Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Versões de segurança da Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
Para obter mais informações sobre segurança, consulte a página sobre segurança de produtos Apple.
macOS Ventura 13.6
Lançamento em 21 de setembro de 2023
Apple Neural Engine
Disponível para: macOS Ventura
Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2023-40412: Mohamed GHANNAM (@_simo36)
CVE-2023-40409: Ye Zhang (@VAR10CK) do Baidu Security
Entrada adicionada em 26 de setembro de 2023
Apple Neural Engine
Disponível para: macOS Ventura
Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-2023-41071: Mohamed GHANNAM (@_simo36)
Entrada adicionada em 26 de setembro de 2023
Apple Neural Engine
Disponível para: macOS Ventura
Impacto: um app pode divulgar a memória do kernel
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2023-40410: Tim Michaud (@TimGMichaud) da Moveworks.ai
Entrada adicionada em 26 de setembro de 2023
Ask to Buy
Disponível para: macOS Ventura
Impacto: um app pode conseguir acessar dados protegidos do usuário
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
CVE-2023-38612: Chris Ross (Zoom)
Entrada adicionada em 22 de dezembro de 2023
Biometric Authentication
Disponível para: macOS Ventura
Impacto: um app pode divulgar a memória do kernel
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na verificação de limites.
CVE-2023-41232: Liang Wei da PixiePoint Security
Entrada adicionada em 26 de setembro de 2023
ColorSync
Disponível para: macOS Ventura
Impacto: um app pode ler arquivos arbitrários
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
CVE-2023-40406: JeongOhKyea da Theori
Entrada adicionada em 26 de setembro de 2023
CoreAnimation
Disponível para: macOS Ventura
Impacto: o processamento de conteúdo da web pode levar a uma negação de serviço
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2023-40420: 이준성(Junsung Lee) da Cross Republic
Entrada adicionada em 26 de setembro de 2023
Kernel
Disponível para: macOS Ventura
Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) do STAR Labs SG Pte. Ltd.
Entrada adicionada em 26 de setembro de 2023
Kernel
Disponível para: macOS Ventura
Impacto: um invasor que já conseguiu a execução do código do kernel pode ignorar as reduções da memória do kernel
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2023-41981: Linus Henze da Pinauten GmbH (pinauten.de)
Entrada adicionada em 26 de setembro de 2023
Kernel
Disponível para: macOS Ventura
Impacto: um invasor local pode conseguir elevar os próprios privilégios. A Apple está ciente de um relatório de que esse problema pode ter sido ativamente explorado em relação a versões do iOS lançadas antes do iOS 16.7.
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
CVE-2023-41992: Bill Marczak do The Citizen Lab na The University of Toronto's Munk School e Maddie Stone do Threat Analysis Group do Google
libxpc
Disponível para: macOS Ventura
Impacto: um app pode conseguir acessar dados protegidos do usuário
Descrição: um problema de autorização foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2023-41073: Zhipeng Huo (@R3dF09) do Tencent Security Xuanwu Lab (xlab.tencent.com)
Entrada adicionada em 26 de setembro de 2023
libxpc
Disponível para: macOS Ventura
Impacto: um app pode conseguir apagar arquivos para os quais não tem permissão
Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.
CVE-2023-40454: Zhipeng Huo (@R3dF09) do Tencent Security Xuanwu Lab (xlab.tencent.com)
Entrada adicionada em 26 de setembro de 2023
libxslt
Disponível para: macOS Ventura
Impacto: o processamento de conteúdo da Web pode revelar informações confidenciais
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2023-40403: Dohyun Lee (@l33d0hyun) da PK Security
Entrada adicionada em 26 de setembro de 2023
Maps
Disponível para: macOS Ventura
Impacto: um app pode conseguir ler informações confidenciais de localização
Descrição: o problema foi resolvido por meio de melhorias no gerenciamento dos caches.
CVE-2023-40427: Adam M. e Wojciech Regula da SecuRing (wojciechregula.blog)
Entrada adicionada em 26 de setembro de 2023
Pro Res
Disponível para: macOS Ventura
Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2023-41063: Certik Skyfall Team
Entrada adicionada em 26 de setembro de 2023
Sandbox
Disponível para: macOS Ventura
Impacto: um app pode substituir arquivos arbitrários
Descrição: o problema foi resolvido por meio de melhorias nas verificações de limites.
CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)
Entrada adicionada em 26 de setembro de 2023
Sandbox
Disponível para: macOS Ventura
Impacto: apps que falham nas verificações ainda podem ser abertos
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
CVE-2023-41996: Yiğit Can YILMAZ (@yilmazcanyigit) e Mickey Jin (@patch1t)
Entrada adicionada em 26 de setembro de 2023
Security
Disponível para: macOS Ventura
Impacto: um app malicioso pode ignorar a validação da assinatura. A Apple está ciente de um relatório de que esse problema pode ter sido ativamente explorado em relação a versões do iOS lançadas antes do iOS 16.7.
Descrição: um problema de validação de certificado foi resolvido.
CVE-2023-41991: Bill Marczak do The Citizen Lab na The University of Toronto's Munk School e Maddie Stone do Threat Analysis Group do Google
Share Sheet
Disponível para: macOS Ventura
Impacto: um app pode conseguir acessar dados confidenciais registrados quando um usuário compartilha um link
Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.
CVE-2023-41070: Kirin (@Pwnrin)
Entrada adicionada em 26 de setembro de 2023
StorageKit
Disponível para: macOS Ventura
Impacto: um app pode ler arquivos arbitrários
Descrição: esse problema foi resolvido por meio de melhorias na validação de links simbólicos.
CVE-2023-41968: Mickey Jin (@patch1t), James Hutchins
Entrada adicionada em 26 de setembro de 2023
Outros reconhecimentos
Apple Neural Engine
Gostaríamos de agradecer a pattern-f (@pattern_F_) do Ant Security Light-Year Lab pela ajuda.
Entrada adicionada em 22 de dezembro de 2023
AppSandbox
Gostaríamos de agradecer a Kirin (@Pwnrin) pela ajuda.
Entrada adicionada em 26 de setembro de 2023
Kernel
Gostaríamos de agradecer a Bill Marczak do The Citizen Lab, na The University of Toronto's Munk School, e a Maddie Stone do Google's Threat Analysis Group pela ajuda.
libxml2
Gostaríamos de agradecer a OSS-Fuzz e Ned Williamson do Google Project Zero pela ajuda.
Entrada adicionada em 26 de setembro de 2023
WebKit
Gostaríamos de agradecer a Khiem Tran e Narendra Bhati da Suma Soft Pvt. Ltd. Pune (Índia) pela ajuda.
Entrada adicionada em 26 de setembro de 2023
WebRTC
Gostaríamos de agradecer a um pesquisador anônimo pela ajuda.
Entrada adicionada em 26 de setembro de 2023