Sobre o conteúdo de segurança do macOS Ventura 13.6.8
Este documento descreve o conteúdo de segurança do macOS Ventura 13.6.8.
Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que seja conduzida investigação e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página de versões de segurança da Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
Para obter mais informações sobre segurança, consulte a página Segurança do produto Apple.
macOS Ventura 13.6.8
Lançado em 29 de julho de 2024
APFS
Disponível para: macOS Ventura
Impacto: um aplicativo malicioso pode conseguir ignorar as preferências de privacidade
Descrição: o problema foi abordado com restrição aprimorada de acesso ao contêiner de dados.
CVE-2024-40783: Csaba Fitzl (@theevilbit) de Kandji
Apple Neural Engine
Disponível para: macOS Ventura
Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2024-27826: Minghao Lin e Ye Zhang (@VAR10CK) da Baidu Security
AppleMobileFileIntegrity
Disponível para: macOS Ventura
Impacto: um app pode ignorar as preferências de Privacidade
Descrição: um problema em downgrade foi resolvido por meio de restrições adicionais de assinatura de código.
CVE-2024-40774: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Disponível para: macOS Ventura
Impacto: um app pode causar vazamento de informações confidenciais do usuário
Descrição: um problema em downgrade foi resolvido por meio de restrições adicionais de assinatura de código.
CVE-2024-40775: Mickey Jin (@patch1t)
AppleVA
Disponível para: macOS Ventura
Impacto: processar um arquivo criado com códigos maliciosos pode levar a uma negação de serviço ou uma possível divulgação de conteúdo da memória
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2024-27877: Michael DePlante (@izobashi) da Zero Day Initiative da Trend Micro
CoreGraphics
Disponível para: macOS Ventura
Impacto: processar um arquivo criado com códigos maliciosos pode causar o encerramento inesperado de apps
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2024-40799: D4m0n
CoreMedia
Disponível para: macOS Ventura
Impacto: processar um arquivo de vídeo criado com códigos maliciosos pode causar o encerramento inesperado de apps
Descrição: um problema de gravação fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2024-27873: Amir Bazine e Karsten König da CrowdStrike Counter Adversary Operations
curl
Disponível para: macOS Ventura
Impacto: diversos problemas no curl
Descrição: vulnerabilidade em código aberto e software Apple entre os projetos afetados. O CVE-ID foi atribuído por terceiros. Saiba mais sobre o problema e o CVE-ID em cve.org.
CVE-2024-2004
CVE-2024-2379
CVE-2024-2398
CVE-2024-2466
DesktopServices
Disponível para: macOS Ventura
Impacto: um app pode substituir arquivos arbitrários
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
CVE-2024-40827: pesquisador anônimo
dyld
Disponível para: macOS Ventura
Impacto: um invasor mal-intencionado com capacidade de leitura e gravação arbitrária pode ignorar a autenticação de ponteiro
Descrição: uma condição de corrida foi resolvida por meio de validação adicional.
CVE-2024-40815: w0wbox
ImageIO
Disponível para: macOS Ventura
Impacto: o processamento de uma imagem pode levar a uma negação de serviço
Descrição: vulnerabilidade em código aberto e software Apple entre os projetos afetados. O CVE-ID foi atribuído por terceiros. Saiba mais sobre o problema e o CVE-ID em cve.org.
CVE-2023-6277
CVE-2023-52356
ImageIO
Disponível para: macOS Ventura
Impacto: processar um arquivo criado com códigos maliciosos pode causar o encerramento inesperado de apps
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2024-40806: Yisumi
ImageIO
Disponível para: macOS Ventura
Impacto: processar um arquivo criado com códigos maliciosos pode causar o encerramento inesperado de apps
Descrição: um problema de estouro de inteiro foi resolvido por meio de melhorias na validação de entradas.
CVE-2024-40784: Junsung Lee em parceria com a Zero Day Initiative da Trend Micro e Gandalf4a
Kernel
Disponível para: macOS Ventura
Impacto: um invasor local pode causar o desligamento inesperado do sistema
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2024-40816: sqrtpwn
Kernel
Disponível para: macOS Ventura
Impacto: um invasor local pode causar o desligamento inesperado do sistema
Descrição: um problema de confusão de tipos foi resolvido por meio de melhorias no processamento da memória.
CVE-2024-40788: Minghao Lin e Jiaxun Zhu da Zhejiang University
Keychain Access
Disponível para: macOS Ventura
Impacto: um invasor poderia causar um desligamento inesperado de apps
Descrição: um problema de confusão de tipos foi resolvido por meio de melhorias nas verificações.
CVE-2024-40803: Patrick Wardle da DoubleYou e Objective-See Foundation
NetworkExtension
Disponível para: macOS Ventura
Impacto: a navegação privada pode ter vazamento do histórico de navegação
Descrição: um problema de privacidade foi resolvido com a redação aprimorada de dados privados para entradas de registro.
CVE-2024-40796: Adam M.
OpenSSH
Disponível para: macOS Ventura
Impacto: um invasor externo pode causar a execução arbitrária de códigos
Descrição: vulnerabilidade em código aberto e software Apple entre os projetos afetados. O CVE-ID foi atribuído por terceiros. Saiba mais sobre o problema e o CVE-ID em cve.org.
CVE-2024-6387
PackageKit
Disponível para: macOS Ventura
Impacto: um invasor local pode conseguir elevar os próprios privilégios
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
CVE-2024-40781: Mickey Jin (@patch1t)
CVE-2024-40802: Mickey Jin (@patch1t)
PackageKit
Disponível para: macOS Ventura
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
CVE-2024-40823: Zhongquan Li (@Guluisacat) do Dawn Security Lab de JingDong
PackageKit
Disponível para: macOS Ventura
Impacto: um app pode conseguir modificar áreas protegidas do sistema de arquivos
Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.
CVE-2024-27882: Mickey Jin (@patch1t)
CVE-2024-27883: Csaba Fitzl (@theevilbit) de Kandji e Mickey Jin (@patch1t)
Restore Framework
Disponível para: macOS Ventura
Impacto: um app pode conseguir modificar áreas protegidas do sistema de arquivos
Descrição: um problema de validação de entrada foi resolvido por meio de melhorias na validação de entradas.
CVE-2024-40800: Claudio Bozzato e Francesco Benvenuto da Cisco Talos.
Safari
Disponível para: macOS Ventura
Impacto: acessar um site que contém conteúdo malicioso pode levar à falsificação da interface do usuário
Descrição: o problema foi resolvido por meio de melhorias no processamento da interface do usuário.
CVE-2024-40817: Yadhu Krishna M e Narendra Bhati, gerente de segurança cibernética na Suma Soft Pvt. Ltd, Pune (Índia)
Scripting Bridge
Disponível para: macOS Ventura
Impacto: um app pode acessar informações sobre os contatos de um usuário
Descrição: um problema de privacidade foi resolvido com a redação aprimorada de dados privados para entradas de registro.
CVE-2024-27881: Kirin (@Pwnrin)
Security
Disponível para: macOS Ventura
Impacto: as extensões de apps de terceiros podem não receber as restrições corretas de área restrita
Descrição: um problema de acesso foi resolvido por meio de outras restrições.
CVE-2024-40821: Joshua Jones
Security
Disponível para: macOS Ventura
Impacto: um app poderia ler o histórico de navegação do Safari
Descrição: esse problema foi resolvido por meio de melhorias na redação de informações confidenciais.
CVE-2024-40798: Adam M.
Shortcuts
Disponível para: macOS Ventura
Impacto: um atalho poderia ser capaz de usar dados confidenciais com determinadas ações sem fazer uma solicitação ao usuário
Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.
CVE-2024-40833: pesquisador anônimo
CVE-2024-40807: pesquisador anônimo
CVE-2024-40835: pesquisador anônimo
Shortcuts
Disponível para: macOS Ventura
Impacto: um atalho pode ignorar os ajustes confidenciais do app Atalhos
Descrição: o problema foi resolvido por meio da adição de uma solicitação adicional de consentimento do usuário.
CVE-2024-40834: Marcio Almeida da Tanto Security
Shortcuts
Disponível para: macOS Ventura
Impacto: um atalho pode ignorar os requisitos de permissão da Internet
Descrição: o problema foi resolvido por meio da adição de uma solicitação adicional de consentimento do usuário.
CVE-2024-40787: pesquisador anônimo
Shortcuts
Disponível para: macOS Ventura
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: o problema foi resolvido por meio da remoção do código vulnerável.
CVE-2024-40793: Kirin (@Pwnrin)
Shortcuts
Disponível para: macOS Ventura
Impacto: um atalho pode ignorar os requisitos de permissão da Internet
Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.
CVE-2024-40809: pesquisador anônimo
CVE-2024-40812: pesquisador anônimo
Siri
Disponível para: macOS Ventura
Impacto: um invasor com acesso físico pode usar a Siri para acessar dados confidenciais do usuário
Descrição: esse problema foi resolvido por meio da restrição das opções oferecidas em um dispositivo bloqueado.
CVE-2024-40818: Bistrit Dahal e Srijan Poudel
Siri
Disponível para: macOS Ventura
Impacto: um invasor pode conseguir visualizar informações confidenciais do usuário
Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2024-40786: Bistrit Dahal
Siri
Disponível para: macOS Ventura
Impacto: um app em sandbox pode ter acesso a dados confidenciais de usuários nos registros do sistema.
Descrição: um problema de privacidade foi resolvido com a redação aprimorada de dados privados para entradas de registro.
CVE-2024-44205: Jiahui Hu (梅零落) e Meng Zhang (鲸落) da NorthSea
Entrada adicionada em 15 de outubro de 2024
StorageKit
Disponível para: macOS Ventura
Impacto: um app malicioso pode obter privilégios de raiz
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
CVE-2024-40828: Mickey Jin (@patch1t)
Fuso horário
Disponível para: macOS Ventura
Impacto: um invasor pode conseguir ler informações que pertencem a outro usuário
Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2024-23261: Matthew Loewen
VoiceOver
Disponível para: macOS Ventura
Impacto: um usuário pode visualizar conteúdo restrito pela tela de bloqueio
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
CVE-2024-40829: Abhay Kailasia (@abhay_kailasia) da Faculdade de Tecnologia de Lakshmi Narain, em Bhopal, Índia
Outros reconhecimentos
Captura de Imagem
Gostaríamos de agradecer a um pesquisador anônimo pela ajuda.
Shortcuts
Gostaríamos de agradecer a um pesquisador anônimo pela ajuda.
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.