Acerca dos conteúdos de segurança do macOS Sonoma 14.2

Este documento descreve os conteúdos de segurança do macOS Sonoma 14.2.

Acerca das atualizações de segurança da Apple

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação e não estiverem disponíveis as correções ou os lançamentos necessários. Os lançamentos recentes são apresentados na página Atualizações de segurança da Apple.

Sempre que possível, os documentos de segurança da Apple designam as vulnerabilidades através de ID CVE.

Para obter mais informações acerca da segurança, consulte a página Segurança dos produtos Apple.

macOS Sonoma 14.2

Data de lançamento: 11 de dezembro de 2023

Accessibility

Disponível para: macOS Sonoma

Impacto: poderão ser apresentados campos de texto seguros através do Teclado de acessibilidade quando se utiliza um teclado físico

Descrição: este problema foi resolvido através da gestão melhorada do estado.

CVE-2023-42874: Don Clarke

Accessibility

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: um problema de privacidade foi resolvido através de melhorias na redação de dados privados de entradas do registo.

CVE-2023-42937: Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab)

Entrada adicionada a 22 de janeiro de 2024

Accounts

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: um problema de privacidade foi resolvido através de melhorias na redação de dados privados de entradas do registo.

CVE-2023-42919: Kirin (@Pwnrin)

AppleEvents

Disponível para: macOS Sonoma

Impacto: uma app maliciosa poderá conseguir aceder a informações sobre os contactos do utilizador

Descrição: este problema foi resolvido através de melhorias na redação de informações confidenciais.

CVE-2023-42894: Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab)

AppleGraphicsControl

Disponível para: macOS Sonoma

Impacto: o processamento de um ficheiro criado com intuito malicioso poderá provocar o encerramento inesperado da app ou a execução de um código arbitrário

Descrição: foram resolvidos vários problemas de corrupção de memória através da validação melhorada da entrada.

CVE-2023-42901: Ivan Fratric do Google Project Zero

CVE-2023-42902: Ivan Fratric do Google Project Zero e Michael DePlante (@izobashi) da Trend Micro Zero Day Initiative

CVE-2023-42912: Ivan Fratric do Google Project Zero

CVE-2023-42903: Ivan Fratric do Google Project Zero

CVE-2023-42904: Ivan Fratric do Google Project Zero

CVE-2023-42905: Ivan Fratric do Google Project Zero

CVE-2023-42906: Ivan Fratric do Google Project Zero

CVE-2023-42907: Ivan Fratric do Google Project Zero

CVE-2023-42908: Ivan Fratric do Google Project Zero

CVE-2023-42909: Ivan Fratric do Google Project Zero

CVE-2023-42910: Ivan Fratric do Google Project Zero

CVE-2023-42911: Ivan Fratric do Google Project Zero

CVE-2023-42926: Ivan Fratric do Google Project Zero

AppleVA

Disponível para: macOS Sonoma

Impacto: o processamento de uma imagem poderá provocar a execução de um código arbitrário

Descrição: o problema foi resolvido através do processamento da memória melhorado.

CVE-2023-42882: Ivan Fratric do Google Project Zero

AppleVA

Disponível para: macOS Sonoma

Impacto: o processamento de um ficheiro poderá provocar o encerramento inesperado da app ou a execução de um código arbitrário

Descrição: o problema foi resolvido através do processamento da memória melhorado.

CVE-2023-42881: Ivan Fratric do Google Project Zero

Entrada adicionada a 12 de dezembro de 2023

Archive Utility

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: foi resolvido um problema de lógica através de verificações melhoradas.

CVE-2023-42924: Mickey Jin (@patch1t)

Assets

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir modificar partes protegidas do sistema de ficheiros

Descrição: foi resolvido um problema através do processamento melhorado de ficheiros temporários.

CVE-2023-42896: Mickey Jin (@patch1t)

Entrada adicionada a 22 de março de 2024

AVEVideoEncoder

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir divulgar a memória do kernel

Descrição: este problema foi resolvido através de melhorias na redação de informações confidenciais.

CVE-2023-42884: investigador anónimo

Bluetooth

Disponível para: macOS Sonoma

Impacto: um atacante numa posição de rede privilegiada poderá conseguir inserir combinações de teclas através da falsificação de um teclado

Descrição: o problema foi resolvido através de verificações melhoradas.

CVE-2023-45866: Marc Newlin do SkySafe

CoreMedia Playback

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: o problema foi resolvido através de verificações melhoradas.

CVE-2023-42900: Mickey Jin (@patch1t)

CoreServices

Disponível para: macOS Sonoma

Impacto: um utilizador poderá conseguir provocar o encerramento inesperado da app ou a execução de um código arbitrário

Descrição: foi resolvido um problema de leitura fora dos limites através da verificação melhorada dos limites.

CVE-2023-42886: Koh M. Nakagawa (@tsunek0h)

curl

Disponível para: macOS Sonoma

Impacto: vários problemas no curl

Descrição: foram corrigidos vários problemas ao atualizar para a versão 8.4.0 do curl.

CVE-2023-38545

CVE-2023-38039

CVE-2023-38546

Entrada adicionada a 22 de janeiro de 2024 e atualizada a 13 de fevereiro de 2024

DiskArbitration

Disponível para: macOS Sonoma

Impacto: um processo poderá obter privilégios de administrador sem a devida autenticação

Descrição: o problema foi resolvido através de verificações melhoradas.

CVE-2023-42931: Yann GASCUEL da Alter Solutions

Entrada adicionada a 22 de março de 2024

FileURL

Disponível para: macOS Sonoma

Impacto: um atacante local poderá conseguir aumentar os privilégios

Descrição: foi resolvido um problema do tipo "use after free" (utilização após libertação de memória) através da gestão melhorada da memória.

CVE-2023-42892: Anthony Cruz @App Tyrant Corp

Entrada adicionada a 22 de março de 2024

Find My

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir ler informações confidenciais de localização

Descrição: este problema foi resolvido através de melhorias na redação de informações confidenciais.

CVE-2023-42922: Wojciech Regula da SecuRing (wojciechregula.blog)

ImageIO

Disponível para: macOS Sonoma

Impacto: o processamento de uma imagem poderá provocar a execução de um código arbitrário

Descrição: o problema foi resolvido através do processamento da memória melhorado.

CVE-2023-42898: Zhenjiang Zhao da Equipa Pangu, Qianxin e Junsung Lee

CVE-2023-42899: Meysam Firouzi @R00tkitSMM e Junsung Lee

Entrada atualizada a 22 de março de 2024

ImageIO

Disponível para: macOS Sonoma

Impacto: o processamento de uma imagem criada com intuito malicioso poderá provocar a divulgação da memória de processamento

Descrição: o problema foi resolvido através de verificações melhoradas.

CVE-2023-42888: Michael DePlante (@izobashi) do programa Zero Day Initiative da Trend Micro

Entrada adicionada a 22 de janeiro de 2024

IOKit

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir monitorizar combinações de teclas sem a autorização do utilizador

Descrição: foi resolvido um problema de autenticação através da gestão melhorada do estado.

CVE-2023-42891: investigador anónimo

IOUSBDeviceFamily

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel

Descrição: foi resolvida uma condição de disputa através do processamento melhorado do estado.

CVE-2023-42974: Pan ZhenPeng (@Peterpan0927) da STAR Labs SG Pte. Ltd.

Entrada adicionada a 22 de março de 2024

Kernel

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir infringir a sandbox

Descrição: o problema foi resolvido através do processamento da memória melhorado.

CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) da Synacktiv (@Synacktiv)

Libsystem

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir aceder a dados do utilizador protegidos

Descrição: foi resolvido um problema de permissões através da remoção do código vulnerável e da adição de verificações adicionais.

CVE-2023-42893

Entrada adicionada a 22 de março de 2024

Model I/O

Disponível para: macOS Sonoma

Impacto: o processamento de uma imagem pode resultar numa recusa de serviço

Descrição: este problema foi resolvido através da remoção de código vulnerável.

CVE-2023-3618

Entrada adicionada a 22 de março de 2024

ncurses

Disponível para: macOS Sonoma

Impacto: um utilizador remoto poderá conseguir provocar o encerramento inesperado da app ou a execução de um código arbitrário

Descrição: este problema foi resolvido através de verificações melhoradas.

CVE-2020-19185

CVE-2020-19186

CVE-2020-19187

CVE-2020-19188

CVE-2020-19189

CVE-2020-19190

NSOpenPanel

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir ler ficheiros arbitrários

Descrição: foi resolvido um problema de acesso através de restrições adicionais da sandbox.

CVE-2023-42887: Ron Masas da BreakPoint.sh

Entrada adicionada a 22 de janeiro de 2024

Sandbox

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: este problema foi resolvido através de melhorias na redação de informações confidenciais.

CVE-2023-42936

Entrada adicionada a 22 de março de 2024

Share Sheet

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: foi resolvido um problema de privacidade ao mover dados confidenciais para uma localização protegida.

CVE-2023-40390: Csaba Fitzl (@theevilbit) da Offensive Security e Mickey Jin (@patch1t)

Entrada adicionada a 22 de março de 2024

SharedFileList

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: o problema foi resolvido através de verificações melhoradas.

CVE-2023-42842: um investigador anónimo

Shell

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir modificar partes protegidas do sistema de ficheiros

Descrição: este problema foi resolvido através de verificações melhoradas.

CVE-2023-42930: Arsenii Kostromin (0x3c3e)

Entrada adicionada a 22 de março de 2024

System Settings

Disponível para: macOS Sonoma

Impacto: as sessões de início de sessão remota podem ser capazes de obter permissões de acesso total ao disco

Descrição: este problema foi resolvido através da gestão melhorada do estado.

CVE-2023-42913: Mattie Behrens e Joshua Jewett (@JoshJewett33)

Entrada adicionada a 22 de março de 2024

TCC

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir aceder a dados do utilizador protegidos

Descrição: foi resolvido um problema de lógica através de verificações melhoradas.

CVE-2023-42932: Zhongquan Li (@Guluisacat)

TCC

Disponível para: macOS Sonoma

Impacto: uma app poderá conseguir infringir a sandbox

Descrição: foi resolvido um problema de gestão de caminhos através da validação melhorada.

CVE-2023-42947: Zhongquan Li (@Guluisacat) da Dawn Security Lab of JingDong

Entrada adicionada a 22 de março de 2024

Vim

Disponível para: macOS Sonoma

Impacto: abrir um ficheiro criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

Descrição: este problema foi resolvido através da atualização para a versão Vim 9.0.1969.

CVE-2023-5344

WebKit

Disponível para: macOS Sonoma

Impacto: o processamento de conteúdos web poderá provocar a execução de um código arbitrário

Descrição: o problema foi resolvido através do processamento da memória melhorado.

WebKit Bugzilla: 259830
CVE-2023-42890: Pwn2car

WebKit

Disponível para: macOS Sonoma

Impacto: o processamento de uma imagem pode resultar numa recusa de serviço

Descrição: o problema foi resolvido através do processamento da memória melhorado.

WebKit Bugzilla: 263349
CVE-2023-42883: Equipa de segurança da Zoom Offensive

WebKit

Disponível para: macOS Sonoma

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar a execução de um código arbitrário

Descrição: foi resolvido um problema do tipo "use after free" (utilização após libertação de memória) com a gestão melhorada da memória.

WebKit Bugzilla: 263682
CVE-2023-42950: Nan Wang (@eternalsakura13) do Instituto 360 Vulnerability Research e rushikesh nandedkar

Entrada adicionada a 22 de março de 2024

WebKit

Disponível para: macOS Sonoma

Impacto: o processamento de conteúdos web pode resultar numa recusa de serviço

Descrição: o problema foi resolvido através do processamento da memória melhorado.

WebKit Bugzilla: 263989
CVE-2023-42956: SungKwon Lee (Demon.Team)

Entrada adicionada a 22 de março de 2024

 

Agradecimentos adicionais

Memoji

Os nossos agradecimentos a Jerry Tenenbaum pela sua colaboração.

WebSheet

Os nossos agradecimentos a Paolo Ruggero da e-phors S.p.A. (A FINCANTIERI S.p.A. Company) pela sua colaboração.

Entrada adicionada a 22 de março de 2024

Wi-Fi

Gostaríamos de agradecer a Noah Roskin-Frazee e ao Prof. J. (ZeroClicks.ai Lab) pela sua colaboração.

 

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Contacte o fornecedor para obter mais informações.

Data de publicação: