecuRing (wojciechregula.blog)

libxpc

Disponibile per: macOS Big Sur

Impatto: un'app potrebbe modificare parti protette del file system.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2023-32369: Jonathan Bar Or di Microsoft, Anurag Bohra di Microsoft e Michael Pearse di Microsoft

libxpc

Disponibile per: macOS Big Sur

Impatto: un'app potrebbe ottenere privilegi root

Descrizione: un problema logico è stato risolto attraverso controlli migliori.

CVE-2023-32405: Thijs Alkemade (@xnyhps) di Computest Sector 7

Metal

Disponibile per: macOS Big Sur

Impatto: un'app potrebbe bypassare le preferenze sulla privacy.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2023-32407: Gergely Kalman (@gergely_kalman)

Model I/O

Disponibile per: macOS Big Sur

Impatto: l'elaborazione di un modello 3D può causare l'esecuzione di un codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2023-32380: Mickey Jin (@patch1t)

Model I/O

Disponibile per: macOS Big Sur

Impatto: l'elaborazione di un modello 3D potrebbe causare la divulgazione dei contenuti della memoria dei processi.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2023-32382: Mickey Jin (@patch1t)

NetworkExtension

Disponibile per: macOS Big Sur

Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.

Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.

CVE-2023-32403: Adam M.

Voce aggiornata il 21 dicembre 2023

PackageKit

Disponibile per: macOS Big Sur

Impatto: un'app potrebbe modificare parti protette del file system.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2023-32355: Mickey Jin (@patch1t)

Perl

Disponibile per: macOS Big Sur

Impatto: un'app potrebbe modificare parti protette del file system.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2023-32395: Arsenii Kostromin (0x3c3e)

Quick Look

Disponibile per: macOS Big Sur

Impatto: l'analisi di un documento di Office può causare una chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.

Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.

CVE-2023-32401: Holger Fuhrmannek di Deutsche Telekom Security GmbH per conto del BSI (ufficio federale tedesco per la sicurezza informatica Security)

Voce aggiunta il 21 dicembre 2023

Sandbox

Disponibile per: macOS Big Sur

Impatto: un'app può essere in grado di mantenere l'accesso ai file di configurazione del sistema anche dopo la revoca dell'autorizzazione.

Descrizione: un problema di autorizzazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Jeff Johnson, Koh M. Nakagawa di FFRI Security, Inc., Kirin (@Pwnrin) e Csaba Fitzl (@theevilbit) di Offensive Security

Shell

Disponibile per: macOS Big Sur

Impatto: un'app potrebbe modificare parti protette del file system.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2023-32397: Arsenii Kostromin (0x3c3e)

Telephony

Disponibile per: macOS Big Sur

Impatto: una persona malintenzionata collegata in remoto può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2023-32412: Ivan Fratric di Google Project Zero

 

Altri riconoscimenti

libxml2

Ringraziamo OSS-Fuzz, Ned Williamson di Google Project Zero per l'assistenza.

Reminders

Ringraziamo Kirin (@Pwnrin) per l'assistenza.

Security

Ringraziamo James Duffy (mangoSecure) per l'assistenza.

Wi-Fi

Ringraziamo Adam M. per l'assistenza.

Voce aggiornata il 21 dicembre 2023

Wi-Fi Connectivity

Ringraziamo Adam M. per l'assistenza.

Voce aggiornata il 21 dicembre 2023

 

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: