Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle nuove versioni alla pagina Versioni di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
macOS Ventura 13.6.3
Data di rilascio: 11 dicembre 2023
Accounts
Disponibile per: macOS Ventura
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2023-42919: Kirin (@Pwnrin)
AppleEvents
Disponibile per: macOS Ventura
Impatto: un'app potrebbe accedere alle informazioni sui contatti dell'utente.
Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.
CVE-2023-42894: Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab)
Archive Utility
Disponibile per: macOS Ventura
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2023-42924: Mickey Jin (@patch1t)
Assets
Disponibile per: macOS Ventura
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: un problema è stato risolto attraverso una migliore gestione dei file temporanei.
CVE-2023-42896: Mickey Jin (@patch1t)
Voce aggiunta il 22 marzo 2024
Automation
Disponibile per: macOS Ventura
Impatto: un'app con privilegi root potrebbe accedere a informazioni private.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-42952: Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab (xlab.tencent.com)
Voce aggiunta il 16 febbraio 2024
AVEVideoEncoder
Disponibile per: macOS Ventura
Impatto: un'app potrebbe rivelare la memoria kernel.
Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.
CVE-2023-42884: un ricercatore anonimo
CoreServices
Disponibile per: macOS Ventura
Impatto: un utente potrebbe causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2023-42886: Koh M. Nakagawa (@tsunek0h)
DiskArbitration
Disponibile per: macOS Ventura
Impatto: un processo può acquisire privilegi di amministratore senza una corretta autenticazione.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-42931: Yann GASCUEL di Alter Solutions
Voce aggiunta il 22 marzo 2024
FileURL
Disponibile per: macOS Ventura
Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.
Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2023-42892: Anthony Cruz @App Tyrant Corp
Voce aggiunta il 22 marzo 2024
Find My
Disponibile per: macOS Ventura
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.
CVE-2023-42922: Wojciech Regula di SecuRing (wojciechregula.blog)
Find My
Disponibile per: macOS Ventura
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: un problema di privacy è stato risolto attraverso una migliore gestione dei file.
CVE-2023-42834: Csaba Fitzl (@theevilbit) di Offensive Security
Voce aggiunta il 16 febbraio 2024
ImageIO
Disponibile per: macOS Ventura
Impatto: l'elaborazione di un'immagine può causare l'esecuzione di un codice arbitrario.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-42899: Meysam Firouzi @R00tkitSMM e Junsung Lee
IOKit
Disponibile per: macOS Ventura
Impatto: un'app potrebbe monitorare la pressione dei tasti senza l'autorizzazione dell'utente
Descrizione: un problema di autenticazione è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-42891: un ricercatore anonimo
IOUSBDeviceFamily
Disponibile per: macOS Ventura
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: una race condition è stata risolta attraverso una migliore gestione dello stato.
CVE-2023-42974: Pan ZhenPeng (@Peterpan0927) di STAR Labs SG Pte. Ltd.
Voce aggiunta il 22 marzo 2024
Kernel
Disponibile per: macOS Ventura
Impatto: un'app potrebbe essere in grado di uscire dalla sandbox
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) di Synacktiv (@Synacktiv)
Libsystem
Disponibile per: macOS Ventura
Impatto: un'app potrebbe accedere ai dati protetti degli utenti.
Descrizione: un problema relativo ai permessi è stato risolto rimuovendo il codice vulnerabile e aggiungendo ulteriori controlli.
CVE-2023-42893
Voce aggiunta il 22 marzo 2024
Model I/O
Disponibile per: macOS Ventura
Impatto: l'elaborazione di un'immagine potrebbe causare l'interruzione del servizio
Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.
CVE-2023-3618
Voce aggiunta il 22 marzo 2024
ncurses
Disponibile per: macOS Ventura
Impatto: un utente collegato in remoto può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2020-19185
CVE-2020-19186
CVE-2020-19187
CVE-2020-19188
CVE-2020-19189
CVE-2020-19190
quarantine
Disponibile per: macOS Ventura
Impatto: un'app può eseguire codice arbitrario al di fuori della sandbox o con determinati privilegi elevati.
Descrizione: un problema di accesso è stato risolto con miglioramenti alla sandbox.
CVE-2023-42838: Yiğit Can YILMAZ (@yilmazcanyigit) e Csaba Fitzl (@theevilbit)di Offensive Security
Voce aggiunta il 16 febbraio 2024
Sandbox
Disponibile per: macOS Ventura
Impatto: un utente malintenzionato potrebbe accedere a volumi della rete connessa attivati nella home directory
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2023-42836: Yiğit Can YILMAZ (@yilmazcanyigit)
Voce aggiunta il 16 febbraio 2024
Sandbox
Disponibile per: macOS Ventura
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.
CVE-2023-42936
Voce aggiunta il 22 marzo 2024
Shell
Disponibile per: macOS Ventura
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2023-42930: Arsenii Kostromin (0x3c3e)
Voce aggiunta il 22 marzo 2024
TCC
Disponibile per: macOS Ventura
Impatto: un'app potrebbe accedere ai dati protetti degli utenti.
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2023-42932: Zhongquan Li (@Guluisacat)
TCC
Disponibile per: macOS Ventura
Impatto: un'app potrebbe essere in grado di uscire dalla sandbox
Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.
CVE-2023-42947: Zhongquan Li (@Guluisacat) di Dawn Security Lab di JingDong
Voce aggiunta il 22 marzo 2024
Vim
Disponibile per: macOS Ventura
Impatto: l'apertura di un file dannoso può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto con l'aggiornamento di Vim alla versione 9.0.1969.
CVE-2023-5344
Altri riconoscimenti
Preview
Ringraziamo Akshay Nagpal per l'assistenza.
Voce aggiunta il 16 febbraio 2024