Informazioni sui contenuti di sicurezza di macOS Sonoma 14

In questo documento vengono descritti i contenuti di sicurezza di macOS Sonoma 14.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma problemi relativi alla sicurezza prima di aver completato un'indagine approfondita e preparato le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle nuove versioni alla pagina Versioni di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

macOS Sonoma 14

Data di rilascio: 26 settembre 2023

Airport

Disponibile per: Mac Studio (2022 e successivi), iMac (2019 e successivi), Mac Pro (2019 e successivi), Mac mini (2018 e successivi), MacBook Air (2018 e successivi), MacBook Pro (2018 e successivi) e iMac Pro (2017)

Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.

Descrizione: un problema di permessi è stato risolto migliorando la redazione delle informazioni sensibili.

CVE-2023-40384: Adam M.

AMD

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.

CVE-2023-32377: ABC Research s.r.o.

AMD

Impatto: un'app potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-38615: ABC Research s.r.o.

AppSandbox

Impatto: un'app potrebbe accedere ai dati protetti degli utenti.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-42929: Mickey Jin (@patch1t)

Voce aggiunta il 22 dicembre 2023

App Store

Impatto: un utente malintenzionato collegato in remoto potrebbe essere in grado di uscire dalla sandbox Contenuti web

Descrizione: il problema è stato risolto attraverso una migliore gestione dei protocolli.

CVE-2023-40448: w0wbox

AppleMobileFileIntegrity

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: il problema è stato risolto attraverso maggiori controlli dei permessi.

CVE-2023-42872: Mickey Jin (@patch1t)

Voce aggiunta il 22 dicembre 2023

Apple Neural Engine

Impatto: un'app potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-40432: Mohamed GHANNAM (@_simo36)

CVE-2023-42871: Mohamed GHANNAM (@_simo36)

Voce aggiornata il 22 dicembre 2023

Apple Neural Engine

Impatto: un'app potrebbe rivelare la memoria kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-40399: Mohamed GHANNAM (@_simo36)

Apple Neural Engine

Impatto: un'app potrebbe rivelare la memoria kernel.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2023-40410: Tim Michaud (@TimGMichaud) di Moveworks.ai

Ask to Buy

Impatto: un'app potrebbe accedere ai dati protetti degli utenti.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-38612: Chris Ross (Zoom)

Voce aggiunta il 22 dicembre 2023

AuthKit

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.

CVE-2023-32361: Csaba Fitzl (@theevilbit) di Offensive Security

Bluetooth

Impatto: un utente malintenzionato nelle immediate vicinanze può causare una scrittura al di fuori dei limiti circoscritta.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-35984: zer0k

Bluetooth

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2023-40402: Yiğit Can YILMAZ (@yilmazcanyigit)

Bluetooth

Impatto: un'app potrebbe bypassare alcune preferenze di privacy.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2023-40426: Yiğit Can YILMAZ (@yilmazcanyigit)

BOM

Impatto: l'elaborazione di un file potrebbe causare l'interruzione del servizio o la divulgazione di contenuti presenti in memoria.

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

CVE-2023-42876: Koh M. Nakagawa (@tsunek0h)

Voce aggiunta il 22 dicembre 2023

bootp

Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.

Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.

CVE-2023-41065: Adam M., Noah Roskin-Frazee e Professor Jason Lau (ZeroClicks.ai Lab)

Calendar

Impatto: un'app potrebbe accedere ai dati del calendario salvati in una directory temporanea.

Descrizione: un problema di privacy è stato risolto attraverso una migliore gestione dei file temporanei.

CVE-2023-29497: Kirin (@Pwnrin) e Yishu Wang

CFNetwork

Impatto: un'app potrebbe non riuscire ad applicare il protocollo App Transport Security.

Descrizione: il problema è stato risolto attraverso una migliore gestione dei protocolli.

CVE-2023-38596: Will Brattain di Trail of Bits

ColorSync

Impatto: un'app potrebbe leggere file arbitrari.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-40406: JeongOhKyea di Theori

CoreAnimation

Impatto: l'elaborazione di contenuti web potrebbe causare l'interruzione del servizio.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-40420: 이준성(Junsung Lee) di Cross Republic

Core Data

Impatto: un'app potrebbe bypassare le preferenze sulla privacy

Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.

CVE-2023-40528: Kirin (@Pwnrin) di NorthSea

Voce aggiunta il 22 gennaio 2024

Core Image

Impatto: un'app potrebbe accedere alle foto modificate salvate in una directory temporanea.

Descrizione: un problema è stato risolto attraverso una migliore gestione dei file temporanei.

CVE-2023-40438: Wojciech Regula di SecuRing (wojciechregula.blog)

Voce aggiunta il 22 dicembre 2023

CoreMedia

Impatto: una prolunga per la videocamera potrebbe accedere alla vista della videocamera da app diverse da quella per cui è stata concessa l'autorizzazione.

Descrizione: un problema logico è stato risolto attraverso migliori controlli

CVE-2023-41994: Halle Winkler, Politepix @hallewinkler

Voce aggiunta il 22 dicembre 2023

CUPS

Impatto: un utente malintenzionato remoto può essere in grado di provocare un'interruzione del servizio.

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

CVE-2023-40407: Sei K.

Dev Tools

Impatto: un'app potrebbe riuscire ad acquisire privilegi elevati

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2023-32396: Mickey Jin (@patch1t)

CVE-2023-42933: Mickey Jin (@patch1t)

Voce aggiornata il 22 dicembre 2023

FileProvider

Impatto: un'app potrebbe bypassare le preferenze sulla privacy.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2023-41980: Noah Roskin-Frazee e Professor Jason Lau (ZeroClicks.ai Lab)

FileProvider

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: il problema è stato risolto attraverso una migliore protezione dei dati.

CVE-2023-40411: Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab), nonché Csaba Fitzl (@theevilbit) di Offensive Security

Voce aggiunta il 22 dicembre 2023

Game Center

Impatto: un'app potrebbe accedere ai contatti.

Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.

CVE-2023-40395: Csaba Fitzl (@theevilbit) di Offensive Security

GPU Drivers

Impatto: un'app potrebbe rivelare la memoria kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-40391: Antonio Zekic (@antoniozekic) di Dataflow Security

GPU Drivers

Impatto: l'elaborazione di contenuti web potrebbe causare l'interruzione del servizio.

Descrizione: un problema di esaurimento delle risorse è stato risolto attraverso una migliore convalida dell'input.

CVE-2023-40441: Ron Masas di Imperva

iCloud

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: un problema di autorizzazioni è stato risolto migliorando la redazione delle informazioni sensibili.

CVE-2023-23495: Csaba Fitzl (@theevilbit) di Offensive Security

iCloud Photo Library

Impatto: un'app potrebbe accedere alla Libreria foto dell'utente.

Descrizione: un problema di configurazione è stato risolto attraverso restrizioni aggiuntive.

CVE-2023-40434: Mikko Kenttälä (@Turmio_) di SensorFu

Image Capture

Impatto: un processo sandbox può essere in grado di eludere le restrizioni della sandbox.

Descrizione: un problema di accesso è stato risolto attraverso ulteriori restrizioni della sandbox.

CVE-2023-38586: Yiğit Can YILMAZ (@yilmazcanyigit)

IOAcceleratorFamily

Impatto: un utente malintenzionato potrebbe causare l'arresto improvviso del sistema o leggere la memoria del kernel.

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

CVE-2023-40436: Murray Mike

Kernel

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2023-41995: Certik Skyfall Team e pattern-f (@pattern_F_) di Ant Security Light-Year Lab

CVE-2023-42870: Zweig of Kunlun Lab

Voce aggiornata il 22 dicembre 2023

Kernel

Impatto: un utente malintenzionato che ha già ottenuto l'esecuzione del codice kernel può essere in grado di bypassare le mitigazioni della memoria del kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-41981: Linus Henze di Pinauten GmbH (pinauten.de)

Kernel

Impatto: un'app potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) di STAR Labs SG Pte. Ltd.

Kernel

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: un problema di autorizzazioni è stato risolto attraverso una migliore convalida.

CVE-2023-40429: Michael (Biscuit) Thomas e 张师傅(@京东蓝军)

Kernel

Impatto: un utente collegato in remoto potrebbe provocare l'esecuzione del codice kernel.

Descrizione: un problema di confusione dei tipi è stato risolto attraverso migliori controlli.

CVE-2023-41060: Joseph Ravichandran (@0xjprx) di MIT CSAIL

Voce aggiunta il 22 dicembre 2023

LaunchServices

Impatto: un'app può bypassare i controlli di Gatekeeper.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2023-41067: Ferdous Saljooki (@malwarezoo) di Jamf Software e un ricercatore anonimo

libpcap

Impatto: un utente remoto potrebbe causare la chiusura improvvisa di un'app o l'esecuzione di codice arbitrario

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2023-40400: Sei K.

libxpc

Impatto: un'app potrebbe eliminare file per i quali non dispone dell'autorizzazione.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2023-40454: Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab (xlab.tencent.com)

libxpc

Impatto: un'app potrebbe accedere ai dati protetti degli utenti.

Descrizione: un problema di autorizzazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2023-41073: Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab (xlab.tencent.com)

libxslt

Impatto: l'elaborazione di contenuti web potrebbe divulgare informazioni sensibili.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-40403: Dohyun Lee (@l33d0hyun) di PK Security

Maps

Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.

Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.

CVE-2023-40427: Adam M. e Wojciech Regula di SecuRing (wojciechregula.blog)

Messages

Impatto: un'app può essere in grado di osservare i dati non protetti dell'utente

Descrizione: un problema di privacy è stato risolto attraverso una migliore gestione dei file temporanei.

CVE-2023-32421: Meng Zhang (鲸落) di NorthSea, Ron Masas di BreakPoint Security Research, Brian McNulty e Kishan Bagaria di Texts.com

Model I/O

Impatto: l'elaborazione di un file potrebbe causare l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-42826: Michael DePlante (@izobashi) di Trend Micro Zero Day Initiative

Voce aggiunta il 19 ottobre 2023

Music

Impatto: un'app potrebbe modificare parti protette del file system.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-41986: Gergely Kalman (@gergely_kalman)

NetFSFramework

Impatto: un processo sandbox può essere in grado di eludere le restrizioni della sandbox.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2023-40455: Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab (xlab.tencent.com)

Notes

Impatto: un'app potrebbe accedere agli allegati di Note.

Descrizione: un problema di privacy è stato risolto attraverso una migliore gestione dei file temporanei.

CVE-2023-40386: Kirin (@Pwnrin)

OpenSSH

Impatto: è stata scoperta una vulnerabilità nel remote forwarding di OpenSSH.

Descrizione: questo problema è stato risolto attraverso l'aggiornamento di OpenSSH alla versione 9.3p2.

CVE-2023-38408: baba yaga, un ricercatore anonimo

Voce aggiunta il 22 dicembre 2023

Passkeys

Impatto: un utente malintenzionato potrebbe accedere alle passkey senza autenticazione

Descrizione: il problema è stato risolto attraverso maggiori controlli dei permessi.

CVE-2023-40401: weize she e un ricercatore anonimo

Voce aggiunta il 22 dicembre 2023

Photos

Impatto: le foto appartenenti all'album delle foto nascoste potrebbero essere visualizzate senza autenticazione

Descrizione: un problema di autenticazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2023-40393: un ricercatore anonimo, Berke Kırbaş e Harsh Jaiswal

Voce aggiunta il 22 dicembre 2023

Photos Storage

Impatto: un'app con privilegi root potrebbe accedere a informazioni private.

Descrizione: un problema di divulgazione delle informazioni è stato risolto rimuovendo il codice vulnerabile.

CVE-2023-42934: Wojciech Regula di SecuRing (wojciechregula.blog)

Voce aggiunta il 22 dicembre 2023

Power Management

Impatto: un utente potrebbe visualizzare i contenuti con restrizioni dalla schermata di blocco

Descrizione: un problema della schermata di blocco è stato risolto con una migliore gestione dello stato.

CVE-2023-37448: Serkan Erayabakan, David Kotval, Akincibor, Sina Ahmadi della George Mason University e Billy Tabrizi

Voce aggiornata il 22 dicembre 2023

Printing

Impatto: un'app potrebbe modificare le impostazioni della stampante.

Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.

CVE-2023-38607: Yiğit Can YILMAZ (@yilmazcanyigit)

Voce aggiunta il 22 dicembre 2023

Printing

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2023-41987: Kirin (@Pwnrin) e Wojciech Regula di SecuRing (wojciechregula.blog)

Voce aggiunta il 22 dicembre 2023

Pro Res

Impatto: un'app potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-41063: Certik Skyfall Team

QuartzCore

Impatto: un'app potrebbe causare l'interruzione del servizio.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-40422: Tomi Tokics (@tomitokics) di iTomsn0w

Safari

Impatto: l'elaborazione di contenuti web potrebbe divulgare informazioni sensibili.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-39233: Luan Herrera (@lbherrera_)

Safari

Impatto: Safari potrebbe salvare le foto in un'ubicazione non protetta.

Descrizione: un problema di privacy è stato risolto attraverso una migliore gestione dei file temporanei.

CVE-2023-40388: Kirin (@Pwnrin)

Safari

Impatto: un'app potrebbe identificare le altre applicazioni installate dall'utente.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-35990: Adriatik Raci di Sentry Cybersecurity

Safari

Impatto: l'accesso a un sito web che presenta contenuti dannosi potrebbe causare lo spoofing dell'interfaccia utente.

Descrizione: un problema di gestione delle finestre è stato risolto attraverso una migliore gestione dello stato.

CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati) di Suma Soft Pvt. Ltd, Pune (India)

Voce aggiornata il 22 dicembre 2023

Sandbox

Impatto: un'app potrebbe sovrascrivere i file arbitrari.

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)

Sandbox

Impatto: un'app potrebbe accedere ai volumi removibili senza il consenso dell'utente.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2023-40430: Yiğit Can YILMAZ (@yilmazcanyigit)

Voce aggiunta il 22 dicembre 2023

Sandbox

Impatto: le app che non superano i controlli di verifica potrebbero essere avviate comunque.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-41996: Mickey Jin (@patch1t) e Yiğit Can YILMAZ (@yilmazcanyigit)

Voce aggiunta il 22 dicembre 2023

Screen Sharing

Impatto: un'app potrebbe bypassare alcune preferenze di privacy.

Descrizione: un problema di autorizzazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2023-41078: Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab (xlab.tencent.com)

Share Sheet

Impatto: un'app potrebbe accedere ai dati sensibili registrati quando un utente condivide un link.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2023-41070: Kirin (@Pwnrin)

Shortcuts

Impatto: un'abbreviazione potrebbe esporre dati sensibili dell'utente senza consenso.

Descrizione: questo problema è stato risolto aggiungendo una richiesta aggiuntiva di consenso dell'utente.

CVE-2023-40541: Noah Roskin-Frazee (ZeroClicks.ai Lab) e James Duffy (mangoSecure)

Shortcuts

Impatto: un'app potrebbe bypassare le preferenze sulla privacy.

Descrizione: il problema è stato risolto attraverso una migliore logica delle autorizzazioni.

CVE-2023-41079: Ron Masas of BreakPoint.sh e un ricercatore anonimo

Spotlight

Impatto: un'app potrebbe ottenere privilegi root

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-40443: Gergely Kalman (@gergely_kalman)

Voce aggiunta il 22 dicembre 2023

StorageKit

Impatto: un'app potrebbe leggere file arbitrari.

Descrizione: il problema è stato risolto attraverso una migliore convalida dei link simbolici.

CVE-2023-41968: Mickey Jin (@patch1t) e James Hutchins

System Preferences

Impatto: un'app può bypassare i controlli di Gatekeeper.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-40450: Thijs Alkemade (@xnyhps) di Computest Sector 7

TCC

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-40424: Arsenii Kostromin (0x3c3e), Joshua Jewett (@JoshJewett33) e Csaba Fitzl (@theevilbit) di Offensive Security

WebKit

Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario

Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.

WebKit Bugzilla: 249451
CVE-2023-39434: Francisco Alonso (@revskills) e Dohyun Lee (@l33d0hyun) di PK Security

WebKit Bugzilla: 258992
CVE-2023-40414: Francisco Alonso (@revskills)

Voce aggiornata il 22 dicembre 2023

WebKit

Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario

Descrizione: il problema è stato risolto con controlli migliori.

WebKit Bugzilla: 256551
CVE-2023-41074: 이준성(Junsung Lee) di Cross Republic e Jie Ding(@Lime) di HKUS3 Lab

Voce aggiornata il 22 dicembre 2023

WebKit

Impatto: l'elaborazione di contenuti web potrebbe causare l'esecuzione di codice arbitrario

Descrizione: il problema è stato risolto migliorando la gestione della memoria.

WebKit Bugzilla: 239758
CVE-2023-35074: Ajou University Abysslab Dong Jun Kim(@smlijun) e Jong Seong Kim(@nevul37)

Voce aggiornata il 22 dicembre 2023

WebKit

Impatto: l'elaborazione di un contenuto web può causare l'esecuzione di codice arbitrario. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente contro le versioni di iOS rilasciate prima di iOS 16.7.

Descrizione: il problema è stato risolto con controlli migliori.

WebKit Bugzilla: 261544
CVE-2023-41993: Bill Marczak di The Citizen Lab della Munk School della University of Toronto e Maddie Stone del Threat Analysis Group di Google

WebKit

Impatto: la password di un utente potrebbe essere letta ad alta voce da VoiceOver.

Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.

WebKit Bugzilla: 248717
CVE-2023-32359: Claire Houston

Voce aggiunta il 22 dicembre 2023

WebKit

Impatto: un utente malintenzionato remoto potrebbe visualizzare query DNS divulgate con la funzione Relay privato attivata.

Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.

WebKit Bugzilla: 257303
CVE-2023-40385: anonimo

Voce aggiunta il 22 dicembre 2023

WebKit

Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario

Descrizione: un problema di correttezza è stato risolto attraverso migliori controlli.

WebKit Bugzilla: 258592
CVE-2023-42833: Dong Jun Kim (@smlijun) e Jong Seong Kim (@nevul37) di AbyssLab

Voce aggiunta il 22 dicembre 2023

Wi-Fi

Impatto: un'app potrebbe causare l'arresto improvviso del sistema o scrivere sulla memoria del kernel

Descrizione: un problema di danneggiamento della memoria è stato risolto rimuovendo il codice vulnerabile.

CVE-2023-38610: Wang Yu di Cyberserval

Voce aggiunta il 22 dicembre 2023

Windows Server

Impatto: un'app potrebbe divulgare inaspettatamente le credenziali di un utente da campi di testo protetti.

Descrizione: un problema di autenticazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2023-41066: un ricercatore anonimo, Jeremy Legendre di MacEnhance e Felix Kratz

Voce aggiornata il 22 dicembre 2023

XProtectFramework

Impatto: un'app potrebbe modificare parti protette del file system.

Descrizione: una race condition è stata risolta attraverso un blocco migliore.

CVE-2023-41979: Koh M. Nakagawa (@tsunek0h)

Altri riconoscimenti

Airport

Ringraziamo Adam M., Noah Roskin-Frazee e il Professor Jason Lau (ZeroClicks.ai Lab) per l'assistenza.

AppKit

Ringraziamo un ricercatore anonimo per l'assistenza.

Apple Neural Engine

Ringraziamo pattern-f (@pattern_F_) di Ant Security Light-Year Lab per l'assistenza.

Voce aggiunta il 22 dicembre 2023

AppSandbox

Ringraziamo Kirin (@Pwnrin) per l'assistenza.

Archive Utility

Ringraziamo Mickey Jin (@patch1t) per l'assistenza.

Audio

Ringraziamo Mickey Jin (@patch1t) per l'assistenza.

Bluetooth

Ringraziamo Jianjun Dai e Guang Gong del 360 Vulnerability Research Institute per l'assistenza.

Books

Ringraziamo Aapo Oksman di Nixu Cybersecurity per l'assistenza.

Voce aggiunta il 22 dicembre 2023

Control Center

Ringraziamo Yiğit Can YILMAZ (@yilmazcanyigit) per l'assistenza.

Voce aggiunta il 22 dicembre 2023

Core Location

Ringraziamo Wouter Hennen per l'assistenza.

CoreMedia Playback

Ringraziamo Mickey Jin (@patch1t) per l'assistenza.

CoreServices

Ringraziamo Thijs Alkemade di Computest Sector 7, Wojciech Reguła (@_r3ggi) di SecuRing e un ricercatore anonimo per l'assistenza.

Voce aggiunta il 22 dicembre 2023

Data Detectors UI

Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College Of Technology Bhopal per l'assistenza.

Find My

Ringraziamo Cher Scarlett per l'assistenza.

Home

Ringraziamo Jake Derouin (jakederouin.com) per l'assistenza.

IOGraphics

Ringraziamo un ricercatore anonimo per l'assistenza.

IOUserEthernet

Ringraziamo Certik Skyfall Team per l'assistenza.

Voce aggiunta il 22 dicembre 2023

Kernel

Ringraziamo Bill Marczak di The Citizen Lab della Munk School della University of Toronto e Maddie Stone del Threat Analysis Group di Google, Xinru Chi di Pangu Lab e 永超王 per l'assistenza.

libxml2

Ringraziamo OSS-Fuzz, Ned Williamson di Google Project Zero per l'assistenza.

libxpc

Ringraziamo un ricercatore anonimo per l'assistenza.

libxslt

Ringraziamo Dohyun Lee (@l33d0hyun) di PK Security, OSS-Fuzz, Ned Williamson di Google Project Zero per l'assistenza.

Mail

Ringraziamo Taavi Eomäe di Zone Media OÜ per l'assistenza.

Voce aggiunta il 22 dicembre 2023

Menus

Ringraziamo Matthew Denton di Google Chrome Security per l'assistenza.

Voce aggiunta il 22 dicembre 2023

Model I/O

Ringraziamo Mickey Jin (@patch1t) per l'assistenza.

NSURL

Ringraziamo Zhanpeng Zhao (行之), 糖豆爸爸(@晴天组织) per l'assistenza.

PackageKit

Ringraziamo Csaba Fitzl (@theevilbit) di Offensive Security e un ricercatore anonimo per l'assistenza.

Photos

Ringraziamo Anatolii Kozlov, Dawid Pałuska, Kirin (@Pwnrin), Lyndon Cornelius e Paul Lurin per l'assistenza.

Power Services

Ringraziamo Mickey Jin (@patch1t) per l'assistenza.

Voce aggiunta il 22 dicembre 2023

Reminders

Ringraziamo Paweł Szafirowski per l'assistenza.

Safari

Ringraziamo Kang Ali di Punggawa Cyber Security per l'assistenza.

Sandbox

Ringraziamo Yiğit Can YILMAZ (@yilmazcanyigit) per l'assistenza.

SharedFileList

Ringraziamo Christopher Lopez - @L0Psec e Kandji, Leo Pitt di Zoom Video Communications, Masahiro Kawada (@kawakatz) di GMO Cybersecurity by Ierae e Ross Bingham (@PwnDexter) per l'assistenza.

Voce aggiornata il 22 dicembre 2023

Shortcuts

Ringraziamo Alfie CG, Christian Basting di Bundesamt für Sicherheit in der Informationstechnik, Cristian Dinca della “Tudor Vianu” National High School of Computer Science, Romania, Giorgos Christodoulidis, Jubaer Alnazi di TRS Group Of Companies, KRISHAN KANT DWIVEDI (@xenonx7) e Matthew Butler per l'assistenza.

Voce aggiornata il 24 aprile 2024

Software Update

Ringraziamo Omar Siman per l'assistenza.

Spotlight

Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College Of Technology Bhopal e Dawid Pałuska per l'assistenza.

StorageKit

Ringraziamo Mickey Jin (@patch1t) per l'assistenza.

Video Apps

Ringraziamo James Duffy (mangoSecure) per l'assistenza.

WebKit

Ringraziamo Khiem Tran, Narendra Bhati di Suma Soft Pvt. Ltd, Pune (India) e un ricercatore anonimo per l'assistenza.

WebRTC

Ringraziamo un ricercatore anonimo per l'assistenza.

Wi-Fi

Ringraziamo Adam M. e Wang Yu di Cyberserval per l'assistenza.

Voce aggiornata il 22 dicembre 2023

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: 29 aprile 2024