Sobre o conteúdo de segurança do macOS Ventura 13.6.8

Este documento descreve o conteúdo de segurança do macOS Ventura 13.6.8.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que seja conduzida investigação e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página de versões de segurança da Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

Para obter mais informações sobre segurança, consulte a página Segurança do produto Apple.

macOS Ventura 13.6.8

Lançado em 29 de julho de 2024

APFS

Disponível para: macOS Ventura

Impacto: um aplicativo malicioso pode conseguir ignorar as preferências de privacidade

Descrição: o problema foi abordado com restrição aprimorada de acesso ao contêiner de dados.

CVE-2024-40783: Csaba Fitzl (@theevilbit) de Kandji

Apple Neural Engine

Disponível para: macOS Ventura

Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2024-27826: Minghao Lin e Ye Zhang (@VAR10CK) da Baidu Security

AppleMobileFileIntegrity

Disponível para: macOS Ventura

Impacto: um app pode ignorar as preferências de Privacidade

Descrição: um problema em downgrade foi resolvido por meio de restrições adicionais de assinatura de código.

CVE-2024-40774: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Disponível para: macOS Ventura

Impacto: um app pode causar vazamento de informações confidenciais do usuário

Descrição: um problema em downgrade foi resolvido por meio de restrições adicionais de assinatura de código.

CVE-2024-40775: Mickey Jin (@patch1t)

AppleVA

Disponível para: macOS Ventura

Impacto: processar um arquivo criado com códigos maliciosos pode levar a uma negação de serviço ou uma possível divulgação de conteúdo da memória

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2024-27877: Michael DePlante (@izobashi) da Zero Day Initiative da Trend Micro

CoreGraphics

Disponível para: macOS Ventura

Impacto: processar um arquivo criado com códigos maliciosos pode causar o encerramento inesperado de apps

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.

CVE-2024-40799: D4m0n

CoreMedia

Disponível para: macOS Ventura

Impacto: processar um arquivo de vídeo criado com códigos maliciosos pode causar o encerramento inesperado de apps

Descrição: um problema de gravação fora dos limites foi resolvido por meio de melhorias na validação de entradas.

CVE-2024-27873: Amir Bazine e Karsten König da CrowdStrike Counter Adversary Operations

curl

Disponível para: macOS Ventura

Impacto: diversos problemas no curl

Descrição: vulnerabilidade em código aberto e software Apple entre os projetos afetados. O CVE-ID foi atribuído por terceiros. Saiba mais sobre o problema e o CVE-ID em cve.org.

CVE-2024-2004

CVE-2024-2379

CVE-2024-2398

CVE-2024-2466

DesktopServices

Disponível para: macOS Ventura

Impacto: um app pode substituir arquivos arbitrários

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2024-40827: pesquisador anônimo

dyld

Disponível para: macOS Ventura

Impacto: um invasor mal-intencionado com capacidade de leitura e gravação arbitrária pode ignorar a autenticação de ponteiro

Descrição: uma condição de corrida foi resolvida por meio de validação adicional.

CVE-2024-40815: w0wbox

ImageIO

Disponível para: macOS Ventura

Impacto: o processamento de uma imagem pode levar a uma negação de serviço

Descrição: vulnerabilidade em código aberto e software Apple entre os projetos afetados. O CVE-ID foi atribuído por terceiros. Saiba mais sobre o problema e o CVE-ID em cve.org.

CVE-2023-6277

CVE-2023-52356

ImageIO

Disponível para: macOS Ventura

Impacto: processar um arquivo criado com códigos maliciosos pode causar o encerramento inesperado de apps

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.

CVE-2024-40806: Yisumi

ImageIO

Disponível para: macOS Ventura

Impacto: processar um arquivo criado com códigos maliciosos pode causar o encerramento inesperado de apps

Descrição: um problema de estouro de inteiro foi resolvido por meio de melhorias na validação de entradas.

CVE-2024-40784: Junsung Lee em parceria com a Zero Day Initiative da Trend Micro e Gandalf4a

Kernel

Disponível para: macOS Ventura

Impacto: um invasor local pode causar o desligamento inesperado do sistema

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.

CVE-2024-40816: sqrtpwn

Kernel

Disponível para: macOS Ventura

Impacto: um invasor local pode causar o desligamento inesperado do sistema

Descrição: um problema de confusão de tipos foi resolvido por meio de melhorias no processamento da memória.

CVE-2024-40788: Minghao Lin e Jiaxun Zhu da Zhejiang University

Keychain Access

Disponível para: macOS Ventura

Impacto: um invasor poderia causar um desligamento inesperado de apps

Descrição: um problema de confusão de tipos foi resolvido por meio de melhorias nas verificações.

CVE-2024-40803: Patrick Wardle da DoubleYou e Objective-See Foundation

NetworkExtension

Disponível para: macOS Ventura

Impacto: a navegação privada pode ter vazamento do histórico de navegação

Descrição: um problema de privacidade foi resolvido com a redação aprimorada de dados privados para entradas de registro.

CVE-2024-40796: Adam M.

OpenSSH

Disponível para: macOS Ventura

Impacto: um invasor externo pode causar a execução arbitrária de códigos

Descrição: vulnerabilidade em código aberto e software Apple entre os projetos afetados. O CVE-ID foi atribuído por terceiros. Saiba mais sobre o problema e o CVE-ID em cve.org.

CVE-2024-6387

PackageKit

Disponível para: macOS Ventura

Impacto: um invasor local pode conseguir elevar os próprios privilégios

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2024-40781: Mickey Jin (@patch1t)

CVE-2024-40802: Mickey Jin (@patch1t)

PackageKit

Disponível para: macOS Ventura

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2024-40823: Zhongquan Li (@Guluisacat) do Dawn Security Lab de JingDong

PackageKit

Disponível para: macOS Ventura

Impacto: um app pode conseguir modificar áreas protegidas do sistema de arquivos

Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.

CVE-2024-27882: Mickey Jin (@patch1t)

CVE-2024-27883: Csaba Fitzl (@theevilbit) de Kandji e Mickey Jin (@patch1t)

Restore Framework

Disponível para: macOS Ventura

Impacto: um app pode conseguir modificar áreas protegidas do sistema de arquivos

Descrição: um problema de validação de entrada foi resolvido por meio de melhorias na validação de entradas.

CVE-2024-40800: Claudio Bozzato e Francesco Benvenuto da Cisco Talos.

Safari

Disponível para: macOS Ventura

Impacto: acessar um site que contém conteúdo malicioso pode levar à falsificação da interface do usuário

Descrição: o problema foi resolvido por meio de melhorias no processamento da interface do usuário.

CVE-2024-40817: Yadhu Krishna M e Narendra Bhati, gerente de segurança cibernética na Suma Soft Pvt. Ltd, Pune (Índia)

Scripting Bridge

Disponível para: macOS Ventura

Impacto: um app pode acessar informações sobre os contatos de um usuário

Descrição: um problema de privacidade foi resolvido com a redação aprimorada de dados privados para entradas de registro.

CVE-2024-27881: Kirin (@Pwnrin)

Security

Disponível para: macOS Ventura

Impacto: as extensões de apps de terceiros podem não receber as restrições corretas de área restrita

Descrição: um problema de acesso foi resolvido por meio de outras restrições.

CVE-2024-40821: Joshua Jones

Security

Disponível para: macOS Ventura

Impacto: um app poderia ler o histórico de navegação do Safari

Descrição: esse problema foi resolvido por meio de melhorias na redação de informações confidenciais.

CVE-2024-40798: Adam M.

Shortcuts

Disponível para: macOS Ventura

Impacto: um atalho poderia ser capaz de usar dados confidenciais com determinadas ações sem fazer uma solicitação ao usuário

Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.

CVE-2024-40833: pesquisador anônimo

CVE-2024-40807: pesquisador anônimo

CVE-2024-40835: pesquisador anônimo

Shortcuts

Disponível para: macOS Ventura

Impacto: um atalho pode ignorar os ajustes confidenciais do app Atalhos

Descrição: o problema foi resolvido por meio da adição de uma solicitação adicional de consentimento do usuário.

CVE-2024-40834: Marcio Almeida da Tanto Security

Shortcuts

Disponível para: macOS Ventura

Impacto: um atalho pode ignorar os requisitos de permissão da Internet

Descrição: o problema foi resolvido por meio da adição de uma solicitação adicional de consentimento do usuário.

CVE-2024-40787: pesquisador anônimo

Shortcuts

Disponível para: macOS Ventura

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: o problema foi resolvido por meio da remoção do código vulnerável.

CVE-2024-40793: Kirin (@Pwnrin)

Shortcuts

Disponível para: macOS Ventura

Impacto: um atalho pode ignorar os requisitos de permissão da Internet

Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.

CVE-2024-40809: pesquisador anônimo

CVE-2024-40812: pesquisador anônimo

Siri

Disponível para: macOS Ventura

Impacto: um invasor com acesso físico pode usar a Siri para acessar dados confidenciais do usuário

Descrição: esse problema foi resolvido por meio da restrição das opções oferecidas em um dispositivo bloqueado.

CVE-2024-40818: Bistrit Dahal e Srijan Poudel

Siri

Disponível para: macOS Ventura

Impacto: um invasor pode conseguir visualizar informações confidenciais do usuário

Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2024-40786: Bistrit Dahal

Siri

Disponível para: macOS Ventura

Impacto: um app em sandbox pode ter acesso a dados confidenciais de usuários nos registros do sistema.

Descrição: um problema de privacidade foi resolvido com a redação aprimorada de dados privados para entradas de registro.

CVE-2024-44205: Jiahui Hu (梅零落) e Meng Zhang (鲸落) da NorthSea

Entrada adicionada em 15 de outubro de 2024

StorageKit

Disponível para: macOS Ventura

Impacto: um app malicioso pode obter privilégios de raiz

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2024-40828: Mickey Jin (@patch1t)

Fuso horário

Disponível para: macOS Ventura

Impacto: um invasor pode conseguir ler informações que pertencem a outro usuário

Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2024-23261: Matthew Loewen

VoiceOver

Disponível para: macOS Ventura

Impacto: um usuário pode visualizar conteúdo restrito pela tela de bloqueio

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2024-40829: Abhay Kailasia (@abhay_kailasia) da Faculdade de Tecnologia de Lakshmi Narain, em Bhopal, Índia

Outros reconhecimentos

Captura de Imagem

Gostaríamos de agradecer a um pesquisador anônimo pela ajuda.

Shortcuts

Gostaríamos de agradecer a um pesquisador anônimo pela ajuda.

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: