Acerca dos conteúdos de segurança do macOS Ventura 13.7.6
Este documento descreve os conteúdos de segurança do macOS Ventura 13.7.6.
Acerca das atualizações de segurança da Apple
Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação e não estiverem disponíveis as correções ou os lançamentos necessários. Os lançamentos recentes estão listados na página Lançamentos de segurança da Apple.
Sempre que possível, os documentos de segurança da Apple designam as vulnerabilidades através de ID CVE.
Para obter mais informações acerca da segurança, consulte a página Segurança dos produtos Apple.
macOS Ventura 13.7.6
Data de lançamento: 12 de maio de 2025
afpfs
Disponível para: macOS Ventura
Impacto: a montagem de uma partilha de rede AFP criada com intuito malicioso poderá levar ao encerramento do sistema
Descrição: este problema foi resolvido através de verificações melhoradas.
CVE-2025-31240: Dave G.
CVE-2025-31237: Dave G.
AppleJPEG
Disponível para: macOS Ventura
Impacto: o processamento de um ficheiro multimédia criado com intuito malicioso poderá provocar o encerramento inesperado da app ou a corrupção da memória do processo
Descrição: o problema foi resolvido através da limpeza melhorada da entrada.
CVE-2025-31251: Hossein Lotfi (@hosselot) do programa Zero Day Initiative da Trend Micro
Audio
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir provocar um encerramento inesperado do sistema
Descrição: foi resolvido um problema de libertação dupla através da gestão melhorada da memória.
CVE-2025-31235: Dillon Franke em colaboração com o Google Project Zero
CoreAudio
Disponível para: macOS Ventura
Impacto: a análise de um ficheiro poderá provocar o encerramento inesperado de uma app
Descrição: o problema foi resolvido através de verificações melhoradas.
CVE-2025-31208: Hossein Lotfi (@hosselot) do programa Zero Day Initiative da Trend Micro
CoreGraphics
Disponível para: macOS Ventura
Impacto: o processamento de um ficheiro criado com intuito malicioso poderá provocar uma recusa de serviço ou a divulgação de conteúdos da memória
Descrição: foi resolvido um problema de leitura fora dos limites através da validação melhorada da entrada.
CVE-2025-31196: wac com o programa Zero Day Initiative da Trend Micro
CoreGraphics
Disponível para: macOS Ventura
Impacto: a análise de um ficheiro poderá provocar a divulgação de informações do utilizador
Descrição: foi resolvido um problema de leitura fora dos limites através da verificação melhorada dos limites.
CVE-2025-31209: Hossein Lotfi (@hosselot) do programa Zero Day Initiative da Trend Micro
CoreMedia
Disponível para: macOS Ventura
Impacto: a análise de um ficheiro poderá provocar o encerramento inesperado de uma app
Descrição: foi resolvido um problema do tipo "use after free" (utilização após libertação de memória) através da gestão melhorada da memória.
CVE-2025-31239: Hossein Lotfi (@hosselot) do programa Zero Day Initiative da Trend Micro
CoreMedia
Disponível para: macOS Ventura
Impacto: o processamento de um ficheiro de vídeo criado com intuito malicioso poderá provocar o encerramento inesperado da app ou à corrupção da memória do processo
Descrição: o problema foi resolvido através da limpeza melhorada da entrada.
CVE-2025-31233: Hossein Lotfi (@hosselot) do programa Zero Day Initiative da Trend Micro
DiskArbitration
Disponível para: macOS Ventura
Impacto: uma app maliciosa poderá conseguir obter privilégios de raiz
Descrição: o problema foi resolvido através de verificações de permissões adicionais.
CVE-2025-30453: Csaba Fitzl (@theevilbit) da Kandji, um investigador anónimo
DiskArbitration
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir obter privilégios de raiz
Descrição: foi resolvido um problema de permissões com restrições adicionais.
CVE-2025-24258: Csaba Fitzl (@theevilbit) da Kandji, um investigador anónimo
iCloud Document Sharing
Disponível para: macOS Ventura
Impacto: um atacante poderá conseguir ativar a partilha de uma pasta iCloud sem autenticação
Descrição: este problema foi revolvido através de verificações de direitos adicionais.
CVE-2025-30448: Dayton Pidhirney da Atredis Partners, Lyutoon e YenKoc
Installer
Disponível para: macOS Ventura
Impacto: uma app em sandbox poderá conseguir aceder a dados confidenciais do utilizador
Descrição: foi resolvido um problema de lógica através de verificações melhoradas.
CVE-2025-31232: um investigador anónimo
Kernel
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir divulgar o estado confidencial do kernel
Descrição: foi resolvido um problema de divulgação de informações através da remoção do código vulnerável.
CVE-2025-24144: Mateusz Krzywicki (@krzywix)
Kernel
Disponível para: macOS Ventura
Impacto: um atacante poderá conseguir provocar o encerramento inesperado do sistema ou danificar a memória do kernel
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2025-31219: Michael DePlante (@izobashi) e Lucas Leong (@_wmliang_) do programa Zero Day Initiative da Trend Micro
Kernel
Disponível para: macOS Ventura
Impacto: um atacante remoto poderá provocar o encerramento inesperado da app
Descrição: foi resolvido um problema de libertação dupla através da gestão melhorada da memória.
CVE-2025-31241: Christian Kohlschütter
libexpat
Disponível para: macOS Ventura
Impacto: vários problemas na libexpat, incluindo o encerramento inesperado da app ou a execução de um código arbitrário
Descrição: esta é uma vulnerabilidade existente em código open source e o Software da Apple encontra-se entre os projetos afetados. O ID CVE foi atribuído por terceiros. Saiba mais sobre o problema e o ID CVE em cve.org.
CVE-2024-8176
Libinfo
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir contornar a ASLR
Descrição: o problema foi resolvido através de verificações melhoradas.
CVE-2025-30440: Paweł Płatek (Trail of Bits)
mDNSResponder
Disponível para: macOS Ventura
Impacto: um utilizador poderá conseguir aumentar privilégios
Descrição: foi resolvido um problema de correção através de verificações melhoradas.
CVE-2025-31222: Paweł Płatek (Trail of Bits)
Mobile Device Service
Disponível para: macOS Ventura
Impacto: uma app maliciosa poderá conseguir obter privilégios de raiz
Descrição: foi resolvido um problema de validação de entrada através da remoção do código vulnerável.
CVE-2025-24274: um investigador anónimo
Notification Center
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador
Descrição: um problema de privacidade foi resolvido através de melhorias na redação de dados privados de entradas do registo.
CVE-2025-24142: LFY@secsys da Fudan University
Pro Res
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir provocar um encerramento inesperado do sistema
Descrição: o problema foi resolvido através de verificações melhoradas.
CVE-2025-31245: wac
Sandbox
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir contornar determinadas preferências de privacidade
Descrição: foi resolvido um problema de lógica através de verificações melhoradas.
CVE-2025-31224: Csaba Fitzl (@theevilbit) da Kandji
Security
Disponível para: macOS Ventura
Impacto: um atacante remoto poderá conseguir divulgar a memória
Descrição: foi resolvido um problema de ultrapassagem do limite máximo de números inteiros através da validação melhorada da entrada.
CVE-2025-31221: Dave G.
Security
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir aceder a nomes de utilizador e sites associados no Porta-chaves iCloud de um utilizador
Descrição: foi resolvido um problema de registo com uma redação de dados melhorada.
CVE-2025-31213: Kirin (@Pwnrin) e 7feilee
SharedFileList
Disponível para: macOS Ventura
Impacto: um atacante poderá obter acesso a partes protegidas do sistema de ficheiros
Descrição: foi resolvido um problema de lógica através da gestão melhorada do estado.
CVE-2025-31247: um investigador anónimo
SoftwareUpdate
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir obter privilégios elevados
Descrição: o problema foi resolvido através da limpeza melhorada da entrada.
CVE-2025-30442: um investigador anónimo
StoreKit
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador
Descrição: um problema de privacidade foi resolvido através de melhorias na redação de dados privados de entradas do registo.
CVE-2025-31242: Eric Dorphy da Twin Cities App Dev LLC
Weather
Disponível para: macOS Ventura
Impacto: uma app maliciosa poderá conseguir ler informações confidenciais de localização
Descrição: foi resolvido um problema de privacidade ao remover dados confidenciais.
CVE-2025-31220: Adam M.
WebContentFilter
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir divulgar a memória do kernel
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2025-24155: um investigador anónimo
Agradecimentos adicionais
Kernel
Gostaríamos de agradecer a um investigador anónimo pela sua colaboração.
As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Contacte o fornecedor para obter mais informações.