Informazioni sui contenuti di sicurezza di macOS Monterey 12.7.1

In questo documento vengono descritti i contenuti di sicurezza di macOS Monterey 12.7.1.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle nuove versioni alla pagina Versioni di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

macOS Monterey 12.7.1

Data di rilascio: 25 ottobre 2023

Automation

Disponibile per: macOS Monterey

Impatto: un'app con privilegi root potrebbe accedere a informazioni private

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-42952: Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab (xlab.tencent.com)

Voce aggiunta il 16 febbraio 2024

CoreAnimation

Disponibile per: macOS Monterey

Impatto: un'app potrebbe causare l'interruzione del servizio.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-40449: Tomi Tokics (@tomitokics) di iTomsn0w

Core Recents

Disponibile per: macOS Monterey

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili degli utenti

Descrizione: il problema è stato risolto tramite pulizia della registrazione

CVE-2023-42823

Voce aggiunta il 16 febbraio 2024

FileProvider

Disponibile per: macOS Monterey

Impatto: un'app potrebbe causare una negazione del servizio ai client Endpoint Security

Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.

CVE-2023-42854: Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab)

Find My

Disponibile per: macOS Monterey

Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.

Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.

CVE-2023-40413: Adam M.

Foundation

Disponibile per: macOS Monterey

Impatto: un sito web potrebbe essere in grado di accedere ai dati sensibili degli utenti quando si risolvono i link simbolici

Descrizione: il problema è stato risolto attraverso una migliore gestione dei link simbolici.

CVE-2023-42844: Ron Masas di BreakPoint.SH

libc

Disponibile per: macOS Monterey

Impatto: l'elaborazione di un input dannoso può causare l'esecuzione di codice arbitrario in app installate dall'utente

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-40446: inooo

Voce aggiunta il 3 novembre 2023

ImageIO

Disponibile per: macOS Monterey

Impatto: l'elaborazione di un'immagine potrebbe causare la divulgazione dei contenuti della memoria dei processi.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-40416: JZ

IOTextEncryptionFamily

Disponibile per: macOS Monterey

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-40423: un ricercatore anonimo

Kernel

Disponibile per: macOS Monterey

Impatto: un utente malintenzionato che ha già ottenuto l'esecuzione del codice kernel può essere in grado di bypassare le mitigazioni della memoria del kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-42849: Linus Henze di Pinauten GmbH (pinauten.de)

Model I/O

Disponibile per: macOS Monterey

Impatto: l'elaborazione di un file può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-42856: Michael DePlante (@izobashi) di Trend Micro Zero Day Initiative

PackageKit

Disponibile per: macOS Monterey

Impatto: un'app potrebbe modificare parti protette del file system.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-42859: Arsenii Kostromin (0x3c3e), Mickey Jin (@patch1t) e Hevel Engineering

CVE-2023-42877: Arsenii Kostromin (0x3c3e)

Voce aggiunta il 16 febbraio 2024

PackageKit

Disponibile per: macOS Monterey

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-42840: Mickey Jin (@patch1t) e Csaba Fitzl (@theevilbit) di Offensive Security

Voce aggiunta il 16 febbraio 2024

PackageKit

Disponibile per: macOS Monterey

Impatto: un'app potrebbe bypassare alcune preferenze di privacy.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-42889: Mickey Jin (@patch1t)

Voce aggiunta il 16 febbraio 2024

PackageKit

Disponibile per: macOS Monterey

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2023-42853: Mickey Jin (@patch1t)

Voce aggiunta il 16 febbraio 2024

PackageKit

Disponibile per: macOS Monterey

Impatto: un'app potrebbe modificare parti protette del file system.

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2023-42860: Koh M. Nakagawa (@tsunek0h) di FFRI Security, Inc.

Voce aggiunta il 16 febbraio 2024

Pro Res

Disponibile per: macOS Monterey

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

CVE-2023-42873: Mingxuan Yang (@PPPF00L), happybabywu e Guang Gong di 360 Vulnerability Research Institute

Voce aggiunta il 16 febbraio 2024

Sandbox

Disponibile per: macOS Monterey

Impatto: un'app con privilegi root potrebbe accedere a informazioni private

Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.

CVE-2023-40425: Csaba Fitzl (@theevilbit) di Offensive Security

SQLite

Disponibile per: macOS Monterey

Impatto: un utente collegato in remoto potrebbe causare l'interruzione del servizio.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2023-36191

Voce aggiunta il 16 febbraio 2024

talagent

Disponibile per: macOS Monterey

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2023-40421: Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab)

WindowServer

Disponibile per: macOS Monterey

Impatto: un sito web potrebbe riuscire ad accedere al microfono senza che venga mostrato l'indicatore di utilizzo del microfono.

Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.

CVE-2023-41975: un ricercatore anonimo

WindowServer

Disponibile per: macOS Monterey

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-42858: un ricercatore anonimo

Voce aggiunta il 16 febbraio 2024

Altri riconoscimenti

GPU Drivers

Ringraziamo un ricercatore anonimo per l'assistenza.

libarchive

Ringraziamo Bahaa Naamneh per l'assistenza.

libxml2

Ringraziamo OSS-Fuzz, Ned Williamson di Google Project Zero per l'assistenza.

 

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: