Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle nuove versioni alla pagina Versioni di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
macOS Ventura 13.6
Data di rilascio: giovedì 21 settembre 2023
Apple Neural Engine
Disponibile per: macOS Ventura
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-40412: Mohamed GHANNAM (@_simo36)
CVE-2023-40409: Ye Zhang (@VAR10CK) di Baidu Security
Voce aggiunta il 26 settembre 2023
Apple Neural Engine
Disponibile per: macOS Ventura
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2023-41071: Mohamed GHANNAM (@_simo36)
Voce aggiunta il 26 settembre 2023
Apple Neural Engine
Disponibile per: macOS Ventura
Impatto: un'app potrebbe rivelare la memoria kernel.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2023-40410: Tim Michaud (@TimGMichaud) di Moveworks.ai
Voce aggiunta il 26 settembre 2023
Ask to Buy
Disponibile per: macOS Ventura
Impatto: un'app potrebbe accedere ai dati protetti degli utenti.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-38612: Chris Ross (Zoom)
Voce aggiunta il 22 dicembre 2023
Biometric Authentication
Disponibile per: macOS Ventura
Impatto: un'app potrebbe rivelare la memoria kernel.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2023-41232: Liang Wei di PixiePoint Security
Voce aggiunta il 26 settembre 2023
ColorSync
Disponibile per: macOS Ventura
Impatto: un'app potrebbe leggere file arbitrari
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-40406: JeongOhKyea di Theori
Voce aggiunta il 26 settembre 2023
CoreAnimation
Disponibile per: macOS Ventura
Impatto: l'elaborazione di contenuti web potrebbe causare l'interruzione del servizio
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-40420: 이준성(Junsung Lee) di Cross Republic
Voce aggiunta il 26 settembre 2023
Kernel
Disponibile per: macOS Ventura
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) di STAR Labs SG Pte. Ltd.
Voce aggiunta il 26 settembre 2023
Kernel
Disponibile per: macOS Ventura
Impatto: un utente malintenzionato che ha già ottenuto l'esecuzione del codice kernel può essere in grado di bypassare le mitigazioni della memoria del kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-41981: Linus Henze di Pinauten GmbH (pinauten.de)
Voce aggiunta il 26 settembre 2023
Kernel
Disponibile per: macOS Ventura
Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente contro le versioni di iOS rilasciate prima di iOS 16.7.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-41992: Bill Marczak di The Citizen Lab della Munk School della The University of Toronto e Maddie Stone del Threat Analysis Group di Google
libxpc
Disponibile per: macOS Ventura
Impatto: un'app potrebbe accedere ai dati protetti degli utenti.
Descrizione: un problema di autorizzazione è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-41073: Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab (xlab.tencent.com)
Voce aggiunta il 26 settembre 2023
libxpc
Disponibile per: macOS Ventura
Impatto: un'app potrebbe eliminare file per i quali non dispone dell'autorizzazione.
Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.
CVE-2023-40454: Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab (xlab.tencent.com)
Voce aggiunta il 26 settembre 2023
libxslt
Disponibile per: macOS Ventura
Impatto: l'elaborazione dei contenuti web può divulgare informazioni sensibili.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-40403: Dohyun Lee (@l33d0hyun) di PK Security
Voce aggiunta il 26 settembre 2023
Maps
Disponibile per: macOS Ventura
Impatto: un'applicazione potrebbe leggere informazioni sensibili sulla posizione.
Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.
CVE-2023-40427: Adam M., and Wojciech Regula di SecuRing (wojciechregula.blog)
Voce aggiunta il 26 settembre 2023
Pro Res
Disponibile per: macOS Ventura
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-41063: Certik Skyfall Team
Voce aggiunta il 26 settembre 2023
Sandbox
Disponibile per: macOS Ventura
Impatto: un'app potrebbe sovrascrivere i file arbitrari
Descrizione: il problema è stato risolto con migliori controlli dei limiti.
CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)
Voce aggiunta il 26 settembre 2023
Sandbox
Disponibile per: macOS Ventura
Impatto: è possibile che le app che non superano i controlli di verifica vengano comunque avviate.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-41996: Yiğit Can YILMAZ (@yilmazcanyigit) e Mickey Jin (@patch1t)
Voce aggiunta il 26 settembre 2023
Security
Disponibile per: macOS Ventura
Impatto: un'applicazione dannosa può essere in grado di bypassare la convalida della firma. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente contro le versioni di iOS precedenti alla 16.7.
Descrizione: è stato risolto un problema di convalida dei certificati.
CVE-2023-41991: Bill Marczak di The Citizen Lab della Munk School della The University of Toronto e Maddie Stone del Threat Analysis Group di Google
Share Sheet
Disponibile per: macOS Ventura
Impatto: un'app potrebbe accedere ai dati sensibili registrati quando un utente condivide un link.
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2023-41070: Kirin (@Pwnrin)
Voce aggiunta il 26 settembre 2023
StorageKit
Disponibile per: macOS Ventura
Impatto: un'app potrebbe leggere file arbitrari
Descrizione: il problema è stato risolto attraverso una migliore convalida dei link simbolici.
CVE-2023-41968: Mickey Jin (@patch1t), James Hutchins
Voce aggiunta il 26 settembre 2023
Altri riconoscimenti
Apple Neural Engine
Ringraziamo pattern-f (@pattern_F_) di Ant Security Light-Year Lab per l'assistenza.
Voce aggiunta il 22 dicembre 2023
AppSandbox
Ringraziamo Kirin (@Pwnrin) per l'assistenza.
Voce aggiunta il 26 settembre 2023
Kernel
Ringraziamo Bill Marczak di The Citizen Lab della Munk School della The University of Toronto e Maddie Stone del Threat Analysis Group di Google per l'assistenza.
libxml2
Ringraziamo OSS-Fuzz e Ned Williamson di Google Project Zero per l'assistenza.
Voce aggiunta il 26 settembre 2023
WebKit
Ringraziamo Khiem Tran e Narendra Bhati di Suma Soft Pvt. Ltd, Pune (India) per l'assistenza.
Voce aggiunta il 26 settembre 2023
WebRTC
Ringraziamo un ricercatore anonimo per l'assistenza.
Voce aggiunta il 26 settembre 2023