Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle nuove versioni alla pagina Versioni di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
macOS Monterey 12.7.6
Data di rilascio: 29 luglio 2024
APFS
Disponibile per: macOS Monterey
Impatto: un'applicazione dannosa può essere in grado di bypassare le preferenze sulla privacy.
Descrizione: il problema è stato risolto attraverso una migliore restrizione dell'accesso al container dati.
CVE-2024-40783: Csaba Fitzl (@theevilbit) di Kandji
Apple Neural Engine
Disponibile per: macOS Monterey
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto migliorando la gestione della memoria.
CVE-2024-27826: Minghao Lin e Ye Zhang (@VAR10CK) di Baidu Security
AppleMobileFileIntegrity
Disponibile per: macOS Monterey
Impatto: un'app potrebbe divulgare informazioni sensibili degli utenti.
Descrizione: un problema di downgrade è stato risolto con ulteriori restrizioni di firma del codice.
CVE-2024-40775: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Disponibile per: macOS Monterey
Impatto: un'app potrebbe bypassare le preferenze sulla privacy.
Descrizione: un problema di downgrade è stato risolto con ulteriori restrizioni di firma del codice.
CVE-2024-40774: Mickey Jin (@patch1t)
AppleVA
Disponibile per: macOS Monterey
Impatto: l'elaborazione di un file dannoso può causare l'interruzione del servizio o la divulgazione di contenuti presenti in memoria.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2024-27877: Michael DePlante (@izobashi) della Zero Day Initiative di Trend Micro
CoreGraphics
Disponibile per: macOS Monterey
Impatto: l'elaborazione di un file dannoso può causare la chiusura improvvisa dell'applicazione.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2024-40799: D4m0n
CoreMedia
Disponibile per: macOS Monterey
Impatto: l'elaborazione di un file video dannoso può causare la chiusura improvvisa dell'applicazione.
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2024-27873: Amir Bazine e Karsten König di CrowdStrike Counter Adversary Operations
curl
Disponibile per: macOS Monterey
Impatto: diversi problemi in curl.
Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.
CVE-2024-2004
CVE-2024-2379
CVE-2024-2398
CVE-2024-2466
DesktopServices
Disponibile per: macOS Monterey
Impatto: un'app potrebbe sovrascrivere i file arbitrari.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2024-40827: un ricercatore anonimo
Disk Management
Disponibile per: macOS Monterey
Impatto: un'app dannosa può essere in grado di ottenere privilegi root.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2024-40828: Mickey Jin (@patch1t)
ImageIO
Disponibile per: macOS Monterey
Impatto: l'elaborazione di un'immagine potrebbe causare l'interruzione del servizio
Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.
CVE-2023-6277
CVE-2023-52356
ImageIO
Disponibile per: macOS Monterey
Impatto: l'elaborazione di un file dannoso può causare la chiusura improvvisa dell'applicazione.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2024-40806: Yisumi
Kernel
Disponibile per: macOS Monterey
Impatto: un utente malintenzionato locale potrebbe causare un arresto imprevisto del sistema.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2024-40816: sqrtpwn
Kernel
Disponibile per: macOS Monterey
Impatto: un utente malintenzionato locale potrebbe causare un arresto imprevisto del sistema.
Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.
CVE-2024-40788: Minghao Lin e Jiaxun Zhu della Zhejiang University
Accesso Portachiavi
Disponibile per: macOS Monterey
Impatto: un utente malintenzionato potrebbe causare la chiusura imprevista dell'applicazione.
Descrizione: un problema di confusione dei tipi è stato risolto migliorando i controlli.
CVE-2024-40803: Patrick Wardle di DoubleYou & the Objective-See Foundation
NetworkExtension
Disponibile per: macOS Monterey
Impatto: la navigazione privata potrebbe divulgare una parte della cronologia di navigazione
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2024-40796: Adam M.
OpenSSH
Disponibile per: macOS Monterey
Impatto: un utente malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario.
Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.
CVE-2024-6387
PackageKit
Disponibile per: macOS Monterey
Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2024-40781: Mickey Jin (@patch1t)
CVE-2024-40802: Mickey Jin (@patch1t)
PackageKit
Disponibile per: macOS Monterey
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2024-40823: Zhongquan Li (@Guluisacat) di Dawn Security Lab di JingDong
PackageKit
Disponibile per: macOS Monterey
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.
CVE-2024-27882: Mickey Jin (@patch1t)
CVE-2024-27883: Csaba Fitzl (@theevilbit) di Kandji e Mickey Jin (@patch1t)
Restore Framework
Disponibile per: macOS Monterey
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: un problema di convalida dell'input è stato risolto attraverso una migliore convalida dell'input.
CVE-2024-40800: Claudio Bozzato e Francesco Benvenuto di Cisco Talos
RTKit
Disponibile per: macOS Monterey
Impatto: un malintenzionato con funzionalità di lettura e scrittura arbitraria potrebbe riuscire a bypassare le protezioni della memoria del kernel. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
CVE-2024-23296
Safari
Disponibile per: macOS Monterey
Impatto: l'accesso a un sito web che presenta contenuti dannosi potrebbe causare lo spoofing dell'interfaccia utente.
Descrizione: il problema è stato risolto attraverso una migliore gestione dell'interfaccia utente.
CVE-2024-40817: Yadhu Krishna M e Narendra Bhati, Manager di Cyber Security presso Suma Soft Pvt. Ltd, Pune (India)
Scripting Bridge
Disponibile per: macOS Monterey
Impatto: un'app potrebbe accedere alle informazioni sui contatti di un utente
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2024-27881: Kirin (@Pwnrin)
Security
Disponibile per: macOS Monterey
Impatto: le estensioni per app di terze parti possono non ricevere le restrizioni della sandbox corrette.
Descrizione: un problema di accesso è stato risolto attraverso ulteriori restrizioni della sandbox.
CVE-2024-40821: Joshua Jones
Security
Disponibile per: macOS Monterey
Impatto: un'app può essere in grado di leggere la cronologia di navigazione di Safari.
Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.
CVE-2024-40798: Adam M.
Shortcuts
Disponibile per: macOS Monterey
Impatto: un comando rapido può essere in grado di utilizzare dati sensibili con determinate azioni senza richiedere l'autorizzazione dell'utente.
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2024-40833: un ricercatore anonimo
CVE-2024-40835: un ricercatore anonimo
CVE-2024-40807: un ricercatore anonimo
Shortcuts
Disponibile per: macOS Monterey
Impatto: un comando rapido può bypassare le impostazioni sensibili dell'app Comandi rapidi.
Descrizione: questo problema è stato risolto aggiungendo una richiesta aggiuntiva di consenso dell'utente.
CVE-2024-40834: Marcio Almeida di Tanto Security
Shortcuts
Disponibile per: macOS Monterey
Impatto: un comando rapido potrebbe riuscire a bypassare i requisiti per le autorizzazioni internet.
Descrizione: questo problema è stato risolto aggiungendo una richiesta aggiuntiva di consenso dell'utente.
CVE-2024-40787: un ricercatore anonimo
Shortcuts
Disponibile per: macOS Monterey
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.
CVE-2024-40793: Kirin (@Pwnrin)
Shortcuts
Disponibile per: macOS Monterey
Impatto: un comando rapido potrebbe riuscire a bypassare i requisiti per le autorizzazioni internet.
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2024-40809: un ricercatore anonimo
CVE-2024-40812: un ricercatore anonimo
Time Zone
Disponibile per: macOS Monterey
Impatto: un utente malintenzionato potrebbe riuscire a leggere informazioni appartenenti a un altro utente.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2024-23261: Matthew Loewen
Altri riconoscimenti
Image Capture
Ringraziamo un ricercatore anonimo per l'assistenza.
Shortcuts
Ringraziamo un ricercatore anonimo per l'assistenza.