Acerca dos conteúdos de segurança do macOS Big Sur 11.7.7

Este documento descreve os conteúdos de segurança do macOS Big Sur 11.7.7.

Acerca das atualizações de segurança da Apple

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação e não estiverem disponíveis as correções ou os lançamentos necessários. Os lançamentos recentes são apresentados na página Atualizações de segurança da Apple.

Sempre que possível, os documentos de segurança da Apple designam as vulnerabilidades através de ID CVE.

Para obter mais informações acerca da segurança, consulte a página Segurança dos produtos Apple.

macOS Big Sur 11.7.7

Lançado a 18 de maio de 2023

Accessibility

Disponível para: macOS Big Sur

Impacto: uma app poderá conseguir contornar as preferências de privacidade

Descrição: um problema de privacidade foi resolvido através de melhorias na redação de dados privados de entradas do registo.

CVE-2023-32388: Kirin (@Pwnrin)

AppleEvents

Disponível para: macOS Big Sur

Impacto: uma app poderá conseguir contornar as preferências de privacidade

Descrição: este problema foi resolvido através de melhorias na redação de informações confidenciais.

CVE-2023-28191: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Disponível para: macOS Big Sur

Impacto: uma app poderá conseguir contornar as preferências de privacidade

Descrição: este problema foi resolvido através de direitos melhorados.

CVE-2023-32411: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Disponível para: macOS Big Sur

Impacto: uma app poderá conseguir injetar um código nos binários sensíveis fornecidos com Xcode

Descrição: este problema foi resolvido forçando o reforço do tempo de execução nos binários afetados ao nível do sistema.

CVE-2023-32383: James Duffy (mangoSecure)

Entrada adicionada a 21 de dezembro de 2023

Contacts

Disponível para: macOS Big Sur

Impacto: uma app poderá conseguir observar dados do utilizador não protegidos

Descrição: foi resolvido um problema de privacidade através do processamento melhorado de ficheiros temporários.

CVE-2023-32386: Kirin (@Pwnrin)

CoreCapture

Disponível para: macOS Big Sur

Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel

Descrição: o problema foi resolvido através do processamento da memória melhorado.

CVE-2023-28181: Tingting Yin da Universidade de Tsinghua

CUPS

Disponível para: macOS Big Sur

Impacto: um utilizador não autenticado poderá conseguir aceder a documentos recém-impressos

Descrição: foi resolvido um problema de autenticação através da gestão melhorada do estado.

CVE-2023-32360: Gerhard Muth

dcerpc

Disponível para: macOS Big Sur

Impacto: um atacante remoto poderá conseguir provocar o encerramento inesperado da app ou a execução de um código arbitrário

Descrição: foi resolvido um problema do tipo "use after free" (utilização após libertação de memória) através da gestão melhorada da memória.

CVE-2023-32387: Dimitrios Tatsis da Cisco Talos

Dev Tools

Disponível para: macOS Big Sur

Impacto: uma app em sandbox poderá conseguir recolher registos do sistema

Descrição: este problema foi resolvido através de direitos melhorados.

CVE-2023-27945: Mickey Jin (@patch1t)

GeoServices

Disponível para: macOS Big Sur

Impacto: uma app poderá conseguir ler informações confidenciais de localização

Descrição: um problema de privacidade foi resolvido através de melhorias na redação de dados privados de entradas do registo.

CVE-2023-32392: Adam M.

Entrada adicionada a 21 de dezembro de 2023

ImageIO

Disponível para: macOS Big Sur

Impacto: o processamento de uma imagem poderá provocar a execução de um código arbitrário

Descrição: foi resolvido um problema de ultrapassagem do limite máximo do buffer através da verificação melhorada dos limites.

CVE-2023-32384: Meysam Firouzi @R00tkitsmm em colaboração com o programa Zero Day Initiative da Trend Micro

IOSurface

Disponível para: macOS Big Sur

Impacto: uma app poderá conseguir divulgar o estado confidencial do kernel

Descrição: foi resolvido um problema de leitura fora dos limites através da validação melhorada da entrada.

CVE-2023-32410: hou xuewei (@p1ay8y3ar) vmk msu

Kernel

Disponível para: macOS Big Sur

Impacto: uma app poderá conseguir obter privilégios de raiz

Descrição: foi resolvida uma condição de disputa através do processamento melhorado do estado.

CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) da Synacktiv (@Synacktiv) em colaboração com o programa Zero Day Initiative da Trend Micro

Kernel

Disponível para: macOS Big Sur

Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel

Descrição: foi resolvido um problema do tipo "use after free" (utilização após libertação de memória) através da gestão melhorada da memória.

CVE-2023-32398: Adam Doupé do ASU SEFCOM

LaunchServices

Disponível para: macOS Big Sur

Impacto: uma app poderá ignorar as verificações do Gatekeeper

Descrição: foi resolvido um problema de lógica através de verificações melhoradas.

CVE-2023-32352: Wojciech Reguła (@_r3ggi) da SecuRing (wojciechregula.blog)

libxpc

Disponível para: macOS Big Sur

Impacto: uma app poderá conseguir modificar partes protegidas do sistema de ficheiros

Descrição: foi resolvido um problema de lógica através da gestão melhorada do estado.

CVE-2023-32369: Jonathan Bar Or, Anurag Bohra e Michael Pearse da Microsoft

libxpc

Disponível para: macOS Big Sur

Impacto: uma app poderá conseguir obter privilégios de raiz

Descrição: foi resolvido um problema de lógica através de verificações melhoradas.

CVE-2023-32405: Thijs Alkemade (@xnyhps) da Computest Sector 7

Metal

Disponível para: macOS Big Sur

Impacto: uma app poderá conseguir contornar as preferências de privacidade

Descrição: foi resolvido um problema de lógica através da gestão melhorada do estado.

CVE-2023-32407: Gergely Kalman (@gergely_kalman)

Model I/O

Disponível para: macOS Big Sur

Impacto: o processamento de um módulo 3D poderá provocar a execução de um código arbitrário

Descrição: foi resolvido um problema de escrita fora dos limites através da verificação melhorada dos limites.

CVE-2023-32380: Mickey Jin (@patch1t)

Model I/O

Disponível para: macOS Big Sur

Impacto: o processamento de um módulo 3D poderá provocar a divulgação da memória de processamento

Descrição: foi resolvido um problema de leitura fora dos limites através da validação melhorada da entrada.

CVE-2023-32382: Mickey Jin (@patch1t)

NetworkExtension

Disponível para: macOS Big Sur

Impacto: uma app poderá conseguir ler informações confidenciais de localização

Descrição: este problema foi resolvido através de melhorias na redação de informações confidenciais.

CVE-2023-32403: Adam M.

Entrada adicionada a 21 de dezembro de 2023

PackageKit

Disponível para: macOS Big Sur

Impacto: uma app poderá conseguir modificar partes protegidas do sistema de ficheiros

Descrição: foi resolvido um problema de lógica através da gestão melhorada do estado.

CVE-2023-32355: Mickey Jin (@patch1t)

Perl

Disponível para: macOS Big Sur

Impacto: uma app poderá conseguir modificar partes protegidas do sistema de ficheiros

Descrição: foi resolvido um problema de lógica através da gestão melhorada do estado.

CVE-2023-32395: Arsenii Kostromin (0x3c3e)

Quick Look

Disponível para: macOS Big Sur

Impacto: analisar um documento do Office poderá provocar o encerramento inesperado da app ou a execução de um código arbitrário

Descrição: foi resolvido um problema de ultrapassagem do limite máximo do buffer através da verificação melhorada dos limites.

CVE-2023-32401: Holger Fuhrmannek da Deutsche Telekom Security GmbH em nome do BSI (Departamento Federal Alemão para a Segurança da Informação)

Entrada adicionada a 21 de dezembro de 2023

Sandbox

Disponível para: macOS Big Sur

Impacto: uma app poderá conseguir manter o acesso aos ficheiros de configuração do sistema mesmo depois de a sua permissão ter sido revogada

Descrição: foi resolvido um problema de autorização através da gestão melhorada do estado.

CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Jeff Johnson, Koh M. Nakagawa da FFRI Security, Inc., Kirin (@Pwnrin) e Csaba Fitzl (@theevilbit) da Offensive Security

Shell

Disponível para: macOS Big Sur

Impacto: uma app poderá conseguir modificar partes protegidas do sistema de ficheiros

Descrição: foi resolvido um problema de lógica através da gestão melhorada do estado.

CVE-2023-32397: Arsenii Kostromin (0x3c3e)

Telephony

Disponível para: macOS Big Sur

Impacto: um atacante remoto poderá conseguir provocar o encerramento inesperado da app ou a execução de um código arbitrário

Descrição: foi resolvido um problema do tipo "use after free" (utilização após libertação de memória) através da gestão melhorada da memória.

CVE-2023-32412: Ivan Fratric do Google Project Zero

 

Agradecimentos adicionais

libxml2

Gostaríamos de agradecer a OSS-Fuzz, Ned Williamson do Google Project Zero pela sua colaboração.

Reminders

Gostaríamos de agradecer a Kirin (@Pwnrin) pela sua colaboração.

Security

Gostaríamos de agradecer a James Duffy (mangoSecure) pela sua colaboração.

Wi-Fi

Gostaríamos de agradecer a Adam M. pela sua colaboração.

Entrada adicionada a 21 de dezembro de 2023

Wi-Fi Connectivity

Gostaríamos de agradecer a Adam M. pela sua colaboração.

Entrada adicionada a 21 de dezembro de 2023

 

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Contacte o fornecedor para obter mais informações.

Data de publicação: