Informazioni sui contenuti di sicurezza di macOS Monterey 12.0.1

In questo documento vengono descritti i contenuti di sicurezza di macOS Monterey 12.0.1.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

macOS Monterey 12.0.1

Data di rilascio: 25 ottobre 2021

AppKit

Disponibile per: Mac Pro (2013 e successivi), MacBook Air (inizio 2015 e successivi), MacBook Pro (inizio 2015 e successivi), Mac mini (fine 2014 e successivi), iMac (fine 2015 e successivi), MacBook (inizio 2016 e successivi), iMac Pro (2017 e successivi)

Impatto: un'applicazione dannosa può essere in grado di elevare i privilegi.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30873: Thijs Alkemade di Computest

AppleScript

Impatto: l'elaborazione di un codice binario AppleScript dannoso può causare la chiusura improvvisa dell'applicazione o la divulgazione della memoria dei processi.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2021-30876: Jeremy Brown, hjy79425575

CVE-2021-30879: Jeremy Brown, hjy79425575

CVE-2021-30877: Jeremy Brown

CVE-2021-30880: Jeremy Brown

App Store

Impatto: un'applicazione dannosa può riuscire ad accedere agli ID Apple degli utenti locali

Descrizione: un problema di accesso è stato risolto attraverso migliori restrizioni di accesso.

CVE-2021-30994: Sergii Kryvoblotskyi di MacPaw Inc.

Voce aggiunta il 25 maggio 2022

Audio

Impatto: un'applicazione dannosa può essere in grado di elevare i privilegi.

Descrizione: un problema di overflow dei numeri interi è stato risolto mediante una migliore convalida degli input.

CVE-2021-30907: Zweig di Kunlun Lab

Bluetooth

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: una race condition è stata risolta attraverso una migliore gestione dello stato.

CVE-2021-30899: Weiteng Chen, Zheng Zhang e Zhiyun Qian di UC Riverside e Yu Wang di Didi Research America

Bluetooth

Impatto: un'applicazione dannosa può rivelare la memoria kernel

Descrizione: un problema logico è stato risolto attraverso una migliore convalida.

CVE-2021-30931: Weiteng Chen, Zheng Zhang e Zhiyun Qian di UC Riverside e Yu Wang di Didi Research America

Voce aggiunta il 18 novembre 2021

bootp

Impatto: un dispositivo può essere monitorato passivamente attraverso l'indirizzo MAC Wi-Fi.

Descrizione: un problema di privacy dell'utente è stato risolto rimuovendo l'indirizzo MAC broadcast.

CVE-2021-30866: Fabien Duchêne di UCLouvain (Belgio)

Voce aggiunta il 18 novembre 2021

ColorSync

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: si verificava un problema di danneggiamento della memoria durante l'elaborazione dei profili ICC. Il problema è stato risolto attraverso una migliore convalida dell'input.

CVE-2021-30917: Alexandru-Vlad Niculae e Mateusz Jurczyk di Google Project Zero

Continuity Camera

Impatto: un malintenzionato locale può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di stringa del formato non controllata è stato risolto tramite una migliore convalida degli input.

CVE-2021-30903: un ricercatore anonimo

Voce aggiornata il 25 maggio 2022

CoreAudio

Impatto: l'elaborazione di un file dannoso può divulgare le informazioni dell'utente.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2021-30905: Mickey Jin (@patch1t) di Trend Micro

CoreGraphics

Impatto: l'elaborazione di un PDF dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2021-30919

Directory Utility

Impatto: un'applicazione dannosa può riuscire ad accedere agli ID Apple degli utenti locali

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-9846: Wojciech Reguła (@_r3ggi)

Voce aggiunta il 31 marzo 2022

FileProvider

Impatto: l'estrazione di un archivio dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di convalida dell'input è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-30881: Simon Huang (@HuangShaomang) e pjf di IceSword Lab di Qihoo 360

File System

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: una race condition è stata risolta attraverso un blocco migliore.

CVE-2021-30923: Pan ZhenPeng (@Peterpan0927) di Alibaba Security

Voce aggiunta il 18 novembre 2021

FontParser

Impatto: l'elaborazione di un font dannoso può causare la divulgazione della memoria dei processi.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2021-30831: Xingwei Lin di Ant Security Light-Year Lab

Voce aggiunta il 18 novembre 2021

FontParser

Impatto: l'elaborazione di un file con estensione dfont dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2021-30840: Xingwei Lin di Ant Security Light-Year Lab

Voce aggiunta il 18 novembre 2021

Foundation

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-30852: Yinyi Wu (@3ndy1) di Ant Security Light-Year Lab

Voce aggiunta il 18 novembre 2021

Game Center

Impatto: un'applicazione dannosa può essere in grado di accedere alle informazioni relative ai contatti di un utente.

Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.

CVE-2021-30895: Denis Tokarev

Game Center

Impatto: un'applicazione dannosa può essere in grado di leggere i dati di gioco dell'utente.

Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.

CVE-2021-30896: Denis Tokarev

Graphics Drivers

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: una race condition è stata risolta attraverso una migliore gestione dello stato.

CVE-2021-30933: Jack Dates di RET2 Systems, Inc.

Voce aggiunta il 31 marzo 2022

iCloud

Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2021-30906: Cees Elzinga

iCloud Photo Library

Impatto: un'applicazione dannosa può essere in grado di accedere ai metadati delle foto senza richiedere l'autorizzazione per accedere alle foto.

Descrizione: il problema è stato risolto attraverso una migliore autenticazione.

CVE-2021-30867: Csaba Fitzl (@theevilbit) di Offensive Security

Voce aggiunta il 18 novembre 2021

ImageIO

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2021-30814: hjy79425575

Voce aggiunta il 18 novembre 2021

Intel Graphics Driver

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: più problemi di scrittura non nei limiti sono stati risolti con un migliore controllo dei limiti.

CVE-2021-30922: Jack Dates di RET2 Systems, Inc., Yinyi Wu (@3ndy1)

Voce aggiunta il 31 marzo 2022

Intel Graphics Driver

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30824: Antonio Zekic (@antoniozekic) di Diverto

Intel Graphics Driver

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: più problemi di scrittura non nei limiti sono stati risolti con un migliore controllo dei limiti.

CVE-2021-30901: Zuozhi Fan (@pattern_F_) di Ant Security TianQiong Lab, Yinyi Wu (@3ndy1) di Ant Security Light-Year Lab, Jack Dates di RET2 Systems, Inc.

IOGraphics

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-30821: Tim Michaud (@TimGMichaud) di Zoom Video Communications

IOMobileFrameBuffer

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-30883: un ricercatore anonimo

Kernel

Impatto: un utente malintenzionato collegato in remoto potrebbe provocare il riavvio improvviso del dispositivo.

Descrizione: un problema di negazione del servizio è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30924: Elaman Iskakov (@darling_x0r) di Effective e Alexey Katkov (@watman27)

Voce aggiunta il 18 novembre 2021

Kernel

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-30886: @0xalsr

Kernel

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-30909: Zweig di Kunlun Lab

Kernel

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-30916: Zweig di Kunlun Lab

LaunchServices

Impatto: un processo sandbox può essere in grado di eludere le restrizioni della sandbox.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30864: Ron Hass (@ronhass7) di Perception Point

Login Window

Impatto: una persona con accesso a un Mac host potrebbe riuscire a bypassare la finestra di login in Remote Desktop per un'istanza bloccata di macOS.

Descrizione: un problema logico è stato risolto attraverso controlli migliori.

CVE-2021-30813: Benjamin Berger di BBetterTech LLC, Peter Goedtkindt di Informatique-MTF S.A., un ricercatore anonimo

Voce aggiornata il 25 maggio 2022

Managed Configuration

Impatto: un utente in una posizione privilegiata nella rete può essere in grado di divulgare informazioni sensibili dell'utente.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-31011: Michal Moravec di Logicworks, s.r.o.

Voce aggiunta il 16 settembre 2022

Messages

Impatto: la sincronizzazione dei messaggi di un utente potrebbe continuare dopo il logout da iMessage.

Descrizione: un problema di sincronizzazione è stato risolto attraverso una migliore convalida dello stato.

CVE-2021-30904: Reed Meseck di IBM

Voce aggiunta il 18 novembre 2021

Model I/O

Impatto: l'elaborazione di un file dannoso può divulgare le informazioni dell'utente.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2021-30910: Mickey Jin (@patch1t) di Trend Micro

Model I/O

Impatto: l'elaborazione di un file USD dannoso può causare la divulgazione di contenuti presenti in memoria.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2021-30911: Rui Yang e Xingwei Lin di Ant Security Light-Year Lab

NetworkExtension

Impatto: la configurazione di una rete VPN può essere installata da un'app senza l'autorizzazione dell'utente.

Descrizione: un problema di autorizzazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30874: Javier Vieira Boccardo (linkedin.com/javier-vieira-boccardo)

Voce aggiunta il 18 novembre 2021

Sandbox

Impatto: un'applicazione dannosa può essere in grado di modificare parti protette del file system.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2021-30808: Csaba Fitzl (@theevilbit) di Offensive Security

Voce aggiunta il 18 novembre 2021

Sandbox

Impatto: un utente malintenzionato locale può riuscire a leggere informazioni sensibili.

Descrizione: un problema di autorizzazioni è stato risolto attraverso una migliore convalida.

CVE-2021-30920: Csaba Fitzl (@theevilbit) di Offensive Security

Security

Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.

Descrizione: una race condition è stata risolta attraverso un blocco migliore.

CVE-2021-31004: Csaba Fitzl (@theevilbit) di Offensive Security

Voce aggiunta il 31 marzo 2022

SMB

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2021-31002: Peter Nguyễn Vũ Hoàng di STAR Labs

Voce aggiunta il 16 settembre 2022

SMB

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: una race condition è stata risolta attraverso un blocco migliore.

CVE-2021-30868: Peter Nguyen Vu Hoang di STAR Labs

SoftwareUpdate

Impatto: un'applicazione pericolosa può ottenere l'accesso agli elementi del portachiavi di un utente.

Descrizione: il problema è stato risolto attraverso una migliore logica delle autorizzazioni.

CVE-2021-30912: Kirin (@Pwnrin) e chenyuwang (@mzzzz__) di Tencent Security Xuanwu Lab

SoftwareUpdate

Impatto: un'applicazione senza privilegi potrebbe riuscire a modificare variabili NVRAM.

Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.

CVE-2021-30913: Kirin (@Pwnrin) e chenyuwang (@mzzzz__) di Tencent Security Xuanwu Lab

Voce aggiornata il 25 maggio 2022

UIKit

Impatto: una persona con accesso fisico a un dispositivo può essere in grado di determinare le caratteristiche della password di un utente in un campo di inserimento testo protetto.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30915: Kostas Angelopoulos

WebKit

Impatto: la disattivazione di “Blocca tutto il contenuto remoto” potrebbe non applicarsi a tutti i tipi di contenuti remoti.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-31005: Jonathan Austin di Wells Fargo, Attila Soki

Voce aggiunta il 31 marzo 2022

WebKit

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice.

Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-31008

Voce aggiunta il 31 marzo 2022

WebKit

Impatto: un sito web dannoso può consentire l'esfiltrazione multiorigine dei dati.

Descrizione: si verificava un problema nella specifica per l'API Resource Timing. La specifica è stata aggiornata; la specifica aggiornata è stata implementata.

CVE-2021-30897: un ricercatore anonimo

Voce aggiunta il 18 novembre 2021

WebKit

Impatto: l'accesso a un sito web pericoloso può mostrare la cronologia di navigazione di un utente.

Descrizione: il problema è stato risolto con restrizioni aggiuntive della composizione di CSS.

CVE-2021-30884: un ricercatore anonimo

Voce aggiunta il 18 novembre 2021

WebKit

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30818: Amar Menezes (@amarekano) di Zon8Research

Voce aggiunta il 18 novembre 2021

WebKit

Impatto: l'elaborazione di un file audio pericoloso può divulgare la memoria con restrizioni.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2021-30836: Peter Nguyen Vu Hoang di STAR Labs

Voce aggiunta il 18 novembre 2021

WebKit

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-30846: Sergei Glazunov di Google Project Zero

Voce aggiunta il 18 novembre 2021

WebKit

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.

CVE-2021-30849: Sergei Glazunov di Google Project Zero

Voce aggiunta il 18 novembre 2021

WebKit

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-30848: Sergei Glazunov di Google Project Zero

Voce aggiunta il 18 novembre 2021

WebKit

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice.

Descrizione: una vulnerabilità al danneggiamento della memoria è stata risolta attraverso un blocco migliore.

CVE-2021-30851: Samuel Groß di Google Project Zero

Voce aggiunta il 18 novembre 2021

WebKit

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-30809: un ricercatore anonimo

Voce aggiunta il 18 novembre 2021

WebKit

Impatto: un utente malintenzionato in una posizione privilegiata nella rete potrebbe riuscire a bypassare il protocollo HSTS.

Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.

CVE-2021-30823: David Gullasch di Recurity Labs

WebKit

Impatto: l'elaborazione di contenuti web pericolosi potrebbe causare la mancata applicazione della Content Security Policy in modo inatteso.

Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.

CVE-2021-30887: Narendra Bhati (@imnarendrabhati) di Suma Soft Pvt. Ltd.

WebKit

Impatto: un sito web dannoso che utilizza i report Content Security Policy può essere in grado di divulgare informazioni mediante un comportamento di reindirizzamento.

Descrizione: un problema di divulgazione di informazioni è stato risolto.

CVE-2021-30888: Prakash (@1lastBr3ath)

WebKit

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.

CVE-2021-30889: Chijin Zhou di ShuiMuYuLin Ltd e Tsinghua wingtecher lab

WebKit

Impatto: un'applicazione dannosa può riuscire a bypassare i controlli di Gatekeeper.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30861: Wojciech Reguła (@_r3ggi), Ryan Pickren (ryanpickren.com)

WebKit

Impatto: l'elaborazione di contenuti web dannosi può causare il cross-site scripting universale.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30890: un ricercatore anonimo

WebRTC

Impatto: un utente malintenzionato può essere in grado di monitorare gli utenti utilizzando il loro indirizzo IP.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30930: Oguz Kırat, Matthias Keller (m-keller.com)

Voce aggiunta il 18 novembre 2021 e aggiornata il 16 settembre 2022

Windows Server

Impatto: un utente malintenzionato locale può essere in grado di visualizzare il desktop dell'utente collegato in precedenza dalla schermata Cambio utente rapido.

Descrizione: un problema di autenticazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2021-30908: ASentientBot

xar

Impatto: l'estrazione di un archivio dannoso può consentire a un utente malintenzionato di scrivere file arbitrari.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2021-30833: Richard Warren di NCC Group

zsh

Impatto: un'applicazione dannosa può essere in grado di modificare parti protette del file system.

Descrizione: un problema di autorizzazioni ereditate è stato risolto attraverso restrizioni aggiuntive.

CVE-2021-30892: Jonathan Bar Or di Microsoft

Altri riconoscimenti

APFS

Ringraziamo Koh M. Nakagawa di FFRI Security, Inc. per l'assistenza.

AppleScript

Ringraziamo Jeremy Brown per l'assistenza.

Voce aggiunta il 31 marzo 2022

App Support

Ringraziamo un ricercatore anonimo, 漂亮鼠 di 赛博回忆录 per l'assistenza.

Bluetooth

Ringraziamo say2 di ENKI per l'assistenza.

bootp

Ringraziamo Alexander Burke (alexburke.ca) per l'assistenza.

Voce aggiunta il 31 marzo 2022

CUPS

Ringraziamo Nathan Nye di WhiteBeam Security per l'assistenza.

Voce aggiornata il 31 marzo 2022

iCloud

Ringraziamo Ryan Pickren (ryanpickren.com) per l'assistenza.

Kernel

Ringraziamo Anthony Steinhauser del progetto Safeside di Google e Joshua Baums di Informatik Baums per l'assistenza.

Voce aggiornata il 18 novembre 2021

Mail

Ringraziamo Fabian Ising e Damian Poddebniak della Münster University of Applied Sciences per l'assistenza.

Managed Configuration

Ringraziamo Michal Moravec di Logicworks, s.r.o. per l'assistenza.

Setup Assistant

Ringraziamo David Schütz (@xdavidhu) per l'assistenza.

Voce aggiunta il 18 novembre 2021

smbx

Ringraziamo Zhongcheng Li (CK01) per l'assistenza.

UIKit

Ringraziamo Jason Rendel di Diligent per l'assistenza.

Voce aggiunta il 18 novembre 2021

WebKit

Ringraziamo Ivan Fratric di Google Project Zero, Pavel Gromadchuk, Nikhil Mittal (@c0d3G33k) e Matthias Keller (m-keller.com) per l'assistenza.

Voce aggiornata il 25 maggio 2022

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: 3 novembre 2023