Acerca dos conteúdos de segurança do macOS Monterey 12.7.2
Este documento descreve os conteúdos de segurança do macOS Monterey 12.7.2.
Acerca das atualizações de segurança da Apple
Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação e não estiverem disponíveis as correções ou os lançamentos necessários. Os lançamentos recentes são apresentados na página Atualizações de segurança da Apple.
Sempre que possível, os documentos de segurança da Apple designam as vulnerabilidades através de ID CVE.
Para obter mais informações acerca da segurança, consulte a página Segurança dos produtos Apple.
macOS Monterey 12.7.2
Data de lançamento: 11 de dezembro de 2023
Accounts
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador
Descrição: um problema de privacidade foi resolvido através de melhorias na redação de dados privados de entradas do registo.
CVE-2023-42919: Kirin (@Pwnrin)
AppleEvents
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir aceder a informações sobre os contactos dos utilizadores
Descrição: este problema foi resolvido através de melhorias na redação de informações confidenciais.
CVE-2023-42894: Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab)
Assets
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir modificar partes protegidas do sistema de ficheiros
Descrição: foi resolvido um problema através do processamento melhorado de ficheiros temporários.
CVE-2023-42896: Mickey Jin (@patch1t)
Entrada adicionada a 22 de março de 2024
CoreServices
Disponível para: macOS Monterey
Impacto: um utilizador poderá conseguir provocar o encerramento inesperado da app ou a execução de um código arbitrário
Descrição: foi resolvido um problema de leitura fora dos limites através da verificação melhorada dos limites.
CVE-2023-42886: Koh M. Nakagawa (@tsunek0h)
DiskArbitration
Disponível para: macOS Monterey
Impacto: um processo poderá obter privilégios de administrador sem a devida autenticação
Descrição: o problema foi resolvido através de verificações melhoradas.
CVE-2023-42931: Yann GASCUEL da Alter Solutions
Entrada adicionada a 22 de março de 2024
Emoji
Disponível para: macOS Monterey
Impacto: um atacante poderá conseguir executar um código arbitrário como raiz a partir do Ecrã bloqueado
Descrição: este problema foi resolvido através da restrição das opções disponíveis num dispositivo bloqueado.
CVE-2023-41989: Jewel Lambert
Entrada adicionada a 16 de julho de 2024
FileURL
Disponível para: macOS Monterey
Impacto: um atacante local poderá conseguir aumentar os privilégios
Descrição: foi resolvido um problema do tipo "use after free" (utilização após libertação de memória) através da gestão melhorada da memória.
CVE-2023-42892: Anthony Cruz @App Tyrant Corp
Entrada adicionada a 22 de março de 2024
Find My
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir ler informações confidenciais de localização
Descrição: este problema foi resolvido através de melhorias na redação de informações confidenciais.
CVE-2023-42922: Wojciech Regula da SecuRing (wojciechregula.blog)
Find My
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador
Descrição: foi resolvido um problema de privacidade através do processamento melhorado de ficheiros.
CVE-2023-42834: Csaba Fitzl (@theevilbit) da Offensive Security
Entrada adicionada a 16 de fevereiro de 2024
ImageIO
Disponível para: macOS Monterey
Impacto: o processamento de uma imagem poderá provocar a execução de um código arbitrário
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2023-42899: Meysam Firouzi @R00tkitSMM e Junsung Lee
IOKit
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir controlar combinações de teclas sem permissão do utilizador
Descrição: foi resolvido um problema de autenticação através da gestão melhorada do estado.
CVE-2023-42891: investigador anónimo
IOUSBDeviceFamily
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foi resolvida uma condição de disputa através do processamento melhorado do estado.
CVE-2023-42974: Pan ZhenPeng (@Peterpan0927) da STAR Labs SG Pte. Ltd.
Entrada adicionada a 22 de março de 2024
Kernel
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir infringir a sandbox
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) da Synacktiv (@Synacktiv)
Libsystem
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir aceder a dados do utilizador protegidos
Descrição: foi resolvido um problema de permissões através da remoção do código vulnerável e da adição de verificações adicionais.
CVE-2023-42893
Entrada adicionada a 22 de março de 2024
Model I/O
Disponível para: macOS Monterey
Impacto: o processamento de uma imagem pode resultar numa recusa de serviço
Descrição: este problema foi resolvido através da remoção de código vulnerável.
CVE-2023-3618
Entrada adicionada a 22 de março de 2024
ncurses
Disponível para: macOS Monterey
Impacto: um utilizador remoto poderá conseguir provocar o encerramento inesperado da app ou a execução de um código arbitrário
Descrição: este problema foi resolvido através de verificações melhoradas.
CVE-2020-19185
CVE-2020-19186
CVE-2020-19187
CVE-2020-19188
CVE-2020-19189
CVE-2020-19190
quarantine
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir executar um código arbitrário fora da sandbox ou com determinados privilégios elevados
Descrição: um problema de acesso foi resolvido com melhoramentos na sandbox.
CVE-2023-42838: Yiğit Can YILMAZ (@yilmazcanyigit) e Csaba Fitzl (@theevilbit) da Offensive Security
Entrada adicionada a 16 de fevereiro de 2024
Sandbox
Disponível para: macOS Monterey
Impacto: um atacante poderá conseguir aceder a volumes de rede ligados e montados no diretório pessoal
Descrição: foi resolvido um problema de lógica através de verificações melhoradas.
CVE-2023-42836: Yiğit Can YILMAZ (@yilmazcanyigit)
Entrada adicionada a 16 de fevereiro de 2024
Sandbox
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador
Descrição: este problema foi resolvido através de melhorias na redação de informações confidenciais.
CVE-2023-42936: Csaba Fitzl (@theevilbit) da OffSec
Entrada adicionada a 22 de março de 2024 e atualizada a 16 de julho de 2024
Shell
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir modificar partes protegidas do sistema de ficheiros
Descrição: este problema foi resolvido através de verificações melhoradas.
CVE-2023-42930: Arsenii Kostromin (0x3c3e)
Entrada adicionada a 22 de março de 2024
TCC
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir aceder a dados do utilizador protegidos
Descrição: foi resolvido um problema de lógica através de verificações melhoradas.
CVE-2023-42932: Zhongquan Li (@Guluisacat)
TCC
Disponível para: macOS Monterey
Impacto: uma app poderá conseguir infringir a sandbox
Descrição: foi resolvido um problema de gestão de caminhos através da validação melhorada.
CVE-2023-42947: Zhongquan Li (@Guluisacat) do Dawn Security Lab de JingDong
Entrada adicionada a 22 de março de 2024
Vim
Disponível para: macOS Monterey
Impacto: abrir um ficheiro criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: este problema foi resolvido através da atualização para a versão Vim 9.0.1969.
CVE-2023-5344
Agradecimentos adicionais
Preview
Gostaríamos de agradecer a Akshay Nagpal pela sua colaboração.
Entrada adicionada a 16 de fevereiro de 2024
As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Contacte o fornecedor para obter mais informações.