Sobre o conteúdo de segurança do macOS Ventura 13.7

Este documento descreve o conteúdo de segurança do macOS Ventura 13.7.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que seja conduzida investigação e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página de versões de segurança da Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

Para obter mais informações sobre segurança, consulte a página Segurança do produto Apple.

macOS Ventura 13.7

Lançamento em 16 de setembro de 2024

Accounts

Disponível para: macOS Ventura

Impacto: um app pode causar vazamento de informações confidenciais do usuário

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2024-44129

App Intents

Disponível para: macOS Ventura

Impacto: um app poderia ser capaz de acessar dados confidenciais quando um atalho falha em iniciar outro app

Descrição: esse problema foi resolvido por meio de melhorias na redação de informações confidenciais.

CVE-2024-44182: Kirin (@Pwnrin)

AppKit

Disponível para: macOS Ventura

Impacto: um app sem privilégios pode registrar as teclas digitadas em outros apps, incluindo aqueles que usam o modo de entrada seguro

Descrição: um problema de lógica foi resolvido por meio de melhorias nas restrições.

CVE-2024-27886: Stephan Casas e um pesquisador anônimo

AppleMobileFileIntegrity

Disponível para: macOS Ventura

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema foi resolvido por meio de restrições adicionais de assinatura de código.

CVE-2024-40847: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Disponível para: macOS Ventura

Impacto: um app pode ignorar as preferências de Privacidade

Descrição: um problema em downgrade foi resolvido por meio de restrições adicionais de assinatura de código.

CVE-2024-40814: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Disponível para: macOS Ventura

Impacto: um app pode conseguir ignorar as preferências de Privacidade

Descrição: esse problema foi resolvido por meio de melhorias nas verificações.

CVE-2024-44164: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Disponível para: macOS Ventura

Impacto: um app pode conseguir modificar áreas protegidas do sistema de arquivos

Descrição: um problema de injeção de biblioteca foi resolvido por meio de restrições adicionais.

CVE-2024-44168: Claudio Bozzato e Francesco Benvenuto da Cisco Talos

AppleMobileFileIntegrity

Disponível para: macOS Ventura

Impacto: um invasor pode conseguir ler informações confidenciais

Descrição: um problema em downgrade foi resolvido por meio de restrições adicionais de assinatura de código.

CVE-2024-40848: Mickey Jin (@patch1t)

Automator

Disponível para: macOS Ventura

Impacto: um fluxo de trabalho do Automator Quick Action pode ser capaz de ignorar o Gatekeeper

Descrição: o problema foi resolvido por meio da adição de uma solicitação adicional de consentimento do usuário.

CVE-2024-44128: Anton Boegler

bless

Disponível para: macOS Ventura

Impacto: um app pode conseguir modificar áreas protegidas do sistema de arquivos

Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.

CVE-2024-44151: Mickey Jin (@patch1t)

Compression

Disponível para: macOS Ventura

Impacto: descompactar um arquivo criado com códigos maliciosos pode permitir que um invasor grave arquivos arbitrários

Descrição: uma condição de corrida foi resolvida por meio de melhorias no bloqueio.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Dock

Disponível para: macOS Ventura

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema de privacidade foi resolvido com a remoção de dados confidenciais.

CVE-2024-44177: pesquisador anônimo

Game Center

Disponível para: macOS Ventura

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema acesso ao arquivo foi resolvido por meio de melhorias na validação de entradas.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Disponível para: macOS Ventura

Impacto: o processamento de uma imagem pode levar a uma negação de serviço

Descrição: um problema de acesso fora dos limites foi resolvido por meio de melhorias na verificação de limites.

CVE-2024-44176: dw0r da ZeroPointer Lab em parceria com a Trend Micro Zero Day Initiative, um pesquisador anônimo

Intel Graphics Driver

Disponível para: macOS Ventura

Impacto: processar uma textura criada maliciosamente pode causar o encerramento inesperado de apps

Descrição: um problema de estouro de buffer foi resolvido por meio de melhorias no processamento da memória.

CVE-2024-44160: Michael DePlante (@izobashi) da Zero Day Initiative da Trend Micro

Intel Graphics Driver

Disponível para: macOS Ventura

Impacto: processar uma textura criada maliciosamente pode causar o encerramento inesperado de apps

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na verificação de limites.

CVE-2024-44161: Michael DePlante (@izobashi) da Zero Day Initiative da Trend Micro

IOSurfaceAccelerator

Disponível para: macOS Ventura

Impacto: um app pode causar o encerramento inesperado do sistema

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2024-44169: Antonio Zekić

Kernel

Disponível para: macOS Ventura

Impacto: o tráfego de rede pode vazar para o exterior de um túnel VPN

Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.

CVE-2024-44165: Andrew Lytvynov

Mail Accounts

Disponível para: macOS Ventura

Impacto: um app pode conseguir acessar informações sobre os contatos de um usuário

Descrição: um problema de privacidade foi resolvido com a redação aprimorada de dados privados para entradas de registro.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

Maps

Disponível para: macOS Ventura

Impacto: um app pode conseguir ler informações confidenciais de localização

Descrição: um problema foi resolvido por meio de melhorias do processamento de arquivos temporários.

CVE-2024-44181: Kirin(@Pwnrin) e LFY(@secsys) da Fudan University

mDNSResponder

Disponível para: macOS Ventura

Impacto: um app pode ser capaz de causar uma negação de serviço

Descrição: um erro de lógica foi resolvido por meio de melhorias no processamento de erros.

CVE-2024-44183: Olivier Levon

Notes

Disponível para: macOS Ventura

Impacto: um app pode substituir arquivos arbitrários

Descrição: o problema foi resolvido por meio da remoção do código vulnerável.

CVE-2024-44167: ajajfxhj

PackageKit

Disponível para: macOS Ventura

Impacto: um app pode conseguir modificar áreas protegidas do sistema de arquivos

Descrição: esse problema foi resolvido por meio de melhorias na validação de links simbólicos.

CVE-2024-44178: Mickey Jin (@patch1t)

Safari

Disponível para: macOS Ventura

Impacto: acessar um site malicioso pode levar à falsificação da interface de usuário

Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2024-40797: Rifa'i Rejal Maynando

Sandbox

Disponível para: macOS Ventura

Impacto: um aplicativo malicioso pode ter acesso a informações privadas

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2024-44163: Zhongquan Li (@Guluisacat)

Shortcuts

Disponível para: macOS Ventura

Impacto: um atalho pode gerar dados confidenciais do usuário sem consentimento

Descrição: esse problema foi resolvido por meio de melhorias na redação de informações confidenciais.

CVE-2024-44158: Kirin (@Pwnrin)

Shortcuts

Disponível para: macOS Ventura

Impacto: um app pode ser capaz de observar dados exibidos para o usuário pelo Atalhos

Descrição: um problema relacionado à privacidade foi resolvido por meio de melhorias no processamento de arquivos temporários.

CVE-2024-40844: Kirin (@Pwnrin) e luckyu (@uuulucky) da NorthSea

System Settings

Disponível para: macOS Ventura

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema de privacidade foi resolvido com a redação aprimorada de dados privados para entradas de registro.

CVE-2024-44166: Kirin(@Pwnrin) da LFY(@secsys) da Fudan University

System Settings

Disponível para: macOS Ventura

Impacto: um app pode ler arquivos arbitrários

Descrição: um problema de processamento de caminhos foi resolvido por meio de melhorias na validação.

CVE-2024-44190: Rodolphe BRUNETTI (@eisw0lf)

Transparency

Disponível para: macOS Ventura

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

Outros reconhecimentos

AirPort

Gostaríamos de agradecer a David Dudok de Wit pela ajuda.

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: