Acerca dos conteúdos de segurança do macOS Sequoia 15

Este documento descreve os conteúdos de segurança do macOS Sequoia 15.

Acerca das atualizações de segurança da Apple

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação e não estiverem disponíveis as correções ou os lançamentos necessários. Os lançamentos recentes estão listados na página Lançamentos de segurança da Apple.

Sempre que possível, os documentos de segurança da Apple designam as vulnerabilidades através de ID CVE.

Para obter mais informações acerca da segurança, consulte a página Segurança dos produtos Apple.

MacOS Sequoia 15

Data de lançamento: 16 de setembro de 2024

Accounts

Disponível para: Mac Studio (2022 e posterior), iMac (2019 e posterior), Mac Pro (2019 e posterior), Mac mini (2018 e posterior), MacBook Air (2020 e posterior), MacBook Pro (2018 e posterior) e iMac Pro (2017 e posterior)

Impacto: uma app poderá conseguir divulgar informações confidenciais do utilizador

Descrição: o problema foi resolvido através de verificações melhoradas.

CVE-2024-44129

Accounts

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: o problema foi resolvido através da lógica melhorada de permissões.

CVE-2024-44153: Mickey Jin (@patch1t)

Accounts

Impacto: uma app poderá conseguir aceder a dados do utilizador protegidos

Descrição: foi resolvido um problema de permissões com restrições adicionais.

CVE-2024-44188: Bohdan Stasiuk (@Bohdan_Stasiuk)

Airport

Impacto: uma app maliciosa poderá conseguir alterar as definições de rede

Descrição: foi resolvido um problema de permissões com restrições adicionais.

CVE-2024-40792: Yiğit Can YILMAZ (@yilmazcanyigit)

Entrada adicionada a 28 de outubro de 2024

APFS

Impacto: uma app maliciosa com privilégios de raiz poderá conseguir modificar o conteúdo de ficheiros do sistema

Descrição: o problema foi resolvido através de verificações melhoradas.

CVE-2024-40825: Pedro Tôrres (@t0rr3sp3dr0)

APNs

Impacto: uma app com privilégios de raiz poderá conseguir aceder a informações privadas

Descrição: este problema foi resolvido através da proteção de dados melhorada.

CVE-2024-44130

App Intents

Impacto: uma app poderá conseguir aceder a dados confidenciais registados quando um atalho não conseguir lançar outra app

Descrição: este problema foi resolvido através de melhorias na redação de informações confidenciais.

CVE-2024-44182: Kirin (@Pwnrin)

AppleGraphicsControl

Impacto: o processamento de um ficheiro criado com intuito malicioso poderá provocar o encerramento inesperado da app

Descrição: foi resolvido um problema de inicialização de memória através do processamento melhorado da memória.

CVE-2024-44154: Michael DePlante (@izobashi) do programa Zero Day Initiative da Trend Micro

AppleGraphicsControl

Impacto: o processamento de um ficheiro de vídeo criado com intuito malicioso poderá provocar o encerramento inesperado da app

Descrição: o problema foi resolvido através do processamento da memória melhorado.

CVE-2024-40845: Pwn2car em colaboração com o programa Zero Day Initiative da Trend Micro

CVE-2024-40846: Michael DePlante (@izobashi) do programa Zero Day Initiative da Trend Micro

AppleMobileFileIntegrity

Impacto: uma app poderá conseguir contornar as preferências de privacidade

Descrição: este problema foi resolvido através de verificações melhoradas.

CVE-2024-44164: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Impacto: uma app poderá conseguir aceder a dados do utilizador protegidos

Descrição: foi resolvido um problema de permissões com restrições adicionais.

CVE-2024-40837: Kirin (@Pwnrin)

AppleMobileFileIntegrity

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: o problema foi resolvido com restrições adicionais de assinatura de código.

CVE-2024-40847: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Impacto: um atacante poderá conseguir ler informações confidenciais

Descrição: foi resolvido um problema de downgrade com restrições adicionais de assinatura de código.

CVE-2024-40848: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Impacto: uma app poderá conseguir modificar partes protegidas do sistema de ficheiros

Descrição: foi resolvido um problema de injeção na biblioteca com restrições adicionais.

CVE-2024-44168: Claudio Bozzato e Francesco Benvenuto da Cisco Talos

AppleVA

Impacto: uma app poderá conseguir ler a memória restrita

Descrição: o problema foi resolvido através do processamento da memória melhorado.

CVE-2024-27860: Michael DePlante (@izobashi) do programa Zero Day Initiative da Trend Micro

CVE-2024-27861: Michael DePlante (@izobashi) do programa Zero Day Initiative da Trend Micro

AppleVA

Impacto: o processamento de um ficheiro de vídeo criado com intuito malicioso poderá provocar o encerramento inesperado da app

Descrição: foi resolvido um problema de escrita fora dos limites através da verificação melhorada dos limites.

CVE-2024-40841: Michael DePlante (@izobashi) do programa Zero Day Initiative da Trend Micro

AppSandbox

Impacto: uma extensão da câmara poderá conseguir aceder à internet

Descrição: foi resolvido um problema de permissões com restrições adicionais.

CVE-2024-27795: Halle Winkler, Politepix @hallewinkler

AppSandbox

Impacto: uma app poderá conseguir aceder a ficheiros protegidos num contentor de App Sandbox

Descrição: foi resolvido um problema de permissões com restrições adicionais.

CVE-2024-44135: Mickey Jin (@patch1t)

ArchiveService

Impacto: uma app poderá conseguir infringir a sandbox

Descrição: este problema foi resolvido através do tratamento melhorado de ligações simbólicas.

CVE-2024-44132: Mickey Jin (@patch1t)

ARKit

Impacto: o processamento de um ficheiro criado com intuito malicioso poderá provocar a corrupção da área dinâmica para dados

Descrição: o problema foi resolvido através de verificações melhoradas.

CVE-2024-44126: Holger Fuhrmannek

Entrada adicionada a 28 de outubro de 2024

Automator

Impacto: um fluxo de trabalho Ação rápida do Automator poderá conseguir ignorar o Gatekeeper

Descrição: este problema foi resolvido através da adição de um pedido adicional de consentimento do utilizador.

CVE-2024-44128: Anton Boegler

bless

Impacto: uma app poderá conseguir modificar partes protegidas do sistema de ficheiros

Descrição: foi resolvido um problema de permissões com restrições adicionais.

CVE-2024-44151: Mickey Jin (@patch1t)

Compression

Impacto: o desempacotamento de um arquivo criado com intuito malicioso poderá permitir a um atacante escrever ficheiros arbitrários

Descrição: foi resolvida uma condição de disputa através do bloqueio melhorado.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Control Center

Impacto: uma app pode conseguir gravar o ecrã sem um indicador

Descrição: o problema foi resolvido através de verificações melhoradas.

CVE-2024-27869: um investigador anónimo

Control Center

Impacto: os indicadores de privacidade de acesso ao microfone ou à câmara podem ser incorretamente atribuídos

Descrição: foi resolvido um problema de lógica através da gestão melhorada do estado.

CVE-2024-27875: Yiğit Can YILMAZ (@yilmazcanyigit)

copyfile

Impacto: uma app poderá conseguir infringir a sandbox

Descrição: foi resolvido um problema de lógica através de um processamento melhorado do ficheiro.

CVE-2024-44146: um investigador anónimo

Core Data

Impacto: uma app poderá conseguir ler informações confidenciais de localização

Descrição: um problema de privacidade foi resolvido através de melhorias na redação de dados privados de entradas do registo.

CVE-2024-27849: Kirin (@Pwnrin), Rodolphe Brunetti (@eisw0lf)

Entrada adicionada a 28 de outubro de 2024

CUPS

Impacto: o processamento de um ficheiro criado com intuito malicioso poderá provocar o encerramento inesperado da app

Descrição: esta é uma vulnerabilidade existente em código open source e o Software da Apple encontra-se entre os projetos afetados. O ID CVE foi atribuído por terceiros. Saiba mais sobre o problema e o ID CVE em cve.org.

CVE-2023-4504

DiskArbitration

Impacto: uma app em sandbox poderá conseguir aceder a dados confidenciais do utilizador

Descrição: o problema foi resolvido através de verificações melhoradas.

CVE-2024-40855: Csaba Fitzl (@theevilbit) da Kandji

Entrada adicionada a 28 de outubro de 2024

Disk Images

Impacto: uma app poderá conseguir infringir a sandbox

Descrição: este problema foi resolvido através da validação melhorada de atributos de ficheiro.

CVE-2024-44148: um investigador anónimo

Dock

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: foi resolvido um problema de privacidade ao remover dados confidenciais.

CVE-2024-44177: um investigador anónimo

FileProvider

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: este problema foi resolvido através da validação melhorada de ligações simbólicas.

CVE-2024-44131: @08Tc3wBB da Jamf

Game Center

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: foi resolvido um problema de acesso a ficheiros através da validação melhorada.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

Image Capture

Impacto: uma app poderá conseguir aceder à Fototeca de um utilizador

Descrição: foi resolvido um problema de permissões com restrições adicionais.

CVE-2024-40831: Mickey Jin (@patch1t)

ImageIO

Impacto: o processamento de um ficheiro criado com intuito malicioso poderá provocar o encerramento inesperado da app

Descrição: foi resolvido um problema de leitura fora dos limites através da verificação melhorada da entrada.

CVE-2024-27880: Junsung Lee

ImageIO

Impacto: o processamento de uma imagem pode resultar numa recusa de serviço

Descrição: foi resolvido um problema de acesso fora dos limites através da verificação melhorada dos limites.

CVE-2024-44176: dw0r do ZeroPointer Lab em colaboração com o programa Zero Day Initiative da Trend Micro, um investigador anónimo

Installer

Impacto: uma app poderá conseguir obter privilégios de raiz

Descrição: o problema foi resolvido através de verificações melhoradas.

CVE-2024-40861: Mickey Jin (@patch1t)

Intel Graphics Driver

Impacto: o processamento de uma textura criada com intuito malicioso poderá provocar o encerramento inesperado da app

Descrição: foi resolvido um problema de ultrapassagem do limite máximo do buffer através do processamento melhorado da memória.

CVE-2024-44160: Michael DePlante (@izobashi) do programa Zero Day Initiative da Trend Micro

Intel Graphics Driver

Impacto: o processamento de uma textura criada com intuito malicioso poderá provocar o encerramento inesperado da app

Descrição: foi resolvido um problema de leitura fora dos limites através da verificação melhorada dos limites.

CVE-2024-44161: Michael DePlante (@izobashi) do programa Zero Day Initiative da Trend Micro

IOSurfaceAccelerator

Impacto: uma app poderá conseguir provocar um encerramento inesperado do sistema

Descrição: o problema foi resolvido através do processamento da memória melhorado.

CVE-2024-44169: Antonio Zekić

Kernel

Impacto: o tráfego de rede pode escapar para fora de um tunel VPN

Descrição: foi resolvido um problema de lógica através de verificações melhoradas.

CVE-2024-44165: Andrew Lytvynov

Kernel

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: este problema foi resolvido através da validação melhorada de ligações simbólicas.

CVE-2024-44175: Csaba Fitzl (@theevilbit) da Kandji

Entrada adicionada a 28 de outubro de 2024

Kernel

Impacto: uma app pode obter acesso não autorizado ao Bluetooth

Descrição: este problema foi resolvido através da gestão melhorada do estado.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) e Mathy Vanhoef

LaunchServices

Impacto: uma aplicação poderá conseguir infringir a sandbox

Descrição: foi resolvido um problema de lógica através de verificações melhoradas.

CVE-2024-44122: um investigador anónimo

Entrada adicionada a 28 de outubro de 2024

libxml2

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar uma falha inesperada no processo

Descrição: foi resolvido um problema de ultrapassagem do limite máximo de números inteiros através da validação melhorada da entrada.

CVE-2024-44198: OSS-Fuzz, Ned Williamson do Google Project Zero

Mail Accounts

Impacto: uma app maliciosa poderá conseguir aceder a informações sobre os contactos do utilizador

Descrição: um problema de privacidade foi resolvido através de melhorias na redação de dados privados de entradas do registo.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

Maps

Impacto: uma app poderá conseguir ler informações confidenciais de localização

Descrição: foi resolvido um problema através do processamento melhorado de ficheiros temporários.

CVE-2024-44181: Kirin(@Pwnrin) e LFY(@secsys) da Fudan University

mDNSResponder

Impacto: uma app poderá causar uma recusa de serviço

Descrição: foi resolvido um erro de lógica através de um processamento melhorado do erro.

CVE-2024-44183: Olivier Levon

Model I/O

Impacto: o processamento de uma imagem criada com intuito malicioso poderá causar uma recusa de serviço

CVE-2023-5841

Music

Impacto: uma app poderá conseguir aceder a dados do utilizador protegidos

Descrição: foi resolvido um problema de permissões com restrições adicionais.

CVE-2024-27858: Meng Zhang (鲸落) da NorthSea, Csaba Fitzl (@theevilbit) da Kandji

Entrada atualizada a 28 de outubro de 2024

Notes

Impacto: uma app poderá conseguir substituir ficheiros arbitrários

Descrição: este problema foi resolvido através da remoção de código vulnerável.

CVE-2024-44167: ajajfxhj

Notification Center

Impacto: uma app maliciosa poderá conseguir aceder a notificações do dispositivo do utilizador.

Descrição: foi resolvido um problema de privacidade ao mover dados confidenciais para uma localização protegida.

CVE-2024-40838: Brian McNulty, Cristian Dinca da "Tudor Vianu" National High School of Computer Science, na Roménia, e Vaibhav Prajapati

NSColor

Impacto: uma app poderá conseguir aceder a dados do utilizador protegidos

Descrição: foi resolvido um problema de acesso através de restrições adicionais da sandbox.

CVE-2024-44186: um investigador anónimo

OpenSSH

Impacto: vários problemas no OpenSSH

CVE-2024-39894

PackageKit

Impacto: uma app poderá conseguir modificar partes protegidas do sistema de ficheiros

Descrição: este problema foi resolvido através da validação melhorada de ligações simbólicas.

CVE-2024-44178: Mickey Jin (@patch1t)

Printing

Impacto: um documento não encriptado poderá ser escrito num ficheiro temporário ao utilizar a pré-visualização de impressão

Descrição: foi resolvido um problema de privacidade através do processamento melhorado de ficheiros.

CVE-2024-40826: um investigador anónimo

Quick Look

Impacto: uma app poderá conseguir aceder a dados do utilizador protegidos

Descrição: foi resolvido um problema de permissões com restrições adicionais.

CVE-2024-44149: Wojciech Regula da SecuRing (wojciechregula.blog), Csaba Fitzl (@theevilbit) da Kandji

Entrada atualizada a 28 de outubro de 2024

Safari

Impacto: aceder a um site malicioso poderá provocar a falsificação da interface do utilizador

Descrição: este problema foi resolvido através da gestão melhorada do estado.

CVE-2024-40797: Rifa'i Rejal Maynando

Safari

Impacto: os conteúdos web criados com intuito malicioso poderão violar a política do sandbox do iframe

Descrição: foi resolvido um problema com o processamento do esquema de URL personalizado através da validação melhorada da entrada.

CVE-2024-44155: Narendra Bhati, Diretor de Cibersegurança da Suma Soft Pvt. Ltd, Pune (Índia)

Entrada adicionada a 28 de outubro de 2024

Sandbox

Impacto: uma app maliciosa poderá conseguir divulgar informações confidenciais do utilizador

Descrição: o problema foi resolvido através de verificações melhoradas.

CVE-2024-44125: Zhongquan Li (@Guluisacat)

Sandbox

Impacto: uma app maliciosa poderá conseguir aceder a informações privadas

Descrição: o problema foi resolvido através de verificações melhoradas.

CVE-2024-44163: Zhongquan Li (@Guluisacat)

Sandbox

Impacto: uma app poderá conseguir aceder à Fototeca de um utilizador

Descrição: foi resolvido um problema de permissões com restrições adicionais.

CVE-2024-44203: Yiğit Can YILMAZ (@yilmazcanyigit), Wojciech Regula da SecuRing (wojciechregula.blog), Kirin (@Pwnrin) da NorthSea

Entrada adicionada a 28 de outubro de 2024

SceneKit

Impacto: o processamento de um ficheiro criado com intuito malicioso poderá provocar o encerramento inesperado da app

Descrição: foi resolvido um problema de ultrapassagem do limite máximo do buffer com a validação melhorada do tamanho.

CVE-2024-44144: 냥냥

Entrada adicionada a 28 de outubro de 2024

Screen Capture

Impacto: um atacante com acesso físico poderá conseguir partilhar elementos a partir do ecrã bloqueado

Descrição: o problema foi resolvido através de verificações melhoradas.

CVE-2024-44137: Halle Winkler, Politepix @hallewinkler

Entrada adicionada a 28 de outubro de 2024

Screen Capture

Impacto: um atacante poderá conseguir ver conteúdos restritos a partir do ecrã bloqueado

Descrição: o problema foi resolvido através de verificações melhoradas.

CVE-2024-44174: Vivek Dhar

Entrada adicionada a 28 de outubro de 2024

Security

Impacto: uma app maliciosa com privilégios de raiz poderá conseguir aceder a informações de entrada por teclado e de localização sem consentimento do utilizador

Descrição: foi resolvido um problema de permissões com restrições adicionais.

CVE-2024-44123: Wojciech Regula da SecuRing (wojciechregula.blog)

Entrada adicionada a 28 de outubro de 2024

Security Initialization

Impacto: uma app poderá conseguir aceder a dados do utilizador protegidos

Descrição: foi resolvido um problema de permissões com restrições adicionais.

CVE-2024-40801: Zhongquan Li (@Guluisacat), Pedro José Pereira Vieito (@pvieito), um investigador anónimo

Shortcuts

Impacto: uma app poderá conseguir aceder a dados do utilizador protegidos

Descrição: foi resolvido um problema de permissões com restrições adicionais.

CVE-2024-40837: Kirin (@Pwnrin)

Shortcuts

Impacto: um atalho poderá apresentar dados confidenciais do utilizador sem consentimento

Descrição: este problema foi resolvido através de melhorias na redação de informações confidenciais.

CVE-2024-44158: Kirin (@Pwnrin)

Shortcuts

Impacto: uma app pode ser capaz de observar os dados do utilizador através dos Atalhos

Descrição: foi resolvido um problema de privacidade através do processamento melhorado de ficheiros temporários.

CVE-2024-40844: Kirin (@Pwnrin) e luckyu (@uuulucky) do NorthSea

Sidecar

Impacto: um atacante com acesso físico a um dispositivo macOS com o Sidecar ativado poderá conseguir contornar o ecrã bloqueado

Descrição: este problema foi resolvido através da gestão melhorada do estado.

CVE-2024-44145: Om Kothawade, Omar A. Alanis da UNTHSC College of Pharmacy

Entrada adicionada a 28 de outubro de 2024

Siri

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: foi resolvido um problema de privacidade ao mover dados confidenciais para uma localização mais segura.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

sudo

Impacto: uma app poderá conseguir modificar partes protegidas do sistema de ficheiros

Descrição: foi resolvido um problema de lógica através de verificações melhoradas.

CVE-2024-40860: Arsenii Kostromin (0x3c3e)

System Settings

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: um problema de privacidade foi resolvido através de melhorias na redação de dados privados de entradas do registo.

CVE-2024-44152: Kirin (@Pwnrin)

CVE-2024-44166: Kirin (@Pwnrin) e LFY (@secsys) da Fudan University

System Settings

Impacto: uma app poderá conseguir ler ficheiros arbitrários

Descrição: foi resolvido um problema de gestão de caminhos através da validação melhorada.

CVE-2024-44190: Rodolphe BRUNETTI (@eisw0lf)

TCC

Impacto: em dispositivos geridos pela MDM, uma app poderá conseguir ignorar determinadas preferências de Privacidade

Descrição: este problema foi resolvido através da remoção de código vulnerável.

CVE-2024-44133: Jonathan Bar Or (@yo_yo_yo_jbo) da Microsoft

Transparency

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: foi resolvido um problema de permissões com restrições adicionais.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

TV App

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: foi resolvido um problema de permissões com restrições adicionais.

CVE-2024-40859: Csaba Fitzl (@theevilbit) da Kandji

Entrada atualizada a 28 de outubro de 2024

Vim

Impacto: o processamento de um ficheiro criado com intuito malicioso poderá provocar o encerramento inesperado da app

CVE-2024-41957

WebKit

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar uma execução universal de scripts entre sites

Descrição: este problema foi resolvido através da gestão melhorada do estado.

WebKit Bugzilla: 268724

CVE-2024-40857: Ron Masas

WebKit

Impacto: aceder a um site malicioso poderá provocar a falsificação dos conteúdos na barra de endereço

Descrição: o problema foi resolvido através de uma IU melhorada.

WebKit Bugzilla: 279451

CVE-2024-40866: Hafiizh e YoKo Kho (@yokoacc) da HakTrak

WebKit

Impacto: um site malicioso poderá exfiltrar dados de origens cruzadas

Descrição: existia um problema na origem cruzada de elementos "iframe". Este problema foi resolvido através de uma melhoria no controlo das origens de segurança.

WebKit Bugzilla: 279452

CVE-2024-44187: Narendra Bhati, Manager de Cyber Security da Suma Soft Pvt. Ltd, Pune (Índia)

Wi-Fi

Impacto: um utilizador não privilegiado poderá conseguir modificar as definições de rede restrita

Descrição: foi resolvido um problema de permissões com restrições adicionais.

CVE-2024-40770: Yiğit Can YILMAZ (@yilmazcanyigit)

Wi-Fi

Impacto: uma app poderá causar uma recusa de serviço

Descrição: o problema foi resolvido através do processamento da memória melhorado.

CVE-2024-23237: Charly Suchanek

Wi-Fi

Impacto: uma app poderá conseguir ler informações confidenciais de localização

Descrição: este problema foi resolvido através de melhorias na redação de informações confidenciais.

CVE-2024-44134

Wi-Fi

Impacto: um atacante pode conseguir força um dispositivo e desligar-se de uma rede segura

Descrição: foi resolvido um problema de integridade através de proteção do beacon.

CVE-2024-40856: Domien Schepers

WindowServer

Impacto: existia um problema de lógica em que um processo poderia conseguir capturar conteúdos do ecrã sem consentimento do utilizador.

Descrição: o problema foi resolvido através de verificações melhoradas.

CVE-2024-44189: Tim Clem

WindowServer

Impacto: uma app poderá conseguir contornar determinadas preferências de privacidade

Descrição: este problema foi resolvido através da gestão melhorada do estado.

CVE-2024-44208: um investigador anónimo

Entrada adicionada a 28 de outubro de 2024

XProtect

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: um problema foi resolvido através da validação melhorada das variáveis de ambiente.

CVE-2024-40842: Gergely Kalman (@gergely_kalman)

XProtect

Impacto: uma app poderá conseguir modificar partes protegidas do sistema de ficheiros

Descrição: o problema foi resolvido através de verificações melhoradas.

CVE-2024-40843: Koh M. Nakagawa (@tsunek0h)

Agradecimentos adicionais

Admin Framework

Gostaríamos de agradecer a Csaba Fitzl (@theevilbit) da Kandji pela sua colaboração.

Entrada atualizada a 28 de outubro de 2024

Airport

Gostaríamos de agradecer a David Dudok de Wit pela sua colaboração.

Entrada atualizada a 28 de outubro de 2024

APFS

Gostaríamos de agradecer a Georgi Valkov da httpstorm.com pela sua colaboração.

App Store

Gostaríamos de agradecer a Csaba Fitzl (@theevilbit) da Kandji pela sua colaboração.

Entrada atualizada a 28 de outubro de 2024

AppKit

Gostaríamos de agradecer a @08Tc3wBB da Jamf pela sua colaboração.

Apple Neural Engine

Gostaríamos de agradecer a Jiaxun Zhu (@svnswords) e Minghao Lin (@Y1nKoc) pela sua colaboração.

Automator

Gostaríamos de agradecer a Koh M. Nakagawa (@tsunek0h) pela sua colaboração.

Core Bluetooth

Gostaríamos de agradecer a Nicholas C. da Onymos Inc. (onymos.com) pela sua colaboração.

Core Services

Gostaríamos de agradecer a Cristian Dinca da "Tudor Vianu" National High School of Computer Science, na Roménia, Kirin (@Pwnrin) e 7feilee, Snoolie Keffaber (@0xilis), Tal Lossos, Zhongquan Li (@Guluisacat) pela sua colaboração

CUPS

Gostaríamos de agradecer a moein abas pela sua colaboração.

Entrada adicionada a 28 de outubro de 2024

Disk Utility

Gostaríamos de agradecer a Csaba Fitzl (@theevilbit) da Kandji pela sua colaboração.

dyld

Gostaríamos de agradecer a Pietro Francesco Tirenna, Davide Silvetti, Abdel Adim Oisfi da Shielder (shielder.com) pela sua colaboração.

Entrada adicionada a 28 de outubro de 2024

FileProvider

Gostaríamos de agradecer a Kirin (@Pwnrin) pela sua colaboração.

Foundation

Gostaríamos de agradecer a Ostorlab pela sua colaboração.

Kernel

Gostaríamos de agradecer a Braxton Anderson, Fakhri Zulkifli (@d0lph1n98) da PixiePoint Security pela sua colaboração.

libxpc

Gostaríamos de agradecer a Rasmus Sten, F-Secure (Mastodon: @pajp@blog.dll.nu) pela sua colaboração.

LLVM

Gostaríamos de agradecer a Victor Duta da Universiteit Amsterdam, Fabio Pagani da Universidade da Califórnia, Santa Barbara, Cristiano Giuffrida da Universiteit Amsterdam, Marius Muench e Fabian Freyer pela sua colaboração.

Maps

Gostaríamos de agradecer a Kirin (@Pwnrin) pela sua colaboração.

Music

Gostaríamos de agradecer a Khiem Tran da databaselog.com/khiemtran, K宝 e LFY@secsys da Universidade de Fudan, Yiğit Can YILMAZ (@yilmazcanyigit) pela sua colaboração.

Notification Center

Gostaríamos de agradecer a Kirin (@Pwnrin) e LFYSec pela sua colaboração.

Entrada adicionada a 28 de outubro de 2024

Notifications

Gostaríamos de agradecer a um investigador anónimo pela sua colaboração.

PackageKit

Gostaríamos de agradecer a Csaba Fitzl (@theevilbit) da Kandji, Mickey Jin (@patch1t), Zhongquan Li (@Guluisacat) pela sua colaboração.

Entrada atualizada a 28 de outubro de 2024

Passwords

Gostaríamos de agradecer a Richard Hyunho Im (@r1cheeta) pela sua colaboração.

Photos

Gostaríamos de agradecer a Abhay Kailasia (@abhay_kailasia) da Lakshmi Narain College of Technology Bhopal, Índia, Harsh Tyagi, Leandro Chaves pela sua colaboração.

Podcasts

Os nossos agradecimentos a Yiğit Can YILMAZ (@yilmazcanyigit) pela sua ajuda.

Quick Look

Gostaríamos de agradecer a Zhipeng Huo (@R3dF09) do Tencent Security Xuanwu Lab (xlab.tencent.com) pela sua colaboração.

Safari

Gostaríamos de agradecer a Hafiizh e YoKo Kho (@yokoacc) da HakTrak, Junsung Lee, Shaheen Fazim pela sua colaboração.

Sandbox

Gostaríamos de agradecer a Cristian Dinca, da "Tudor Vianu" National High School of Computer Science, na Roménia, pela sua colaboração.

Entrada atualizada a 28 de outubro de 2024

Screen Capture

Gostaríamos de agradecer a YJoshua Jewett (@JoshJewett33), Yiğit Can YILMAZ (@yilmazcanyigit) e a um investigador anónimo pela sua colaboração.

Shortcuts

Gostaríamos de agradecer a Cristian Dinca da "Tudor Vianu" National High School of Computer Science, na Roménia, Jacob Braun, e um investigador anónimo pela sua colaboração.

Siri

Gostaríamos de agradecer a Abhay Kailasia (@abhay_kailasia) da Lakshmi Narain College of Technology, Bhopal, Índia, Rohan Paudel e a um investigador anónimo pela sua colaboração.

Entrada atualizada a 28 de outubro de 2024

SystemMigration

Gostaríamos de agradecer a Jamey Wicklund, Kevin Jansen e a um investigador anónimo pela sua colaboração.

TCC

Gostaríamos de agradecer a Noah Gregory (wts.dev), Vaibhav Prajapati pela sua colaboração.

UIKit

Gostaríamos de agradecer a Andr.Ess pela sua colaboração.

Voice Memos

Gostaríamos de agradecer a Lisa B pela sua colaboração.

WebKit

Gostaríamos de agradecer a Avi Lumelsky da Oligo Security, Uri Katz da Oligo Security, Braylon (@softwarescool), Eli Grey (eligrey.com), Johan Carlsson (joaxcar), Numan Türle - Rıza Sabuncu pela sua colaboração.

Entrada atualizada a 28 de outubro de 2024

Wi-Fi

Gostaríamos de agradecer a Antonio Zekic (@antoniozekic) e ant4g0nist, e Tim Michaud (@TimGMichaud) da Moveworks.ai pela sua colaboração.

WindowServer

Gostaríamos de agradecer a Felix Kratz pela sua colaboração.

Entrada atualizada a 28 de outubro de 2024

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Contacte o fornecedor para obter mais informações.

Data de publicação: 04 de novembro de 2024