Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
Para obter mais informações sobre segurança, consulte a página sobre segurança de produtos Apple.
macOS Monterey 12.6.3
Lançado em 23 de janeiro de 2023
AppleMobileFileIntegrity
Disponível para: macOS Monterey
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: este problema foi resolvido com a ativação do recurso Hardened Runtime.
CVE-2023-23499: Wojciech Reguła (@_r3ggi) da SecuRing (wojciechregula.blog)
curl
Disponível para: macOS Monterey
Impacto: diversos problemas no curl
Descrição: diversos problemas foram resolvidos por meio da atualização do curl para a versão 7.86.0.
CVE-2022-42915
CVE-2022-42916
CVE-2022-32221
CVE-2022-35260
curl
Disponível para: macOS Monterey
Impacto: diversos problemas no curl
Descrição: diversos problemas foram resolvidos por meio da atualização do curl para a versão 7.85.0.
CVE-2022-35252
dcerpc
Disponível para: macOS Monterey
Impacto: a montagem de um compartilhamento de rede Samba malicioso pode causar a execução de códigos arbitrários
Descrição: um problema de estouro de buffer foi resolvido por meio de melhorias no processamento da memória.
CVE-2023-23513: Dimitrios Tatsis e Aleksandar Nikolic da Cisco Talos
DiskArbitration
Disponível para: macOS Monterey
Impacto: um volume criptografado pode ser desinstalado e reinstalado por outro usuário sem solicitar a senha
Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2023-23493: Oliver Norpoth (@norpoth) da KLIXX GmbH (klixx.com)
DriverKit
Disponível para: macOS Monterey
Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: um problema de confusão de tipos foi resolvido por meio de melhorias nas verificações.
CVE-2022-32915: Tommy Muir (@Muirey03)
Intel Graphics Driver
Disponível para: macOS Monterey
Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: o problema foi resolvido por meio de melhorias nas verificações de limites.
CVE-2023-23507: pesquisador anônimo
Kernel
Disponível para: macOS Monterey
Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2023-23516: Jordy Zomer (@pwningsystems)
Entrada adicionada em 11 de maio de 2023
Kernel
Disponível para: macOS Monterey
Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2023-23504: Adam Doupé da ASU SEFCOM
Kernel
Disponível para: macOS Monterey
Impacto: um app pode configurar o layout de memória do kernel
Descrição: um problema de divulgação de informações foi resolvido por meio da remoção do código vulnerável.
CVE-2023-23502: Pan ZhenPeng (@Peterpan0927) do STAR Labs SG Pte. Ltd. (@starlabs_sg)
Disponível para: macOS Monterey
Impacto: um app pode acessar anexos da pasta do Mail por meio de um diretório temporário usado durante a compactação
Descrição: um problema de acesso foi resolvido por meio de melhorias nas restrições de acesso.
CVE-2022-42834: Wojciech Reguła (@_r3ggi) da SecuRing
Entrada adicionada em 11 de maio de 2023
PackageKit
Disponível para: macOS Monterey
Impacto: um app pode obter privilégios raiz
Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2023-23497: Mickey Jin (@patch1t)
Screen Time
Disponível para: macOS Monterey
Impacto: um app pode acessar informações sobre os contatos de um usuário
Descrição: um problema de privacidade foi resolvido com a redação aprimorada de dados privados para entradas de registro.
CVE-2023-23505: Wojciech Regula da SecuRing (wojciechregula.blog) e Csaba Fitzl (@theevilbit) da Offensive Security
Entrada atualizada em 11 de maio de 2023
TCC
Disponível para: macOS Monterey
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: o problema foi resolvido por meio da remoção do código vulnerável.
CVE-2023-27931: Mickey Jin (@patch1t)
Entrada adicionada em 11 de maio de 2023
Weather
Disponível para: macOS Monterey
Impacto: um app pode conseguir ignorar as preferências de Privacidade
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2023-23511: Wojciech Regula da SecuRing (wojciechregula.blog), um pesquisador anônimo
WebKit
Disponível para: macOS Monterey
Impacto: processar conteúdo da web criado com códigos maliciosos pode levar à execução arbitrária de códigos
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
WebKit Bugzilla: 248268
CVE-2023-23518: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) da Team ApplePIE
WebKit Bugzilla: 248268
CVE-2023-23517: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) da Team ApplePIE
Windows Installer
Disponível para: macOS Monterey
Impacto: um app pode conseguir ignorar as preferências de Privacidade
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2023-23508: Mickey Jin (@patch1t)
Outros reconhecimentos
Kernel
Gostaríamos de agradecer a Nick Stenning da Replicate pela ajuda.