Sobre o conteúdo de segurança do macOS Sonoma 14

Este documento descreve o conteúdo de segurança do macOS Sonoma 14.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Versões de segurança da Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

Para obter mais informações sobre segurança, consulte a página sobre segurança de produtos Apple.

macOS Sonoma 14

Lançado em 26 de setembro de 2023

Airport

Disponível para: Mac Studio (2022 e posterior), iMac (2019 e posterior), Mac Pro (2019 e posterior), Mac mini (2018 e posterior), MacBook Air (2018 e posterior), MacBook Pro (2018 e posterior) e iMac Pro (2017)

Impacto: um app pode conseguir ler informações confidenciais de localização

Descrição: um problema de permissões foi corrigido por meio de melhorias na redação de informações confidenciais.

CVE-2023-40384: Adam M.

AMD

Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel

Descrição: um problema de estouro de buffer foi resolvido por meio de melhorias no processamento da memória.

CVE-2023-32377: ABC Research s.r.o.

AMD

Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2023-38615: ABC Research s.r.o.

AppSandbox

Impacto: um app pode conseguir acessar dados protegidos do usuário

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2023-42929: Mickey Jin (@patch1t)

Entrada adicionada em 22 de dezembro de 2023

App Store

Impacto: um invasor remoto pode conseguir invadir a área restrita de conteúdo da Web

Descrição: o problema foi resolvido por meio de melhorias no gerenciamento de protocolos.

CVE-2023-40448: w0wbox

AppleMobileFileIntegrity

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: o problema foi resolvido com mais verificações de permissão.

CVE-2023-42872: Mickey Jin (@patch1t)

Entrada adicionada em 22 de dezembro de 2023

Apple Neural Engine

Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2023-40432: Mohamed GHANNAM (@_simo36)

CVE-2023-42871: Mohamed GHANNAM (@_simo36)

Entrada atualizada em 22 de dezembro de 2023

Apple Neural Engine

Impacto: um app pode divulgar a memória do kernel

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2023-40399: Mohamed GHANNAM (@_simo36)

Apple Neural Engine

Impacto: um app pode divulgar a memória do kernel

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.

CVE-2023-40410: Tim Michaud (@TimGMichaud) da Moveworks.ai

Ask to Buy

Impacto: um app pode conseguir acessar dados protegidos do usuário

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2023-38612: Chris Ross (Zoom)

Entrada adicionada em 22 de dezembro de 2023

AuthKit

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: o problema foi resolvido por meio de melhorias no gerenciamento dos caches.

CVE-2023-32361: Csaba Fitzl (@theevilbit) da Offensive Security

Bluetooth

Impacto: um invasor próximo fisicamente pode causar uma gravação fora dos limites limitada

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2023-35984: zer0k

Bluetooth

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.

CVE-2023-40402: Yiğit Can YILMAZ (@yilmazcanyigit)

Bluetooth

Impacto: um app pode conseguir ignorar determinadas preferências de Privacidade

Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.

CVE-2023-40426: Yiğit Can YILMAZ (@yilmazcanyigit)

BOM

Impacto: processar um arquivo pode levar a uma recusa de serviço ou uma possível divulgação de conteúdo da memória

Descrição: o problema foi resolvido por meio de melhorias nas verificações de limites.

CVE-2023-42876: Koh M. Nakagawa (@tsunek0h)

Entrada adicionada em 22 de dezembro de 2023

bootp

Impacto: um app pode conseguir ler informações confidenciais de localização

Descrição: um problema de privacidade foi resolvido com a redação aprimorada de dados privados para entradas de registro.

CVE-2023-41065: Adam M. e Noah Roskin-Frazee e Professor Jason Lau (ZeroClicks.ai Lab)

Calendar

Impacto: um app pode acessar dados do calendário salvos em um diretório temporário

Descrição: um problema relacionado à privacidade foi resolvido por meio de melhorias no processamento de arquivos temporários.

CVE-2023-29497: Kirin (@Pwnrin) e Yishu Wang

CFNetwork

Impacto: um app pode não conseguir aplicar a App Transport Security

Descrição: o problema foi resolvido por meio de melhorias no gerenciamento de protocolos.

CVE-2023-38596: Will Brattain da Trail of Bits

ColorSync

Impacto: um app pode ler arquivos arbitrários

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2023-40406: JeongOhKyea da Theori

CoreAnimation

Impacto: o processamento de conteúdo da web pode levar a uma negação de serviço

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2023-40420: 이준성(Junsung Lee) da Cross Republic

Core Data

Impacto: um app pode ignorar as preferências de Privacidade

Descrição: este problema foi resolvido por meio da remoção do código vulnerável.

CVE-2023-40528: Kirin (@Pwnrin) da NorthSea

Entrada adicionada em 22 de janeiro de 2024

Core Image

Impacto: um app pode acessar fotos editadas salvas em um diretório temporário

Descrição: um problema foi resolvido por meio de melhorias do processamento de arquivos temporários.

CVE-2023-40438: Wojciech Regula da SecuRing (wojciechregula.blog)

Entrada adicionada em 22 de dezembro de 2023

CoreMedia

Impacto: uma extensão de câmera pode acessar a visualização da câmera de apps que não sejam o qual recebeu permissão

Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações

CVE-2023-41994: Halle Winkler, Politepix @hallewinkler

Entrada adicionada em 22 de dezembro de 2023

CUPS

Impacto: um invasor remoto podia causar uma negação de serviço

Descrição: o problema foi resolvido por meio de melhorias nas verificações de limites.

CVE-2023-40407: Sei K.

Dev Tools

Impacto: um app pode obter privilégios elevados

Descrição: esse problema foi resolvido por meio de melhorias nas verificações.

CVE-2023-32396: Mickey Jin (@patch1t)

CVE-2023-42933: Mickey Jin (@patch1t)

Entrada atualizada em 22 de dezembro de 2023

FileProvider

Impacto: um app pode conseguir ignorar as preferências de Privacidade

Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.

CVE-2023-41980: Noah Roskin-Frazee e professor Jason Lau (ZeroClicks.ai Lab)

FileProvider

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: esse problema foi resolvido por meio de melhorias na proteção de dados.

CVE-2023-40411: Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab) e Csaba Fitzl (@theevilbit) da Offensive Security

Entrada adicionada em 22 de dezembro de 2023

Game Center

Impacto: um app pode conseguir acessar os contatos

Descrição: o problema foi resolvido por meio de melhorias no gerenciamento dos caches.

CVE-2023-40395: Csaba Fitzl (@theevilbit) da Offensive Security

GPU Drivers

Impacto: um app pode divulgar a memória do kernel

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2023-40391: Antonio Zekic (@antoniozekic) da Dataflow Security

GPU Drivers

Impacto: o processamento de conteúdo da web pode levar a uma negação de serviço

Descrição: um problema de esgotamento de recursos foi resolvido por meio de melhorias na validação de entradas.

CVE-2023-40441: Ron Masas da Imperva

iCloud

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema de permissões foi corrigido por meio de melhorias na redação de informações confidenciais.

CVE-2023-23495: Csaba Fitzl (@theevilbit) da Offensive Security

iCloud Photo Library

Impacto: um app pode conseguir acessar a Fototeca de um usuário

Descrição: um problema de configuração foi resolvido por meio de restrições adicionais.

CVE-2023-40434: Mikko Kenttälä (@Turmio_) da SensorFu

Image Capture

Impacto: um processo em área restrita pode contornar restrições dessa área

Descrição: um problema de acesso foi resolvido por meio de outras restrições.

CVE-2023-38586: Yiğit Can YILMAZ (@yilmazcanyigit)

IOAcceleratorFamily

Impacto: um invasor pode causar o encerramento inesperado do sistema ou ler a memória do kernel

Descrição: o problema foi resolvido por meio de melhorias nas verificações de limites.

CVE-2023-40436: Murray Mike

Kernel

Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2023-41995: Certik Skyfall Team e pattern-f (@pattern_F_) do Ant Security Light-Year Lab

CVE-2023-42870: Zweig do Kunlun Lab

Entrada atualizada em 22 de dezembro de 2023

Kernel

Impacto: um invasor que já conseguiu a execução do código do kernel pode ignorar as reduções da memória do kernel

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2023-41981: Linus Henze da Pinauten GmbH (pinauten.de)

Kernel

Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) do STAR Labs SG Pte. Ltd.

Kernel

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema de permissão foi resolvido por meio de melhorias na validação.

CVE-2023-40429: Michael (Biscuit) Thomas e 张师傅(@京东蓝军)

Kernel

Impacto: um usuário remoto pode conseguir causar a execução de códigos do kernel

Descrição: um problema de confusão de tipos foi resolvido por meio de melhorias nas verificações.

CVE-2023-41060: Joseph Ravichandran (@0xjprx) do MIT CSAIL

Entrada adicionada em 22 de dezembro de 2023

LaunchServices

Impacto: um app pode ignorar as verificações do Gatekeeper

Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.

CVE-2023-41067: Ferdous Saljooki (@malwarezoo) da Jamf Software e um pesquisador anônimo

libpcap

Impacto: um usuário remoto pode causar o encerramento inesperado de apps ou a execução arbitrária de códigos

Descrição: esse problema foi resolvido por meio de melhorias nas verificações.

CVE-2023-40400: Sei K.

libxpc

Impacto: um app pode conseguir apagar arquivos para os quais não tem permissão

Descrição: um problema de permissões foi resolvido por meio de restrições adicionais.

CVE-2023-40454: Zhipeng Huo (@R3dF09) do Tencent Security Xuanwu Lab (xlab.tencent.com)

libxpc

Impacto: um app pode conseguir acessar dados protegidos do usuário

Descrição: um problema de autorização foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2023-41073: Zhipeng Huo (@R3dF09) do Tencent Security Xuanwu Lab (xlab.tencent.com)

libxslt

Impacto: o processamento de conteúdo da Web pode revelar informações confidenciais

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2023-40403: Dohyun Lee (@l33d0hyun) da PK Security

Maps

Impacto: um app pode conseguir ler informações confidenciais de localização

Descrição: o problema foi resolvido por meio de melhorias no gerenciamento dos caches.

CVE-2023-40427: Adam M. e Wojciech Regula da SecuRing (wojciechregula.blog)

Messages

Impacto: um app pode observar dados de usuário não protegidos

Descrição: um problema relacionado à privacidade foi resolvido por meio de melhorias no processamento de arquivos temporários.

CVE-2023-32421: Meng Zhang (鲸落) da NorthSea, Ron Masas da BreakPoint Security Research, Brian McNulty e Kishan Bagaria da Texts.com

Model I/O

Impacto: processar um arquivo pode causar a execução arbitrária de códigos

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2023-42826: Michael DePlante (@izobashi) da Zero Day Initiative da Trend Micro

Entrada adicionada em 19 de outubro de 2023

Music

Impacto: um app pode conseguir modificar áreas protegidas do sistema de arquivos

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2023-41986: Gergely Kalman (@gergely_kalman)

NetFSFramework

Impacto: um processo em área restrita pode contornar restrições dessa área

Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.

CVE-2023-40455: Zhipeng Huo (@R3dF09) do Tencent Security Xuanwu Lab (xlab.tencent.com)

Notes

Impacto: um app pode conseguir acessar os anexos do app Notas

Descrição: um problema relacionado à privacidade foi resolvido por meio de melhorias no processamento de arquivos temporários.

CVE-2023-40386: Kirin (@Pwnrin)

OpenSSH

Impacto: uma vulnerabilidade foi descoberta no encaminhamento remoto do OpenSSH

Descrição: o problema foi resolvido com a atualização do OpenSSH para 9.3p2

CVE-2023-38408: baba yaga, um pesquisador anônimo

Entrada adicionada em 22 de dezembro de 2023

Passkeys

Impacto: um invasor pode conseguir acessar chaves-senha sem autenticação

Descrição: o problema foi resolvido com mais verificações de permissão.

CVE-2023-40401: um pesquisador anônimo e weize she

Entrada adicionada em 22 de dezembro de 2023

Photos

Impacto: as fotos no álbum de fotos ocultas podem ser visualizadas sem autenticação

Descrição: um problema de autenticação foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2023-40393: um pesquisador anônimo, Berke Kırbaş e Harsh Jaiswal

Entrada adicionada em 22 de dezembro de 2023

Photos Storage

Impacto: um app com privilégios raiz pode conseguir acessar informações privadas

Descrição: um problema de divulgação de informações foi resolvido por meio da remoção do código vulnerável.

CVE-2023-42934: Wojciech Regula do SecuRing (wojciechregula.blog)

Entrada adicionada em 22 de dezembro de 2023

Power Management

Impacto: um usuário pode visualizar conteúdo restrito pela tela de bloqueio

Descrição: um problema na tela bloqueada foi resolvido por meio de melhorias no gerenciamento de estado.

CVE-2023-37448: Serkan Erayabakan, David Kotval, Akincibor, Sina Ahmadi da George Mason University e Billy Tabrizi

Entrada atualizada em 22 de dezembro de 2023

Printing

Impacto: um app pode modificar os ajustes de Impressora

Descrição: o problema foi resolvido por meio de melhorias no gerenciamento dos caches.

CVE-2023-38607: Yiğit Can YILMAZ (@yilmazcanyigit)

Entrada adicionada em 22 de dezembro de 2023

Printing

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: esse problema foi resolvido por meio de melhorias nas verificações.

CVE-2023-41987: Kirin (@Pwnrin) e Wojciech Regula da SecuRing (wojciechregula.blog)

Entrada adicionada em 22 de dezembro de 2023

Pro Res

Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2023-41063: Certik Skyfall Team

QuartzCore

Impacto: um app pode ser capaz de causar uma negação de serviço

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2023-40422: Tomi Tokics (@tomitokics) da iTomsn0w

Safari

Impacto: o processamento de conteúdo da Web pode revelar informações confidenciais

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2023-39233: Luan Herrera (@lbherrera_)

Safari

Impacto: o Safari pode salvar fotos em um local desprotegido

Descrição: um problema relacionado à privacidade foi resolvido por meio de melhorias no processamento de arquivos temporários.

CVE-2023-40388: Kirin (@Pwnrin)

Safari

Impacto: um app poderia identificar quais outros apps tinham sido instalados por um usuário

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2023-35990: Adriatik Raci da Sentry Cybersecurity

Safari

Impacto: acessar um site que enquadra conteúdo malicioso pode levar à falsificação da interface do usuário

Descrição: um problema no gerenciamento de janelas foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati) da Suma Soft Pvt. Ltd, Pune (Índia)

Entrada atualizada em 22 de dezembro de 2023

Sandbox

Impacto: um app pode substituir arquivos arbitrários

Descrição: o problema foi resolvido por meio de melhorias nas verificações de limites.

CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)

Sandbox

Impacto: um app pode acessar volumes removíveis sem o consentimento do usuário

Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.

CVE-2023-40430: Yiğit Can YILMAZ (@yilmazcanyigit)

Entrada adicionada em 22 de dezembro de 2023

Sandbox

Impacto: apps que falham nas verificações ainda podem ser abertos

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2023-41996: Mickey Jin (@patch1t) e Yiğit Can YILMAZ (@yilmazcanyigit)

Entrada adicionada em 22 de dezembro de 2023

Screen Sharing

Impacto: um app pode conseguir ignorar determinadas preferências de Privacidade

Descrição: um problema de autorização foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2023-41078: Zhipeng Huo (@R3dF09) do Tencent Security Xuanwu Lab (xlab.tencent.com)

Share Sheet

Impacto: um app pode conseguir acessar dados confidenciais registrados quando um usuário compartilha um link

Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.

CVE-2023-41070: Kirin (@Pwnrin)

Shortcuts

Impacto: um atalho pode gerar dados confidenciais do usuário sem consentimento

Descrição: o problema foi resolvido por meio da adição de uma solicitação adicional de consentimento do usuário.

CVE-2023-40541: Noah Roskin-Frazee (ZeroClicks.ai Lab) e James Duffy (mangoSecure)

Shortcuts

Impacto: um app pode conseguir ignorar as preferências de Privacidade

Descrição: o problema foi resolvido por meio de melhorias na lógica de permissões.

CVE-2023-41079: Ron Masas da BreakPoint.sh e um pesquisador anônimo

Spotlight

Impacto: um app pode obter privilégios raiz

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2023-40443: Gergely Kalman (@gergely_kalman)

Entrada adicionada em 22 de dezembro de 2023

StorageKit

Impacto: um app pode ler arquivos arbitrários

Descrição: esse problema foi resolvido por meio de melhorias na validação de links simbólicos.

CVE-2023-41968: Mickey Jin (@patch1t) e James Hutchins

System Preferences

Impacto: um app pode ignorar as verificações do Gatekeeper

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2023-40450: Thijs Alkemade (@xnyhps) do Computest Sector 7

TCC

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2023-40424: Arsenii Kostromin (0x3c3e), Joshua Jewett (@JoshJewett33) e Csaba Fitzl (@theevilbit) da Offensive Security

WebKit

Impacto: o processamento de conteúdo da web pode causar a execução de códigos arbitrários

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

WebKit Bugzilla: 249451
CVE-2023-39434: Francisco Alonso (@revskills) e Dohyun Lee (@l33d0hyun) da PK Security

WebKit Bugzilla: 258992
CVE-2023-40414: Francisco Alonso (@revskills)

Entrada atualizada em 22 de dezembro de 2023

WebKit

Impacto: o processamento de conteúdo da web pode causar a execução de códigos arbitrários

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

WebKit Bugzilla: 256551
CVE-2023-41074: 이준성(Junsung Lee) da Cross Republic and Jie Ding(@Lime) do HKUS3 Lab

Entrada atualizada em 22 de dezembro de 2023

WebKit

Impacto: o processamento de conteúdo da web pode causar a execução de códigos arbitrários

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

WebKit Bugzilla: 239758
CVE-2023-35074: Ajou University Abysslab Dong Jun Kim(@smlijun) e Jong Seong Kim(@nevul37)

Entrada atualizada em 22 de dezembro de 2023

WebKit

Impacto: o processamento de conteúdo da web pode levar à execução de códigos arbitrários. A Apple está ciente de um relatório de que esse problema pode ter sido ativamente explorado em relação a versões do iOS lançadas antes do iOS 16.7.

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

WebKit Bugzilla: 261544
CVE-2023-41993: Bill Marczak do The Citizen Lab, na The University of Toronto's Munk School, e Maddie Stone do Threat Analysis Group do Google

WebKit

Impacto: a senha de um usuário pode ser lida em voz alta pelo VoiceOver

Descrição: esse problema foi resolvido por meio de melhorias na redação de informações confidenciais.

WebKit Bugzilla: 248717
CVE-2023-32359: Claire Houston

Entrada adicionada em 22 de dezembro de 2023

WebKit

Impacto: um invasor remoto pode visualizar consultas DNS vazadas com a Retransmissão Privada ativada

Descrição: o problema foi resolvido por meio da remoção do código vulnerável.

WebKit Bugzilla: 257303
CVE-2023-40385: anônimo

Entrada adicionada em 22 de dezembro de 2023

WebKit

Impacto: o processamento de conteúdo da web pode causar a execução de códigos arbitrários

Descrição: um problema de correção foi resolvido por meio de melhorias nas verificações.

WebKit Bugzilla: 258592
CVE-2023-42833: Dong Jun Kim (@smlijun) e Jong Seong Kim (@nevul37) do AbyssLab

Entrada adicionada em 22 de dezembro de 2023

Wi-Fi

Impacto: um app pode causar o encerramento inesperado do sistema ou gravar na memória do kernel

Descrição: um problema de memória corrompida foi resolvido por meio da remoção do código vulnerável.

CVE-2023-38610: Wang Yu da Cyberserval

Entrada adicionada em 22 de dezembro de 2023

Windows Server

Impacto: um app pode expor inesperadamente as credenciais de um usuário de campos de texto seguros

Descrição: um problema de autenticação foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2023-41066: um pesquisador anônimo, Jeremy Legendre da MacEnhance e Felix Kratz

Entrada atualizada em 22 de dezembro de 2023

XProtectFramework

Impacto: um app pode conseguir modificar áreas protegidas do sistema de arquivos

Descrição: uma condição de corrida foi resolvida por meio de melhorias no bloqueio.

CVE-2023-41979: Koh M. Nakagawa (@tsunek0h)

Outros reconhecimentos

Airport

Gostaríamos de agradecer a Adam M., Noah Roskin-Frazee e professor Jason Lau (Laboratório ZeroClicks.ai) pela ajuda.

AppKit

Gostaríamos de agradecer a um pesquisador anônimo pela ajuda.

Apple Neural Engine

Gostaríamos de agradecer a pattern-f (@pattern_F_) do Ant Security Light-Year Lab pela ajuda.

Entrada adicionada em 22 de dezembro de 2023

AppSandbox

Gostaríamos de agradecer a Kirin (@Pwnrin) pela ajuda.

Archive Utility

Gostaríamos de agradecer a Mickey Jin (@patch1t) pela ajuda.

Audio

Gostaríamos de agradecer a Mickey Jin (@patch1t) pela ajuda.

Bluetooth

Gostaríamos de agradecer a Jianjun Dai e Guang Gong do 360 Vulnerability Research Institute pela ajuda.

Books

Gostaríamos de agradecer a Aapo Oksman da Nixu Cybersecurity pela ajuda.

Entrada adicionada em 22 de dezembro de 2023

Control Center

Gostaríamos de agradecer a Yiğit Can YILMAZ (@yilmazcanyigit) pela ajuda.

Entrada adicionada em 22 de dezembro de 2023

Core Location

Gostaríamos de agradecer a Wouter Hennen pela ajuda.

CoreMedia Playback

Gostaríamos de agradecer a Mickey Jin (@patch1t) pela ajuda.

CoreServices

Gostaríamos de agradecer a Thijs Alkemade do Computest Sector 7, Wojciech Reguła (@_r3ggi) da SecuRing e a um pesquisador anônimo pela ajuda.

Entrada adicionada em 22 de dezembro de 2023

Data Detectors UI

Gostaríamos de agradecer a Abhay Kailasia (@abhay_kailasia) da Faculdade de Tecnologia de Lakshmi Narain, em Bhopal, pela ajuda.

Find My

Gostaríamos de agradecer a Cher Scarlett pela ajuda.

Home

Gostaríamos de agradecer a Jake Derouin (jakederouin.com) pela ajuda.

IOGraphics

Gostaríamos de agradecer a um pesquisador anônimo pela ajuda.

IOUserEthernet

Gostaríamos de agradecer a Certik Skyfall Team pela ajuda.

Entrada adicionada em 22 de dezembro de 2023

Kernel

Gostaríamos de agradecer a Bill Marczak da The Citizen Lab na The University of Toronto's Munk School e Maddie Stone do Google's Threat Analysis Group, Xinru Chi do Pangu Lab e 永超王 pela ajuda.

libxml2

Gostaríamos de agradecer a OSS-Fuzz e Ned Williamson do Google Project Zero pela ajuda.

libxpc

Gostaríamos de agradecer a um pesquisador anônimo pela ajuda.

libxslt

Gostaríamos de agradecer a Dohyun Lee (@l33d0hyun) da PK Security, OSS-Fuzz e Ned Williamson do Google Project Zero pela ajuda.

Mail

Gostaríamos de agradecer a Taavi Eomäe da Zone Media OÜ pela ajuda.

Entrada adicionada em 22 de dezembro de 2023

Menus

Gostaríamos de agradecer a Matthew Denton do Google Chrome Security pela ajuda.

Entrada adicionada em 22 de dezembro de 2023

Model I/O

Gostaríamos de agradecer a Mickey Jin (@patch1t) pela ajuda.

NSURL

Gostaríamos de agradecer a Zhanpeng Zhao (行之) e 糖豆爸爸(@晴天组织) pela ajuda.

PackageKit

Gostaríamos de agradecer a Csaba Fitzl (@theevilbit) da Offensive Security e a um pesquisador anônimo pela ajuda.

Photos

Gostaríamos de agradecer a Anatolii Kozlov, Dawid Pałuska, Kirin (@Pwnrin), Lyndon Cornelius e Paul Lurin pela ajuda.

Power Services

Gostaríamos de agradecer a Mickey Jin (@patch1t) pela ajuda.

Entrada adicionada em 22 de dezembro de 2023

Reminders

Gostaríamos de agradecer a Paweł Szafirowski pela ajuda.

Safari

Gostaríamos de agradecer a Kang Ali da Punggawa Cyber Security pela ajuda.

Sandbox

Gostaríamos de agradecer a Yiğit Can YILMAZ (@yilmazcanyigit) pela ajuda.

SharedFileList

Gostaríamos de agradecer a Christopher Lopez — @L0Psec e Kandji, Leo Pitt da Zoom Video Communications, Masahiro Kawada (@kawakatz) da GMO Cybersecurity by Ierae e Ross Bingham (@PwnDexter) pela ajuda.

Entrada atualizada em 22 de dezembro de 2023

Shortcuts

Gostaríamos de agradecer a Alfie CG, Christian Basting do Bundesamt für Sicherheit in der Informationstechnik, Cristian Dinca da "Tudor Vianu" National High School of Computer Science (Romênia), Giorgos Christodoulidis, Jubaer Alnazi do TRS Group Of Companies, KRISHAN KANT DWIVEDI (@xenonx7) e Matthew Butler pela ajuda.

Entrada atualizada em 24 de abril de 2024

Software Update

Gostaríamos de agradecer a Omar Siman pela ajuda.

Spotlight

Gostaríamos de agradecer a Abhay Kailasia (@abhay_kailasia) da Faculdade de Tecnologia de Lakshmi Narain, em Bhopal, e Dawid Pałuska pela ajuda.

StorageKit

Gostaríamos de agradecer a Mickey Jin (@patch1t) pela ajuda.

Video Apps

Gostaríamos de agradecer a James Duffy (mangoSecure) pela ajuda.

WebKit

Gostaríamos de agradecer a Khiem Tran, Narendra Bhati da Suma Soft Pvt. Ltd., Pune (Índia), e um pesquisador anônimo pela ajuda.

WebRTC

Gostaríamos de agradecer a um pesquisador anônimo pela ajuda.

Wi-Fi

Gostaríamos de agradecer a Adam M. e Wang Yu, da Cyberserval, pela ajuda.

Entrada atualizada em 22 de dezembro de 2023

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: 29 de abril de 2024