Informazioni sui contenuti di sicurezza di macOS Ventura 13.6.7

In questo documento vengono descritti i contenuti di sicurezza di macOS Ventura 13.6.7.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle nuove versioni alla pagina Versioni di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

macOS Ventura 13.6.7

Data di rilascio: 13 maggio 2024

Core Data

Disponibile per: macOS Ventura

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: un problema è stato risolto con una migliore convalida delle variabili ambientali.

CVE-2024-27805: Kirin (@Pwnrin) e 小来来 (@Smi1eSEC)

Voce aggiunta il 10 giugno 2024

CoreMedia

Disponibile per: macOS Ventura

Impatto: un'app potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-27817: pattern-f (@pattern_F_) di Ant Security Light-Year Lab

Voce aggiunta il 10 giugno 2024

CoreMedia

Disponibile per: macOS Ventura

Impatto: l'elaborazione di un file può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2024-27831: Amir Bazine e Karsten König di CrowdStrike Counter Adversary Operations

Voce aggiunta il 10 giugno 2024

Finder

Disponibile per: macOS Ventura

Impatto: un'app potrebbe leggere file arbitrari

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2024-27827: un ricercatore anonimo

Voce aggiunta il 10 giugno 2024

Foundation

Disponibile per: macOS Ventura

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2024-27789: Mickey Jin (@patch1t)

IOHIDFamily

Disponibile per: macOS Ventura

Impatto: un'applicazione senza privilegi poteva registrare le pressioni di tasti in altre applicazioni incluse quelle in cui era abilitata la modalità di input protetta.

Descrizione: il problema è stato risolto attraverso ulteriori controlli.

CVE-2024-27799: un ricercatore anonimo

Voce aggiunta il 10 giugno 2024

Kernel

Disponibile per: macOS Ventura

Impatto: un utente malintenzionato che ha già ottenuto l'esecuzione del codice kernel può essere in grado di bypassare le protezioni della memoria del kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2024-27840: un ricercatore anonimo

Voce aggiunta il 10 giugno 2024

Kernel

Disponibile per: macOS Ventura

Impatto: un utente malintenzionato in una posizione privilegiata sulla rete può essere in grado di eseguire lo spoofing dei pacchetti di rete.

Descrizione: una race condition è stata risolta attraverso un blocco migliore.

CVE-2024-27823: Prof. Benny Pinkas della Bar-Ilan University, Prof. Amit Klein della Hebrew University ed EP

Voce aggiunta il 29 luglio 2024

Login Window

Disponibile per: macOS Ventura

Impatto: un utente malintenzionato che conosce le credenziali di un utente standard può sbloccare lo schermo bloccato di un altro utente standard sullo stesso Mac

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2023-42861: un ricercatore anonimo, 凯 王, Steven Maser, Matthew McLean, Brandon Chesser, CPU IT, inc, e Avalon IT Team di Concentrix

Maps

Disponibile per: macOS Ventura

Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.

Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.

CVE-2024-27810: LFY@secsys dell'Università Fudan di Shangai

Voce aggiunta il 10 giugno 2024

Messages

Disponibile per: macOS Ventura

Impatto: l'elaborazione di un messaggio pericoloso potrebbe causare un'interruzione del servizio.

Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.

CVE-2024-27800: Daniel Zajork e Joshua Zajork

Voce aggiunta il 10 giugno 2024

Metal

Disponibile per: macOS Ventura

Impatto: l'elaborazione di un file dannoso può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiunta il 10 giugno 2024

PackageKit

Disponibile per: macOS Ventura

Impatto: un'app potrebbe modificare parti protette del file system.

Descrizione: il problema è stato risolto attraverso una migliore convalida dei link simbolici.

CVE-2024-27885: Mickey Jin (@patch1t)

Voce aggiunta il 10 giugno 2024

PackageKit

Disponibile per: macOS Ventura

Impatto: un'app può essere in grado di elevare i privilegi.

Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.

CVE-2024-27824: Pedro Tôrres (@t0rr3sp3dr0)

Voce aggiunta il 10 giugno 2024

RTKit

Disponibile per: macOS Ventura

Impatto: un utente malintenzionato con funzionalità di lettura e scrittura arbitraria del kernel può essere in grado di ignorare le protezioni della memoria del kernel. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.

CVE-2024-23296

SharedFileList

Disponibile per: macOS Ventura

Impatto: un'app può essere in grado di elevare i privilegi.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2024-27843: Mickey Jin (@patch1t)

Voce aggiunta il 10 giugno 2024

Shortcuts

Disponibile per: macOS Ventura

Impatto: un comando rapido può essere in grado di utilizzare dati sensibili con determinate azioni senza richiedere l'autorizzazione dell'utente.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-27855: un ricercatore anonimo

Voce aggiunta il 10 giugno 2024

Spotlight

Disponibile per: macOS Ventura

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: il problema è stato risolto attraverso una migliore sanitizzazione dell'ambiente.

CVE-2024-27806

Voce aggiunta il 10 giugno 2024

StorageKit

Disponibile per: macOS Ventura

Impatto: un utente può essere in grado di rendere più elevati i privilegi.

Descrizione: un problema di autorizzazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2024-27798: Yann GASCUEL di Alter Solutions

Voce aggiunta il 10 giugno 2024

Sync Services

Disponibile per: macOS Ventura

Impatto: un'app potrebbe bypassare le preferenze sulla privacy

Descrizione: il problema è stato risolto attraverso migliori controlli

CVE-2024-27847: Mickey Jin (@patch1t)

Voce aggiunta il 10 giugno 2024

Voice Control

Disponibile per: macOS Ventura

Impatto: un utente può essere in grado di rendere più elevati i privilegi.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-27796: ajajfxhj

Voce aggiunta il 10 giugno 2024

Altri riconoscimenti

App Store

Ringraziamo un ricercatore anonimo per l'assistenza.

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: