Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma problemi relativi alla sicurezza prima di aver completato un'indagine approfondita e preparato le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle nuove versioni alla pagina Versioni di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
macOS Sonoma 14.1
Data di rilascio: 25 ottobre 2023
App Support
Disponibile per: macOS Sonoma
Impatto: l'analisi di un file può causare una chiusura improvvisa dell'app o l'esecuzione di codice arbitrario
Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.
CVE-2023-30774
AppSandbox
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.
CVE-2023-40444: Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab)
Automation
Disponibile per: macOS Sonoma
Impatto: un'app con privilegi root potrebbe accedere a informazioni private.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-42952: Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab (xlab.tencent.com)
Voce aggiunta il 16 febbraio 2024
Bluetooth
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe ottenere l'accesso non autorizzato al Bluetooth.
Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.
CVE-2023-42945
Voce aggiunta il 16 febbraio 2024
Contacts
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2023-41072: Wojciech Regula di SecuRing (wojciechregula.blog) e Csaba Fitzl (@theevilbit) di Offensive Security
CVE-2023-42857: Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab)
CoreAnimation
Disponibile per: macOS Sonoma
Impatto: un'app può essere in grado di causare un'interruzione del servizio
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-40449: Tomi Tokics (@tomitokics) di iTomsn0w
Core Recents
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: il problema è stato risolto ripulendo i log
CVE-2023-42823
Voce aggiunta il 16 febbraio 2024
Emoji
Disponibile per: macOS Sonoma
Impatto: un utente malintenzionato potrebbe eseguire codice arbitrario come root dalla schermata di blocco
Descrizione: il problema è stato risolto limitando le opzioni offerte su un dispositivo bloccato.
CVE-2023-41989: Jewel Lambert
FileProvider
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe causare una negazione del servizio ai client Endpoint Security
Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.
CVE-2023-42854: Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab)
Find My
Disponibile per: macOS Sonoma
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione
Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.
CVE-2023-40413: Adam M.
Find My
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: un problema di privacy è stato risolto migliorando la gestione dei file.
CVE-2023-42834: Csaba Fitzl (@theevilbit) di Offensive Security
Voce aggiunta il 16 febbraio 2024
Foundation
Disponibile per: macOS Sonoma
Impatto: un sito web potrebbe essere in grado di accedere ai dati sensibili degli utenti quando si risolvono i link simbolici
Descrizione: il problema è stato risolto attraverso una migliore gestione dei link simbolici.
CVE-2023-42844: Ron Masas di BreakPoint.SH
Game Center
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.
CVE-2023-42953: Michael (Biscuit) Thomas - @biscuit@social.lol
Voce aggiunta il 16 febbraio 2024
ImageIO
Disponibile per: macOS Sonoma
Impatto: l'elaborazione di un'immagine potrebbe causare la divulgazione dei contenuti della memoria dei processi.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-40416: JZ
ImageIO
Disponibile per: macOS Sonoma
Impatto: l'elaborazione di un'immagine dannosa può causare un danno alla memoria heap.
Descrizione: il problema è stato risolto con migliori controlli dei limiti.
CVE-2023-42848: JZ
Voce aggiunta il 16 febbraio 2024
IOTextEncryptionFamily
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel
Descrizione: il problema è stato risolto migliorando la gestione della memoria.
CVE-2023-40423: un ricercatore anonimo
iperf3
Disponibile per: macOS Sonoma
Impatto: un utente collegato in remoto può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-38403
Kernel
Disponibile per: macOS Sonoma
Impatto: un utente malintenzionato che ha già ottenuto l'esecuzione del codice kernel può essere in grado di bypassare le mitigazioni della memoria del kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-42849: Linus Henze di Pinauten GmbH (pinauten.de)
LaunchServices
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: il problema è stato risolto attraverso una migliore logica delle autorizzazioni.
CVE-2023-42850: Thijs Alkemade (@xnyhps) di Computest Sector 7, Brian McNulty, Zhongquan Li
libc
Disponibile per: macOS Sonoma
Impatto: l'elaborazione di un input dannoso può causare l'esecuzione di codice arbitrario in app installate dall'utente
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-40446: inooo
Voce aggiunta il 3 novembre 2023
libxpc
Disponibile per: macOS Sonoma
Impatto: un'app dannosa può essere in grado di ottenere privilegi root.
Descrizione: il problema è stato risolto attraverso una migliore gestione dei link simbolici.
CVE-2023-42942: Mickey Jin (@patch1t)
Voce aggiunta il 16 febbraio 2024
Login Window
Disponibile per: macOS Sonoma
Impatto: un utente malintenzionato che conosce le credenziali di un utente standard può sbloccare lo schermo bloccato di un altro utente standard sullo stesso Mac
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-42861: Jon Crain, 凯 王, Brandon Chesser & CPU IT, inc, Matthew McLean, Steven Maser e il team IT di Concentrix
Voce aggiornata il 27 ottobre 2023
LoginWindow
Disponibile per: macOS Sonoma
Impatto: dalla schermata Cambio utente rapido, un utente malintenzionato locale può riuscire a visualizzare il desktop dell'utente precedentemente collegato
Descrizione: un problema di autenticazione è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-42935: ASentientBot
Voce aggiunta il 22 gennaio 2024 e aggiornata il 24 aprile 2024
Mail Drafts
Disponibile per: macOS Sonoma
Impatto: Nascondi la mia email potrebbe disattivarsi in modo imprevisto
Descrizione: un problema di interfaccia utente non coerente è stato risolto con una migliore gestione dello stato.
CVE-2023-40408: Grzegorz Riegel
Maps
Disponibile per: macOS Sonoma
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2023-40405: Csaba Fitzl (@theevilbit) di Offensive Security
MediaRemote
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.
CVE-2023-28826: Meng Zhang (鲸落) di NorthSea
Voce aggiunta il 7 marzo 2024
Model I/O
Disponibile per: macOS Sonoma
Impatto: l'elaborazione di un file può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-42856: Michael DePlante (@izobashi) di Trend Micro Zero Day Initiative
Networking
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2023-40404: Certik Skyfall Team
PackageKit
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-42859: Arsenii Kostromin (0x3c3e), Mickey Jin (@patch1t) ed Hevel Engineering
CVE-2023-42877: Arsenii Kostromin (0x3c3e)
Voce aggiunta il 16 febbraio 2024
PackageKit
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-42840: Mickey Jin (@patch1t) e Csaba Fitzl (@theevilbit) di Offensive Security
Voce aggiunta il 16 febbraio 2024
PackageKit
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2023-42853: Mickey Jin (@patch1t)
Voce aggiunta il 16 febbraio 2024
PackageKit
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.
CVE-2023-42860: Koh M. Nakagawa (@tsunek0h) di FFRI Security, Inc.
Voce aggiunta il 16 febbraio 2024
PackageKit
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe bypassare alcune preferenze di privacy.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-42889: Mickey Jin (@patch1t)
Voce aggiunta il 16 febbraio 2024
Passkey
Disponibile per: macOS Sonoma
Impatto: un utente malintenzionato potrebbe accedere alle passkey senza autenticazione
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2023-42847: un ricercatore anonimo
Photos
Disponibile per: macOS Sonoma
Impatto: le foto appartenenti all'album delle foto nascoste potrebbero essere visualizzate senza autenticazione
Descrizione: un problema di autenticazione è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-42845: Bistrit Dahal
Voce aggiornata il 16 febbraio 2024
Pro Res
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel
Descrizione: il problema è stato risolto migliorando la gestione della memoria.
CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu e Guang Gong del 360 Vulnerability Research Institute
Pro Res
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con migliori controlli dei limiti.
CVE-2023-42873: Mingxuan Yang (@PPPF00L), happybabywu e Guang Gong del 360 Vulnerability Research Institute
Voce aggiunta il 16 febbraio 2024
quarantine
Disponibile per: macOS Sonoma
Impatto: un'app può eseguire codice arbitrario al di fuori della sandbox o con determinati privilegi elevati.
Descrizione: un problema di accesso è stato risolto con miglioramenti alla sandbox.
CVE-2023-42838: Yiğit Can YILMAZ (@yilmazcanyigit), Csaba Fitzl (@theevilbit) di Offensive Security
Voce aggiunta il 16 febbraio 2024
RemoteViewServices
Disponibile per: macOS Sonoma
Impatto: un utente malintenzionato potrebbe accedere ai dati degli utenti
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2023-42835: Mickey Jin (@patch1t)
Voce aggiunta il 16 febbraio 2024
Safari
Disponibile per: macOS Sonoma
Impatto: l'accesso a un sito web dannoso può rivelare la cronologia di navigazione
Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.
CVE-2023-41977: Alex Renda
Safari
Disponibile per: macOS Sonoma
Impatto: l'accesso a un sito web dannoso può causare lo spoofing dell'interfaccia utente.
Descrizione: un problema di interfaccia utente non coerente è stato risolto con una migliore gestione dello stato.
CVE-2023-42438: Rafay Baloch & Muhammad Samaak e un ricercatore anonimo
Sandbox
Disponibile per: macOS Sonoma
Impatto: un utente malintenzionato potrebbe accedere a volumi della rete connessa attivati nella home directory
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2023-42836: Yiğit Can YILMAZ (@yilmazcanyigit)
Voce aggiunta il 16 febbraio 2024
Sandbox
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-42839: Yiğit Can YILMAZ (@yilmazcanyigit)
Voce aggiunta il 16 febbraio 2024
Share Sheet
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2023-42878: Kirin (@Pwnrin), Wojciech Regula di SecuRing (wojciechregula.blog) e Cristian Dinca di "Tudor Vianu" National High School of Computer Science, Romania
Voce aggiunta il 16 febbraio 2024
Siri
Disponibile per: macOS Sonoma
Impatto: un utente malintenzionato con accesso fisico potrebbe essere in grado di usare Siri per accedere ai dati sensibili dell'utente
Descrizione: il problema è stato risolto limitando le opzioni offerte su un dispositivo bloccato.
CVE-2023-41982: Bistrit Dahal
CVE-2023-41997: Bistrit Dahal
CVE-2023-41988: Bistrit Dahal
Voce aggiornata il 16 febbraio 2024
Siri
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe divulgare informazioni sensibili degli utenti
Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.
CVE-2023-42946
Voce aggiunta il 16 febbraio 2024
SQLite
Disponibile per: macOS Sonoma
Impatto: un utente collegato in remoto potrebbe causare l'interruzione del servizio.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2023-36191
Voce aggiunta il 16 febbraio 2024
talagent
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.
CVE-2023-40421: Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab)
Terminale
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2023-42842: un ricercatore anonimo
Vim
Disponibile per: macOS Sonoma
Impatto: l'elaborazione di input dannosi potrebbe causare l'esecuzione di codice
Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2023-4733
CVE-2023-4734
CVE-2023-4735
CVE-2023-4736
CVE-2023-4738
CVE-2023-4750
CVE-2023-4751
CVE-2023-4752
CVE-2023-4781
Weather
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2023-41254: Cristian Dinca della Tudor Vianu National High School of Computer Science, Romania
WebKit
Disponibile per: macOS Sonoma
Impatto: l'elaborazione di contenuti web potrebbe causare l'esecuzione di codice arbitrario
Descrizione: il problema è stato risolto migliorando la gestione della memoria.
WebKit Bugzilla: 259836
CVE-2023-40447: 이준성(Junsung Lee) di Cross Republic
WebKit
Disponibile per: macOS Sonoma
Impatto: l'elaborazione di contenuti web potrebbe causare l'esecuzione di codice arbitrario
Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.
WebKit Bugzilla: 259890
CVE-2023-41976: 이준성(Junsung Lee)
WebKit
Disponibile per: macOS Sonoma
Impatto: l'elaborazione di contenuti web potrebbe causare l'esecuzione di codice arbitrario
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) e Vitor Pedreira (@0xvhp_) di Agile Information Security
Voce aggiornata il 16 febbraio 2024
WebKit
Disponibile per: macOS Sonoma
Impatto: l'accesso a un sito web dannoso potrebbe causare lo spoofing della barra degli indirizzi.
Descrizione: un problema di interfaccia utente non coerente è stato risolto con una migliore gestione dello stato.
WebKit Bugzilla: 260046
CVE-2023-42843: Kacper Kwapisz (@KKKas_)
Voce aggiunta il 16 febbraio 2024
WebKit Process Model
Disponibile per: macOS Sonoma
Impatto: l'elaborazione di contenuti web potrebbe causare l'interruzione del servizio
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
WebKit Bugzilla: 260757
CVE-2023-41983: 이준성(Junsung Lee)
WindowServer
Disponibile per: macOS Sonoma
Impatto: un sito web potrebbe riuscire ad accedere al microfono senza che venga mostrato l'indicatore di utilizzo del microfono.
Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.
CVE-2023-41975: un ricercatore anonimo
WindowServer
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-42858: un ricercatore anonimo
Voce aggiunta il 16 febbraio 2024
Altri riconoscimenti
libarchive
Ringraziamo Bahaa Naamneh per l'assistenza.
libxml2
Ringraziamo OSS-Fuzz, Ned Williamson di Google Project Zero per l'assistenza.
Login Window
Ringraziamo un ricercatore anonimo per l'assistenza.
man
Ringraziamo Kirin (@Pwnrin) e Roman Mishchenko per l'assistenza.
Voce aggiornata il 16 febbraio 2024
Power Manager
Ringraziamo Xia0o0o0o (@Nyaaaaa_ovo) della University of California, San Diego per l'assistenza.
Preview
Ringraziamo Akshay Nagpal per l'assistenza.
Voce aggiunta il 16 febbraio 2024
Reminders
Ringraziamo Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab) per l'assistenza.
Setup Assistant
Ringraziamo Digvijay Sai Gujjarlapudi e Kyle Andrews per l'assistenza.
Voce aggiunta il 24 aprile 2024
System Extensions
Ringraziamo Jaron Bradley, Ferdous Saljooki e Austin Prueher di Jamf Software per l'assistenza.
Voce aggiunta il 24 aprile 2024
WebKit
Ringraziamo un ricercatore anonimo per l'assistenza.