Sobre o conteúdo de segurança do macOS Ventura 13.7.6
Este documento descreve o conteúdo de segurança do macOS Ventura 13.7.6.
Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página de versões de segurança da Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
Para obter mais informações sobre segurança, consulte a página Segurança do produto Apple.
macOS Ventura 13.7.6
Lançamento: 12 de maio de 2025
afpfs
Disponível para: macOS Ventura
Impacto: instalar um compartilhamento de rede AFP criado de maneira mal-intencionada pode levar ao encerramento do sistema
Descrição: esse problema foi resolvido por meio de melhorias nas verificações.
CVE-2025-31240: Dave G.
CVE-2025-31237: Dave G.
AppleJPEG
Disponível para: macOS Ventura
Impacto: o processamento de um arquivo de mídia criado com códigos mal-intencionados pode levar ao encerramento inesperado do app ou corromper a memória do processo
Descrição: o problema foi resolvido por meio de melhorias na limpeza de entradas.
CVE-2025-31251: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro
Audio
Disponível para: macOS Ventura
Impacto: um app pode causar o encerramento inesperado do sistema
Descrição: um problema do tipo "double free" foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-2025-31235: Dillon Franke trabalhando com o Google Project Zero
CoreAudio
Disponível para: macOS Ventura
Impacto: processar um arquivo pode causar o encerramento inesperado de apps
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
CVE-2025-31208: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro
CoreGraphics
Disponível para: macOS Ventura
Impacto: processar um arquivo criado com códigos maliciosos pode levar a uma negação de serviço ou uma possível divulgação de conteúdo da memória
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2025-31196: wac em parceria com a Zero Day Initiative da Trend Micro
CoreGraphics
Disponível para: macOS Ventura
Impacto: a análise de um arquivo pode causar a divulgação de informações do usuário
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na verificação de limites.
CVE-2025-31209: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro
CoreMedia
Disponível para: macOS Ventura
Impacto: processar um arquivo pode causar o encerramento inesperado de apps
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-2025-31239: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro
CoreMedia
Disponível para: macOS Ventura
Impacto: o processamento de um arquivo de vídeo criado com códigos mal-intencionados pode levar ao encerramento inesperado do app ou corromper a memória do processo
Descrição: o problema foi resolvido por meio de melhorias na limpeza de entradas.
CVE-2025-31233: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro
DiskArbitration
Disponível para: macOS Ventura
Impacto: um app malicioso pode obter privilégios de raiz
Descrição: o problema foi resolvido com mais verificações de permissão.
CVE-2025-30453: Csaba Fitzl (@theevilbit) de Kandji, um pesquisador anônimo
DiskArbitration
Disponível para: macOS Ventura
Impacto: um app pode obter privilégios raiz
Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.
CVE-2025-24258: Csaba Fitzl (@theevilbit) de Kandji, um pesquisador anônimo
iCloud Document Sharing
Disponível para: macOS Ventura
Impacto: um invasor poderia ser capaz de ativar o compartilhamento de uma pasta do iCloud sem autenticação
Descrição: esse problema foi resolvido por meio de verificações adicionais de direitos.
CVE-2025-30448: Dayton Pidhirney de Atredis Partners, Lyutoon e YenKoc
Installer
Disponível para: macOS Ventura
Impacto: um app em sandbox pode ter acesso a dados confidenciais de usuários
Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.
CVE-2025-31232: um pesquisador anônimo
Kernel
Disponível para: macOS Ventura
Impacto: um app pode causar vazamento de estados confidenciais do kernel
Descrição: um problema de divulgação de informações foi resolvido por meio da remoção do código vulnerável.
CVE-2025-24144: Mateusz Krzywicki (@krzywix)
Kernel
Disponível para: macOS Ventura
Impacto: um invasor pode causar o encerramento inesperado do sistema ou corromper a memória do kernel
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2025-31219: Michael DePlante (@izobashi) e Lucas Leong (@_wmliang_) da Zero Day Initiative da Trend Micro
Kernel
Disponível para: macOS Ventura
Impacto: um invasor remoto pode causar o encerramento inesperado de apps
Descrição: um problema do tipo "double free" foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-2025-31241: Christian Kohlschütter
libexpat
Disponível para: macOS Ventura
Impacto: vários problemas no libexpat, incluindo o encerramento inesperado de app ou execução arbitrária de códigos
Descrição: vulnerabilidade em código aberto e software Apple entre os projetos afetados. O CVE-ID foi atribuído por terceiros. Saiba mais sobre o problema e o CVE-ID em cve.org.
CVE-2024-8176
Libinfo
Disponível para: macOS Ventura
Impacto: um app pode ignorar ASLR
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
CVE-2025-30440: Paweł Płatek (Trail of Bits)
mDNSResponder
Disponível para: macOS Ventura
Impacto: um usuário pode conseguir elevar privilégios
Descrição: um problema de correção foi resolvido por meio de melhorias nas verificações.
CVE-2025-31222: Paweł Płatek (Trail of Bits)
Mobile Device Service
Disponível para: macOS Ventura
Impacto: um app malicioso pode obter privilégios de raiz
Descrição: um problema de validação de entrada foi resolvido por meio da remoção do código vulnerável.
CVE-2025-24274: um pesquisador anônimo
Notification Center
Disponível para: macOS Ventura
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: um problema de privacidade foi resolvido com a redação aprimorada de dados privados para entradas de registro.
CVE-2025-24142: LFY@secsys da Fudan University
Pro Res
Disponível para: macOS Ventura
Impacto: um app pode causar o encerramento inesperado do sistema
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
CVE-2025-31245: wac
Sandbox
Disponível para: macOS Ventura
Impacto: um app pode conseguir ignorar determinadas preferências de Privacidade
Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.
CVE-2025-31224: Csaba Fitzl (@theevilbit) de Kandji
Security
Disponível para: macOS Ventura
Impacto: um invasor remoto pode causar o vazamento de memória
Descrição: um problema de estouro de inteiro foi resolvido por meio de melhorias na validação de entradas.
CVE-2025-31221: Dave G.
Security
Disponível para: macOS Ventura
Impacto: um app pode ser capaz de acessar usuários associados e sites nas Chaves do iCloud de um usuário
Descrição: um problema de registro foi resolvido por meio de melhorias na redação de dados.
CVE-2025-31213: Kirin (@Pwnrin) e 7feilee
SharedFileList
Disponível para: macOS Ventura
Impacto: um invasor pode obter acesso a partes protegidas do sistema de arquivos
Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2025-31247: um pesquisador anônimo
SoftwareUpdate
Disponível para: macOS Ventura
Impacto: um app pode obter privilégios elevados
Descrição: o problema foi resolvido por meio de melhorias na limpeza de entradas.
CVE-2025-30442: um pesquisador anônimo
StoreKit
Disponível para: macOS Ventura
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: um problema de privacidade foi resolvido com a redação aprimorada de dados privados para entradas de registro.
CVE-2025-31242: Eric Dorphy de Twin Cities App Dev LLC
Weather
Disponível para: macOS Ventura
Impacto: um app malicioso pode ler informações de localização confidenciais
Descrição: um problema de privacidade foi resolvido com a remoção de dados confidenciais.
CVE-2025-31220: Adam M.
WebContentFilter
Disponível para: macOS Ventura
Impacto: um app pode divulgar a memória do kernel
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2025-24155: um pesquisador anônimo
Outros reconhecimentos
Kernel
Gostaríamos de agradecer a um pesquisador anônimo pela ajuda.
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.