Acerca das atualizações de segurança da Apple
Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação e não estiverem disponíveis as correções ou os lançamentos necessários. Os lançamentos recentes são apresentados na página Atualizações de segurança da Apple.
Sempre que possível, os documentos de segurança da Apple designam as vulnerabilidades através de ID CVE.
Para obter mais informações acerca da segurança, consulte a página Segurança dos produtos Apple.
macOS Ventura 13.6
Data de lançamento: 21 de setembro de 2023
Apple Neural Engine
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2023-40412: Mohamed GHANNAM (@_simo36)
CVE-2023-40409: Ye Zhang (@VAR10CK) da Baidu Security
Entrada adicionada a 26 de setembro de 2023
Apple Neural Engine
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foi resolvido um problema do tipo "use after free" (utilização após libertação de memória) através da gestão melhorada da memória.
CVE-2023-41071: Mohamed GHANNAM (@_simo36)
Entrada adicionada a 26 de setembro de 2023
Apple Neural Engine
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir divulgar a memória do kernel
Descrição: foi resolvido um problema de leitura fora dos limites através da validação melhorada da entrada.
CVE-2023-40410: Tim Michaud (@TimGMichaud) da Moveworks.ai
Entrada adicionada a 26 de setembro de 2023
Ask to Buy
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir aceder a dados do utilizador protegidos
Descrição: o problema foi resolvido através de verificações melhoradas.
CVE-2023-38612: Chris Ross (Zoom)
Entrada adicionada a 22 de dezembro de 2023
Biometric Authentication
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir divulgar a memória do kernel
Descrição: foi resolvido um problema de leitura fora dos limites através da verificação melhorada dos limites.
CVE-2023-41232: Liang Wei da PixiePoint Security
Entrada adicionada a 26 de setembro de 2023
ColorSync
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir ler ficheiros arbitrários
Descrição: o problema foi resolvido através de verificações melhoradas.
CVE-2023-40406: JeongOhKyea da Theori
Entrada adicionada a 26 de setembro de 2023
CoreAnimation
Disponível para: macOS Ventura
Impacto: o processamento de conteúdos web pode resultar numa recusa de serviço
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2023-40420: 이준성(Junsung Lee) do Cross Republic
Entrada adicionada a 26 de setembro de 2023
Kernel
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) da STAR Labs SG Pte. Ltd.
Entrada adicionada a 26 de setembro de 2023
Kernel
Disponível para: macOS Ventura
Impacto: um atacante que já executou código do kernel poderá conseguir contornar as mitigações da memória do kernel
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2023-41981: Linus Henze da Pinauten GmbH (pinauten.de)
Entrada adicionada a 26 de setembro de 2023
Kernel
Disponível para: macOS Ventura
Impacto: um atacante local poderá conseguir aumentar os privilégios. A Apple tem conhecimento de uma denúncia de que este problema pode ter sido explorado ativamente contra versões do iOS anteriores ao iOS 16.7.
Descrição: o problema foi resolvido através de verificações melhoradas.
CVE-2023-41992: Bill Marczak do The Citizen Lab na The University of Toronto's Munk School e Maddie Stone do Threat Analysis Group da Google
libxpc
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir aceder a dados do utilizador protegidos
Descrição: foi resolvido um problema de autorização através da gestão melhorada do estado.
CVE-2023-41073: Zhipeng Huo (@R3dF09) do Tencent Security Xuanwu Lab (xlab.tencent.com)
Entrada adicionada a 26 de setembro de 2023
libxpc
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir apagar ficheiros para os quais não tem permissão
Descrição: foi resolvido um problema de permissões com restrições adicionais.
CVE-2023-40454: Zhipeng Huo (@R3dF09) do Tencent Security Xuanwu Lab (xlab.tencent.com)
Entrada adicionada a 26 de setembro de 2023
libxslt
Disponível para: macOS Ventura
Impacto: o processamento de conteúdos web poderá divulgar informações confidenciais
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2023-40403: Dohyun Lee (@l33d0hyun) da PK Security
Entrada adicionada a 26 de setembro de 2023
Maps
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir ler informações confidenciais de localização
Descrição: o problema foi resolvido através do processamento melhorado de caches.
CVE-2023-40427: Adam M. e Wojciech Regula da SecuRing (wojciechregula.blog)
Entrada adicionada a 26 de setembro de 2023
Pro Res
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: o problema foi resolvido através do processamento da memória melhorado.
CVE-2023-41063: Certik Skyfall Team
Entrada adicionada a 26 de setembro de 2023
Sandbox
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir substituir ficheiros arbitrários
Descrição: o problema foi resolvido através de verificações melhoradas dos limites.
CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)
Entrada adicionada a 26 de setembro de 2023
Sandbox
Disponível para: macOS Ventura
Impacto: as apps que falham as verificações podem continuar a abrir
Descrição: o problema foi resolvido através de verificações melhoradas.
CVE-2023-41996: Yiğit Can YILMAZ (@yilmazcanyigit) e Mickey Jin (@patch1t)
Entrada adicionada a 26 de setembro de 2023
Security
Disponível para: macOS Ventura
Impacto: uma app maliciosa poderá conseguir contornar a validação da assinatura. A Apple tem conhecimento de uma denúncia de que este problema pode ter sido explorado ativamente versões do iOS lançadas antes do iOS 16.7.
Descrição: foi resolvido um problema de validação de certificados.
CVE-2023-41991: Bill Marczak do The Citizen Lab na The University of Toronto's Munk School e Maddie Stone do Threat Analysis Group da Google
Share Sheet
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir aceder a dados confidenciais registados quando um utilizador partilha uma ligação
Descrição: foi resolvido um problema de lógica através de verificações melhoradas.
CVE-2023-41070: Kirin (@Pwnrin)
Entrada adicionada a 26 de setembro de 2023
StorageKit
Disponível para: macOS Ventura
Impacto: uma app poderá conseguir ler ficheiros arbitrários
Descrição: este problema foi resolvido através da validação melhorada de ligações simbólicas.
CVE-2023-41968: Mickey Jin (@patch1t), James Hutchins
Entrada adicionada a 26 de setembro de 2023
Agradecimentos adicionais
Apple Neural Engine
Gostaríamos de agradecer a pattern-f (@pattern_F_) do Ant Security Light-Year Lab pela sua colaboração.
Entrada adicionada a 22 de dezembro de 2023
AppSandbox
Gostaríamos de agradecer a Kirin (@Pwnrin) pela sua colaboração.
Entrada adicionada a 26 de setembro de 2023
Kernel
Os nossos agradecimentos a Bill Marczak do The Citizen Lab da Munk School da Universidade de Toronto e a Maddie Stone do Threat Analysis Group da Google pela sua colaboração.
libxml2
Gostaríamos de agradecer a OSS-Fuzz e Ned Williamson do Google Project Zero pela sua colaboração.
Entrada adicionada a 26 de setembro de 2023
WebKit
Gostaríamos de agradecer a Khiem Tran e Narendra Bhati da Suma Soft Pvt. Ltd, Pune (India) pela sua colaboração.
Entrada adicionada a 26 de setembro de 2023
WebRTC
Gostaríamos de agradecer a um investigador anónimo pela sua colaboração.
Entrada adicionada a 26 de setembro de 2023