Sobre o conteúdo de segurança do macOS Monterey 12.7

Este documento descreve o conteúdo de segurança do macOS Monterey 12.7.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Versões de segurança da Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

Para obter mais informações sobre segurança, consulte a página sobre segurança de produtos Apple.

macOS Monterey 12.7

Lançamento em 21 de setembro de 2023

Apple Neural Engine

Disponível para: macOS Monterey

Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2023-40412: Mohamed GHANNAM (@_simo36)

CVE-2023-40409: Ye Zhang (@VAR10CK) do Baidu Security

Entrada adicionada em 26 de setembro de 2023

Apple Neural Engine

Disponível para: macOS Monterey

Impacto: um app pode divulgar a memória do kernel

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.

CVE-2023-40410: Tim Michaud (@TimGMichaud) da Moveworks.ai

Entrada adicionada em 26 de setembro de 2023

Ask to Buy

Disponível para: macOS Monterey

Impacto: um app pode conseguir acessar dados protegidos do usuário

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2023-38612: Chris Ross (Zoom)

Entrada adicionada em 22 de dezembro de 2023

Biometric Authentication

Disponível para: macOS Monterey

Impacto: um app pode divulgar a memória do kernel

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na verificação de limites.

CVE-2023-41232: Liang Wei da PixiePoint Security

Entrada adicionada em 26 de setembro de 2023

ColorSync

Disponível para: macOS Monterey

Impacto: um app pode ler arquivos arbitrários

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2023-40406: JeongOhKyea da Theori

Entrada adicionada em 26 de setembro de 2023

CoreAnimation

Disponível para: macOS Monterey

Impacto: o processamento de conteúdo da web pode levar a uma negação de serviço

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2023-40420: 이준성(Junsung Lee) da Cross Republic

Entrada adicionada em 26 de setembro de 2023

Disk Management

Disponível para: macOS Monterey

Impacto: um app pode ler arquivos arbitrários

Descrição: esse problema foi resolvido por meio de melhorias na validação de links simbólicos.

CVE-2023-41968: Mickey Jin (@patch1t) e James Hutchins

Entrada adicionada em 26 de setembro de 2023

Game Center

Disponível para: macOS Monterey

Impacto: um app pode conseguir acessar os contatos

Descrição: o problema foi resolvido por meio de melhorias no gerenciamento dos caches.

CVE-2023-40395: Csaba Fitzl (@theevilbit) da Offensive Security

Entrada adicionada em 26 de setembro de 2023

Kernel

Disponível para: macOS Monterey

Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) do STAR Labs SG Pte. Ltd.

Entrada adicionada em 26 de setembro de 2023

Kernel

Disponível para: macOS Monterey

Impacto: um invasor local pode conseguir elevar os próprios privilégios. A Apple está ciente de um relatório de que esse problema pode ter sido ativamente explorado em relação a versões do iOS lançadas antes do iOS 16.7.

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2023-41992: Bill Marczak do The Citizen Lab na The University of Toronto's Munk School e Maddie Stone do Threat Analysis Group do Google

libxpc

Disponível para: macOS Monterey

Impacto: um app pode conseguir acessar dados protegidos do usuário

Descrição: um problema de autorização foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2023-41073: Zhipeng Huo (@R3dF09) do Tencent Security Xuanwu Lab (xlab.tencent.com)

Entrada adicionada em 26 de setembro de 2023

libxpc

Disponível para: macOS Monterey

Impacto: um app pode conseguir apagar arquivos para os quais não tem permissão

Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.

CVE-2023-40454: Zhipeng Huo (@R3dF09) do Tencent Security Xuanwu Lab (xlab.tencent.com)

Entrada adicionada em 26 de setembro de 2023

libxslt

Disponível para: macOS Monterey

Impacto: o processamento de conteúdo da Web pode revelar informações confidenciais

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2023-40403: Dohyun Lee (@l33d0hyun) da PK Security

Entrada adicionada em 26 de setembro de 2023

Maps

Disponível para: macOS Monterey

Impacto: um app pode conseguir ler informações confidenciais de localização

Descrição: o problema foi resolvido por meio de melhorias no gerenciamento dos caches.

CVE-2023-40427: Adam M. e Wojciech Regula da SecuRing (wojciechregula.blog)

Entrada adicionada em 26 de setembro de 2023

Sandbox

Disponível para: macOS Monterey

Impacto: um app pode substituir arquivos arbitrários

Descrição: o problema foi resolvido por meio de melhorias nas verificações de limites.

CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)

Entrada adicionada em 26 de setembro de 2023

Outros reconhecimentos

Apple Neural Engine

Gostaríamos de agradecer a pattern-f (@pattern_F_) do Ant Security Light-Year Lab pela ajuda.

Entrada adicionada em 22 de dezembro de 2023

AppSandbox

Gostaríamos de agradecer a Kirin (@Pwnrin) pela ajuda.

Entrada adicionada em 26 de setembro de 2023

Kernel

Gostaríamos de agradecer a Bill Marczak do The Citizen Lab, na The University of Toronto's Munk School, e a Maddie Stone do Google's Threat Analysis Group pela ajuda.

libxml2

Gostaríamos de agradecer a OSS-Fuzz e Ned Williamson do Google Project Zero pela ajuda.

Entrada adicionada em 26 de setembro de 2023

WebKit

Gostaríamos de agradecer a Khiem Tran e Narendra Bhati da Suma Soft Pvt. Ltd. Pune (Índia) pela ajuda.

Entrada adicionada em 26 de setembro de 2023

WebRTC

Gostaríamos de agradecer a um pesquisador anônimo pela ajuda.

Entrada adicionada em 26 de setembro de 2023

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: