Acerca dos conteúdos de segurança do macOS Sonoma 14.8

Este documento descreve os conteúdos de segurança do macOS Sonoma 14.8.

Acerca das atualizações de segurança da Apple

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação e não estiverem disponíveis as correções ou os lançamentos necessários. Os lançamentos recentes estão listados na página Lançamentos de segurança da Apple.

Sempre que possível, os documentos de segurança da Apple designam as vulnerabilidades através de ID CVE.

Para obter mais informações acerca da segurança, consulte a página Segurança dos produtos Apple.

macOS Sonoma 14.8

AMD

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir provocar um encerramento inesperado do sistema

Descrição: foi resolvido um problema de ultrapassagem do limite máximo do buffer através da verificação melhorada dos limites.

CVE-2025-43312: ABC Research s.r.o.

AppKit

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir aceder a dados do utilizador protegidos

Descrição: o problema foi resolvido bloqueando o lançamento de serviços sem assinatura em Macs Intel.

CVE-2025-43321: Mickey Jin (@patch1t)

Apple Online Store Kit

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir aceder a dados do utilizador protegidos

Descrição: foi resolvido um problema de permissões com restrições adicionais.

CVE-2025-31268: Csaba Fitzl (@theevilbit) e Nolan Astrein da Kandji

AppSandbox

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir aceder a dados do utilizador protegidos

Descrição: foi resolvido um problema de permissões com restrições adicionais.

CVE-2025-43285: Zhongquan Li (@Guluisacat), Mickey Jin (@patch1t)

CoreAudio

Disponível para: macOS Sonoma

Impacto: o processamento de um ficheiro de vídeo criado com intuito malicioso poderá provocar o encerramento inesperado da app

Descrição: foi resolvido um problema de escrita fora dos limites através da validação melhorada da entrada.

CVE-2025-43349: @zlluny a trabalhar com o programa Trend Zero Day Initiative

CoreAudio

Disponível para: macOS Sonoma

Impacto: o processamento de um ficheiro de áudio criado com intuito malicioso poderá provocar a corrupção da memória

Descrição: o problema foi resolvido através do processamento da memória melhorado.

CVE-2025-43277: Threat Analysis Group da Google

CoreMedia

Disponível para: macOS Sonoma

Impacto: um processo na sandbox poderá ser capaz de contornar as restrições da sandbox

Descrição: foi resolvido um problema de permissões com restrições adicionais da sandbox.

CVE-2025-43273: Seo Hyun-gyu (@wh1te4ever), Minghao Lin (@Y1nKoc), 风 (binaryfmyy), BochengXiang(@Crispr) e YingQi Shi (@Mas0nShi), Dora Orak

CoreServices

Disponível para: macOS Sonoma

Impacto: uma app maliciosa poderá conseguir aceder a informações privadas

Descrição: foi resolvido um problema de lógica através de verificações melhoradas.

CVE-2025-43305: um investigador anónimo, Mickey Jin (@patch1t)

GPU Drivers

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: foi resolvido um problema de leitura fora dos limites através da verificação melhorada dos limites.

CVE-2025-43326: Wang Yu da Cyberserval

IOHIDFamily

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir provocar um encerramento inesperado do sistema

Descrição: foi resolvido um problema de escrita fora dos limites através da verificação melhorada dos limites.

CVE-2025-43302: Keisuke Hosoda

IOKit

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: foi resolvido um problema de autorização através da gestão melhorada do estado.

CVE-2025-31255: Csaba Fitzl (@theevilbit) da Kandji

Kernel

Disponível para: macOS Sonoma

Impacto: um socket de servidor UDP ligado a uma interface local pode ficar ligado a todas as interfaces

Descrição: foi resolvido um problema de lógica através da gestão melhorada do estado.

CVE-2025-43359: Viktor Oreshkin

LaunchServices

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: foi resolvido um problema de lógica através de verificações melhoradas.

CVE-2025-43231: Mickey Jin (@patch1t), Kirin@Pwnrin and LFY@secsys da Fudan University, um investigador anónimo

libc

Disponível para: macOS Sonoma

Impacto: uma app poderá causar uma recusa de serviço

Descrição: foi resolvido um problema de recusa de serviço através da validação melhorada.

CVE-2025-43299: Nathaniel Oh (@calysteon)

CVE-2025-43295: Nathaniel Oh (@calysteon)

Libinfo

Disponível para: macOS Sonoma

Impacto: o processamento de uma cadeia criada com intuito malicioso poderá provocar a corrupção da área dinâmica para dados

Descrição: o problema foi resolvido através de verificações melhoradas dos limites.

CVE-2025-43353: Nathaniel Oh (@calysteon)

MediaLibrary

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir aceder a dados do utilizador protegidos

Descrição: este problema foi resolvido através da remoção de código vulnerável.

CVE-2025-43319: Hikerell (Loadshine Lab)

MigrationKit

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: este problema foi resolvido através da remoção de código vulnerável.

CVE-2025-43315: Rodolphe Brunetti (@eisw0lf) da Lupus Nova

MobileStorageMounter

Disponível para: macOS Sonoma

Impacto: uma app poderá causar uma recusa de serviço

Descrição: foi resolvido um problema de confusão de tipos através do processamento melhorado da memória.

CVE-2025-43355: Dawuge da Shuffle Team

Notification Center

Disponível para: macOS Sonoma

Impacto: uma app pode conseguir aceder a informações de contacto relacionadas com as notificações no Notification Center

Descrição: um problema de privacidade foi resolvido através de melhorias na redação de dados privados de entradas do registo.

CVE-2025-43301: LFY@secsys da Fudan University

PackageKit

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir obter privilégios de raiz

Descrição: foi resolvido um problema de análise no processamento dos caminhos de diretório com a validação melhorada do caminho.

CVE-2025-43298: um investigador anónimo

Perl

Disponível para: macOS Sonoma

Impacto: vários problemas no Perl

Descrição: esta é uma vulnerabilidade existente em código open source e o Software da Apple encontra-se entre os projetos afetados. O ID CVE foi atribuído por terceiros. Saiba mais sobre o problema e o ID CVE em cve.org.

CVE-2025-40909

Printing

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir aceder a dados do utilizador protegidos

Descrição: foi resolvido um problema de permissões com restrições adicionais.

CVE-2025-31269: Zhongcheng Li da IES Red Team da ByteDance

Ruby

Disponível para: macOS Sonoma

Impacto: o processamento de um ficheiro poderá provocar uma recusa de serviço ou potencialmente divulgar conteúdo da memória

Descrição: esta é uma vulnerabilidade existente em código open source e o Software da Apple encontra-se entre os projetos afetados. O ID CVE foi atribuído por terceiros. Saiba mais sobre o problema e o ID CVE em cve.org.

CVE-2024-27280

Screenshots

Disponível para: macOS Sonoma

Impacto: uma app pode ser capaz de capturar um screenshot de uma app ao entrar ou sair do modo de ecrã inteiro

Descrição: foi resolvido um problema de privacidade através de verificações melhoradas.

CVE-2025-31259: um investigador anónimo

Security Initialization

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir infringir a sandbox

Descrição: o contorno da quarentena de ficheiros foi resolvido através de verificações adicionais.

CVE-2025-43332: um investigador anónimo

SharedFileList

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: o problema foi resolvido através da validação melhorada da entrada.

CVE-2025-43293: um investigador anónimo

SharedFileList

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir modificar partes protegidas do sistema de ficheiros

Descrição: um problema de permissões foi resolvido através da remoção de código vulnerável.

CVE-2025-43291: Ye Zhang da Baidu Security

SharedFileList

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir infringir a sandbox

Descrição: foi resolvido um problema de permissões com restrições adicionais.

CVE-2025-43286: pattern-f (@pattern_F_), @zlluny

Shortcuts

Disponível para: macOS Sonoma

Impacto: um atalho poderá ser capaz de contornar as restrições da sandbox

Descrição: foi resolvido um problema de permissões com restrições adicionais da sandbox.

CVE-2025-43358: 정답이 아닌 해답

Siri

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir aceder a dados do utilizador protegidos

Descrição: foi resolvido um problema de privacidade ao mover dados confidenciais.

CVE-2025-43367: Kirin (@Pwnrin), Cristian Dinca da "Tudor Vianu" National High School of Computer Science, na Roménia

Spell Check

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: foi resolvido um problema de análise no processamento dos caminhos de diretório com a validação melhorada do caminho.

CVE-2025-43190: Noah Gregory (wts.dev)

Spotlight

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: foi resolvido um problema de lógica através de verificações melhoradas.

CVE-2025-24197: Rodolphe Brunetti (@eisw0lf) da Lupus Nova

Storage

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir obter privilégios de raiz

Descrição: foi resolvido um problema de permissões com restrições adicionais.

CVE-2025-43341: um investigador anónimo

StorageKit

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: foi resolvido um problema de análise no processamento dos caminhos de diretório com a validação melhorada do caminho.

CVE-2025-43314: Mickey Jin (@patch1t)

StorageKit

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir obter privilégios de raiz

Descrição: foi resolvida uma condição de disputa através do processamento melhorado do estado.

CVE-2025-43304: Mickey Jin (@patch1t)

Touch Bar

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir aceder a dados do utilizador protegidos

Descrição: este problema foi revolvido através de verificações de direitos adicionais.

CVE-2025-43311: um investigador anónimo, Justin Elliot Fu

Touch Bar Controls

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: este problema foi revolvido através de verificações de direitos adicionais.

CVE-2025-43308: um investigador anónimo

WindowServer

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir enganar um utilizador ao copiar dados confidenciais para a área de colagem

Descrição: foi resolvido um problema de configuração com restrições adicionais.

CVE-2025-43310: um investigador anónimo

Agradecimentos adicionais

Airport

Gostaríamos de agradecer a Csaba Fitzl (@theevilbit) da Kandji pela sua colaboração.

libpthread

Gostaríamos de agradecer a Nathaniel Oh (@calysteon) pela sua colaboração.

libxml2

Gostaríamos de agradecer a Nathaniel Oh (@calysteon), Sergei Glazunov do Google Project Zero pela sua colaboração.

SharedFileList

Gostaríamos de agradecer a Ye Zhang da Baidu Security pela sua colaboração.

Wi-Fi

Gostaríamos de agradecer a Csaba Fitzl (@theevilbit) da Kandji, Noah Gregory (wts.dev), Wojciech Regula da SecuRing (wojciechregula.blog), um investigador anónimo pela sua colaboração.