Informazioni sui contenuti di sicurezza di macOS Ventura 13.6.5
In questo documento vengono descritti i contenuti di sicurezza di macOS Ventura 13.6.5.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Versioni di sicurezza di Apple.
Quando possibile, i documenti sulla sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
macOS Ventura 13.6.5
Rilasciato il 7 marzo 2024
Admin Framework
Disponibile per: macOS Ventura
Impatto: un'app può essere in grado di elevare i privilegi.
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2024-23276: Kirin (@Pwnrin)
Airport
Disponibile per: macOS Ventura
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.
CVE-2024-23227: Brian McNulty
AppleMobileFileIntegrity
Disponibile per: macOS Ventura
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: un problema di downgrade che riguarda i computer Mac con processore Intel è stato risolto con ulteriori restrizioni di firma del codice.
CVE-2024-23269: Mickey Jin (@patch1t)
ColorSync
Disponibile per: macOS Ventura
Impatto: l'elaborazione di un file può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2024-23247: m4yfly con il team TianGong di Legendsec presso Qi An Xin Technology Group
CoreCrypto
Disponibile per: macOS Ventura
Impatto: un utente malintenzionato potrebbe essere in grado di decrittografare i testi crittografati RSA PKCS#1 v1.5 legacy senza avere la chiave privata
Descrizione: un problema side-channel che sfrutta il tempo è stato risolto migliorando il calcolo del tempo costante nelle funzioni di crittografia.
CVE-2024-23218: Clemens Lang
Disk Images
Disponibile per: macOS Ventura
Impatto: un'app potrebbe essere in grado di uscire dalla sandbox
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2024-23299: un ricercatore anonimo
Voce aggiunta il 31 maggio 2024
Find My
Disponibile per: macOS Ventura
Impatto: un'applicazione dannosa può essere in grado di accedere ai dati di Dov'è.
Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.
CVE-2024-23229: Joshua Jewett (@JoshJewett33)
Voce aggiunta il 13 maggio 2024
Image Processing
Disponibile per: macOS Ventura
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto migliorando la gestione della memoria.
CVE-2024-23270: un ricercatore anonimo
ImageIO
Disponibile per: macOS Ventura
Impatto: l'elaborazione di un'immagine può causare l'esecuzione di un codice arbitrario.
Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.
CVE-2024-23286: Junsung Lee in collaborazione con Zero Day Initiative di Trend Micro, Amir Bazine e Karsten König di CrowdStrike Counter Adversary Operations, Dohyun Lee (@l33d0hyun), nonché Lyutoon e Mr.R
Voce aggiornata il 31 maggio 2024
ImageIO
Disponibile per: macOS Ventura
Impatto: l'elaborazione di un'immagine potrebbe causare la divulgazione dei contenuti della memoria dei processi.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2024-23257: Junsung Lee in collaborazione con Zero Day Initiative di Trend Micro
Intel Graphics Driver
Disponibile per: macOS Ventura
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2024-23234: Murray Mike
Kerberos v5 PAM module
Disponibile per: macOS Ventura
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2024-23266: Pedro Tôrres (@t0rr3sp3dr0)
Kernel
Disponibile per: macOS Ventura
Impatto: un'app potrebbe causare l'arresto improvviso del sistema o scrivere sulla memoria del kernel
Descrizione: una vulnerabilità al danneggiamento della memoria è stata risolta attraverso un blocco migliore.
CVE-2024-23265: Xinru Chi di Pangu Lab
Kernel
Disponibile per: macOS Ventura
Impatto: un utente malintenzionato con funzionalità di lettura e scrittura arbitraria del kernel può essere in grado di ignorare le protezioni della memoria del kernel. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
CVE-2024-23225
libxpc
Disponibile per: macOS Ventura
Impatto: un'app potrebbe causare l'interruzione del servizio.
Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.
CVE-2024-23201: Koh M. Nakagawa di FFRI Security, Inc., un ricercatore anonimo
libxpc
Disponibile per: macOS Ventura
Impatto: un'app potrebbe essere in grado di uscire dalla sandbox
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2024-23278: un ricercatore anonimo
MediaRemote
Disponibile per: macOS Ventura
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.
CVE-2023-28826: Meng Zhang (鲸落) di NorthSea
Metal
Disponibile per: macOS Ventura
Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.
CVE-2024-23264: Meysam Firouzi @R00tkitsmm in collaborazione con Zero Day Initiative di Trend Micro
Notes
Disponibile per: macOS Ventura
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2024-23283
PackageKit
Disponibile per: macOS Ventura
Impatto: un'app può essere in grado di elevare i privilegi.
Descrizione: un problema di injection è stato risolto attraverso una migliore convalida dell'input.
CVE-2024-23274: Bohdan Stasiuk (@Bohdan_Stasiuk)
CVE-2024-23268: Mickey Jin (@patch1t) e Pedro Tôrres (@t0rr3sp3dr0)
PackageKit
Disponibile per: macOS Ventura
Impatto: un'app potrebbe accedere ai dati protetti degli utenti.
Descrizione: una race condition è stata risolta con un'ulteriore convalida.
CVE-2024-23275: Mickey Jin (@patch1t)
PackageKit
Disponibile per: macOS Ventura
Impatto: un'app potrebbe bypassare alcune preferenze di privacy.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2024-23267: Mickey Jin (@patch1t)
PackageKit
Disponibile per: macOS Ventura
Impatto: un'app potrebbe sovrascrivere i file arbitrari.
Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.
CVE-2024-23216: Pedro Tôrres (@t0rr3sp3dr0)
Share Sheet
Disponibile per: macOS Ventura
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2024-23231: Kirin (@Pwnrin) e luckyu (@uuulucky)
SharedFileList
Disponibile per: macOS Ventura
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: questo problema è stato risolto con una migliore gestione dei file.
CVE-2024-23230: Mickey Jin (@patch1t)
Shortcuts
Disponibile per: macOS Ventura
Impatto: un comando rapido può essere in grado di utilizzare dati sensibili con determinate azioni senza richiedere l'autorizzazione dell'utente.
Descrizione: il problema è stato risolto attraverso maggiori controlli dei permessi.
CVE-2024-23203: un ricercatore anonimo
CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)
Shortcuts
Disponibile per: macOS Ventura
Impatto: i comandi rapidi di terze parti possono eseguire un'azione legacy tramite Automator per inviare eventi alle app senza l'autorizzazione dell'utente.
Descrizione: questo problema è stato risolto aggiungendo una richiesta aggiuntiva di consenso dell'utente.
CVE-2024-23245: un ricercatore anonimo
Shortcuts
Disponibile per: macOS Ventura
Impatto: un'app potrebbe bypassare alcune preferenze di privacy.
Descrizione: un problema di privacy è stato risolto attraverso una migliore gestione dei file temporanei.
CVE-2024-23217: Kirin (@Pwnrin)
Storage Services
Disponibile per: macOS Ventura
Impatto: un utente malintenzionato può ottenere l'accesso a parti protette del file system.
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2024-23272: Mickey Jin (@patch1t)
Voce aggiornata il 13 maggio 2024
Transparency
Disponibile per: macOS Ventura
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: il problema è stato risolto attraverso una migliore restrizione dell'accesso al container dati.
CVE-2023-40389: Csaba Fitzl (@theevilbit) di Offensive Security e Joshua Jewett (@JoshJewett33)
Voce aggiunta il 31 maggio 2024
Altri riconoscimenti
Messages
Ringraziamo Petar Mataić per l'assistenza.
Voce aggiunta il 5 febbraio 2025
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.