Informazioni sui contenuti di sicurezza di macOS Ventura 13.6.7
In questo documento vengono descritti i contenuti di sicurezza di macOS Ventura 13.6.7.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle nuove versioni alla pagina Versioni di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
macOS Ventura 13.6.7
Data di rilascio: 13 maggio 2024
Core Data
Disponibile per: macOS Ventura
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: un problema è stato risolto con una migliore convalida delle variabili ambientali.
CVE-2024-27805: Kirin (@Pwnrin) e 小来来 (@Smi1eSEC)
Voce aggiunta il 10 giugno 2024
CoreMedia
Disponibile per: macOS Ventura
Impatto: un'app potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2024-27817: pattern-f (@pattern_F_) di Ant Security Light-Year Lab
Voce aggiunta il 10 giugno 2024
CoreMedia
Disponibile per: macOS Ventura
Impatto: l'elaborazione di un file può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2024-27831: Amir Bazine e Karsten König di CrowdStrike Counter Adversary Operations
Voce aggiunta il 10 giugno 2024
Finder
Disponibile per: macOS Ventura
Impatto: un'app potrebbe leggere file arbitrari
Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2024-27827: un ricercatore anonimo
Voce aggiunta il 10 giugno 2024
Foundation
Disponibile per: macOS Ventura
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2024-27789: Mickey Jin (@patch1t)
IOHIDFamily
Disponibile per: macOS Ventura
Impatto: un'applicazione senza privilegi poteva registrare le pressioni di tasti in altre applicazioni incluse quelle in cui era abilitata la modalità di input protetta.
Descrizione: il problema è stato risolto attraverso ulteriori controlli.
CVE-2024-27799: un ricercatore anonimo
Voce aggiunta il 10 giugno 2024
Kernel
Disponibile per: macOS Ventura
Impatto: un utente malintenzionato che ha già ottenuto l'esecuzione del codice kernel può essere in grado di bypassare le protezioni della memoria del kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2024-27840: un ricercatore anonimo
Voce aggiunta il 10 giugno 2024
Kernel
Disponibile per: macOS Ventura
Impatto: un utente malintenzionato in una posizione privilegiata sulla rete può essere in grado di eseguire lo spoofing dei pacchetti di rete.
Descrizione: una race condition è stata risolta attraverso un blocco migliore.
CVE-2024-27823: Prof. Benny Pinkas della Bar-Ilan University, Prof. Amit Klein della Hebrew University ed EP
Voce aggiunta il 29 luglio 2024
Login Window
Disponibile per: macOS Ventura
Impatto: un utente malintenzionato che conosce le credenziali di un utente standard può sbloccare lo schermo bloccato di un altro utente standard sullo stesso Mac
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-42861: un ricercatore anonimo, 凯 王, Steven Maser, Matthew McLean, Brandon Chesser, CPU IT, inc, e Avalon IT Team di Concentrix
Maps
Disponibile per: macOS Ventura
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.
CVE-2024-27810: LFY@secsys dell'Università Fudan di Shangai
Voce aggiunta il 10 giugno 2024
Messages
Disponibile per: macOS Ventura
Impatto: l'elaborazione di un messaggio pericoloso potrebbe causare un'interruzione del servizio.
Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.
CVE-2024-27800: Daniel Zajork e Joshua Zajork
Voce aggiunta il 10 giugno 2024
Metal
Disponibile per: macOS Ventura
Impatto: l'elaborazione di un file dannoso può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) in collaborazione con Zero Day Initiative di Trend Micro
Voce aggiunta il 10 giugno 2024
PackageKit
Disponibile per: macOS Ventura
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: il problema è stato risolto attraverso una migliore convalida dei link simbolici.
CVE-2024-27885: Mickey Jin (@patch1t)
Voce aggiunta il 10 giugno 2024
PackageKit
Disponibile per: macOS Ventura
Impatto: un'app può essere in grado di elevare i privilegi.
Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.
CVE-2024-27824: Pedro Tôrres (@t0rr3sp3dr0)
Voce aggiunta il 10 giugno 2024
RTKit
Disponibile per: macOS Ventura
Impatto: un utente malintenzionato con funzionalità di lettura e scrittura arbitraria del kernel può essere in grado di ignorare le protezioni della memoria del kernel. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
CVE-2024-23296
SharedFileList
Disponibile per: macOS Ventura
Impatto: un'app può essere in grado di elevare i privilegi.
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2024-27843: Mickey Jin (@patch1t)
Voce aggiunta il 10 giugno 2024
Shortcuts
Disponibile per: macOS Ventura
Impatto: un comando rapido può essere in grado di utilizzare dati sensibili con determinate azioni senza richiedere l'autorizzazione dell'utente.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2024-27855: un ricercatore anonimo
Voce aggiunta il 10 giugno 2024
Spotlight
Disponibile per: macOS Ventura
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: il problema è stato risolto attraverso una migliore sanitizzazione dell'ambiente.
CVE-2024-27806
Voce aggiunta il 10 giugno 2024
StorageKit
Disponibile per: macOS Ventura
Impatto: un utente può essere in grado di rendere più elevati i privilegi.
Descrizione: un problema di autorizzazione è stato risolto attraverso una migliore gestione dello stato.
CVE-2024-27798: Yann GASCUEL di Alter Solutions
Voce aggiunta il 10 giugno 2024
Sync Services
Disponibile per: macOS Ventura
Impatto: un'app potrebbe bypassare le preferenze sulla privacy
Descrizione: il problema è stato risolto attraverso migliori controlli
CVE-2024-27847: Mickey Jin (@patch1t)
Voce aggiunta il 10 giugno 2024
Voice Control
Disponibile per: macOS Ventura
Impatto: un utente può essere in grado di rendere più elevati i privilegi.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2024-27796: ajajfxhj
Voce aggiunta il 10 giugno 2024
Altri riconoscimenti
App Store
Ringraziamo un ricercatore anonimo per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.