Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Versões de segurança da Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
Para obter mais informações sobre segurança, consulte a página sobre segurança de produtos Apple.
macOS Ventura 13.6.1
Lançado em 25 de outubro de 2023
CoreAnimation
Disponível para: macOS Ventura
Impacto: um app pode ser capaz de causar uma negação de serviço
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2023-40449: Tomi Tokics (@tomitokics) da iTomsn0w
Core Recents
Disponível para: macOS Ventura
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: o problema foi resolvido pela sanitização do registro
CVE-2023-42823
Entrada adicionada em 16 de fevereiro de 2024
FileProvider
Disponível para: macOS Ventura
Impacto: um app pode ser capaz de causar uma recusa de serviço a clientes do Endpoint Security
Descrição: o problema foi resolvido por meio da remoção do código vulnerável.
CVE-2023-42854: Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab)
Find My
Disponível para: macOS Ventura
Impacto: um app pode conseguir ler informações confidenciais de localização
Descrição: o problema foi resolvido por meio de melhorias no gerenciamento dos caches.
CVE-2023-40413: Adam M.
Foundation
Disponível para: macOS Ventura
Impacto: um site pode conseguir acessar dados confidenciais do usuário ao resolver links simbólicos
Descrição: esse problema foi resolvido por meio de melhorias no processamento de links simbólicos.
CVE-2023-42844: Ron Masas da BreakPoint.SH
Image Capture
Disponível para: macOS Ventura
Impacto: um app pode conseguir acessar dados protegidos do usuário
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
CVE-2023-41077: Mickey Jin (@patch1t)
ImageIO
Disponível para: macOS Ventura
Impacto: processar uma imagem pode resultar na divulgação da memória de processamento
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2023-40416: JZ
ImageIO
Disponível para: macOS Ventura
Impacto: processar uma imagem criada com códigos maliciosos pode causar o corrompimento da pilha
Descrição: o problema foi resolvido por meio de melhorias nas verificações de limites.
CVE-2023-42848: JZ
Entrada adicionada em 16 de fevereiro de 2024
IOTextEncryptionFamily
Disponível para: macOS Ventura
Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2023-40423: um pesquisador anônimo
iperf3
Disponível para: macOS Ventura
Impacto: um usuário externo pode conseguir causar o encerramento inesperado de apps ou a execução arbitrária de códigos
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
CVE-2023-38403
Kernel
Disponível para: macOS Ventura
Impacto: um invasor que já conseguiu a execução do código do kernel pode ignorar as reduções da memória do kernel
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2023-42849: Linus Henze da Pinauten GmbH (pinauten.de)
libc
Disponível para: macOS Ventura
Impacto: processar uma entrada criada com códigos maliciosos pode resultar na execução arbitrária de códigos nos app instalados pelo usuário
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2023-40446: inooo
Entrada adicionada em 3 de novembro de 2023
libxpc
Disponível para: macOS Ventura
Impacto: um app malicioso pode obter privilégios de raiz
Descrição: esse problema foi resolvido por meio de melhorias no processamento de links simbólicos.
CVE-2023-42942: Mickey Jin (@patch1t)
Entrada adicionada em 16 de fevereiro de 2024
Model I/O
Disponível para: macOS Ventura
Impacto: processar um arquivo pode causar o encerramento inesperado do app ou a execução arbitrária de códigos
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2023-42856: Michael DePlante (@izobashi) da Zero Day Initiative da Trend Micro
PackageKit
Disponível para: macOS Ventura
Impacto: um app pode conseguir modificar áreas protegidas do sistema de arquivos
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
CVE-2023-42859: Arsenii Kostromin (0x3c3e), Mickey Jin (@patch1t) e Hevel Engineering
CVE-2023-42877: Arsenii Kostromin (0x3c3e)
Entrada adicionada em 16 de fevereiro de 2024
PackageKit
Disponível para: macOS Ventura
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
CVE-2023-42840: Mickey Jin (@patch1t) e Csaba Fitzl (@theevilbit) da Offensive Security
Entrada adicionada em 16 de fevereiro de 2024
PackageKit
Disponível para: macOS Ventura
Impacto: um app pode conseguir ignorar determinadas preferências de Privacidade
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
CVE-2023-42889: Mickey Jin (@patch1t)
Entrada adicionada em 16 de fevereiro de 2024
PackageKit
Disponível para: macOS Ventura
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.
CVE-2023-42853: Mickey Jin (@patch1t)
Entrada adicionada em 16 de fevereiro de 2024
PackageKit
Disponível para: macOS Ventura
Impacto: um app pode conseguir modificar áreas protegidas do sistema de arquivos
Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.
CVE-2023-42860: Koh M. Nakagawa (@tsunek0h) da FFRI Security, Inc.
Entrada adicionada em 16 de fevereiro de 2024
Passkeys
Disponível para: macOS Ventura
Impacto: um invasor pode conseguir acessar chaves-senha sem autenticação
Descrição: o problema foi resolvido com mais verificações de permissão.
CVE-2023-40401: pesquisador anônimo e weize she
Pro Res
Disponível para: macOS Ventura
Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu e Guang Gong do 360 Vulnerability Research Institute
Pro Res
Disponível para: macOS Ventura
Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: o problema foi resolvido por meio de melhorias nas verificações de limites.
CVE-2023-42873: Mingxuan Yang (@PPPF00L), happybabywu e Guang Gong do 360 Vulnerability Research Institute
Entrada adicionada em 16 de fevereiro de 2024
SQLite
Disponível para: macOS Ventura
Impacto: um usuário remoto podia causar uma negação de serviço
Descrição: esse problema foi resolvido por meio de melhorias nas verificações.
CVE-2023-36191
Entrada adicionada em 16 de fevereiro de 2024
talagent
Disponível para: macOS Ventura
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.
CVE-2023-40421: Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab)
Weather
Disponível para: macOS Ventura
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: um problema de privacidade foi resolvido com a redação aprimorada de dados privados para entradas de registro.
CVE-2023-41254: Cristian Dinca da Tudor Vianu National High School of Computer Science, Romênia
WindowServer
Disponível para: macOS Ventura
Impacto: um site pode acessar o microfone sem que o indicador de uso do microfone seja exibido
Descrição: o problema foi resolvido por meio da remoção do código vulnerável.
CVE-2023-41975: pesquisador anônimo
WindowServer
Disponível para: macOS Ventura
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
CVE-2023-42858: pesquisador anônimo
Entrada adicionada em 16 de fevereiro de 2024
Outros reconhecimentos
GPU Drivers
Gostaríamos de agradecer a um pesquisador anônimo pela ajuda.
libarchive
Gostaríamos de agradecer a Bahaa Naamneh pela ajuda.
libxml2
Gostaríamos de agradecer a OSS-Fuzz e Ned Williamson do Google Project Zero pela ajuda.