Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri utenti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle nuove versioni alla pagina Versioni di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
macOS Ventura 13.6.1
Data di rilascio: 25 ottobre 2023
CoreAnimation
Disponibile per: macOS Ventura
Impatto: un'app potrebbe causare l'interruzione del servizio.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-40449: Tomi Tokics (@tomitokics) di iTomsn0w
Core Recents
Disponibile per: macOS Ventura
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: il problema è stato risolto ripulendo i log
CVE-2023-42823
Voce aggiunta il 16 febbraio 2024
FileProvider
Disponibile per: macOS Ventura
Impatto: un'app potrebbe causare una negazione del servizio ai client Endpoint Security
Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.
CVE-2023-42854: Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab)
Find My
Disponibile per: macOS Ventura
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.
CVE-2023-40413: Adam M.
Foundation
Disponibile per: macOS Ventura
Impatto: un sito web potrebbe essere in grado di accedere ai dati sensibili degli utenti quando si risolvono i link simbolici
Descrizione: il problema è stato risolto attraverso una migliore gestione dei link simbolici.
CVE-2023-42844: Ron Masas di BreakPoint.SH
Image Capture
Disponibile per: macOS Ventura
Impatto: un'app potrebbe accedere ai dati protetti degli utenti.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-41077: Mickey Jin (@patch1t)
ImageIO
Disponibile per: macOS Ventura
Impatto: l'elaborazione di un'immagine potrebbe causare la divulgazione dei contenuti della memoria dei processi.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-40416: JZ
ImageIO
Disponibile per: macOS Ventura
Impatto: l'elaborazione di un'immagine dannosa può causare un danno alla memoria heap.
Descrizione: il problema è stato risolto con migliori controlli dei limiti.
CVE-2023-42848: JZ
Voce aggiunta il 16 febbraio 2024
IOTextEncryptionFamily
Disponibile per: macOS Ventura
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-40423: un ricercatore anonimo
iperf3
Disponibile per: macOS Ventura
Impatto: un utente collegato in remoto può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-38403
Kernel
Disponibile per: macOS Ventura
Impatto: un utente malintenzionato che ha già ottenuto l'esecuzione del codice kernel può essere in grado di bypassare le mitigazioni della memoria del kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-42849: Linus Henze di Pinauten GmbH (pinauten.de)
libc
Disponibile per: macOS Ventura
Impatto: l'elaborazione di un input dannoso può causare l'esecuzione di codice arbitrario in app installate dall'utente
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-40446: inooo
Voce aggiunta il 3 novembre 2023
libxpc
Disponibile per: macOS Ventura
Impatto: un'app dannosa può essere in grado di ottenere privilegi root.
Descrizione: il problema è stato risolto attraverso una migliore gestione dei link simbolici.
CVE-2023-42942: Mickey Jin (@patch1t)
Voce aggiunta il 16 febbraio 2024
Model I/O
Disponibile per: macOS Ventura
Impatto: l'elaborazione di un file può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-42856: Michael DePlante (@izobashi) di Trend Micro Zero Day Initiative
PackageKit
Disponibile per: macOS Ventura
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-42859: Arsenii Kostromin (0x3c3e), Mickey Jin (@patch1t) ed Hevel Engineering
CVE-2023-42877: Arsenii Kostromin (0x3c3e)
Voce aggiunta il 16 febbraio 2024
PackageKit
Disponibile per: macOS Ventura
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-42840: Mickey Jin (@patch1t) e Csaba Fitzl (@theevilbit) di Offensive Security
Voce aggiunta il 16 febbraio 2024
PackageKit
Disponibile per: macOS Ventura
Impatto: un'app potrebbe bypassare alcune preferenze di privacy.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-42889: Mickey Jin (@patch1t)
Voce aggiunta il 16 febbraio 2024
PackageKit
Disponibile per: macOS Ventura
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2023-42853: Mickey Jin (@patch1t)
Voce aggiunta il 16 febbraio 2024
PackageKit
Disponibile per: macOS Ventura
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.
CVE-2023-42860: Koh M. Nakagawa (@tsunek0h) di FFRI Security, Inc.
Voce aggiunta il 16 febbraio 2024
Passkey
Disponibile per: macOS Ventura
Impatto: un utente malintenzionato potrebbe accedere alle passkey senza autenticazione
Descrizione: il problema è stato risolto attraverso maggiori controlli dei permessi.
CVE-2023-40401: un ricercatore anonimo e weize she
Pro Res
Disponibile per: macOS Ventura
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu e Guang Gong del 360 Vulnerability Research Institute
Pro Res
Disponibile per: macOS Ventura
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con migliori controlli dei limiti.
CVE-2023-42873: Mingxuan Yang (@PPPF00L), happybabywu e Guang Gong del 360 Vulnerability Research Institute
Voce aggiunta il 16 febbraio 2024
SQLite
Disponibile per: macOS Ventura
Impatto: un utente collegato in remoto potrebbe causare l'interruzione del servizio.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2023-36191
Voce aggiunta il 16 febbraio 2024
talagent
Disponibile per: macOS Ventura
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.
CVE-2023-40421: Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab)
Weather
Disponibile per: macOS Ventura
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2023-41254: Cristian Dinca della Tudor Vianu National High School of Computer Science, Romania
WindowServer
Disponibile per: macOS Ventura
Impatto: un sito web potrebbe riuscire ad accedere al microfono senza che venga mostrato l'indicatore di utilizzo del microfono.
Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.
CVE-2023-41975: un ricercatore anonimo
WindowServer
Disponibile per: macOS Ventura
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-42858: un ricercatore anonimo
Voce aggiunta il 16 febbraio 2024
Altri riconoscimenti
GPU Drivers
Ringraziamo un ricercatore anonimo per l'assistenza.
libarchive
Ringraziamo Bahaa Naamneh per l'assistenza.
libxml2
Ringraziamo OSS-Fuzz, Ned Williamson di Google Project Zero per l'assistenza.