Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
Para obter mais informações sobre segurança, consulte a página sobre segurança de produtos Apple.
macOS Ventura 13.4
Lançada em 18 de maio de 2023
Accessibility
Disponível para: macOS Ventura
Impacto: um app pode conseguir ignorar as preferências de Privacidade
Descrição: um problema de privacidade foi resolvido com a redação aprimorada de dados privados para entradas de registro.
CVE-2023-32388: Kirin (@Pwnrin)
Accessibility
Disponível para: macOS Ventura
Impacto: os direitos e as permissões de privacidade concedidos a esse app podem ser usados por um app malicioso
Descrição: esse problema foi resolvido por meio de melhorias nas verificações.
CVE-2023-32400: Mickey Jin (@patch1t)
Accounts
Disponível para: macOS Ventura
Impacto: um invasor pode ser capaz de vazar e-mails da conta do usuário
Descrição: um problema de permissões foi corrigido por meio de melhorias na redação de informações confidenciais.
CVE-2023-34352: Sergii Kryvoblotskyi da MacPaw Inc.
Entrada adicionada em 5 de setembro de 2023
AMD
Disponível para: macOS Ventura
Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: um problema de estouro de buffer foi resolvido por meio de melhorias no processamento da memória.
CVE-2023-32379: ABC Research s.r.o.
Entrada adicionada em 5 de setembro de 2023
AppleMobileFileIntegrity
Disponível para: macOS Ventura
Impacto: um app pode conseguir ignorar as preferências de Privacidade
Descrição: esse problema foi resolvido por meio de melhorias nos direitos.
CVE-2023-32411: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Disponível para: macOS Ventura
Impacto: um app pode injetar código em binários confidenciais incluídos no Xcode
Descrição: esse problema foi resolvido forçando o tempo de execução reforçado nos binários afetados no nível do sistema.
CVE-2023-32383: James Duffy (mangoSecure)
Entrada adicionada em 21 de dezembro de 2023
Associated Domains
Disponível para: macOS Ventura
Impacto: um app pode conseguir sair de sua área restrita
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
CVE-2023-32371: James Duffy (mangoSecure)
Contacts
Disponível para: macOS Ventura
Impacto: um app pode observar dados de usuário não protegidos
Descrição: um problema relacionado à privacidade foi resolvido por meio de melhorias no processamento de arquivos temporários.
CVE-2023-32386: Kirin (@Pwnrin)
Core Location
Disponível para: macOS Ventura
Impacto: um app pode conseguir ler informações confidenciais de localização
Descrição: o problema foi resolvido por meio de melhorias no gerenciamento dos caches.
CVE-2023-32399: Adam M.
Entrada atualizada em 5 de setembro de 2023
CoreServices
Disponível para: macOS Ventura
Impacto: um app pode conseguir ignorar as preferências de Privacidade
Descrição: esse problema foi resolvido por meio de melhorias na redação de informações confidenciais.
CVE-2023-28191: Mickey Jin (@patch1t)
CUPS
Disponível para: macOS Ventura
Impacto: um usuário não autenticado pode acessar documentos impressos recentemente
Descrição: um problema de autenticação foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2023-32360: Gerhard Muth
dcerpc
Disponível para: macOS Ventura
Impacto: um invasor remoto pode conseguir causar o encerramento inesperado de apps ou a execução arbitrária de códigos
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-2023-32387: Dimitrios Tatsis da Cisco Talos
DesktopServices
Disponível para: macOS Ventura
Impacto: um app pode conseguir sair de sua área restrita
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
CVE-2023-32414: Mickey Jin (@patch1t)
Face Gallery
Disponível para: macOS Ventura
Impacto: um invasor com acesso físico a um Apple Watch bloqueado pode ver fotos ou contatos do usuário por meio de recursos de acessibilidade
Descrição: esse problema foi resolvido por meio da restrição das opções oferecidas em um dispositivo bloqueado.
CVE-2023-32417: Zitong Wu (吴梓桐) da Zhuhai No.1 High School (珠海市第一中学)
Entrada adicionada em 5 de setembro de 2023
GeoServices
Disponível para: macOS Ventura
Impacto: um app pode conseguir ler informações confidenciais de localização
Descrição: um problema de privacidade foi resolvido com a redação aprimorada de dados privados para entradas de registro.
CVE-2023-32392: Adam M.
Entrada atualizada em 5 de setembro de 2023
ImageIO
Disponível para: macOS Ventura
Impacto: processar uma imagem pode resultar na divulgação da memória de processamento
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2023-32372: Meysam Firouzi @R00tkitSMM do Mbition Mercedes-Benz Innovation Lab trabalhando em parceria com a Trend Micro Zero Day Initiative
Entrada atualizada em 5 de setembro de 2023
ImageIO
Disponível para: macOS Ventura
Impacto: processar uma imagem pode levar à execução arbitrária de códigos
Descrição: um estouro de buffer foi resolvido por meio de melhorias na verificação de limites.
CVE-2023-32384: Meysam Firouzi (@R00tkitsmm) em parceria com a Zero Day Initiative da Trend Micro
IOSurface
Disponível para: macOS Ventura
Impacto: um app pode causar vazamento de estados confidenciais do kernel
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2023-32410: hou xuewei (@p1ay8y3ar) vmk msu
IOSurfaceAccelerator
Disponível para: macOS Ventura
Impacto: um app pode causar o encerramento inesperado do sistema ou ler na memória do kernel
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2023-32420: CertiK SkyFall Team e Linus Henze do Pinauten GmbH (pinauten.de)
Entrada atualizada em 5 de setembro de 2023
Kernel
Disponível para: macOS Ventura
Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: um problema de confusão de tipos foi resolvido por meio de melhorias nas verificações.
CVE-2023-27930: 08Tc3wBB da Jamf
Kernel
Disponível para: macOS Ventura
Impacto: um app em área restrita pode observar conexões de rede em todo o sistema
Descrição: o problema foi resolvido com mais verificações de permissão.
CVE-2023-27940: James Duffy (mangoSecure)
Kernel
Disponível para: macOS Ventura
Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-2023-32398: Adam Doupé da ASU SEFCOM
Kernel
Disponível para: macOS Ventura
Impacto: um app pode obter privilégios raiz
Descrição: uma condição de corrida foi resolvida por meio de melhorias no gerenciamento de estados.
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) da Synacktiv (@Synacktiv) em parceria com a Zero Day Initiative da Trend Micro
LaunchServices
Disponível para: macOS Ventura
Impacto: um app pode ignorar as verificações do Gatekeeper
Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.
CVE-2023-32352: Wojciech Reguła (@_r3ggi) da SecuRing (wojciechregula.blog)
libxml2
Disponível para: macOS Ventura
Impacto: vários problemas no libxml2
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias na validação de entradas.
CVE-2023-29469: OSS-Fuzz, Ned Williamson do Google Project Zero
CVE-2023-42869: OSS-Fuzz, Ned Williamson do Google Project Zero
Entrada adicionada em 21 de dezembro de 2023
libxpc
Disponível para: macOS Ventura
Impacto: um app pode conseguir modificar áreas protegidas do sistema de arquivos
Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2023-32369: Jonathan Bar Or da Microsoft, Anurag Bohra da Microsoft e Michael Pearse da Microsoft
libxpc
Disponível para: macOS Ventura
Impacto: um app pode obter privilégios raiz
Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.
CVE-2023-32405: Thijs Alkemade (@xnyhps) do Computest Sector 7
MallocStackLogging
Disponível para: macOS Ventura
Impacto: um app pode obter privilégios raiz
Descrição: este problema foi resolvido por meio de melhorias no processamento de arquivos.
CVE-2023-32428: Gergely Kalman (@gergely_kalman)
Entrada adicionada em 5 de setembro de 2023
Metal
Disponível para: macOS Ventura
Impacto: um app pode conseguir ignorar as preferências de Privacidade
Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
Model I/O
Disponível para: macOS Ventura
Impacto: processar um modelo 3D pode resultar na divulgação da memória de processamento
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2023-32368: Mickey Jin (@patch1t)
CVE-2023-32375: Michael DePlante (@izobashi) da Zero Day Initiative da Trend Micro
CVE-2023-32382: Mickey Jin (@patch1t)
Model I/O
Disponível para: macOS Ventura
Impacto: processar um modelo 3D pode levar à execução arbitrária de códigos
Descrição: um problema de gravação fora dos limites foi resolvido por meio de melhorias na verificação de limites.
CVE-2023-32380: Mickey Jin (@patch1t)
NetworkExtension
Disponível para: macOS Ventura
Impacto: um app pode conseguir ler informações confidenciais de localização
Descrição: esse problema foi resolvido por meio de melhorias na redação de informações confidenciais.
CVE-2023-32403: Adam M.
Entrada atualizada em 5 de setembro de 2023
NSURLSession
Disponível para: macOS Ventura
Impacto: um app pode conseguir sair de sua área restrita
Descrição: o problema foi resolvido por meio de melhorias no protocolo de processamento de arquivos.
CVE-2023-32437: Thijs Alkemade do Computest Sector 7
Entrada adicionada em 5 de setembro de 2023
PackageKit
Disponível para: macOS Ventura
Impacto: um app pode conseguir modificar áreas protegidas do sistema de arquivos
Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2023-32355: Mickey Jin (@patch1t)
PDFKit
Disponível para: macOS Ventura
Impacto: abrir um arquivo PDF pode levar ao encerramento inesperado do app
Descrição: um problema de negação de serviço foi resolvido por meio de melhorias no processamento da memória.
CVE-2023-32385: Jonathan Fritz
Perl
Disponível para: macOS Ventura
Impacto: um app pode conseguir modificar áreas protegidas do sistema de arquivos
Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2023-32395: Arsenii Kostromin (0x3c3e)
Photos
Disponível para: macOS Ventura
Impacto: fotos nos Álbuns Ocultos poderiam ser visualizadas sem autenticação por meio da Busca visual
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
CVE-2023-32390: Julian Szulc
Quick Look
Disponível para: macOS Ventura
Impacto: a análise de um documento do Office pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos
Descrição: um estouro de buffer foi resolvido por meio de melhorias na verificação de limites.
Holger Fuhrmannek da Deutsche Telekom Security GmbH em nome da BSI (German Federal Office for Information Security)
Entrada adicionada em 21 de dezembro de 2023
Sandbox
Disponível para: macOS Ventura
Impacto: um app pode manter o acesso aos arquivos de configuração do sistema mesmo após a revogação da permissão
Descrição: um problema de autorização foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Koh M. Nakagawa da FFRI Security, Inc., Kirin (@Pwnrin), Jeff Johnson (underpassapp.com) e Csaba Fitzl (@theevilbit) da Offensive Security
Screen Saver
Disponível para: macOS Ventura
Impacto: um app pode conseguir ignorar as preferências de Privacidade
Descrição: um problema de permissões foi resolvido por meio da remoção do código vulnerável e da inclusão de verificações adicionais.
CVE-2023-32363: Mickey Jin (@patch1t)
Security
Disponível para: macOS Ventura
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: esse problema foi resolvido por meio de melhorias nos direitos.
CVE-2023-32367: James Duffy (mangoSecure)
Share Sheet
Disponível para: macOS Ventura
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: um problema relacionado à privacidade foi resolvido por meio de melhorias no processamento de arquivos temporários.
CVE-2023-32432: Kirin (@Pwnrin)
Entrada adicionada em 5 de setembro de 2023
Shell
Disponível para: macOS Ventura
Impacto: um app pode conseguir modificar áreas protegidas do sistema de arquivos
Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2023-32397: Arsenii Kostromin (0x3c3e)
Shortcuts
Disponível para: macOS Ventura
Impacto: um atalho poderia ser capaz de usar dados confidenciais com determinadas ações sem fazer uma solicitação ao usuário
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
CVE-2023-32391: Wenchao Li e Xiaolong Bai do Alibaba Group
Shortcuts
Disponível para: macOS Ventura
Impacto: um app pode conseguir ignorar as preferências de Privacidade
Descrição: esse problema foi resolvido por meio de melhorias nos direitos.
CVE-2023-32404: Mickey Jin (@patch1t), Zhipeng Huo (@R3dF09) do Tencent Security Xuanwu Lab (xlab.tencent.com) e um pesquisador anônimo
Siri
Disponível para: macOS Ventura
Impacto: uma pessoa com acesso físico a um dispositivo pode conseguir ver as informações de contato pela tela bloqueada
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
CVE-2023-32394: Khiem Tran
SQLite
Disponível para: macOS Ventura
Impacto: um app pode conseguir ignorar as preferências de Privacidade
Descrição: esse problema foi resolvido por meio da inclusão de restrições de registro do SQLite adicional.
CVE-2023-32422: Gergely Kalman (@gergely_kalman) e Wojciech Reguła da SecuRing (wojciechregula.blog)
Entrada atualizada em 2 de junho de 2023
StorageKit
Disponível para: macOS Ventura
Impacto: um app pode conseguir modificar áreas protegidas do sistema de arquivos
Descrição: esse problema foi resolvido por meio de melhorias nos direitos.
CVE-2023-32376: Yiğit Can YILMAZ (@yilmazcanyigit)
sudo
Disponível para: macOS Ventura
Impacto: um app pode elevar privilégios
Descrição: o problema foi resolvido por meio da atualização do sudo.
CVE-2023-22809
Entrada adicionada em 5 de setembro de 2023
System Settings
Disponível para: macOS Ventura
Impacto: uma configuração de firewall de app pode não entrar em vigor após sair do app Ajustes
Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2023-28202: Satish Panduranga e um pesquisador anônimo
Telephony
Disponível para: macOS Ventura
Impacto: um invasor remoto pode conseguir causar o encerramento inesperado de apps ou a execução arbitrária de códigos
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-2023-32412: Ivan Fratric do Google Project Zero
TV App
Disponível para: macOS Ventura
Impacto: um app pode conseguir ler informações confidenciais de localização
Descrição: o problema foi resolvido por meio de melhorias no gerenciamento dos caches.
CVE-2023-32408: Adam M.
Weather
Disponível para: macOS Ventura
Impacto: um app pode conseguir ler informações confidenciais de localização
Descrição: esse problema foi resolvido por meio de melhorias na redação de informações confidenciais.
CVE-2023-32415: Wojciech Regula da SecuRing (wojciechregula.blog) e um pesquisador anônimo
WebKit
Disponível para: macOS Ventura
Impacto: o processamento de conteúdo da Web pode revelar informações confidenciais.
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.
WebKit Bugzilla: 255075
CVE-2023-32402: Ignacio Sanmillan (@ulexec)
Entrada atualizada em 21 de dezembro de 2023
WebKit
Disponível para: macOS Ventura
Impacto: o processamento de conteúdo da Web pode revelar informações confidenciais
Descrição: um problema de estouro de buffer foi resolvido por meio de melhorias no processamento da memória.
WebKit Bugzilla: 254781
CVE-2023-32423: Ignacio Sanmillan (@ulexec)
WebKit
Disponível para: macOS Ventura
Impacto: um invasor remoto pode conseguir invadir a área restrita de conteúdo da Web. A Apple está ciente de um relato de que esse problema pode ter sido explorado ativamente.
Descrição: o problema foi resolvido por meio de melhorias nas verificações de limites.
WebKit Bugzilla: 255350
CVE-2023-32409: Clément Lecigne do Google's Threat Analysis Group e Donncha Ó Cearbhaill do Amnesty International’s Security Lab
WebKit
Disponível para: macOS Ventura
Impacto: o processamento de conteúdo da Web pode revelar informações confidenciais. A Apple está ciente de um relato de que esse problema pode ter sido explorado ativamente.
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.
WebKit Bugzilla: 254930
CVE-2023-28204: pesquisador anônimo
Esse problema foi resolvido pela primeira vez na Proteção Rápida do macOS 13.3.1 (a).
WebKit
Disponível para: macOS Ventura
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos. A Apple está ciente de um relato de que esse problema pode ter sido explorado ativamente.
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
WebKit Bugzilla: 254840
CVE-2023-32373: pesquisador anônimo
Esse problema foi resolvido pela primeira vez na Proteção Rápida do macOS 13.3.1 (a).
Wi-Fi
Disponível para: macOS Ventura
Impacto: um app pode divulgar a memória do kernel
Descrição: esse problema foi resolvido por meio de melhorias na redação de informações confidenciais.
CVE-2023-32389: Pan ZhenPeng (@Peterpan0927) do STAR Labs SG Pte. Ltd.
Outros reconhecimentos
Accounts
Gostaríamos de agradecer a Sergii Kryvoblotskyi da MacPaw Inc. pela ajuda.
CloudKit
Gostaríamos de agradecer a Iconic pela ajuda.
Find My
Gostaríamos de agradecer a Abhinav Thakur, Artem Starovoitov, Hodol K e um pesquisador anônimo pela ajuda.
Entrada adicionada em 21 de dezembro de 2023
libxml2
Gostaríamos de agradecer a OSS-Fuzz e Ned Williamson do Google Project Zero pela ajuda.
Reminders
Gostaríamos de agradecer a Kirin (@Pwnrin) pela ajuda.
Rosetta
Gostaríamos de agradecer a ajuda de Koh M. Nakagawa da FFRI Security, Inc.
Safari
Gostaríamos de agradecer a Khiem Tran (databaselog.com) pela ajuda.
Entrada atualizada em 21 de dezembro de 2023
Security
Gostaríamos de agradecer a Brandon Toms pela ajuda.
Share Sheet
Gostaríamos de agradecer a Kirin (@Pwnrin) pela ajuda.
Wallet
Gostaríamos de agradecer a James Duffy (mangoSecure) pela ajuda.
WebRTC
Gostaríamos de agradecer a Dohyun Lee (@l33d0hyun) da PK Security e a um pesquisador anônimo pela ajuda.
Entrada adicionada em 21 de dezembro de 2023
Wi-Fi
Gostaríamos de agradecer a Adam M. pela ajuda.
Entrada atualizada em 21 de dezembro de 2023