Acerca dos conteúdos de segurança do macOS Ventura 13.7.7
Este documento descreve os conteúdos de segurança do macOS Ventura 13.7.7.
Acerca das atualizações de segurança da Apple
Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação e não estiverem disponíveis as correções ou os lançamentos necessários. Os lançamentos recentes estão listados na página Lançamentos de segurança da Apple.
Sempre que possível, os documentos de segurança da Apple designam as vulnerabilidades através de ID CVE.
Para obter mais informações acerca da segurança, consulte a página Segurança dos produtos Apple.
macOS Ventura 13.7.7
Data de lançamento: 29 de julho de 2025
Admin Framework
Disponível para: macOS Ventura
Impacto: uma app poderá causar uma recusa de serviço
Descrição: foi resolvido um problema de gestão de caminhos através da validação melhorada.
CVE-2025-43191: Ryan Dowd (@_rdowd)
afclip
Disponível para: macOS Ventura
Impacto: a análise de um ficheiro poderá provocar o encerramento inesperado de uma app
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2025-43186: Hossein Lotfi (@hosselot) do programa Zero Day Initiative da Trend Micro
AMD
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir provocar um encerramento inesperado do sistema
Descrição: foi resolvida uma condição de disputa através do processamento melhorado do estado.
CVE-2025-43244: ABC Research s.r.o.
AppleMobileFileIntegrity
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir obter privilégios de raiz
Descrição: foi resolvido um problema de permissões com restrições adicionais.
CVE-2025-31243: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir obter privilégios de raiz
Descrição: foi resolvido um problema de lógica através de verificações melhoradas.
CVE-2025-43249: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir aceder a dados do utilizador protegidos
Descrição: foi resolvido um problema de downgrade com restrições adicionais de assinatura de código.
CVE-2025-43245: Mickey Jin (@patch1t)
CFNetwork
Disponível para: macOS Ventura
Impacto: um atacante poderá conseguir provocar o encerramento inesperado de apps
Descrição: um problema do tipo "use after free" (utilização após libertação de memória) foi resolvido através da remoção de código vulnerável.
CVE-2025-43222: Andreas Jaegersberger e Ro Achterberg do Nosebeard Labs
CFNetwork
Disponível para: macOS Ventura
Impacto: um utilizador não privilegiado poderá conseguir modificar as definições de rede restrita
Descrição: foi resolvido um problema de recusa de serviço através da validação melhorada.
CVE-2025-43223: Andreas Jaegersberger e Ro Achterberg do Nosebeard Labs
copyfile
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir aceder a dados do utilizador protegidos
Descrição: este problema foi resolvido através da validação melhorada de ligações simbólicas.
CVE-2025-43220: Mickey Jin (@patch1t)
Core Services
Disponível para: macOS Ventura
Impacto: uma app maliciosa poderá conseguir obter privilégios de raiz
Descrição: um problema de permissões foi resolvido através da remoção de código vulnerável.
CVE-2025-43199: Gergely Kalman (@gergely_kalman), investigador anónimo
CoreMedia
Disponível para: macOS Ventura
Impacto: o processamento de um ficheiro multimédia criado com intuito malicioso poderá provocar o encerramento inesperado da app ou corromper a memória do processo
Descrição: foi resolvido um problema de acesso fora dos limites através da verificação melhorada dos limites.
CVE-2025-43210: Hossein Lotfi (@hosselot) do programa Zero Day Initiative da Trend Micro
CoreServices
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador
Descrição: existia um problema no processamento das variáveis de ambiente. Este problema foi resolvido através da validação melhorada.
CVE-2025-43195: 风沐云烟 (@binary_fmyy) e Minghao Lin (@Y1nKoc)
Disk Images
Disponível para: macOS Ventura
Impacto: executar um comando hdiutil pode executar inesperadamente código arbitrário
Descrição: este problema foi resolvido através da remoção de código vulnerável.
CVE-2025-43187: 风沐云烟 (@binary_fmyy) e Minghao Lin (@Y1nKoc)
file
Disponível para: macOS Ventura
Impacto: o processamento de um ficheiro criado com intuito malicioso poderá provocar o encerramento inesperado da app
Descrição: foi resolvido um problema de leitura fora dos limites através da validação melhorada da entrada.
CVE-2025-43254: 2ourc3 | Salim Largo
File Bookmark
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir infringir a sandbox
Descrição: foi resolvido um problema de lógica através de verificações melhoradas.
CVE-2025-43261: um investigador anónimo
Find My
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir ler as impressões digitais de um utilizador
Descrição: foi resolvido um problema de permissões com restrições adicionais.
CVE-2025-31279: Dawuge da Shuffle Team
Finder
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir executar um código arbitrário fora da sandbox ou com determinados privilégios elevados
Descrição: este problema foi resolvido através da gestão melhorada do estado.
CVE-2025-24119: um investigador anónimo
GPU Drivers
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir provocar um encerramento inesperado do sistema
Descrição: foi resolvido um problema de leitura fora dos limites através da verificação melhorada dos limites.
CVE-2025-43255: investigador anónimo em colaboração com o programa Zero Day Initiative da Trend Micro
CVE-2025-43284: investigador anónimo em colaboração com o programa Zero Day Initiative da Trend Micro
Entrada atualizada a 28 de agosto de 2025
ICU
Disponível para: macOS Ventura
Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar uma falha inesperada no Safari
Descrição: foi resolvido um problema de acesso fora dos limites através da verificação melhorada dos limites.
CVE-2025-43209: Gary Kwong em colaboração com o programa Zero Day Initiative da Trend Micro
Kernel
Disponível para: macOS Ventura
Impacto: um atacante remoto poderá conseguir provocar o encerramento inesperado do sistema
Descrição: o problema foi resolvido através de verificações melhoradas.
CVE-2025-24224: Tony Iskow (@Tybbow)
LaunchServices
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir executar um código arbitrário fora da sandbox ou com determinados privilégios elevados
Descrição: este problema foi resolvido através da gestão melhorada do estado.
CVE-2025-24119: um investigador anónimo
libxpc
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir obter privilégios de raiz
Descrição: foi resolvido um problema de gestão de caminhos através da validação melhorada.
CVE-2025-43196: um investigador anónimo
NetAuth
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir infringir a sandbox
Descrição: foi resolvida uma condição de disputa através de validação adicional.
CVE-2025-43275: Csaba Fitzl (@theevilbit) da Kandji
Notes
Disponível para: macOS Ventura
Impacto: uma app pode obter acesso não autorizado à rede local
Descrição: foi resolvido um problema de acesso através de restrições adicionais da sandbox.
CVE-2025-43270: Minqiang Gui
Notes
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador
Descrição: foi resolvido um problema de registo com uma redação de dados melhorada.
CVE-2025-43225: Kirin (@Pwnrin)
NSSpellChecker
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir infringir a sandbox
Descrição: foi resolvido um problema de permissões com restrições adicionais.
CVE-2025-43266: Noah Gregory (wts.dev)
PackageKit
Disponível para: macOS Ventura
Impacto: uma app maliciosa com privilégios de raiz poderá conseguir modificar o conteúdo de ficheiros do sistema
Descrição: foi resolvido um problema de permissões com restrições adicionais.
CVE-2025-43247: Mickey Jin (@patch1t)
PackageKit
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir modificar partes protegidas do sistema de ficheiros
Descrição: o problema foi resolvido através de verificações melhoradas.
CVE-2025-43194: Mickey Jin (@patch1t)
PackageKit
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir contornar determinadas preferências de privacidade
Descrição: foi resolvido um problema de permissões com restrições adicionais.
CVE-2025-43232: Koh M. Nakagawa (@tsunek0h), Csaba Fitzl (@theevilbit) da Kandji e Gergely Kalman (@gergely_kalman)
Power Management
Disponível para: macOS Ventura
Impacto: um atacante poderá conseguir provocar o encerramento inesperado de apps
Descrição: foi resolvido um problema de confusão de tipos através do processamento melhorado da memória.
CVE-2025-43236: Dawuge da Shuffle Team
SceneKit
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir ler ficheiros fora da sua sandbox
Descrição: foi resolvido um problema de permissões com restrições adicionais.
CVE-2025-43241: Mickey Jin (@patch1t)
Security
Disponível para: macOS Ventura
Impacto: uma app maliciosa a atuar como um proxy de HTTPS poderá obter acesso a dados confidenciais do utilizador
Descrição: este problema foi resolvido através de restrições de acesso melhoradas.
CVE-2025-43233: Wojciech Regula da SecuRing (wojciechregula.blog)
SecurityAgent
Disponível para: macOS Ventura
Impacto: uma app poderá causar uma recusa de serviço
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2025-43193: Dawuge da Shuffle Team
SharedFileList
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir infringir a sandbox
Descrição: foi resolvido um problema de gestão de caminhos através da validação melhorada.
CVE-2025-43250: Yuebin Sun (@yuebinsun2020), Mickey Jin (@patch1t)
Shortcuts
Disponível para: macOS Ventura
Impacto: um atalho poderá conseguir contornar definições confidenciais da app Atalhos
Descrição: este problema foi resolvido através da adição de um pedido adicional de consentimento do utilizador.
CVE-2025-43184: Csaba Fitzl (@theevilbit) da Kandji
Single Sign-On
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador
Descrição: este problema foi revolvido através de verificações de direitos adicionais.
CVE-2025-43197: Shang-De Jiang e Kazma Ye da CyCraft Technology
sips
Disponível para: macOS Ventura
Impacto: o processamento de um ficheiro criado com intuito malicioso poderá provocar o encerramento inesperado da app
Descrição: foi resolvido um problema de acesso fora dos limites através da verificação melhorada dos limites.
CVE-2025-43239: Nikolai Skliarenko do programa Zero Day Initiative da Trend Micro
Software Update
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir modificar partes protegidas do sistema de ficheiros
Descrição: foi resolvido um problema de permissões com restrições adicionais.
CVE-2025-43243: Mickey Jin (@patch1t), Keith Yeo (@kyeojy) da Team Orca of Sea Security
System Settings
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir aceder a dados do utilizador protegidos
Descrição: foi resolvido um problema de análise no processamento dos caminhos de diretório com a validação melhorada do caminho.
CVE-2025-43206: Zhongquan Li (@Guluisacat)
WindowServer
Disponível para: macOS Ventura
Impacto: um atacante com acesso físico a um dispositivo bloqueado poderá conseguir ver informações confidenciais do utilizador
Descrição: este problema foi resolvido através de melhorias na redação de informações confidenciais.
CVE-2025-43259: Martti Hütt
Xsan
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir provocar um encerramento inesperado do sistema
Descrição: foi resolvido um problema de ultrapassagem do limite máximo de números inteiros através da validação melhorada da entrada.
CVE-2025-43238: um investigador anónimo
Agradecimentos adicionais
Device Management
Gostaríamos de agradecer a Al Karak pela sua colaboração.
Game Center
Gostaríamos de agradecer a YingQi Shi (@Mas0nShi) do DBAppSecurity's WeBin lab pela sua colaboração.
Shortcuts
Gostaríamos de agradecer a Dennis Kniep pela sua colaboração.
WebDAV
Gostaríamos de agradecer a Christian Kohlschütter pela sua colaboração.
As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Contacte o fornecedor para obter mais informações.