Sobre o conteúdo de segurança do macOS Sonoma 14.7
Este documento descreve o conteúdo de segurança do macOS Sonoma 14.7.
Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que seja conduzida investigação e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página de versões de segurança da Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
Para obter mais informações sobre segurança, consulte a página Segurança do produto Apple.
macOS Sonoma 14.7
Lançamento em 16 de setembro de 2024
Accounts
Disponível para: macOS Sonoma
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: o problema foi resolvido por meio de melhorias na lógica de permissões.
CVE-2024-44153: Mickey Jin (@patch1t)
App Intents
Disponível para: macOS Sonoma
Impacto: um app poderia ser capaz de acessar dados confidenciais quando um atalho falha em iniciar outro app
Descrição: esse problema foi resolvido por meio de melhorias na redação de informações confidenciais.
CVE-2024-44182: Kirin (@Pwnrin)
AppleGraphicsControl
Disponível para: macOS Sonoma
Impacto: processar um arquivo de vídeo criado com códigos maliciosos pode causar o encerramento inesperado de apps
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2024-40846: Michael DePlante (@izobashi) da Zero Day Initiative da Trend Micro
CVE-2024-40845: Pwn2car em parceria com a Zero Day Initiative da Trend Micro
AppleGraphicsControl
Disponível para: macOS Sonoma
Impacto: processar um arquivo criado com códigos maliciosos pode causar o encerramento inesperado de apps
Descrição: um problema na inicialização da memória foi resolvido por meio de melhorias no processamento da memória.
CVE-2024-44154: Michael DePlante (@izobashi) da Zero Day Initiative da Trend Micro
AppleMobileFileIntegrity
Disponível para: macOS Sonoma
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: um problema foi resolvido por meio de restrições adicionais de assinatura de código.
CVE-2024-40847: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Disponível para: macOS Sonoma
Impacto: um app pode ignorar as preferências de Privacidade
Descrição: esse problema foi resolvido por meio de melhorias nas verificações.
CVE-2024-44164: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Disponível para: macOS Sonoma
Impacto: um app pode conseguir modificar áreas protegidas do sistema de arquivos
Descrição: um problema de injeção de biblioteca foi resolvido por meio de restrições adicionais.
CVE-2024-44168: Claudio Bozzato e Francesco Benvenuto da Cisco Talos
AppleMobileFileIntegrity
Disponível para: macOS Sonoma
Impacto: um invasor pode conseguir ler informações confidenciais
Descrição: um problema em downgrade foi resolvido por meio de restrições adicionais de assinatura de código.
CVE-2024-40848: Mickey Jin (@patch1t)
AppleVA
Disponível para: macOS Sonoma
Impacto: processar um arquivo de vídeo criado com códigos maliciosos pode causar o encerramento inesperado de apps
Descrição: um problema de gravação fora dos limites foi resolvido por meio de melhorias na verificação de limites.
CVE-2024-40841: Michael DePlante (@izobashi) da Zero Day Initiative da Trend Micro
AppSandbox
Disponível para: macOS Sonoma
Impacto: um app pode ser capaz de acessar arquivos protegidos em um container do App Sandbox
Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.
CVE-2024-44135: Mickey Jin (@patch1t)
ARKit
Disponível para: macOS Sonoma
Impacto: processar um arquivo criado com códigos maliciosos pode causar o corrompimento do heap
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
CVE-2024-44126: Holger Fuhrmannek
Entrada adicionada em 28 de outubro de 2024
Automator
Disponível para: macOS Sonoma
Impacto: um fluxo de trabalho do Automator Quick Action pode ser capaz de ignorar o Gatekeeper
Descrição: o problema foi resolvido por meio da adição de uma solicitação adicional de consentimento do usuário.
CVE-2024-44128: Anton Boegler
bless
Disponível para: macOS Sonoma
Impacto: um app pode conseguir modificar áreas protegidas do sistema de arquivos
Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.
CVE-2024-44151: Mickey Jin (@patch1t)
Compression
Disponível para: macOS Sonoma
Impacto: descompactar um arquivo criado com códigos maliciosos pode permitir que um invasor grave arquivos arbitrários
Descrição: uma condição de corrida foi resolvida por meio de melhorias no bloqueio.
CVE-2024-27876: Snoolie Keffaber (@0xilis)
Dock
Disponível para: macOS Sonoma
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: um problema de privacidade foi resolvido com a remoção de dados confidenciais.
CVE-2024-44177: pesquisador anônimo
Game Center
Disponível para: macOS Sonoma
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: um problema de acesso aos arquivos foi resolvido com a melhoria da validação de entradas.
CVE-2024-40850: Denis Tokarev (@illusionofcha0s)
ImageIO
Disponível para: macOS Sonoma
Impacto: processar um arquivo criado com códigos maliciosos pode causar o encerramento inesperado de apps
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2024-27880: Junsung Lee
ImageIO
Disponível para: macOS Sonoma
Impacto: o processamento de uma imagem pode levar a uma negação de serviço
Descrição: um problema de acesso fora dos limites foi resolvido por meio de melhorias na verificação de limites.
CVE-2024-44176: dw0r do ZeroPointer Lab trabalhando com a Trend Micro Zero Day Initiative, pesquisador anônimo
Intel Graphics Driver
Disponível para: macOS Sonoma
Impacto: processar uma textura criada com códigos maliciosos pode causar o encerramento inesperado de apps
Descrição: um problema de estouro de buffer foi resolvido por meio de melhorias no processamento da memória.
CVE-2024-44160: Michael DePlante (@izobashi) da Zero Day Initiative da Trend Micro
Intel Graphics Driver
Disponível para: macOS Sonoma
Impacto: processar uma textura criada com códigos maliciosos pode causar o encerramento inesperado de apps
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na verificação de limites.
CVE-2024-44161: Michael DePlante (@izobashi) da Zero Day Initiative da Trend Micro
IOSurfaceAccelerator
Disponível para: macOS Sonoma
Impacto: um app pode causar o encerramento inesperado do sistema
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2024-44169: Antonio Zekić
Kernel
Disponível para: macOS Sonoma
Impacto: o tráfego de rede pode vazar para fora de um túnel de VPN
Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.
CVE-2024-44165: Andrew Lytvynov
Mail Accounts
Disponível para: macOS Sonoma
Impacto: um app pode conseguir acessar informações sobre os contatos de um usuário
Descrição: um problema de privacidade foi resolvido com a redação aprimorada de dados privados para entradas de registro.
CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)
Maps
Disponível para: macOS Sonoma
Impacto: um app pode conseguir ler informações confidenciais de localização
Descrição: um problema foi resolvido por meio de melhorias do processamento de arquivos temporários.
CVE-2024-44181: Kirin(@Pwnrin) e LFY(@secsys) da Fudan University
mDNSResponder
Disponível para: macOS Sonoma
Impacto: um app pode ser capaz de causar uma negação de serviço
Descrição: um erro de lógica foi resolvido com a melhoria do tratamento de erros.
CVE-2024-44183: Olivier Levon
Notes
Disponível para: macOS Sonoma
Impacto: um app pode substituir arquivos arbitrários
Descrição: o problema foi resolvido por meio da remoção do código vulnerável.
CVE-2024-44167: ajajfxhj
PackageKit
Disponível para: macOS Sonoma
Impacto: um app pode conseguir modificar áreas protegidas do sistema de arquivos
Descrição: esse problema foi resolvido por meio de melhorias na validação de links simbólicos.
CVE-2024-44178: Mickey Jin (@patch1t)
Safari
Disponível para: macOS Sonoma
Impacto: acessar um site malicioso pode levar à falsificação da interface de usuário
Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2024-40797: Rifa'i Rejal Maynando
Sandbox
Disponível para: macOS Sonoma
Impacto: um aplicativo malicioso pode ter acesso a informações privadas
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
CVE-2024-44163: Zhongquan Li (@Guluisacat)
Sandbox
Disponível para: macOS Sonoma
Impacto: um aplicativo malicioso pode causar vazamento de informações confidenciais do usuário
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
CVE-2024-44125: Zhongquan Li (@Guluisacat)
Security Initialization
Disponível para: macOS Sonoma
Impacto: um app pode conseguir acessar dados protegidos do usuário
Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.
CVE-2024-40801: Zhongquan Li (@Guluisacat), Pedro José Pereira Vieito (@pvieito), um pesquisador anônimo
Shortcuts
Disponível para: macOS Sonoma
Impacto: um atalho pode gerar dados confidenciais do usuário sem consentimento
Descrição: esse problema foi resolvido por meio de melhorias na redação de informações confidenciais.
CVE-2024-44158: Kirin (@Pwnrin)
Shortcuts
Disponível para: macOS Sonoma
Impacto: um app pode ser capaz de observar dados exibidos para o usuário pelo Atalhos
Descrição: um problema relacionado à privacidade foi resolvido por meio de melhorias no processamento de arquivos temporários.
CVE-2024-40844: Kirin (@Pwnrin) e luckyu (@uuulucky) da NorthSea
sudo
Disponível para: macOS Sonoma
Impacto: um app pode conseguir modificar áreas protegidas do sistema de arquivos
Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.
CVE-2024-40860: Arsenii Kostromin (0x3c3e)
System Settings
Disponível para: macOS Sonoma
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: um problema de privacidade foi resolvido com a redação aprimorada de dados privados para entradas de registro.
CVE-2024-44166: Kirin(@Pwnrin) da LFY(@secsys) da Fudan University
System Settings
Disponível para: macOS Sonoma
Impacto: um app pode ler arquivos arbitrários
Descrição: um problema de processamento de caminhos foi resolvido por meio de melhorias na validação.
CVE-2024-44190: Rodolphe BRUNETTI (@eisw0lf)
Transparency
Disponível para: macOS Sonoma
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.
CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)
Outros reconhecimentos
AirPort
Gostaríamos de agradecer a David Dudok de Wit pela ajuda.
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.