Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
Para obter mais informações sobre segurança, consulte a página sobre segurança de produtos Apple.
macOS Monterey 12.6.6
Lançada em 18 de maio de 2023
Accessibility
Disponível para: macOS Monterey
Impacto: um app pode conseguir ignorar as preferências de Privacidade
Descrição: um problema de privacidade foi resolvido com a redação aprimorada de dados privados para entradas de registro.
CVE-2023-32388: Kirin (@Pwnrin)
AppleEvents
Disponível para: macOS Monterey
Impacto: um app pode conseguir ignorar as preferências de Privacidade
Descrição: esse problema foi resolvido por meio de melhorias na redação de informações confidenciais.
CVE-2023-28191: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Disponível para: macOS Monterey
Impacto: um app pode conseguir ignorar as preferências de Privacidade
Descrição: esse problema foi resolvido por meio de melhorias nos direitos.
CVE-2023-32411: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Disponível para: macOS Monterey
Impacto: um app pode injetar código em binários confidenciais incluídos no Xcode
Descrição: esse problema foi resolvido forçando o tempo de execução reforçado nos binários afetados no nível do sistema.
CVE-2023-32383: James Duffy (mangoSecure)
Entrada adicionada em 21 de dezembro de 2023
Contacts
Disponível para: macOS Monterey
Impacto: um app pode observar dados de usuário não protegidos
Descrição: um problema relacionado à privacidade foi resolvido por meio de melhorias no processamento de arquivos temporários.
CVE-2023-32386: Kirin (@Pwnrin)
CUPS
Disponível para: macOS Monterey
Impacto: um usuário não autenticado pode acessar documentos impressos recentemente
Descrição: um problema de autenticação foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2023-32360: Gerhard Muth
dcerpc
Disponível para: macOS Monterey
Impacto: um invasor remoto pode conseguir causar o encerramento inesperado de apps ou a execução arbitrária de códigos
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-2023-32387: Dimitrios Tatsis da Cisco Talos
Dev Tools
Disponível para: macOS Monterey
Impacto: um app no modo sandbox pode conseguir obter registros do sistema
Descrição: esse problema foi resolvido por meio de melhorias nos direitos.
CVE-2023-27945: Mickey Jin (@patch1t)
GeoServices
Disponível para: macOS Monterey
Impacto: um app pode conseguir ler informações confidenciais de localização
Descrição: um problema de privacidade foi resolvido com a redação aprimorada de dados privados para entradas de registro.
CVE-2023-32392: Adam M.
Entrada atualizada em 21 de dezembro de 2023
ImageIO
Disponível para: macOS Monterey
Impacto: processar uma imagem criada com códigos maliciosos poderia resultar na divulgação da memória de processamento
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2023-23535: ryuzaki
ImageIO
Disponível para: macOS Monterey
Impacto: processar uma imagem pode levar à execução arbitrária de códigos
Descrição: um estouro de buffer foi resolvido por meio de melhorias na verificação de limites.
CVE-2023-32384: Meysam Firouzi (@R00tkitsmm) em parceria com a Zero Day Initiative da Trend Micro
IOSurface
Disponível para: macOS Monterey
Impacto: um app pode causar vazamento de estados confidenciais do kernel
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2023-32410: hou xuewei (@p1ay8y3ar) vmk msu
Kernel
Disponível para: macOS Monterey
Impacto: um app em área restrita pode observar conexões de rede em todo o sistema
Descrição: o problema foi resolvido com mais verificações de permissão.
CVE-2023-27940: James Duffy (mangoSecure)
Kernel
Disponível para: macOS Monterey
Impacto: um app pode obter privilégios raiz
Descrição: uma condição de corrida foi resolvida por meio de melhorias no gerenciamento de estados.
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) da Synacktiv (@Synacktiv) em parceria com a Zero Day Initiative da Trend Micro
Kernel
Disponível para: macOS Monterey
Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-2023-32398: Adam Doupé da ASU SEFCOM
LaunchServices
Disponível para: macOS Monterey
Impacto: um app pode ignorar as verificações do Gatekeeper
Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.
CVE-2023-32352: Wojciech Reguła (@_r3ggi) da SecuRing (wojciechregula.blog)
libxpc
Disponível para: macOS Monterey
Impacto: um app pode conseguir modificar áreas protegidas do sistema de arquivos
Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2023-32369: Jonathan Bar Or da Microsoft, Anurag Bohra da Microsoft e Michael Pearse da Microsoft
libxpc
Disponível para: macOS Monterey
Impacto: um app pode obter privilégios raiz
Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.
CVE-2023-32405: Thijs Alkemade (@xnyhps) do Computest Sector 7
MallocStackLogging
Disponível para: macOS Monterey
Impacto: um app pode obter privilégios raiz
Descrição: este problema foi resolvido por meio de melhorias no processamento de arquivos.
CVE-2023-32428: Gergely Kalman (@gergely_kalman)
Entrada adicionada em 21 de dezembro de 2023
Metal
Disponível para: macOS Monterey
Impacto: um app pode conseguir ignorar as preferências de Privacidade
Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
Model I/O
Disponível para: macOS Monterey
Impacto: processar um modelo 3D pode resultar na divulgação da memória de processamento
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2023-32375: Michael DePlante (@izobashi) da Zero Day Initiative da Trend Micro
CVE-2023-32382: Mickey Jin (@patch1t)
CVE-2023-32368: Mickey Jin (@patch1t)
Model I/O
Disponível para: macOS Monterey
Impacto: processar um modelo 3D pode levar à execução arbitrária de códigos
Descrição: um problema de gravação fora dos limites foi resolvido por meio de melhorias na verificação de limites.
CVE-2023-32380: Mickey Jin (@patch1t)
NetworkExtension
Disponível para: macOS Monterey
Impacto: um app pode conseguir ler informações confidenciais de localização
Descrição: esse problema foi resolvido por meio de melhorias na redação de informações confidenciais.
CVE-2023-32403: Adam M.
Entrada atualizada em 21 de dezembro de 2023
PackageKit
Disponível para: macOS Monterey
Impacto: um app pode conseguir modificar áreas protegidas do sistema de arquivos
Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2023-32355: Mickey Jin (@patch1t)
Perl
Disponível para: macOS Monterey
Impacto: um app pode conseguir modificar áreas protegidas do sistema de arquivos
Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2023-32395: Arsenii Kostromin (0x3c3e)
Quick Look
Disponível para: macOS Monterey
Impacto: a análise de um documento do Office pode causar o encerramento inesperado do app ou a execução arbitrária de códigos
Descrição: um estouro de buffer foi resolvido por meio de melhorias na verificação de limites.
CVE-2023-32401: Holger Fuhrmannek da Deutsche Telekom Security GmbH em nome da BSI (German Federal Office for Information Security)
Entrada adicionada em 21 de dezembro de 2023
Sandbox
Disponível para: macOS Monterey
Impacto: um app pode manter o acesso aos arquivos de configuração do sistema mesmo após a revogação da permissão
Descrição: um problema de autorização foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Jeff Johnson, Koh M. Nakagawa da FFRI Security, Inc., Kirin (@Pwnrin) e Csaba Fitzl (@theevilbit) da Offensive Security
Shell
Disponível para: macOS Monterey
Impacto: um app pode conseguir modificar áreas protegidas do sistema de arquivos
Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2023-32397: Arsenii Kostromin (0x3c3e)
Telephony
Disponível para: macOS Monterey
Impacto: um invasor remoto pode conseguir causar o encerramento inesperado de apps ou a execução arbitrária de códigos
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-2023-32412: Ivan Fratric do Google Project Zero
TV App
Disponível para: macOS Monterey
Impacto: um app pode conseguir ler informações confidenciais de localização
Descrição: o problema foi resolvido por meio de melhorias no gerenciamento dos caches.
CVE-2023-32408: Adam M.
Outros reconhecimentos
libxml2
Gostaríamos de agradecer a OSS-Fuzz e Ned Williamson do Google Project Zero pela ajuda.
Reminders
Gostaríamos de agradecer a Kirin (@Pwnrin) pela ajuda.
Security
Gostaríamos de agradecer a James Duffy (mangoSecure) pela ajuda.
Wi-Fi
Gostaríamos de agradecer a Adam M. pela ajuda.
Entrada atualizada em 21 de dezembro de 2023
Wi-Fi Connectivity
Gostaríamos de agradecer a Adam M. pela ajuda.
Entrada atualizada em 21 de dezembro de 2023