Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma problemi relativi alla sicurezza prima di aver completato un'indagine approfondita e preparato le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle nuove versioni alla pagina Versioni di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
macOS Sonoma 14.3
Data di rilascio: 22 gennaio 2024
Apple Neural Engine
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel
Descrizione: il problema è stato risolto migliorando la gestione della memoria.
CVE-2024-23212: Ye Zhang di Baidu Security
CoreCrypto
Disponibile per: macOS Sonoma
Impatto: un utente malintenzionato potrebbe riuscire a decrittografare i testi cifrati con chiave RSA PKCS#1 v1.5 legacy senza disporre della chiave privata.
Descrizione: un problema side-channel che sfrutta il tempo è stato risolto migliorando il calcolo del tempo costante nelle funzioni di crittografia.
CVE-2024-23218: Clemens Lang
Finder
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2024-23224: Brian McNulty
Kernel
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel
Descrizione: il problema è stato risolto migliorando la gestione della memoria.
CVE-2024-23208: fmyy(@binary_fmyy) e lime del TIANGONG Team di Legendsec presso QI-ANXIN Group
libxpc
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe causare l'interruzione del servizio.
Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.
CVE-2024-23201: Koh M. Nakagawa di FFRI Security, Inc. e un ricercatore anonimo
Voce aggiunta il 7 marzo 2024
LLVM
Disponibile per: macOS Sonoma
Impatto: l'elaborazione di contenuti web potrebbe causare l'esecuzione di codice arbitrario
Descrizione: il problema è stato risolto migliorando la gestione della memoria.
CVE-2024-23209
Mail Search
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.
CVE-2024-23207: Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab) e Ian de Marcellus
NSSpellChecker
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: un problema di privacy è stato risolto migliorando la gestione dei file.
CVE-2024-23223: Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab)
Power Manager
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe danneggiare la memoria del coprocessore.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2024-27791: Pan ZhenPeng (@Peterpan0927) di STAR Labs SG Pte. Ltd.
Voce aggiunta il 24 aprile 2024
Safari
Disponibile per: macOS Sonoma
Impatto: l'attività di navigazione privata di un utente potrebbe essere visibile in Impostazioni.
Descrizione: un problema di privacy è stato risolto attraverso una migliore gestione delle preferenze dell'utente.
CVE-2024-23211: Mark Bowers
Shortcuts
Disponibile per: macOS Sonoma
Impatto: un comando rapido può essere in grado di utilizzare dati sensibili con determinate azioni senza richiedere l'autorizzazione dell'utente.
Descrizione: il problema è stato risolto attraverso maggiori controlli dei permessi.
CVE-2024-23203: un ricercatore anonimo
CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)
Shortcuts
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe bypassare alcune preferenze di privacy.
Descrizione: un problema di privacy è stato risolto attraverso una migliore gestione dei file temporanei.
CVE-2024-23217: Kirin (@Pwnrin)
TCC
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente
Descrizione: un problema è stato risolto migliorando la gestione dei file temporanei.
CVE-2024-23215: Zhongquan Li (@Guluisacat)
Time Zone
Disponibile per: macOS Sonoma
Impatto: un'app potrebbe riuscire a visualizzare il numero di telefono di un utente nei log di sistema.
Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.
CVE-2024-23210: Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab)
WebKit
Disponibile per: macOS Sonoma
Impatto: una pagina web dannosa potrebbe essere in grado di creare una rappresentazione univoca dell'utente.
Descrizione: un problema di accesso è stato risolto migliorando le restrizioni di accesso.
WebKit Bugzilla: 262699
CVE-2024-23206: un ricercatore anonimo
WebKit
Disponibile per: macOS Sonoma
Impatto: l'elaborazione di contenuti web potrebbe causare l'esecuzione di codice arbitrario
Descrizione: il problema è stato risolto migliorando la gestione della memoria.
WebKit Bugzilla: 266619
CVE-2024-23213: Wangtaiyu di Zhongfu info
WebKit
Disponibile per: macOS Sonoma
Impatto: l'elaborazione di contenuti web dannosi potrebbe causare l'esecuzione di codice arbitrario.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.
WebKit Bugzilla: 265129
CVE-2024-23214: Nan Wang (@eternalsakura13) di 360 Vulnerability Research Institute
WebKit
Disponibile per: macOS Sonoma
Impatto: l'elaborazione di un contenuto web pericoloso potrebbe causare l'esecuzione di codice arbitrario. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato.
Descrizione: un problema di confusione dei tipi è stato risolto migliorando i controlli.
WebKit Bugzilla: 267134
CVE-2024-23222
WebKit
Disponibile per: macOS Sonoma
Impatto: un sito web dannoso può causare un comportamento multiorigine inaspettato.
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
WebKit Bugzilla: 265812
CVE-2024-23271: James Lee (@Windowsrcer)
Voce aggiunta il 24 aprile 2024
Altri riconoscimenti
NetworkExtension
Ringraziamo Nils Rollshausen per l'assistenza.
Voce aggiunta il 24 aprile 2024