Sobre o conteúdo de segurança do macOS Big Sur 11.7.7

Este documento descreve o conteúdo de segurança macOS Big Sur 11.7.7.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

Para obter mais informações sobre segurança, consulte a página sobre segurança de produtos Apple.

macOS Big Sur 11.7.7

Lançada em 18 de maio de 2023

Accessibility

Disponível para: macOS Big Sur

Impacto: um app pode conseguir ignorar as preferências de Privacidade

Descrição: um problema de privacidade foi resolvido com a redação aprimorada de dados privados para entradas de registro.

CVE-2023-32388: Kirin (@Pwnrin)

AppleEvents

Disponível para: macOS Big Sur

Impacto: um app pode conseguir ignorar as preferências de Privacidade

Descrição: esse problema foi resolvido por meio de melhorias na redação de informações confidenciais.

CVE-2023-28191: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Disponível para: macOS Big Sur

Impacto: um app pode conseguir ignorar as preferências de Privacidade

Descrição: esse problema foi resolvido por meio de melhorias nos direitos.

CVE-2023-32411: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Disponível para: macOS Big Sur

Impacto: um app pode injetar código em binários confidenciais incluídos no Xcode

Descrição: esse problema foi resolvido forçando o tempo de execução reforçado nos binários afetados no nível do sistema.

CVE-2023-32383: James Duffy (mangoSecure)

Entrada adicionada em 21 de dezembro de 2023

Contacts

Disponível para: macOS Big Sur

Impacto: um app pode observar dados de usuário não protegidos

Descrição: um problema relacionado à privacidade foi resolvido por meio de melhorias no processamento de arquivos temporários.

CVE-2023-32386: Kirin (@Pwnrin)

CoreCapture

Disponível para: macOS Big Sur

Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2023-28181: Tingting Yin da Tsinghua University

CUPS

Disponível para: macOS Big Sur

Impacto: um usuário não autenticado pode acessar documentos impressos recentemente

Descrição: um problema de autenticação foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2023-32360: Gerhard Muth

dcerpc

Disponível para: macOS Big Sur

Impacto: um invasor remoto pode conseguir causar o encerramento inesperado de apps ou a execução arbitrária de códigos

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2023-32387: Dimitrios Tatsis da Cisco Talos

Dev Tools

Disponível para: macOS Big Sur

Impacto: um app no modo sandbox pode conseguir obter registros do sistema

Descrição: esse problema foi resolvido por meio de melhorias nos direitos.

CVE-2023-27945: Mickey Jin (@patch1t)

GeoServices

Disponível para: macOS Big Sur

Impacto: um app pode conseguir ler informações confidenciais de localização

Descrição: um problema de privacidade foi resolvido com a redação aprimorada de dados privados para entradas de registro.

CVE-2023-32392: Adam M.

Entrada atualizada em 21 de dezembro de 2023

ImageIO

Disponível para: macOS Big Sur

Impacto: processar uma imagem pode levar à execução arbitrária de códigos

Descrição: um estouro de buffer foi resolvido por meio de melhorias na verificação de limites.

CVE-2023-32384: Meysam Firouzi (@R00tkitsmm) em parceria com a Zero Day Initiative da Trend Micro

IOSurface

Disponível para: macOS Big Sur

Impacto: um app pode causar vazamento de estados confidenciais do kernel

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.

CVE-2023-32410: hou xuewei (@p1ay8y3ar) vmk msu

Kernel

Disponível para: macOS Big Sur

Impacto: um app pode obter privilégios raiz

Descrição: uma condição de corrida foi resolvida por meio de melhorias no gerenciamento de estados.

CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) da Synacktiv (@Synacktiv) em parceria com a Zero Day Initiative da Trend Micro

Kernel

Disponível para: macOS Big Sur

Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2023-32398: Adam Doupé da ASU SEFCOM

LaunchServices

Disponível para: macOS Big Sur

Impacto: um app pode ignorar as verificações do Gatekeeper

Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.

CVE-2023-32352: Wojciech Reguła (@_r3ggi) da SecuRing (wojciechregula.blog)

libxpc

Disponível para: macOS Big Sur

Impacto: um app pode conseguir modificar áreas protegidas do sistema de arquivos

Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2023-32369: Jonathan Bar Or da Microsoft, Anurag Bohra da Microsoft e Michael Pearse da Microsoft

libxpc

Disponível para: macOS Big Sur

Impacto: um app pode obter privilégios raiz

Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.

CVE-2023-32405: Thijs Alkemade (@xnyhps) do Computest Sector 7

Metal

Disponível para: macOS Big Sur

Impacto: um app pode conseguir ignorar as preferências de Privacidade

Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2023-32407: Gergely Kalman (@gergely_kalman)

Model I/O

Disponível para: macOS Big Sur

Impacto: processar um modelo 3D pode levar à execução arbitrária de códigos

Descrição: um problema de gravação fora dos limites foi resolvido por meio de melhorias na verificação de limites.

CVE-2023-32380: Mickey Jin (@patch1t)

Model I/O

Disponível para: macOS Big Sur

Impacto: processar um modelo 3D pode resultar na divulgação da memória de processamento

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.

CVE-2023-32382: Mickey Jin (@patch1t)

NetworkExtension

Disponível para: macOS Big Sur

Impacto: um app pode conseguir ler informações confidenciais de localização

Descrição: esse problema foi resolvido por meio de melhorias na redação de informações confidenciais.

CVE-2023-32403: Adam M.

Entrada atualizada em 21 de dezembro de 2023

PackageKit

Disponível para: macOS Big Sur

Impacto: um app pode conseguir modificar áreas protegidas do sistema de arquivos

Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2023-32355: Mickey Jin (@patch1t)

Perl

Disponível para: macOS Big Sur

Impacto: um app pode conseguir modificar áreas protegidas do sistema de arquivos

Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2023-32395: Arsenii Kostromin (0x3c3e)

Quick Look

Disponível para: macOS Big Sur

Impacto: a análise de um documento do Office pode causar o encerramento inesperado do app ou a execução arbitrária de códigos

Descrição: um estouro de buffer foi resolvido por meio de melhorias na verificação de limites.

CVE-2023-32401: Holger Fuhrmannek da Deutsche Telekom Security GmbH em nome da BSI (German Federal Office for Information Security)

Entrada adicionada em 21 de dezembro de 2023

Sandbox

Disponível para: macOS Big Sur

Impacto: um app pode manter o acesso aos arquivos de configuração do sistema mesmo após a revogação da permissão

Descrição: um problema de autorização foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Jeff Johnson, Koh M. Nakagawa da FFRI Security, Inc., Kirin (@Pwnrin) e Csaba Fitzl (@theevilbit) da Offensive Security

Shell

Disponível para: macOS Big Sur

Impacto: um app pode conseguir modificar áreas protegidas do sistema de arquivos

Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2023-32397: Arsenii Kostromin (0x3c3e)

Telephony

Disponível para: macOS Big Sur

Impacto: um invasor remoto pode conseguir causar o encerramento inesperado de apps ou a execução arbitrária de códigos

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2023-32412: Ivan Fratric do Google Project Zero

 

Outros reconhecimentos

libxml2

Gostaríamos de agradecer a OSS-Fuzz e Ned Williamson do Google Project Zero pela ajuda.

Reminders

Gostaríamos de agradecer a Kirin (@Pwnrin) pela ajuda.

Security

Gostaríamos de agradecer a James Duffy (mangoSecure) pela ajuda.

Wi-Fi

Gostaríamos de agradecer a Adam M. pela ajuda.

Entrada atualizada em 21 de dezembro de 2023

Wi-Fi Connectivity

Gostaríamos de agradecer a Adam M. pela ajuda.

Entrada atualizada em 21 de dezembro de 2023

 

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: