Sobre o conteúdo de segurança do macOS Ventura 13.7
Este documento descreve o conteúdo de segurança do macOS Ventura 13.7.
Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que seja conduzida investigação e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página de versões de segurança da Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
Para obter mais informações sobre segurança, consulte a página Segurança do produto Apple.
macOS Ventura 13.7
Lançamento em 16 de setembro de 2024
Accounts
Disponível para: macOS Ventura
Impacto: um app pode causar vazamento de informações confidenciais do usuário
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
CVE-2024-44129
App Intents
Disponível para: macOS Ventura
Impacto: um app poderia ser capaz de acessar dados confidenciais quando um atalho falha em iniciar outro app
Descrição: esse problema foi resolvido por meio de melhorias na redação de informações confidenciais.
CVE-2024-44182: Kirin (@Pwnrin)
AppKit
Disponível para: macOS Ventura
Impacto: um app sem privilégios pode registrar as teclas digitadas em outros apps, incluindo aqueles que usam o modo de entrada seguro
Descrição: um problema de lógica foi resolvido por meio de melhorias nas restrições.
CVE-2024-27886: Stephan Casas e um pesquisador anônimo
AppleMobileFileIntegrity
Disponível para: macOS Ventura
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: um problema foi resolvido por meio de restrições adicionais de assinatura de código.
CVE-2024-40847: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Disponível para: macOS Ventura
Impacto: um app pode ignorar as preferências de Privacidade
Descrição: um problema em downgrade foi resolvido por meio de restrições adicionais de assinatura de código.
CVE-2024-40814: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Disponível para: macOS Ventura
Impacto: um app pode conseguir ignorar as preferências de Privacidade
Descrição: esse problema foi resolvido por meio de melhorias nas verificações.
CVE-2024-44164: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Disponível para: macOS Ventura
Impacto: um app pode conseguir modificar áreas protegidas do sistema de arquivos
Descrição: um problema de injeção de biblioteca foi resolvido por meio de restrições adicionais.
CVE-2024-44168: Claudio Bozzato e Francesco Benvenuto da Cisco Talos
AppleMobileFileIntegrity
Disponível para: macOS Ventura
Impacto: um invasor pode conseguir ler informações confidenciais
Descrição: um problema em downgrade foi resolvido por meio de restrições adicionais de assinatura de código.
CVE-2024-40848: Mickey Jin (@patch1t)
Automator
Disponível para: macOS Ventura
Impacto: um fluxo de trabalho do Automator Quick Action pode ser capaz de ignorar o Gatekeeper
Descrição: o problema foi resolvido por meio da adição de uma solicitação adicional de consentimento do usuário.
CVE-2024-44128: Anton Boegler
bless
Disponível para: macOS Ventura
Impacto: um app pode conseguir modificar áreas protegidas do sistema de arquivos
Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.
CVE-2024-44151: Mickey Jin (@patch1t)
Compression
Disponível para: macOS Ventura
Impacto: descompactar um arquivo criado com códigos maliciosos pode permitir que um invasor grave arquivos arbitrários
Descrição: uma condição de corrida foi resolvida por meio de melhorias no bloqueio.
CVE-2024-27876: Snoolie Keffaber (@0xilis)
Dock
Disponível para: macOS Ventura
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: um problema de privacidade foi resolvido com a remoção de dados confidenciais.
CVE-2024-44177: pesquisador anônimo
Game Center
Disponível para: macOS Ventura
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: um problema acesso ao arquivo foi resolvido por meio de melhorias na validação de entradas.
CVE-2024-40850: Denis Tokarev (@illusionofcha0s)
ImageIO
Disponível para: macOS Ventura
Impacto: o processamento de uma imagem pode levar a uma negação de serviço
Descrição: um problema de acesso fora dos limites foi resolvido por meio de melhorias na verificação de limites.
CVE-2024-44176: dw0r da ZeroPointer Lab em parceria com a Trend Micro Zero Day Initiative, um pesquisador anônimo
Intel Graphics Driver
Disponível para: macOS Ventura
Impacto: processar uma textura criada maliciosamente pode causar o encerramento inesperado de apps
Descrição: um problema de estouro de buffer foi resolvido por meio de melhorias no processamento da memória.
CVE-2024-44160: Michael DePlante (@izobashi) da Zero Day Initiative da Trend Micro
Intel Graphics Driver
Disponível para: macOS Ventura
Impacto: processar uma textura criada maliciosamente pode causar o encerramento inesperado de apps
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na verificação de limites.
CVE-2024-44161: Michael DePlante (@izobashi) da Zero Day Initiative da Trend Micro
IOSurfaceAccelerator
Disponível para: macOS Ventura
Impacto: um app pode causar o encerramento inesperado do sistema
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2024-44169: Antonio Zekić
Kernel
Disponível para: macOS Ventura
Impacto: o tráfego de rede pode vazar para o exterior de um túnel VPN
Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.
CVE-2024-44165: Andrew Lytvynov
Mail Accounts
Disponível para: macOS Ventura
Impacto: um app pode conseguir acessar informações sobre os contatos de um usuário
Descrição: um problema de privacidade foi resolvido com a redação aprimorada de dados privados para entradas de registro.
CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)
Maps
Disponível para: macOS Ventura
Impacto: um app pode conseguir ler informações confidenciais de localização
Descrição: um problema foi resolvido por meio de melhorias do processamento de arquivos temporários.
CVE-2024-44181: Kirin(@Pwnrin) e LFY(@secsys) da Fudan University
mDNSResponder
Disponível para: macOS Ventura
Impacto: um app pode ser capaz de causar uma negação de serviço
Descrição: um erro de lógica foi resolvido por meio de melhorias no processamento de erros.
CVE-2024-44183: Olivier Levon
Notes
Disponível para: macOS Ventura
Impacto: um app pode substituir arquivos arbitrários
Descrição: o problema foi resolvido por meio da remoção do código vulnerável.
CVE-2024-44167: ajajfxhj
PackageKit
Disponível para: macOS Ventura
Impacto: um app pode conseguir modificar áreas protegidas do sistema de arquivos
Descrição: esse problema foi resolvido por meio de melhorias na validação de links simbólicos.
CVE-2024-44178: Mickey Jin (@patch1t)
Safari
Disponível para: macOS Ventura
Impacto: acessar um site malicioso pode levar à falsificação da interface de usuário
Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2024-40797: Rifa'i Rejal Maynando
Sandbox
Disponível para: macOS Ventura
Impacto: um aplicativo malicioso pode ter acesso a informações privadas
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
CVE-2024-44163: Zhongquan Li (@Guluisacat)
Shortcuts
Disponível para: macOS Ventura
Impacto: um atalho pode gerar dados confidenciais do usuário sem consentimento
Descrição: esse problema foi resolvido por meio de melhorias na redação de informações confidenciais.
CVE-2024-44158: Kirin (@Pwnrin)
Shortcuts
Disponível para: macOS Ventura
Impacto: um app pode ser capaz de observar dados exibidos para o usuário pelo Atalhos
Descrição: um problema relacionado à privacidade foi resolvido por meio de melhorias no processamento de arquivos temporários.
CVE-2024-40844: Kirin (@Pwnrin) e luckyu (@uuulucky) da NorthSea
System Settings
Disponível para: macOS Ventura
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: um problema de privacidade foi resolvido com a redação aprimorada de dados privados para entradas de registro.
CVE-2024-44166: Kirin(@Pwnrin) da LFY(@secsys) da Fudan University
System Settings
Disponível para: macOS Ventura
Impacto: um app pode ler arquivos arbitrários
Descrição: um problema de processamento de caminhos foi resolvido por meio de melhorias na validação.
CVE-2024-44190: Rodolphe BRUNETTI (@eisw0lf)
Transparency
Disponível para: macOS Ventura
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.
CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)
Outros reconhecimentos
AirPort
Gostaríamos de agradecer a David Dudok de Wit pela ajuda.
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.