Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle nuove versioni alla pagina Versioni di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
macOS Ventura 13.5
Data di rilascio: 24 luglio 2023
Accounts
Disponibile per: macOS Ventura
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2023-40439: Kirin (@Pwnrin)
Voce aggiunta il 21 dicembre 2023
AMD
Disponibile per: macOS Ventura
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: una race condition è stata risolta attraverso una migliore gestione dello stato.
CVE-2023-38616: ABC Research s.r.o.
Voce aggiunta il 6 settembre 2023
Apple Neural Engine
Disponibile per: macOS Ventura
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-34425: pattern-f (@pattern_F_) di Ant Security Light-Year Lab
Voce aggiunta il 27 luglio 2023
Apple Neural Engine
Disponibile per: macOS Ventura
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-38580: Mohamed GHANNAM (@_simo36)
AppleMobileFileIntegrity
Disponibile per: macOS Ventura
Impatto: un'app potrebbe determinare la posizione corrente di un utente.
Descrizione: un problema di downgrade che riguarda i computer Mac con processore Intel è stato risolto con ulteriori restrizioni di firma del codice.
CVE-2023-36862: Mickey Jin (@patch1t)
AppSandbox
Disponibile per: macOS Ventura
Impatto: un processo sandbox può essere in grado di eludere le restrizioni della sandbox.
Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.
CVE-2023-32364: Gergely Kalman (@gergely_kalman)
Assets
Disponibile per: macOS Ventura
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: il problema è stato risolto attraverso una migliore protezione dei dati.
CVE-2023-35983: Mickey Jin (@patch1t)
CFNetwork
Disponibile per: macOS Ventura
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2023-40392: Wojciech Regula di SecuRing (wojciechregula.blog)
Voce aggiunta il 6 settembre 2023
crontabs
Disponibile per: macOS Ventura
Impatto: un'app potrebbe ottenere privilegi root
Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.
CVE-2023-42828: Erhad Husovic
Voce aggiunta il 21 dicembre 2023
CUPS
Disponibile per: macOS Ventura
Impatto: un utente in una posizione privilegiata nella rete potrebbe divulgare informazioni sensibili
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-34241: Sei K.
Voce aggiunta il 27 luglio 2023
curl
Disponibile per: macOS Ventura
Impatto: diversi problemi in curl.
Descrizione: diversi problemi sono stati risolti con l'aggiornamento di curl.
CVE-2023-28319
CVE-2023-28320
CVE-2023-28321
CVE-2023-28322
Find My
Disponibile per: macOS Ventura
Impatto: un'app può essere in grado di leggere informazioni sensibili sulla posizione.
Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.
CVE-2023-32416: Wojciech Regula di SecuRing (wojciechregula.blog)
Find My
Disponibile per: macOS Ventura
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2023-40437: Kirin (@Pwnrin) e Wojciech Regula di SecuRing (wojciechregula.blog)
Voce aggiunta il 21 dicembre 2023
Grapher
Disponibile per: macOS Ventura
Impatto: l'elaborazione di un file può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-32418: Bool di YunShangHuaAn(云上华安)
CVE-2023-36854: Bool di YunShangHuaAn(云上华安)
ImageIO
Disponibile per: macOS Ventura
Impatto: l’elaborazione di un’immagine dannosa può causare l’interruzione del servizio
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2022-3970: rilevato da OSS-Fuzz
Voce aggiunta il 6 settembre 2023
Kernel
Disponibile per: macOS Ventura
Impatto: un'app potrebbe rivelare la memoria kernel.
Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.
CVE-2023-28200: Arsenii Kostromin (0x3c3e)
Voce aggiunta il 6 settembre 2023
Kernel
Disponibile per: macOS Ventura
Impatto: un utente remoto potrebbe causare l'arresto imprevisto del sistema o danneggiare la memoria del kernel
Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.
CVE-2023-38590: Zweig di Kunlun Lab
Voce aggiunta il 27 luglio 2023
Kernel
Disponibile per: macOS Ventura
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2023-38598: Mohamed GHANNAM (@_simo36)
Voce aggiunta il 27 luglio 2023
Kernel
Disponibile per: macOS Ventura
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di overflow dei numeri interi è stato risolto attraverso una migliore convalida dell'input.
CVE-2023-36495: 香农的三蹦子 di Pangu Lab
Voce aggiunta il 27 luglio 2023
Kernel
Disponibile per: macOS Ventura
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2023-37285: Arsenii Kostromin (0x3c3e)
Voce aggiunta il 27 luglio 2023
Kernel
Disponibile per: macOS Ventura
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2023-38604: un ricercatore anonimo
Voce aggiunta il 27 luglio 2023
Kernel
Disponibile per: macOS Ventura
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-32734: Pan ZhenPeng (@Peterpan0927) di STAR Labs SG Pte. Ltd.
CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14) di STAR Labs SG Pte. Ltd.
CVE-2023-38261: un ricercatore anonimo
CVE-2023-38424: Certik Skyfall Team
CVE-2023-38425: Certik Skyfall Team
Kernel
Disponibile per: macOS Ventura
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2023-32381: un ricercatore anonimo
CVE-2023-32433: Zweig di Kunlun Lab
CVE-2023-35993: Kaitao Xie e Xiaolong Bai di Alibaba Group
Kernel
Disponibile per: macOS Ventura
Impatto: un utente può essere in grado di rendere più elevati i privilegi.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-38410: un ricercatore anonimo
Kernel
Disponibile per: macOS Ventura
Impatto: un'app potrebbe modificare lo stato sensibile del kernel. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente contro le versioni di iOS precedenti alla 15.7.1.
Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-38606: Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) e Boris Larin (@oct0xor) di Kaspersky
Kernel
Disponibile per: macOS Ventura
Impatto: un utente collegato in remoto potrebbe causare l'interruzione del servizio.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-38603: Zweig di Kunlun Lab
libxpc
Disponibile per: macOS Ventura
Impatto: un'app potrebbe ottenere privilegi root
Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.
CVE-2023-38565: Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab (xlab.tencent.com)
libxpc
Disponibile per: macOS Ventura
Impatto: un'app può essere in grado di causare l'interruzione del servizio.
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2023-38593: Noah Roskin-Frazee
Disponibile per: macOS Ventura
Impatto: un'email codificata S/MIME potrebbe essere inviata inavvertitamente
Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato delle email codificate S/MIME.
CVE-2023-40440: Taavi Eomäe da Zone Media OÜ
Voce aggiunta il 21 dicembre 2023
Model I/O
Disponibile per: macOS Ventura
Impatto: l'elaborazione di un modello 3D potrebbe causare la divulgazione dei contenuti della memoria dei processi.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-38258: Mickey Jin (@patch1t)
CVE-2023-38421: Mickey Jin (@patch1t) e Michael DePlante (@izobashi) di Zero Day Initiative di Trend Micro
Voce aggiornata il 27 luglio 2023
Model I/O
Disponibile per: macOS Ventura
Impatto: l'elaborazione di un'immagine potrebbe causare la divulgazione dei contenuti della memoria dei processi.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2023-1916
Voce aggiunta il 21 dicembre 2023
Music
Disponibile per: macOS Ventura
Impatto: un'app potrebbe bypassare le preferenze sulla privacy.
Descrizione: il problema è stato risolto attraverso una migliore convalida dei link simbolici.
CVE-2023-38571: Gergely Kalman (@gergely_kalman)
Voce aggiunta il 27 luglio 2023
ncurses
Disponibile per: macOS Ventura
Impatto: un'app può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
CVE-2023-29491: Jonathan Bar Or di Microsoft, Emanuele Cozzi di Microsoft e Michael Pearse di Microsoft
Voce aggiunta il 6 settembre 2023
Net-SNMP
Disponibile per: macOS Ventura
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.
CVE-2023-38601: Csaba Fitzl (@theevilbit) di Offensive Security
Voce aggiunta il 27 luglio 2023
NSSpellChecker
Disponibile per: macOS Ventura
Impatto: un processo sandbox può essere in grado di eludere le restrizioni della sandbox.
Descrizione: un problema logico è stato risolto attraverso una migliore convalida.
CVE-2023-32444: Mickey Jin (@patch1t)
Voce aggiunta il 27 luglio 2023
OpenLDAP
Disponibile per: macOS Ventura
Impatto: un utente collegato in remoto potrebbe causare l'interruzione del servizio.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-2953: Sandipan Roy
OpenSSH
Disponibile per: macOS Ventura
Impatto: un'app potrebbe essere in grado di accedere alle passphrase SSH.
Descrizione: il problema è stato risolto attraverso restrizioni aggiuntive sull'osservabilità degli stati delle app.
CVE-2023-42829: James Duffy (mangoSecure)
Voce aggiunta il 21 dicembre 2023
PackageKit
Disponibile per: macOS Ventura
Impatto: un'app potrebbe bypassare alcune preferenze sulla privacy.
Descrizione: un problema di injection è stato risolto attraverso una migliore convalida dell'input.
CVE-2023-38609: Michael Cowell
Voce aggiunta il 27 luglio 2023
PackageKit
Disponibile per: macOS Ventura
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.
CVE-2023-38259: Mickey Jin (@patch1t)
PackageKit
Disponibile per: macOS Ventura
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-38564: Mickey Jin (@patch1t)
PackageKit
Disponibile per: macOS Ventura
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.
CVE-2023-38602: Arsenii Kostromin (0x3c3e)
Security
Disponibile per: macOS Ventura
Impatto: un'app potrebbe essere in grado di acquisire l'impronta digitale dell'utente.
Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.
CVE-2023-42831: James Duffy (mangoSecure)
Voce aggiunta il 21 dicembre 2023
Shortcuts
Disponibile per: macOS Ventura
Impatto: un comando rapido potrebbe modificare impostazioni sensibili dell'app Comandi rapidi.
Descrizione: un problema di accesso è stato risolto attraverso migliori restrizioni di accesso.
CVE-2023-32442: un ricercatore anonimo
sips
Disponibile per: macOS Ventura
Impatto: l'elaborazione di un file può causare l'interruzione del servizio o la divulgazione di contenuti presenti in memoria.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2023-32443: David Hoyt di Hoyt LLC
Software Update
Disponibile per: macOS Ventura
Impatto: un'app potrebbe ottenere privilegi root
Descrizione: una race condition è stata risolta attraverso una migliore gestione dello stato.
CVE-2023-42832: Arsenii Kostromin (0x3c3e)
Voce aggiunta il 21 dicembre 2023
SystemMigration
Disponibile per: macOS Ventura
Impatto: un'app potrebbe bypassare le preferenze sulla privacy.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-32429: Wenchao Li e Xiaolong Bai di Hangzhou Orange Shield Information Technology Co., Ltd.
tcpdump
Disponibile per: macOS Ventura
Impatto: un utente malintenzionato in una posizione privilegiata sulla rete può essere in grado di causare l'esecuzione di codice arbitrario.
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2023-1801
Voce aggiunta il 21 dicembre 2023
Time Zone
Disponibile per: macOS Ventura
Impatto: un utente potrebbe riuscire a leggere informazioni appartenenti a un altro utente.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-32654: Matthew Loewen
Voce aggiunta il 27 luglio 2023
Vim
Disponibile per: macOS Ventura
Impatto: diversi problemi presenti in Vim.
Descrizione: diversi problemi sono stati risolti con l'aggiornamento di Vim.
CVE-2023-2426
CVE-2023-2609
CVE-2023-2610
Voce aggiunta il 21 dicembre 2023
Voice Memos
Disponibile per: macOS Ventura
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: il problema è stato risolto attraverso maggiori controlli dei permessi.
CVE-2023-38608: Yiğit Can YILMAZ (@yilmazcanyigit), Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab), Kirin (@Pwnrin) e Yishu Wang
Voce aggiornata il 21 dicembre 2023
Weather
Disponibile per: macOS Ventura
Impatto: un'app potrebbe determinare la posizione corrente di un utente.
Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.
CVE-2023-38605: Adam M.
Voce aggiunta il 6 settembre 2023
WebKit
Disponibile per: macOS Ventura
Impatto: un utente malintenzionato collegato in remoto può causare l'esecuzione di codice javascript arbitrario.
Descrizione: il problema è stato risolto con controlli migliori.
WebKit Bugzilla: 257824
CVE-2023-40397: Johan Carlsson (joaxcar)
Voce aggiunta il 6 settembre 2023
WebKit
Disponibile per: macOS Ventura
Impatto: un sito web potrebbe essere in grado di bypassare la Same Origin Policy.
Descrizione: il problema è stato risolto con controlli migliori.
WebKit Bugzilla: 256549
CVE-2023-38572: Narendra Bhati (twitter.com/imnarendrabhati) di Suma Soft Pvt. Ltd, Pune - India
WebKit
Disponibile per: macOS Ventura
Impatto: un sito web potrebbe essere in grado di tenere traccia delle informazioni sensibili degli utenti.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
WebKit Bugzilla: 257822
CVE-2023-38599: Hritvik Taneja, Jason Kim, Jie Jeff Xu, Stephan van Schaik, Daniel Genkin e Yuval Yarom
Voce aggiunta il 27 luglio 2023
WebKit
Disponibile per: macOS Ventura
Impatto: l'elaborazione di un documento può causare un attacco di scripting cross-site.
Descrizione: il problema è stato risolto attraverso migliori controlli.
WebKit Bugzilla: 257299
CVE-2023-32445: Johan Carlsson (joaxcar)
Voce aggiunta il 27 luglio 2023
WebKit
Disponibile per: macOS Ventura
Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario
Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.
WebKit Bugzilla: 257331
CVE-2023-38592: Narendra Bhati (twitter.com/imnarendrabhati) di Suma Soft Pvt. Ltd, Pune - India, Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina e Lorenzo Veronese di TU Wien
Voce aggiunta il 27 luglio 2023
WebKit
Disponibile per: macOS Ventura
Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario
Descrizione: il problema è stato risolto con controlli migliori.
WebKit Bugzilla: 256865
CVE-2023-38594: Yuhao Hu
WebKit Bugzilla: 256573
CVE-2023-38595: un ricercatore anonimo, Jiming Wang, Jikai Ren
WebKit Bugzilla: 257387
CVE-2023-38600: anonimo in collaborazione con Zero Day Initiative di Trend Micro
WebKit
Disponibile per: macOS Ventura
Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
WebKit Bugzilla: 258058
CVE-2023-38611: Francisco Alonso (@revskills)
WebKit
Disponibile per: macOS Ventura
Impatto: l'elaborazione di un contenuto web può causare l'esecuzione di codice arbitrario. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente.
Descrizione: il problema è stato risolto con controlli migliori.
WebKit Bugzilla: 259231
CVE-2023-37450: un ricercatore anonimo
Questo problema è stato risolto per la prima volta negli interventi di sicurezza rapidi per macOS Ventura 13.4.1 (c).
WebKit
Disponibile per: macOS Ventura
Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
WebKit Bugzilla: 257684
CVE-2023-42866: Francisco Alonso (@revskills) e Junsung Lee
Voce aggiunta il 21 dicembre 2023
WebKit Process Model
Disponibile per: macOS Ventura
Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario
Descrizione: il problema è stato risolto con controlli migliori.
WebKit Bugzilla: 258100
CVE-2023-38597: 이준성(Junsung Lee) di Cross Republic
WebKit Web Inspector
Disponibile per: macOS Ventura
Impatto: l'elaborazione dei contenuti web può divulgare informazioni sensibili.
Descrizione: il problema è stato risolto con controlli migliori.
WebKit Bugzilla: 256932
CVE-2023-38133: YeongHyeon Choi (@hyeon101010)
Altri riconoscimenti
WebKit
Ringraziamo Narendra Bhati (twitter.com/imnarendrabhati) di Suma Soft Pvt. Ltd, Pune - India per l'assistenza.
Voce aggiunta il 27 luglio 2023
WebKit
Ringraziamo 이준성(Junsung Lee) di Cross Republic per l'assistenza.
Voce aggiunta il 21 dicembre 2023
WebRTC
Ringraziamo un ricercatore anonimo per l'assistenza.