Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Versões de segurança da Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
Para obter mais informações sobre segurança, consulte a página sobre segurança de produtos Apple.
macOS Sonoma 14.1
Lançado em 25 de outubro de 2023
App Support
Disponível para: macOS Sonoma
Impacto: analisar um arquivo pode causar o encerramento inesperado de apps ou a execução arbitrária de códigos
Descrição: o problema foi resolvido por meio da remoção do código vulnerável.
CVE-2023-30774
AppSandbox
Disponível para: macOS Sonoma
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.
CVE-2023-40444: Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab)
Automation
Disponível para: macOS Sonoma
Impacto: um app com privilégios raiz pode conseguir acessar informações privadas
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
CVE-2023-42952: Zhipeng Huo (@R3dF09) do Tencent Security Xuanwu Lab (xlab.tencent.com)
Entrada adicionada em 16 de fevereiro de 2024
Bluetooth
Disponível para: macOS Sonoma
Impacto: um app pode obter acesso não autorizado ao Bluetooth
Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.
CVE-2023-42945
Entrada adicionada em 16 de fevereiro de 2024
Contacts
Disponível para: macOS Sonoma
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: um problema de privacidade foi resolvido com a redação aprimorada de dados privados para entradas de registro.
CVE-2023-41072: Wojciech Regula of SecuRing (wojciechregula.blog) e Csaba Fitzl (@theevilbit) da Offensive Security
CVE-2023-42857: Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab)
CoreAnimation
Disponível para: macOS Sonoma
Impacto: um app pode ser capaz de causar uma negação de serviço
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2023-40449: Tomi Tokics (@tomitokics) da iTomsn0w
Core Recents
Disponível para: macOS Sonoma
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: o problema foi resolvido pela sanitização do registro
CVE-2023-42823
Entrada adicionada em 16 de fevereiro de 2024
Emoji
Disponível para: macOS Sonoma
Impacto: um invasor pode conseguir a execução arbitrária de um código como raiz na Tela Bloqueada
Descrição: o problema foi resolvido por meio da restrição das opções oferecidas em um dispositivo bloqueado.
CVE-2023-41989: Jewel Lambert
FileProvider
Disponível para: macOS Sonoma
Impacto: um app pode ser capaz de causar uma recusa de serviço a clientes do Endpoint Security
Descrição: o problema foi resolvido por meio da remoção do código vulnerável.
CVE-2023-42854: Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab)
Find My
Disponível para: macOS Sonoma
Impacto: um app pode conseguir ler informações confidenciais de localização
Descrição: o problema foi resolvido por meio de melhorias no gerenciamento dos caches.
CVE-2023-40413: Adam M.
Find My
Disponível para: macOS Sonoma
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: um problema relacionado à privacidade foi resolvido por meio de melhorias no processamento de arquivos.
CVE-2023-42834: Csaba Fitzl (@theevilbit) da Offensive Security
Entrada adicionada em 16 de fevereiro de 2024
Foundation
Disponível para: macOS Sonoma
Impacto: um site pode conseguir acessar dados confidenciais do usuário ao resolver links simbólicos
Descrição: esse problema foi resolvido por meio de melhorias no processamento de links simbólicos.
CVE-2023-42844: Ron Masas da BreakPoint.SH
Game Center
Disponível para: macOS Sonoma
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.
CVE-2023-42953: Michael (Biscuit) Thomas - @biscuit@social.lol
Entrada adicionada em 16 de fevereiro de 2024
ImageIO
Disponível para: macOS Sonoma
Impacto: processar uma imagem pode resultar na divulgação da memória de processamento
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2023-40416: JZ
ImageIO
Disponível para: macOS Sonoma
Impacto: processar uma imagem criada com códigos maliciosos pode causar o corrompimento da pilha
Descrição: o problema foi resolvido por meio de melhorias nas verificações de limites.
CVE-2023-42848: JZ
Entrada adicionada em 16 de fevereiro de 2024
IOTextEncryptionFamily
Disponível para: macOS Sonoma
Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2023-40423: um pesquisador anônimo
iperf3
Disponível para: macOS Sonoma
Impacto: um usuário externo pode conseguir causar o encerramento inesperado de apps ou a execução arbitrária de códigos
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
CVE-2023-38403
Kernel
Disponível para: macOS Sonoma
Impacto: um invasor que já conseguiu a execução do código do kernel pode ignorar as reduções da memória do kernel
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2023-42849: Linus Henze da Pinauten GmbH (pinauten.de)
LaunchServices
Disponível para: macOS Sonoma
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: o problema foi resolvido por meio de melhorias na lógica de permissões.
CVE-2023-42850: Thijs Alkemade (@xnyhps) da Computest Sector 7, Brian McNulty, Zhongquan Li
libc
Disponível para: macOS Sonoma
Impacto: processar uma entrada criada com códigos maliciosos pode resultar na execução arbitrária de códigos nos app instalados pelo usuário
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2023-40446: inooo
Entrada adicionada em 3 de novembro de 2023
libxpc
Disponível para: macOS Sonoma
Impacto: um app malicioso pode obter privilégios de raiz
Descrição: esse problema foi resolvido por meio de melhorias no processamento de links simbólicos.
CVE-2023-42942: Mickey Jin (@patch1t)
Entrada adicionada em 16 de fevereiro de 2024
Login Window
Disponível para: macOS Sonoma
Impacto: um invasor com conhecimento das credenciais de um usuário padrão pode desbloquear a tela bloqueada do usuário padrão no mesmo Mac
Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2023-42861: Jon Crain, 凯 王, Brandon Chesser & CPU IT, inc, Matthew McLean, Steven Maser e a equipe de TI da Concentrix
Entrada atualizada em 27 de outubro de 2023
LoginWindow
Disponível para: macOS Sonoma
Impacto: um invasor local pode conseguir visualizar a mesa do usuário conectado anteriormente pela tela para troca rápida de usuário
Descrição: um problema de autenticação foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2023-42935: ASentientBot
Entrada adicionada em 22 de janeiro de 2024 e atualizada em 24 de abril de 2024
Mail Drafts
Disponível para: macOS Sonoma
Impacto: o recurso Ocultar Meu E-mail pode ser desativado inesperadamente
Descrição: um problema de interface de usuário inconsistente foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2023-40408: Grzegorz Riegel
Maps
Disponível para: macOS Sonoma
Impacto: um app pode conseguir ler informações confidenciais de localização
Descrição: um problema de privacidade foi resolvido com a redação aprimorada de dados privados para entradas de registro.
CVE-2023-40405: Csaba Fitzl (@theevilbit) da Offensive Security
MediaRemote
Disponível para: macOS Sonoma
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: esse problema foi resolvido por meio de melhorias na redação de informações confidenciais.
CVE-2023-28826: Meng Zhang (鲸落) da NorthSea
Entrada adicionada em terça-feira, 7 de março de 2024
Model I/O
Disponível para: macOS Sonoma
Impacto: processar um arquivo pode causar o encerramento inesperado do app ou a execução arbitrária de códigos
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2023-42856: Michael DePlante (@izobashi) da Zero Day Initiative da Trend Micro
Networking
Disponível para: macOS Sonoma
Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-2023-40404: Certik Skyfall Team
PackageKit
Disponível para: macOS Sonoma
Impacto: um app pode conseguir modificar áreas protegidas do sistema de arquivos
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
CVE-2023-42859: Arsenii Kostromin (0x3c3e), Mickey Jin (@patch1t) e Hevel Engineering
CVE-2023-42877: Arsenii Kostromin (0x3c3e)
Entrada adicionada em 16 de fevereiro de 2024
PackageKit
Disponível para: macOS Sonoma
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
CVE-2023-42840: Mickey Jin (@patch1t) e Csaba Fitzl (@theevilbit) da Offensive Security
Entrada adicionada em 16 de fevereiro de 2024
PackageKit
Disponível para: macOS Sonoma
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.
CVE-2023-42853: Mickey Jin (@patch1t)
Entrada adicionada em 16 de fevereiro de 2024
PackageKit
Disponível para: macOS Sonoma
Impacto: um app pode conseguir modificar áreas protegidas do sistema de arquivos
Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.
CVE-2023-42860: Koh M. Nakagawa (@tsunek0h) da FFRI Security, Inc.
Entrada adicionada em 16 de fevereiro de 2024
PackageKit
Disponível para: macOS Sonoma
Impacto: um app pode conseguir ignorar determinadas preferências de Privacidade
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
CVE-2023-42889: Mickey Jin (@patch1t)
Entrada adicionada em 16 de fevereiro de 2024
Passkeys
Disponível para: macOS Sonoma
Impacto: um invasor pode conseguir acessar chaves-senha sem autenticação
Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.
CVE-2023-42847: um pesquisador anônimo
Photos
Disponível para: macOS Sonoma
Impacto: as fotos no álbum de fotos ocultas podem ser visualizadas sem autenticação
Descrição: um problema de autenticação foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2023-42845: Bistrit Dahal
Entrada atualizada em 16 de fevereiro de 2024
Pro Res
Disponível para: macOS Sonoma
Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu e Guang Gong do 360 Vulnerability Research Institute
Pro Res
Disponível para: macOS Sonoma
Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: o problema foi resolvido por meio de melhorias nas verificações de limites.
CVE-2023-42873: Mingxuan Yang (@PPPF00L), happybabywu e Guang Gong do 360 Vulnerability Research Institute
Entrada adicionada em 16 de fevereiro de 2024
quarantine
Disponível para: macOS Sonoma
Impacto: um app pode executar código arbitrário fora da área restrita ou com determinados privilégios elevados
Descrição: um problema de acesso foi resolvido por meio de melhorias na área restrita.
CVE-2023-42838: Yiğit Can YILMAZ (@yilmazcanyigit), Csaba Fitzl (@theevilbit) da Offensive Security
Entrada adicionada em 16 de fevereiro de 2024
RemoteViewServices
Disponível para: macOS Sonoma
Impacto: um invasor pode conseguir acessar dados do usuário
Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.
CVE-2023-42835: Mickey Jin (@patch1t)
Entrada adicionada em 16 de fevereiro de 2024
Safari
Disponível para: macOS Sonoma
Impacto: acessar um site mal-intencionado poderia revelar o histórico de navegação
Descrição: o problema foi resolvido por meio de melhorias no gerenciamento dos caches.
CVE-2023-41977: Alex Renda
Safari
Disponível para: macOS Sonoma
Impacto: acessar um site malicioso pode levar à falsificação da interface de usuário
Descrição: um problema de interface de usuário inconsistente foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2023-42438: Rafay Baloch, Muhammad Samaak e pesquisador anônimo
Sandbox
Disponível para: macOS Sonoma
Impacto: um invasor pode conseguir acessar volumes de rede conectados montados no diretório pessoal
Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.
CVE-2023-42836: Yiğit Can YILMAZ (@yilmazcanyigit)
Entrada adicionada em 16 de fevereiro de 2024
Sandbox
Disponível para: macOS Sonoma
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2023-42839: Yiğit Can YILMAZ (@yilmazcanyigit)
Entrada adicionada em 16 de fevereiro de 2024
Share Sheet
Disponível para: macOS Sonoma
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: um problema de privacidade foi resolvido com a redação aprimorada de dados privados para entradas de registro.
CVE-2023-42878: Kirin (@Pwnrin), Wojciech Regula da SecuRing (wojciechregula.blog) e Cristian Dinca da "Tudor Vianu" National High School of Computer Science, Romênia
Entrada adicionada em 16 de fevereiro de 2024
Siri
Disponível para: macOS Sonoma
Impacto: um invasor com acesso físico pode usar a Siri para acessar dados confidenciais do usuário
Descrição: esse problema foi resolvido por meio da restrição das opções oferecidas em um dispositivo bloqueado.
CVE-2023-41982: Bistrit Dahal
CVE-2023-41997: Bistrit Dahal
CVE-2023-41988: Bistrit Dahal
Entrada atualizada em 16 de fevereiro de 2024
Siri
Disponível para: macOS Sonoma
Impacto: um app pode causar vazamento de informações confidenciais do usuário
Descrição: esse problema foi resolvido por meio de melhorias na redação de informações confidenciais.
CVE-2023-42946
Entrada adicionada em 16 de fevereiro de 2024
SQLite
Disponível para: macOS Sonoma
Impacto: um usuário remoto podia causar uma negação de serviço
Descrição: esse problema foi resolvido por meio de melhorias nas verificações.
CVE-2023-36191
Entrada adicionada em 16 de fevereiro de 2024
talagent
Disponível para: macOS Sonoma
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.
CVE-2023-40421: Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab)
Terminal
Disponível para: macOS Sonoma
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
CVE-2023-42842: pesquisador anônimo
Vim
Disponível para: macOS Sonoma
Impacto: processar entrada mal-intencionada pode levar à execução de códigos
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-2023-4733
CVE-2023-4734
CVE-2023-4735
CVE-2023-4736
CVE-2023-4738
CVE-2023-4750
CVE-2023-4751
CVE-2023-4752
CVE-2023-4781
Weather
Disponível para: macOS Sonoma
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: um problema de privacidade foi resolvido com a redação aprimorada de dados privados para entradas de registro.
CVE-2023-41254: Cristian Dinca da Tudor Vianu National High School of Computer Science, Romênia
WebKit
Disponível para: macOS Sonoma
Impacto: o processamento de conteúdo da web pode causar a execução de códigos arbitrários
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
WebKit Bugzilla: 259836
CVE-2023-40447: 이준성(Junsung Lee) da Cross Republic
WebKit
Disponível para: macOS Sonoma
Impacto: o processamento de conteúdo da web pode causar a execução de códigos arbitrários
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
WebKit Bugzilla: 259890
CVE-2023-41976: 이준성(Junsung Lee)
WebKit
Disponível para: macOS Sonoma
Impacto: o processamento de conteúdo da web pode causar a execução de códigos arbitrários
Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.
WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) e Vitor Pedreira (@0xvhp_) da Agile Information Security
Entrada atualizada em 16 de fevereiro de 2024
WebKit
Disponível para: macOS Sonoma
Impacto: acessar um site malicioso pode levar à falsificação da barra de endereços
Descrição: um problema de interface de usuário inconsistente foi resolvido por meio de melhorias no gerenciamento de estados.
WebKit Bugzilla: 260046
CVE-2023-42843: Kacper Kwapisz (@KKKas_)
Entrada adicionada em 16 de fevereiro de 2024
WebKit Process Model
Disponível para: macOS Sonoma
Impacto: o processamento de conteúdo da web pode levar a uma negação de serviço
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
WebKit Bugzilla: 260757
CVE-2023-41983: 이준성(Junsung Lee)
WindowServer
Disponível para: macOS Sonoma
Impacto: um site pode acessar o microfone sem que o indicador de uso do microfone seja exibido
Descrição: o problema foi resolvido por meio da remoção do código vulnerável.
CVE-2023-41975: pesquisador anônimo
WindowServer
Disponível para: macOS Sonoma
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
CVE-2023-42858: pesquisador anônimo
Entrada adicionada em 16 de fevereiro de 2024
Outros reconhecimentos
libarchive
Gostaríamos de agradecer a Bahaa Naamneh pela ajuda.
libxml2
Gostaríamos de agradecer a OSS-Fuzz e Ned Williamson do Google Project Zero pela ajuda.
Login Window
Gostaríamos de agradecer a um pesquisador anônimo pela ajuda.
man
Gostaríamos de agradecer a Kirin (@Pwnrin) e Roman Mishchenko pela ajuda.
Entrada atualizada em 16 de fevereiro de 2024
Power Manager
Gostaríamos de agradecer a Xia0o0o0o (@Nyaaaaa_ovo) da Universidade da Califórnia, San Diego, pela ajuda.
Preview
Gostaríamos de agradecer a Akshay Nagpal pela ajuda.
Entrada adicionada em 16 de fevereiro de 2024
Reminders
Gostaríamos de agradecer a Noah Roskin-Frazee e Prof J. (ZeroClicks.ai Lab) pela ajuda.
Setup Assistant
Gostaríamos de agradecer a Digvijay Sai Gujjarlapudi e Kyle Andrews pela ajuda.
Entrada adicionada em 24 de abril de 2024
System Extensions
Gostaríamos de agradecer a Jaron Bradley, Ferdous Saljooki e Austin Prueher da Jamf Software pela ajuda.
Entrada adicionada em 24 de abril de 2024
WebKit
Gostaríamos de agradecer a um pesquisador anônimo pela ajuda.