Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle nuove versioni alla pagina Versioni di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
macOS Monterey 12.7.1
Data di rilascio: 25 ottobre 2023
Automation
Disponibile per: macOS Monterey
Impatto: un'app con privilegi root potrebbe accedere a informazioni private
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-42952: Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab (xlab.tencent.com)
Voce aggiunta il 16 febbraio 2024
CoreAnimation
Disponibile per: macOS Monterey
Impatto: un'app potrebbe causare l'interruzione del servizio.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-40449: Tomi Tokics (@tomitokics) di iTomsn0w
Core Recents
Disponibile per: macOS Monterey
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili degli utenti
Descrizione: il problema è stato risolto tramite pulizia della registrazione
CVE-2023-42823
Voce aggiunta il 16 febbraio 2024
FileProvider
Disponibile per: macOS Monterey
Impatto: un'app potrebbe causare una negazione del servizio ai client Endpoint Security
Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.
CVE-2023-42854: Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab)
Find My
Disponibile per: macOS Monterey
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.
CVE-2023-40413: Adam M.
Foundation
Disponibile per: macOS Monterey
Impatto: un sito web potrebbe essere in grado di accedere ai dati sensibili degli utenti quando si risolvono i link simbolici
Descrizione: il problema è stato risolto attraverso una migliore gestione dei link simbolici.
CVE-2023-42844: Ron Masas di BreakPoint.SH
libc
Disponibile per: macOS Monterey
Impatto: l'elaborazione di un input dannoso può causare l'esecuzione di codice arbitrario in app installate dall'utente
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-40446: inooo
Voce aggiunta il 3 novembre 2023
ImageIO
Disponibile per: macOS Monterey
Impatto: l'elaborazione di un'immagine potrebbe causare la divulgazione dei contenuti della memoria dei processi.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-40416: JZ
IOTextEncryptionFamily
Disponibile per: macOS Monterey
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-40423: un ricercatore anonimo
Kernel
Disponibile per: macOS Monterey
Impatto: un utente malintenzionato che ha già ottenuto l'esecuzione del codice kernel può essere in grado di bypassare le mitigazioni della memoria del kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-42849: Linus Henze di Pinauten GmbH (pinauten.de)
Model I/O
Disponibile per: macOS Monterey
Impatto: l'elaborazione di un file può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-42856: Michael DePlante (@izobashi) di Trend Micro Zero Day Initiative
PackageKit
Disponibile per: macOS Monterey
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-42859: Arsenii Kostromin (0x3c3e), Mickey Jin (@patch1t) e Hevel Engineering
CVE-2023-42877: Arsenii Kostromin (0x3c3e)
Voce aggiunta il 16 febbraio 2024
PackageKit
Disponibile per: macOS Monterey
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-42840: Mickey Jin (@patch1t) e Csaba Fitzl (@theevilbit) di Offensive Security
Voce aggiunta il 16 febbraio 2024
PackageKit
Disponibile per: macOS Monterey
Impatto: un'app potrebbe bypassare alcune preferenze di privacy.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-42889: Mickey Jin (@patch1t)
Voce aggiunta il 16 febbraio 2024
PackageKit
Disponibile per: macOS Monterey
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2023-42853: Mickey Jin (@patch1t)
Voce aggiunta il 16 febbraio 2024
PackageKit
Disponibile per: macOS Monterey
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.
CVE-2023-42860: Koh M. Nakagawa (@tsunek0h) di FFRI Security, Inc.
Voce aggiunta il 16 febbraio 2024
Pro Res
Disponibile per: macOS Monterey
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con migliori controlli dei limiti.
CVE-2023-42873: Mingxuan Yang (@PPPF00L), happybabywu e Guang Gong di 360 Vulnerability Research Institute
Voce aggiunta il 16 febbraio 2024
Sandbox
Disponibile per: macOS Monterey
Impatto: un'app con privilegi root potrebbe accedere a informazioni private
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2023-40425: Csaba Fitzl (@theevilbit) di Offensive Security
SQLite
Disponibile per: macOS Monterey
Impatto: un utente collegato in remoto potrebbe causare l'interruzione del servizio.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2023-36191
Voce aggiunta il 16 febbraio 2024
talagent
Disponibile per: macOS Monterey
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.
CVE-2023-40421: Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab)
WindowServer
Disponibile per: macOS Monterey
Impatto: un sito web potrebbe riuscire ad accedere al microfono senza che venga mostrato l'indicatore di utilizzo del microfono.
Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.
CVE-2023-41975: un ricercatore anonimo
WindowServer
Disponibile per: macOS Monterey
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-42858: un ricercatore anonimo
Voce aggiunta il 16 febbraio 2024
Altri riconoscimenti
GPU Drivers
Ringraziamo un ricercatore anonimo per l'assistenza.
libarchive
Ringraziamo Bahaa Naamneh per l'assistenza.
libxml2
Ringraziamo OSS-Fuzz, Ned Williamson di Google Project Zero per l'assistenza.