Acerca dos conteúdos de segurança do macOS Sonoma 14.2
Este documento descreve os conteúdos de segurança do macOS Sonoma 14.2.
Acerca das atualizações de segurança da Apple
Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação e não estiverem disponíveis as correções ou os lançamentos necessários. Os lançamentos recentes são apresentados na página Atualizações de segurança da Apple.
Sempre que possível, os documentos de segurança da Apple designam as vulnerabilidades através de ID CVE.
Para obter mais informações acerca da segurança, consulte a página Segurança dos produtos Apple.
macOS Sonoma 14.2
Data de lançamento: 11 de dezembro de 2023
Accessibility
Disponível para: macOS Sonoma
Impacto: poderão ser apresentados campos de texto seguros através do Teclado de acessibilidade quando se utiliza um teclado físico
Descrição: este problema foi resolvido através da gestão melhorada do estado.
CVE-2023-42874: Don Clarke
Accessibility
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador
Descrição: um problema de privacidade foi resolvido através de melhorias na redação de dados privados de entradas do registo.
CVE-2023-42937: Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab)
Entrada adicionada a 22 de janeiro de 2024
Accounts
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador
Descrição: um problema de privacidade foi resolvido através de melhorias na redação de dados privados de entradas do registo.
CVE-2023-42919: Kirin (@Pwnrin)
AppleEvents
Disponível para: macOS Sonoma
Impacto: uma app maliciosa poderá conseguir aceder a informações sobre os contactos do utilizador
Descrição: este problema foi resolvido através de melhorias na redação de informações confidenciais.
CVE-2023-42894: Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab)
AppleGraphicsControl
Disponível para: macOS Sonoma
Impacto: o processamento de um ficheiro criado com intuito malicioso poderá provocar o encerramento inesperado da app ou a execução de um código arbitrário
Descrição: foram resolvidos vários problemas de corrupção de memória através da validação melhorada da entrada.
CVE-2023-42901: Ivan Fratric do Google Project Zero
CVE-2023-42902: Ivan Fratric do Google Project Zero e Michael DePlante (@izobashi) da Trend Micro Zero Day Initiative
CVE-2023-42912: Ivan Fratric do Google Project Zero
CVE-2023-42903: Ivan Fratric do Google Project Zero
CVE-2023-42904: Ivan Fratric do Google Project Zero
CVE-2023-42905: Ivan Fratric do Google Project Zero
CVE-2023-42906: Ivan Fratric do Google Project Zero
CVE-2023-42907: Ivan Fratric do Google Project Zero
CVE-2023-42908: Ivan Fratric do Google Project Zero
CVE-2023-42909: Ivan Fratric do Google Project Zero
CVE-2023-42910: Ivan Fratric do Google Project Zero
CVE-2023-42911: Ivan Fratric do Google Project Zero
CVE-2023-42926: Ivan Fratric do Google Project Zero
AppleVA
Disponível para: macOS Sonoma
Impacto: o processamento de uma imagem poderá provocar a execução de um código arbitrário
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2023-42882: Ivan Fratric do Google Project Zero
AppleVA
Disponível para: macOS Sonoma
Impacto: o processamento de um ficheiro poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2023-42881: Ivan Fratric do Google Project Zero
Entrada adicionada a 12 de dezembro de 2023
Archive Utility
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador
Descrição: foi resolvido um problema de lógica através de verificações melhoradas.
CVE-2023-42924: Mickey Jin (@patch1t)
Assets
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir modificar partes protegidas do sistema de ficheiros
Descrição: foi resolvido um problema através do processamento melhorado de ficheiros temporários.
CVE-2023-42896: Mickey Jin (@patch1t)
Entrada adicionada a 22 de março de 2024
AVEVideoEncoder
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir divulgar a memória do kernel
Descrição: este problema foi resolvido através de melhorias na redação de informações confidenciais.
CVE-2023-42884: investigador anónimo
Bluetooth
Disponível para: macOS Sonoma
Impacto: um atacante numa posição de rede privilegiada poderá conseguir inserir combinações de teclas através da falsificação de um teclado
Descrição: o problema foi resolvido através de verificações melhoradas.
CVE-2023-45866: Marc Newlin do SkySafe
CoreMedia Playback
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador
Descrição: o problema foi resolvido através de verificações melhoradas.
CVE-2023-42900: Mickey Jin (@patch1t)
CoreServices
Disponível para: macOS Sonoma
Impacto: um utilizador poderá conseguir provocar o encerramento inesperado da app ou a execução de um código arbitrário
Descrição: foi resolvido um problema de leitura fora dos limites através da verificação melhorada dos limites.
CVE-2023-42886: Koh M. Nakagawa (@tsunek0h)
curl
Disponível para: macOS Sonoma
Impacto: vários problemas no curl
Descrição: foram corrigidos vários problemas ao atualizar para a versão 8.4.0 do curl.
CVE-2023-38545
CVE-2023-38039
CVE-2023-38546
Entrada adicionada a 22 de janeiro de 2024 e atualizada a 13 de fevereiro de 2024
DiskArbitration
Disponível para: macOS Sonoma
Impacto: um processo poderá obter privilégios de administrador sem a devida autenticação
Descrição: o problema foi resolvido através de verificações melhoradas.
CVE-2023-42931: Yann GASCUEL da Alter Solutions
Entrada adicionada a 22 de março de 2024
FileURL
Disponível para: macOS Sonoma
Impacto: um atacante local poderá conseguir aumentar os privilégios
Descrição: foi resolvido um problema do tipo "use after free" (utilização após libertação de memória) através da gestão melhorada da memória.
CVE-2023-42892: Anthony Cruz @App Tyrant Corp
Entrada adicionada a 22 de março de 2024
Find My
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir ler informações confidenciais de localização
Descrição: este problema foi resolvido através de melhorias na redação de informações confidenciais.
CVE-2023-42922: Wojciech Regula da SecuRing (wojciechregula.blog)
ImageIO
Disponível para: macOS Sonoma
Impacto: o processamento de uma imagem poderá provocar a execução de um código arbitrário
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2023-42898: Zhenjiang Zhao da Team Pangu, Qianxin e Junsung Lee
CVE-2023-42899: Meysam Firouzi @R00tkitSMM e Junsung Lee
Entrada atualizada a 22 de março de 2024
ImageIO
Disponível para: macOS Sonoma
Impacto: o processamento de uma imagem criada com intuito malicioso poderá provocar a divulgação da memória de processamento
Descrição: o problema foi resolvido através de verificações melhoradas.
CVE-2023-42888: Michael DePlante (@izobashi) do programa Zero Day Initiative da Trend Micro
Entrada adicionada a 22 de janeiro de 2024
IOKit
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir monitorizar combinações de teclas sem a autorização do utilizador
Descrição: foi resolvido um problema de autenticação através da gestão melhorada do estado.
CVE-2023-42891: investigador anónimo
IOUSBDeviceFamily
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foi resolvida uma condição de disputa através do processamento melhorado do estado.
CVE-2023-42974: Pan ZhenPeng (@Peterpan0927) da STAR Labs SG Pte. Ltd.
Entrada adicionada a 22 de março de 2024
Kernel
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir infringir a sandbox
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) da Synacktiv (@Synacktiv)
Libsystem
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir aceder a dados do utilizador protegidos
Descrição: foi resolvido um problema de permissões através da remoção do código vulnerável e da adição de verificações adicionais.
CVE-2023-42893
Entrada adicionada a 22 de março de 2024
Model I/O
Disponível para: macOS Sonoma
Impacto: o processamento de uma imagem pode resultar numa recusa de serviço
Descrição: este problema foi resolvido através da remoção de código vulnerável.
CVE-2023-3618
Entrada adicionada a 22 de março de 2024
ncurses
Disponível para: macOS Sonoma
Impacto: um utilizador remoto poderá conseguir provocar o encerramento inesperado da app ou a execução de um código arbitrário
Descrição: este problema foi resolvido através de verificações melhoradas.
CVE-2020-19185
CVE-2020-19186
CVE-2020-19187
CVE-2020-19188
CVE-2020-19189
CVE-2020-19190
NSOpenPanel
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir ler ficheiros arbitrários
Descrição: foi resolvido um problema de acesso através de restrições adicionais da sandbox.
CVE-2023-42887: Ron Masas da BreakPoint.sh
Entrada adicionada a 22 de janeiro de 2024
Sandbox
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador
Descrição: este problema foi resolvido através de melhorias na redação de informações confidenciais.
CVE-2023-42936: Csaba Fitzl (@theevilbit) da OffSec
Entrada adicionada a 22 de março de 2024 e atualizada a 16 de julho de 2024
Share Sheet
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador
Descrição: foi resolvido um problema de privacidade ao mover dados confidenciais para uma localização protegida.
CVE-2023-40390: Csaba Fitzl (@theevilbit) da Offensive Security e Mickey Jin (@patch1t)
Entrada adicionada a 22 de março de 2024
SharedFileList
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador
Descrição: o problema foi resolvido através de verificações melhoradas.
CVE-2023-42842: investigador anónimo
Shell
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir modificar partes protegidas do sistema de ficheiros
Descrição: este problema foi resolvido através de verificações melhoradas.
CVE-2023-42930: Arsenii Kostromin (0x3c3e)
Entrada adicionada a 22 de março de 2024
System Settings
Disponível para: macOS Sonoma
Impacto: as sessões de início de sessão remota podem ser capazes de obter permissões de acesso total ao disco
Descrição: este problema foi resolvido através da gestão melhorada do estado.
CVE-2023-42913: Mattie Behrens e Joshua Jewett (@JoshJewett33)
Entrada adicionada a 22 de março de 2024
TCC
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir aceder a dados do utilizador protegidos
Descrição: foi resolvido um problema de lógica através de verificações melhoradas.
CVE-2023-42932: Zhongquan Li (@Guluisacat)
TCC
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir infringir a sandbox
Descrição: foi resolvido um problema de gestão de caminhos através da validação melhorada.
CVE-2023-42947: Zhongquan Li (@Guluisacat) do Dawn Security Lab de JingDong
Entrada adicionada a 22 de março de 2024
Transparency
Disponível para: macOS Sonoma
Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador
Descrição: o problema foi resolvido através da restrição melhorada do acesso ao contentor de dados.
CVE-2023-40389: Csaba Fitzl (@theevilbit) da Offensive Security e Joshua Jewett (@JoshJewett33)
Entrada adicionada a 16 de julho de 2024
Vim
Disponível para: macOS Sonoma
Impacto: abrir um ficheiro criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: este problema foi resolvido através da atualização para a versão Vim 9.0.1969.
CVE-2023-5344
WebKit
Disponível para: macOS Sonoma
Impacto: o processamento de conteúdos web poderá provocar a execução de um código arbitrário
Descrição: o problema foi resolvido através do processamento da memória melhorado.
WebKit Bugzilla: 259830
CVE-2023-42890: Pwn2car
WebKit
Disponível para: macOS Sonoma
Impacto: o processamento de uma imagem pode resultar numa recusa de serviço
Descrição: o problema foi resolvido através do processamento da memória melhorado.
WebKit Bugzilla: 263349
CVE-2023-42883: Equipa de segurança da Zoom Offensive
WebKit
Disponível para: macOS Sonoma
Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: foi resolvido um problema do tipo "use after free" (utilização após libertação de memória) com a gestão melhorada da memória.
WebKit Bugzilla: 263682
CVE-2023-42950: Nan Wang (@eternalsakura13) do 360 Vulnerability Research Institute e rushikesh nandedkar
Entrada adicionada a 22 de março de 2024
WebKit
Disponível para: macOS Sonoma
Impacto: o processamento de conteúdos web pode resultar numa recusa de serviço
Descrição: o problema foi resolvido através do processamento da memória melhorado.
WebKit Bugzilla: 263989
CVE-2023-42956: SungKwon Lee (Demon.Team)
Entrada adicionada a 22 de março de 2024
Agradecimentos adicionais
Memoji
Os nossos agradecimentos a Jerry Tenenbaum pela sua colaboração.
WebSheet
Gostaríamos de agradecer a Paolo Ruggero da e-phors S.p.A. (A FINCANTIERI S.p.A. Company) pela sua colaboração.
Entrada adicionada a 22 de março de 2024
Wi-Fi
Gostaríamos de agradecer a Noah Roskin-Frazee e ao Prof. J. (ZeroClicks.ai Lab) pela sua colaboração.
As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Contacte o fornecedor para obter mais informações.