Acerca dos conteúdos de segurança do macOS Ventura 13.7
Este documento descreve os conteúdos de segurança do macOS Ventura 13.7.
Acerca das atualizações de segurança da Apple
Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação e não estiverem disponíveis as correções ou os lançamentos necessários. Os lançamentos recentes estão listados na página Lançamentos de segurança da Apple.
Sempre que possível, os documentos de segurança da Apple designam as vulnerabilidades através de ID CVE.
Para obter mais informações acerca da segurança, consulte a página Segurança dos produtos Apple.
macOS Ventura 13.7
Data de lançamento: 16 de setembro de 2024
Accounts
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir divulgar informações confidenciais do utilizador
Descrição: o problema foi resolvido através de verificações melhoradas.
CVE-2024-44129
App Intents
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir aceder a dados confidenciais registados quando um atalho não conseguir lançar outra app
Descrição: este problema foi resolvido através de melhorias na redação de informações confidenciais.
CVE-2024-44182: Kirin (@Pwnrin)
AppKit
Disponível para: macOS Ventura
Impacto: uma app sem privilégios poderá conseguir registar combinações de teclas noutras apps, incluindo apps que utilizam o modo de entrada seguro
Descrição: foi resolvido um problema de lógica através de restrições melhoradas.
CVE-2024-27886: Stephan Casas, um investigador anónimo
AppleMobileFileIntegrity
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador
Descrição: o problema foi resolvido com restrições adicionais de assinatura de código.
CVE-2024-40847: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir contornar as preferências de privacidade
Descrição: foi resolvido um problema de downgrade com restrições adicionais de assinatura de código.
CVE-2024-40814: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir contornar as preferências de privacidade
Descrição: este problema foi resolvido através de verificações melhoradas.
CVE-2024-44164: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir modificar partes protegidas do sistema de ficheiros
Descrição: foi resolvido um problema de injeção na biblioteca com restrições adicionais.
CVE-2024-44168: Claudio Bozzato e Francesco Benvenuto da Cisco Talos
AppleMobileFileIntegrity
Disponível para: macOS Ventura
Impacto: um atacante poderá conseguir ler informações confidenciais
Descrição: foi resolvido um problema de downgrade com restrições adicionais de assinatura de código.
CVE-2024-40848: Mickey Jin (@patch1t)
Automator
Disponível para: macOS Ventura
Impacto: um fluxo de trabalho Ação rápida do Automator poderá conseguir ignorar o Gatekeeper
Descrição: este problema foi resolvido através da adição de um pedido adicional de consentimento do utilizador.
CVE-2024-44128: Anton Boegler
bless
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir modificar partes protegidas do sistema de ficheiros
Descrição: foi resolvido um problema de permissões com restrições adicionais.
CVE-2024-44151: Mickey Jin (@patch1t)
Compression
Disponível para: macOS Ventura
Impacto: o desempacotamento de um arquivo criado com intuito malicioso poderá permitir a um atacante escrever ficheiros arbitrários
Descrição: foi resolvida uma condição de disputa através do bloqueio melhorado.
CVE-2024-27876: Snoolie Keffaber (@0xilis)
Dock
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador
Descrição: foi resolvido um problema de privacidade ao remover dados confidenciais.
CVE-2024-44177: um investigador anónimo
Game Center
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador
Descrição: foi resolvido um problema de acesso a ficheiros através da validação melhorada.
CVE-2024-40850: Denis Tokarev (@illusionofcha0s)
ImageIO
Disponível para: macOS Ventura
Impacto: o processamento de uma imagem pode resultar numa recusa de serviço
Descrição: foi resolvido um problema de acesso fora dos limites através da verificação melhorada dos limites.
CVE-2024-44176: dw0r do ZeroPointer Lab em colaboração com o programa Zero Day Initiative da Trend Micro, um investigador anónimo
Intel Graphics Driver
Disponível para: macOS Ventura
Impacto: o processamento de uma textura criada com intuito malicioso poderá provocar o encerramento inesperado da app
Descrição: foi resolvido um problema de ultrapassagem do limite máximo do buffer através do processamento melhorado da memória.
CVE-2024-44160: Michael DePlante (@izobashi) do programa Zero Day Initiative da Trend Micro
Intel Graphics Driver
Disponível para: macOS Ventura
Impacto: o processamento de uma textura criada com intuito malicioso poderá provocar o encerramento inesperado da app
Descrição: foi resolvido um problema de leitura fora dos limites através da verificação melhorada dos limites.
CVE-2024-44161: Michael DePlante (@izobashi) do programa Zero Day Initiative da Trend Micro
IOSurfaceAccelerator
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir provocar um encerramento inesperado do sistema
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2024-44169: Antonio Zekić
Kernel
Disponível para: macOS Ventura
Impacto: o tráfego de rede pode escapar para fora de um tunel VPN
Descrição: foi resolvido um problema de lógica através de verificações melhoradas.
CVE-2024-44165: Andrew Lytvynov
Mail Accounts
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir aceder a informações sobre os contactos dos utilizadores
Descrição: um problema de privacidade foi resolvido através de melhorias na redação de dados privados de entradas do registo.
CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)
Maps
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir ler informações confidenciais de localização
Descrição: foi resolvido um problema através do processamento melhorado de ficheiros temporários.
CVE-2024-44181: Kirin(@Pwnrin) e LFY(@secsys) da Fudan University
mDNSResponder
Disponível para: macOS Ventura
Impacto: uma app poderá causar uma recusa de serviço
Descrição: foi resolvido um erro de lógica através de um processamento melhorado do erro.
CVE-2024-44183: Olivier Levon
Notes
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir substituir ficheiros arbitrários
Descrição: este problema foi resolvido através da remoção de código vulnerável.
CVE-2024-44167: ajajfxhj
PackageKit
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir modificar partes protegidas do sistema de ficheiros
Descrição: este problema foi resolvido através da validação melhorada de ligações simbólicas.
CVE-2024-44178: Mickey Jin (@patch1t)
Safari
Disponível para: macOS Ventura
Impacto: aceder a um site malicioso poderá provocar a falsificação da interface do utilizador
Descrição: este problema foi resolvido através da gestão melhorada do estado.
CVE-2024-40797: Rifa'i Rejal Maynando
Sandbox
Disponível para: macOS Ventura
Impacto: uma app maliciosa poderá conseguir aceder a informações privadas
Descrição: o problema foi resolvido através de verificações melhoradas.
CVE-2024-44163: Zhongquan Li (@Guluisacat)
Shortcuts
Disponível para: macOS Ventura
Impacto: um atalho poderá apresentar dados confidenciais do utilizador sem consentimento
Descrição: este problema foi resolvido através de melhorias na redação de informações confidenciais.
CVE-2024-44158: Kirin (@Pwnrin)
Shortcuts
Disponível para: macOS Ventura
Impacto: uma app pode ser capaz de observar os dados do utilizador através dos Atalhos
Descrição: foi resolvido um problema de privacidade através do processamento melhorado de ficheiros temporários.
CVE-2024-40844: Kirin (@Pwnrin) e luckyu (@uuulucky) do NorthSea
System Settings
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador
Descrição: um problema de privacidade foi resolvido através de melhorias na redação de dados privados de entradas do registo.
CVE-2024-44166: Kirin (@Pwnrin) e LFY (@secsys) da Fudan University
System Settings
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir ler ficheiros arbitrários
Descrição: foi resolvido um problema de gestão de caminhos através da validação melhorada.
CVE-2024-44190: Rodolphe BRUNETTI (@eisw0lf)
Transparency
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador
Descrição: foi resolvido um problema de permissões com restrições adicionais.
CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)
Agradecimentos adicionais
Airport
Gostaríamos de agradecer a David Dudok de Wit pela sua colaboração.
As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Contacte o fornecedor para obter mais informações.