Informazioni sui contenuti di sicurezza di macOS Monterey 12.6.4
In questo documento vengono descritti i contenuti di sicurezza di macOS Monterey 12.6.4.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina relativa agli aggiornamenti di sicurezza Apple.
Quando possibile, i documenti sulla sicurezza Apple utilizzano i CVE-ID per indicare la vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
macOS Monterey 12.6.4
Rilasciato il 27 marzo 2023
Apple Neural Engine
Disponibile per: macOS Monterey
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-23540: Mohamed GHANNAM (@_simo36)
AppleMobileFileIntegrity
Disponibile per: macOS Monterey
Impatto: un utente può ottenere l'accesso a parti protette del file system.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-23527: Mickey Jin (@patch1t)
Archive Utility
Disponibile per: macOS Monterey
Impatto: un archivio potrebbe bypassare Gatekeeper.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-27951: Brandon Dalton (@partyD0lphin) di Red Canary e Csaba Fitzl (@theevilbit) di Offensive Security
Voce aggiornata l'8 giugno 2023
Calendario
Disponibile per: macOS Monterey
Impatto: l'importazione di un invito di calendario dannoso può consentire l'esfiltrazione delle informazioni dell'utente
Descrizione: diversi problemi di convalida sono stati risolti attraverso una migliore sanitizzazione dell'input.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
ColorSync
Disponibile per: macOS Monterey
Impatto: un'app potrebbe leggere file arbitrari
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-27955: JeongOhKyea
CommCenter
Disponibile per: macOS Monterey
Impatto: un'app potrebbe causare l'arresto improvviso del sistema o scrivere sulla memoria del kernel
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2023-27936: Tingting Yin della Tsinghua University
CoreCapture
Disponibile per: macOS Monterey
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-28181: Tingting Yin della Tsinghua University
Voce aggiunta il 8 giugno 2023
CoreServices
Disponibile per: macOS Monterey
Impatto: un processo sandbox può essere in grado di eludere le restrizioni della sandbox.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2023-40398: Mickey Jin (@patch1t)
Voce aggiunta il 16 luglio 2024
dcerpc
Disponibile per: macOS Monterey
Impatto: un utente collegato in remoto può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto con migliori controlli dei limiti.
CVE-2023-27935: Aleksandar Nikolic di Cisco Talos
dcerpc
Disponibile per: macOS Monterey
Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: è stato risolto un problema di inizializzazione della memoria.
CVE-2023-27934: Aleksandar Nikolic di Cisco Talos
Voce aggiunta il 8 giugno 2023
dcerpc
Disponibile per: macOS Monterey
Impatto: un utente remoto potrebbe causare l'arresto imprevisto del sistema o danneggiare la memoria del kernel
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-27953: Aleksandar Nikolic di Cisco Talos
CVE-2023-27958: Aleksandar Nikolic di Cisco Talos
Find My
Disponibile per: macOS Monterey
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2023-23537: Adam M.
Voce aggiunta il 21 dicembre 2023
FontParser
Disponibile per: macOS Monterey
Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2023-32366: Ye Zhang (@VAR10CK) di Baidu Security
Voce aggiunta il 21 dicembre 2023
Foundation
Disponibile per: macOS Monterey
Impatto: l'elaborazione di un file font dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario
Descrizione: un problema di overflow dei numeri interi è stato risolto attraverso una migliore convalida dell'input.
CVE-2023-27937: un ricercatore anonimo
ImageIO
Disponibile per: macOS Monterey
Impatto: l'elaborazione di un file dannoso può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2023-27946: Mickey Jin (@patch1t)
IOAcceleratorFamily
Disponibile per: macOS Monterey
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2023-32378: Murray Mike
Voce aggiunta il 21 dicembre 2023
Kernel
Disponibile per: macOS Monterey
Impatto: un'app potrebbe rivelare la memoria kernel.
Descrizione: si verificava un problema di lettura non nei limiti che causava la divulgazione della memoria del kernel. Il problema è stato risolto attraverso una migliore convalida dell'input.
CVE-2023-27941: Arsenii Kostromin (0x3c3e)
CVE-2023-28199: Arsenii Kostromin (0x3c3e)
Voce aggiunta l'8 giugno 2023 e aggiornata il 21 dicembre 2023
Kernel
Disponibile per: macOS Monterey
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con migliori controlli dei limiti.
CVE-2023-23536: Félix Poulin-Bélanger e David Pan Ogea
Voce aggiunta l'8 giugno 2023 e aggiornata il 21 dicembre 2023
Kernel
Disponibile per: macOS Monterey
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2023-23514: Xinru Chi di Pangu Lab e Ned Williamson di Google Project Zero
Kernel
Disponibile per: macOS Monterey
Impatto: un'app con privilegi root potrebbe eseguire codice arbitrario con privilegi kernel
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-27933: sqrtpwn
Kernel
Disponibile per: macOS Monterey
Impatto: un'app potrebbe rivelare la memoria kernel.
Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.
CVE-2023-28200: Arsenii Kostromin (0x3c3e)
Kernel
Disponibile per: macOS Monterey
Impatto: un'app potrebbe causare l'interruzione del servizio.
Descrizione: un problema di overflow dei numeri interi è stato risolto mediante una migliore convalida degli input.
CVE-2023-28185: Pan ZhenPeng di STAR Labs SG Pte. Ltd.
Voce aggiunta il 21 dicembre 2023
libpthread
Disponibile per: macOS Monterey
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di confusione dei tipi è stato risolto con migliori controlli.
CVE-2023-41075: Zweig di Kunlun Lab
Voce aggiunta il 21 dicembre 2023
Disponibile per: macOS Monterey
Impatto: un'app potrebbe essere in grado di visualizzare informazioni sensibili.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-28189: Mickey Jin (@patch1t)
Voce aggiunta il 8 giugno 2023
Messaggi
Disponibile per: macOS Monterey
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: un problema di accesso è stato risolto attraverso ulteriori restrizioni della sandbox.
CVE-2023-28197: Joshua Jones
Voce aggiunta il 21 dicembre 2023
Model I/O
Disponibile per: macOS Monterey
Impatto: l'elaborazione di un file dannoso può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2023-27949: Mickey Jin (@patch1t)
NetworkExtension
Disponibile per: macOS Monterey
Impatto: un utente in una posizione di rete privilegiata potrebbe eseguire lo spoofing di un server VPN la cui unica autenticazione configurata è EAP.
Descrizione: il problema è stato risolto attraverso una migliore autenticazione.
CVE-2023-28182: Zhuowei Zhang
PackageKit
Disponibile per: macOS Monterey
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2023-23538: Mickey Jin (@patch1t)
CVE-2023-27962: Mickey Jin (@patch1t)
Podcast
Disponibile per: macOS Monterey
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-27942: Mickey Jin (@patch1t)
Sandbox
Disponibile per: macOS Monterey
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2023-23533: Mickey Jin (@patch1t), Koh M. Nakagawa di FFRI Security, Inc. e Csaba Fitzl (@theevilbit) di Offensive Security
Sandbox
Disponibile per: macOS Monterey
Impatto: un'app potrebbe bypassare le preferenze sulla privacy.
Descrizione: un problema logico è stato risolto attraverso una migliore convalida.
CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)
Comandi Rapidi
Disponibile per: macOS Monterey
Impatto: un comando rapido può essere in grado di utilizzare dati sensibili con determinate azioni senza richiedere l'autorizzazione dell'utente.
Descrizione: il problema è stato risolto attraverso maggiori controlli dei permessi.
CVE-2023-27963: Jubaer Alnazi Jabin di TRS Group Of Companies e Wenchao Li e Xiaolong Bai di Alibaba Group
System Settings
Disponibile per: macOS Monterey
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2023-23542: Adam M.
Voce aggiornata il 21 dicembre 2023
System Settings
Disponibile per: macOS Monterey
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: un problema di autorizzazioni è stato risolto attraverso una migliore convalida.
CVE-2023-28192: Guilherme Rambo di Best Buddy Apps (rambo.codes)
Vim
Disponibile per: macOS Monterey
Impatto: diversi problemi presenti in Vim.
Descrizione: diversi problemi sono stati risolti con l'aggiornamento alla versione di Vim 9.0.1191.
CVE-2023-0433
CVE-2023-0512
XPC
Disponibile per: macOS Monterey
Impatto: un'app potrebbe essere in grado di uscire dalla sandbox
Descrizione: questo problema è stato risolto con una nuova autorizzazione.
CVE-2023-27944: Mickey Jin (@patch1t)
Altri riconoscimenti
Blocco di attivazione
Ringraziamo Christian Mina per l'assistenza.
AppleMobileFileIntegrity
Ringraziamo Wojciech Reguła (@_r3ggi) di SecuRing (wojciechregula.blog) per l'assistenza.
CoreServices
Ringraziamo Mickey Jin (@patch1t) per l'assistenza.
NSOpenPanel
Ringraziamo Alexandre Colucci (@timacfr) per l'assistenza.
Wi-Fi
Ringraziamo un ricercatore anonimo per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.