Informazioni sui contenuti di sicurezza di macOS Ventura 13.6.8
In questo documento vengono descritti i contenuti di sicurezza di macOS Ventura 13.6.8.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle versioni più recenti alla pagina Versioni di sicurezza Apple.
Quando possibile, i documenti sulla sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consultare questo articolo sulla sicurezza dei prodotti Apple.
macOS Ventura 13.6.8
Data di rilascio: 29 luglio 2024
APFS
Disponibile per: macOS Ventura
Impatto: un'applicazione dannosa può essere in grado di bypassare le preferenze sulla privacy.
Descrizione: il problema è stato risolto attraverso una migliore restrizione dell'accesso al container dati.
CVE-2024-40783: Csaba Fitzl (@theevilbit) di Kandji
Apple Neural Engine
Disponibile per: macOS Ventura
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2024-27826: Minghao Lin e Ye Zhang (@VAR10CK) di Baidu Security
AppleMobileFileIntegrity
Disponibile per: macOS Ventura
Impatto: un'app potrebbe bypassare le preferenze sulla privacy
Descrizione: un problema di downgrade è stato risolto con ulteriori restrizioni di firma del codice.
CVE-2024-40774: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Disponibile per: macOS Ventura
Impatto: un'app potrebbe divulgare informazioni sensibili degli utenti.
Descrizione: un problema di downgrade è stato risolto con ulteriori restrizioni di firma del codice.
CVE-2024-40775: Mickey Jin (@patch1t)
AppleVA
Disponibile per: macOS Ventura
Impatto: l'elaborazione di un file dannoso può causare l'interruzione del servizio o la divulgazione di contenuti presenti in memoria.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2024-27877: Michael DePlante (@izobashi) della Zero Day Initiative di Trend Micro
CoreGraphics
Disponibile per: macOS Ventura
Impatto: l'elaborazione di un file dannoso potrebbe causare la chiusura improvvisa dell'applicazione.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2024-40799: D4m0n
CoreMedia
Disponibile per: macOS Ventura
Impatto: l'elaborazione di un file video dannoso può causare la chiusura improvvisa dell'applicazione.
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2024-27873: Amir Bazine e Karsten König di CrowdStrike Counter Adversary Operations
curl
Disponibile per: macOS Ventura
Impatto: diversi problemi in curl.
Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.
CVE-2024-2004
CVE-2024-2379
CVE-2024-2398
CVE-2024-2466
DesktopServices
Disponibile per: macOS Ventura
Impatto: un'app potrebbe sovrascrivere i file arbitrari.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2024-40827: un ricercatore anonimo
dyld
Disponibile per: macOS Ventura
Impatto: un utente malintenzionato con funzionalità di lettura e scrittura arbitraria potrebbe riuscire a bypassare l'autenticazione del puntatore.
Descrizione: una race condition è stata risolta con un'ulteriore convalida.
CVE-2024-40815: w0wbox
ImageIO
Disponibile per: macOS Ventura
Impatto: l'elaborazione di un'immagine potrebbe causare l'interruzione del servizio
Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.
CVE-2023-6277
CVE-2023-52356
ImageIO
Disponibile per: macOS Ventura
Impatto: l'elaborazione di un file dannoso potrebbe causare la chiusura improvvisa dell'applicazione.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2024-40806: Yisumi
ImageIO
Disponibile per: macOS Ventura
Impatto: l'elaborazione di un file dannoso potrebbe causare la chiusura improvvisa dell'applicazione.
Descrizione: un problema di overflow dei numeri interi è stato risolto attraverso una migliore convalida dell'input.
CVE-2024-40784: Junsung Lee in collaborazione con Zero Day Initiative di Trend Micro e Gandalf4a
Kernel
Disponibile per: macOS Ventura
Impatto: un utente malintenzionato locale potrebbe causare un arresto imprevisto del sistema.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2024-40816: sqrtpwn
Kernel
Disponibile per: macOS Ventura
Impatto: un utente malintenzionato locale potrebbe causare un arresto imprevisto del sistema.
Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.
CVE-2024-40788: Minghao Lin e Jiaxun Zhu della Zhejiang University
Keychain Access
Disponibile per: macOS Ventura
Impatto: un utente malintenzionato potrebbe causare la chiusura imprevista dell'app
Descrizione: un problema di confusione dei tipi è stato risolto migliorando i controlli.
CVE-2024-40803: Patrick Wardle di DoubleYou & the Objective-See Foundation
NetworkExtension
Disponibile per: macOS Ventura
Impatto: la navigazione privata potrebbe divulgare una parte della cronologia di navigazione.
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2024-40796: Adam M.
OpenSSH
Disponibile per: macOS Ventura
Impatto: un utente malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario.
Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.
CVE-2024-6387
PackageKit
Disponibile per: macOS Ventura
Impatto: un utente malintenzionato locale può riuscire a rendere più elevati i propri privilegi.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2024-40781: Mickey Jin (@patch1t)
CVE-2024-40802: Mickey Jin (@patch1t)
PackageKit
Disponibile per: macOS Ventura
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2024-40823: Zhongquan Li (@Guluisacat) di Dawn Security Lab di JingDong
PackageKit
Disponibile per: macOS Ventura
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.
CVE-2024-27882: Mickey Jin (@patch1t)
CVE-2024-27883: Csaba Fitzl (@theevilbit) di Kandji e Mickey Jin (@patch1t)
Restore Framework
Disponibile per: macOS Ventura
Impatto: un'app potrebbe modificare parti protette del file system.
Descrizione: un problema di convalida dell'input è stato risolto attraverso una migliore convalida dell'input.
CVE-2024-40800: Claudio Bozzato e Francesco Benvenuto di Cisco Talos
Safari
Disponibile per: macOS Ventura
Impatto: l'accesso a un sito web che presenta contenuti dannosi potrebbe causare lo spoofing dell'interfaccia utente.
Descrizione: il problema è stato risolto attraverso una migliore gestione dell'interfaccia utente.
CVE-2024-40817: Yadhu Krishna M e Narendra Bhati, Manager di Cyber Security presso Suma Soft Pvt. Ltd, Pune (India)
Scripting Bridge
Disponibile per: macOS Ventura
Impatto: un'app potrebbe accedere alle informazioni sui contatti di un utente
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2024-27881: Kirin (@Pwnrin)
Security
Disponibile per: macOS Ventura
Impatto: le estensioni per app di terze parti possono non ricevere le restrizioni della sandbox corrette.
Descrizione: un problema di accesso è stato risolto attraverso ulteriori restrizioni della sandbox.
CVE-2024-40821: Joshua Jones
Security
Disponibile per: macOS Ventura
Impatto: un'app potrebbe essere in grado di leggere la cronologia di navigazione di Safari.
Descrizione: il problema è stato risolto migliorando la redazione delle informazioni sensibili.
CVE-2024-40798: Adam M.
Shortcuts
Disponibile per: macOS Ventura
Impatto: un comando rapido può essere in grado di utilizzare dati sensibili con determinate azioni senza richiedere l'autorizzazione dell'utente.
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2024-40833: un ricercatore anonimo
CVE-2024-40807: un ricercatore anonimo
CVE-2024-40835: un ricercatore anonimo
Shortcuts
Disponibile per: macOS Ventura
Impatto: un comando rapido può bypassare le impostazioni sensibili dell'app Comandi rapidi.
Descrizione: questo problema è stato risolto aggiungendo una richiesta aggiuntiva di consenso dell'utente.
CVE-2024-40834: Marcio Almeida di Tanto Security
Shortcuts
Disponibile per: macOS Ventura
Impatto: un comando rapido potrebbe riuscire a bypassare i requisiti per le autorizzazioni internet.
Descrizione: questo problema è stato risolto aggiungendo una richiesta aggiuntiva di consenso dell'utente.
CVE-2024-40787: un ricercatore anonimo
Shortcuts
Disponibile per: macOS Ventura
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.
CVE-2024-40793: Kirin (@Pwnrin)
Shortcuts
Disponibile per: macOS Ventura
Impatto: un comando rapido potrebbe riuscire a bypassare i requisiti per le autorizzazioni internet.
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2024-40809: un ricercatore anonimo
CVE-2024-40812: un ricercatore anonimo
Siri
Disponibile per: macOS Ventura
Impatto: un utente malintenzionato con accesso fisico potrebbe essere in grado di usare Siri per accedere ai dati sensibili dell'utente
Descrizione: il problema è stato risolto limitando le opzioni offerte su un dispositivo bloccato.
CVE-2024-40818: Bistrit Dahal e Srijan Poudel
Siri
Disponibile per: macOS Ventura
Impatto: un malintenzionato potrebbe essere in grado di visualizzare informazioni riservate degli utenti.
Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2024-40786: Bistrit Dahal
Siri
Disponibile per: macOS Ventura
Impatto: un'applicazione sandbox potrebbe accedere ai dati sensibili dell'utente nei registri di sistema
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2024-44205: Jiahui Hu (梅零落) e Meng Zhang (鲸落) di NorthSea
Voce aggiunta il 15 ottobre 2024
StorageKit
Disponibile per: macOS Ventura
Impatto: un'app dannosa può essere in grado di ottenere privilegi root.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2024-40828: Mickey Jin (@patch1t)
Time Zone
Disponibile per: macOS Ventura
Impatto: un utente malintenzionato potrebbe riuscire a leggere informazioni appartenenti a un altro utente.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2024-23261: Matthew Loewen
VoiceOver
Disponibile per: macOS Ventura
Impatto: un utente potrebbe visualizzare i contenuti con restrizioni dalla schermata di blocco
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2024-40829: Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College of Technology Bhopal India
Altri riconoscimenti
Image Capture
Ringraziamo un ricercatore anonimo per l'assistenza.
Shortcuts
Ringraziamo un ricercatore anonimo per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.