Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle nuove versioni alla pagina Versioni di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
macOS Monterey 12.6.8
Data di rilascio: 24 luglio 2023
Accessibility
Disponibile per: macOS Monterey
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2023-40442: Nick Brook
Voce aggiunta l'8 settembre 2023
Apple Neural Engine
Disponibile per: macOS Monterey
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-34425: pattern-f (@pattern_F_) di Ant Security Light-Year Lab
Voce aggiunta il 27 luglio 2023
AppSandbox
Disponibile per: macOS Monterey
Impatto: un processo sandbox può essere in grado di eludere le restrizioni della sandbox.
Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.
CVE-2023-32364: Gergely Kalman (@gergely_kalman)
Voce aggiunta il 27 luglio 2023
Assets
Disponibile per: macOS Monterey
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: il problema è stato risolto attraverso una migliore protezione dei dati.
CVE-2023-35983: Mickey Jin (@patch1t)
CFNetwork
Disponibile per: macOS Monterey
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2023-40392: Wojciech Regula di SecuRing (wojciechregula.blog)
Voce aggiunta l'8 settembre 2023
CUPS
Disponibile per: macOS Monterey
Impatto: un utente in una posizione privilegiata nella rete potrebbe divulgare informazioni sensibili
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-34241: Sei K.
Voce aggiunta il 27 luglio 2023
curl
Disponibile per: macOS Monterey
Impatto: diversi problemi in curl.
Descrizione: diversi problemi sono stati risolti con l'aggiornamento di curl.
CVE-2023-28319
CVE-2023-28320
CVE-2023-28321
CVE-2023-28322
Find My
Disponibile per: macOS Monterey
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.
CVE-2023-32416: Wojciech Regula di SecuRing (wojciechregula.blog)
FontParser
Disponibile per: macOS Monterey
Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente contro le versioni di iOS precedenti alla 15.7.1.
Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.
CVE-2023-41990: Apple, Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) e Boris Larin (@oct0xor) di Kaspersky
Voce aggiunta l'8 settembre 2023
Grapher
Disponibile per: macOS Monterey
Impatto: l'elaborazione di un file può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-36854: Bool di YunShangHuaAn(云上华安)
CVE-2023-32418: Bool di YunShangHuaAn(云上华安)
Kernel
Disponibile per: macOS Monterey
Impatto: un utente collegato in remoto potrebbe causare l'interruzione del servizio.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-38603: Zweig di Kunlun Lab
Voce aggiunta il 27 luglio 2023
Kernel
Disponibile per: macOS Monterey
Impatto: un utente remoto potrebbe causare l'arresto imprevisto del sistema o danneggiare la memoria del kernel
Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.
CVE-2023-38590: Zweig di Kunlun Lab
Voce aggiunta il 27 luglio 2023
Kernel
Disponibile per: macOS Monterey
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2023-38598: Mohamed GHANNAM (@_simo36)
Voce aggiunta il 27 luglio 2023
Kernel
Disponibile per: macOS Monterey
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di overflow dei numeri interi è stato risolto attraverso una migliore convalida dell'input.
CVE-2023-36495: 香农的三蹦子 di Pangu Lab
Voce aggiunta il 27 luglio 2023
Kernel
Disponibile per: macOS Monterey
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2023-37285: Arsenii Kostromin (0x3c3e)
Voce aggiunta il 27 luglio 2023
Kernel
Disponibile per: macOS Monterey
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2023-38604: un ricercatore anonimo
Voce aggiunta il 27 luglio 2023
Kernel
Disponibile per: macOS Monterey
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2023-32381: un ricercatore anonimo
CVE-2023-32433: Zweig di Kunlun Lab
CVE-2023-35993: Kaitao Xie e Xiaolong Bai di Alibaba Group
Kernel
Disponibile per: macOS Monterey
Impatto: un'app potrebbe modificare lo stato sensibile del kernel. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente contro le versioni di iOS precedenti alla 15.7.1.
Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-38606: Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) e Boris Larin (@oct0xor) di Kaspersky
Kernel
Disponibile per: macOS Monterey
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14) di STAR Labs SG Pte. Ltd.
Kernel
Disponibile per: macOS Monterey
Impatto: un utente collegato in remoto potrebbe causare l'interruzione del servizio.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-38603: Zweig di Kunlun Lab
Voce aggiunta il 22 dicembre 2023
libxpc
Disponibile per: macOS Monterey
Impatto: un'app potrebbe ottenere privilegi root
Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.
CVE-2023-38565: Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab (xlab.tencent.com)
libxpc
Disponibile per: macOS Monterey
Impatto: un'app può essere in grado di causare l'interruzione del servizio.
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2023-38593: Noah Roskin-Frazee
Disponibile per: macOS Monterey
Impatto: un'email codificata S/MIME potrebbe essere inviata inavvertitamente
Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato delle email codificate S/MIME.
CVE-2023-40440: Taavi Eomäe da Zone Media OÜ
Voce aggiunta l'8 settembre 2023
Music
Disponibile per: macOS Monterey
Impatto: un'app potrebbe bypassare le preferenze sulla privacy.
Descrizione: il problema è stato risolto attraverso una migliore convalida dei link simbolici.
CVE-2023-38571: Gergely Kalman (@gergely_kalman)
Voce aggiunta il 27 luglio 2023
Model I/O
Disponibile per: macOS Monterey
Impatto: l'elaborazione di un modello 3D potrebbe causare la divulgazione dei contenuti della memoria dei processi.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-38421: Mickey Jin (@patch1t) e Michael DePlante (@izobashi) di Zero Day Initiative di Trend Micro
CVE-2023-38258: Mickey Jin (@patch1t)
Voce aggiornata il 27 luglio 2023
Model I/O
Disponibile per: macOS Monterey
Impatto: l'elaborazione di un'immagine potrebbe causare la divulgazione dei contenuti della memoria dei processi.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2023-1916
Voce aggiunta il 22 dicembre 2023
ncurses
Disponibile per: macOS Monterey
Impatto: un'app può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
CVE-2023-29491: Jonathan Bar Or di Microsoft, Emanuele Cozzi di Microsoft e Michael Pearse di Microsoft
Voce aggiunta l'8 settembre 2023
Net-SNMP
Disponibile per: macOS Monterey
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.
CVE-2023-38601: Csaba Fitzl (@theevilbit) di Offensive Security
Voce aggiunta il 27 luglio 2023
NSSpellChecker
Disponibile per: macOS Monterey
Impatto: un processo sandbox può essere in grado di eludere le restrizioni della sandbox.
Descrizione: un problema logico è stato risolto attraverso una migliore convalida.
CVE-2023-32444: Mickey Jin (@patch1t)
Voce aggiunta il 27 luglio 2023
OpenLDAP
Disponibile per: macOS Monterey
Impatto: un utente collegato in remoto potrebbe causare l'interruzione del servizio.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-2953: Sandipan Roy
OpenSSH
Disponibile per: macOS Monterey
Impatto: un'app potrebbe essere in grado di accedere alle passphrase SSH.
Descrizione: il problema è stato risolto attraverso restrizioni aggiuntive sull'osservabilità degli stati delle app.
CVE-2023-42829: James Duffy (mangoSecure)
Voce aggiunta il 22 dicembre 2023
PackageKit
Disponibile per: macOS Monterey
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili degli utenti
Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.
CVE-2023-38259: Mickey Jin (@patch1t)
PackageKit
Disponibile per: macOS Monterey
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.
CVE-2023-38602: Arsenii Kostromin (0x3c3e)
Security
Disponibile per: macOS Monterey
Impatto: un'app potrebbe essere in grado di acquisire l'impronta digitale dell'utente.
Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.
CVE-2023-42831: James Duffy (mangoSecure)
Voce aggiunta il 22 dicembre 2023
Shortcuts
Disponibile per: macOS Monterey
Impatto: un comando rapido potrebbe modificare impostazioni sensibili dell'app Comandi rapidi.
Descrizione: un problema di accesso è stato risolto attraverso migliori restrizioni di accesso.
CVE-2023-32442: un ricercatore anonimo
sips
Disponibile per: macOS Monterey
Impatto: l'elaborazione di un file può causare l'interruzione del servizio o la divulgazione di contenuti presenti in memoria.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2023-32443: David Hoyt di Hoyt LLC
Software Update
Disponibile per: macOS Monterey
Impatto: un'app potrebbe ottenere privilegi root
Descrizione: una race condition è stata risolta attraverso una migliore gestione dello stato.
CVE-2023-42832: Arsenii Kostromin (0x3c3e)
Voce aggiunta il 22 dicembre 2023
SQLite
Disponibile per: macOS Monterey
Impatto: un'app potrebbe bypassare le preferenze sulla privacy.
Descrizione: il problema è stato risolto aggiungendo ulteriori restrizioni di registrazione di SQLite.
CVE-2023-32422: Gergely Kalman (@gergely_kalman) e Wojciech Reguła di SecuRing (wojciechregula.blog)
Voce aggiunta l'8 settembre 2023
SystemMigration
Disponibile per: macOS Monterey
Impatto: un'app potrebbe bypassare le preferenze sulla privacy.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-32429: Wenchao Li e Xiaolong Bai di Hangzhou Orange Shield Information Technology Co., Ltd.
Voce aggiunta il 27 luglio 2023
tcpdump
Disponibile per: macOS Monterey
Impatto: un utente malintenzionato in una posizione privilegiata sulla rete può essere in grado di causare l'esecuzione di codice arbitrario.
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2023-1801
Voce aggiunta il 22 dicembre 2023
Vim
Disponibile per: macOS Monterey
Impatto: diversi problemi presenti in Vim.
Descrizione: diversi problemi sono stati risolti con l'aggiornamento di Vim.
CVE-2023-2426
CVE-2023-2609
CVE-2023-2610
Voce aggiunta il 22 dicembre 2023
Weather
Disponibile per: macOS Monterey
Impatto: un'app potrebbe determinare la posizione corrente di un utente.
Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.
CVE-2023-38605: Adam M.
Voce aggiunta l'8 settembre 2023
Altri riconoscimenti
Ringraziamo Parvez Anwar per l'assistenza.