Codecolorist

**Nome do software vulnerável e versões afetadas: Versões do iOS anteriores à 14.5 Versões do iPadOS anteriores à 14.5 Versões do watchOS anteriores à 7.4 Versões do tvOS anteriores à 14.5 Descrição: Um problema de “use after free” foi corrigido com um gerenciamento de memória aprimorado. Um invasor com capacidade de executar JavaScript pode conseguir executar código arbitrário. Recomendações: Para versões do iOS anteriores à 14.5, atualize para o iOS 14.5 ou posterior. Para versões do iPadOS anteriores à 14.5, atualize para o iPadOS 14.5 ou posterior. Para versões do watchOS anteriores à 7.4, atualize para o watchOS 7.4 ou posterior. Para versões do tvOS anteriores à 14.5, atualize para o tvOS 14.5 ou posterior.

**Nome do software vulnerável e versões afetadas: Versões do Apple tvOS anteriores à 14.4 Versões do Apple watchOS anteriores à 7.3 Versões do Apple iOS anteriores à 14.4 Versões do Apple iPadOS anteriores à 14.4 Descrição: Um problema de validação foi resolvido com a melhoria da sanitização de entradas. O processamento de uma URL criada de forma maliciosa pode levar à execução arbitrária de código JavaScript. Recomendações: Para versões do tvOS anteriores à 14.4, atualize para o tvOS 14.4 para resolver o problema. Para versões do watchOS anteriores à 7.3, atualize para o watchOS 7.3 para resolver o problema. Para versões do iOS anteriores à 14.4, atualize para o iOS 14.4 para resolver o problema. Para versões do iPadOS anteriores à 14.4, atualize para o iPadOS 14.4 para resolver o problema.

**Nome do software vulnerável e versões afetadas: Versões do macOS Big Sur anteriores à 11.2 Versões da Atualização de Segurança anteriores à 2021-001 Catalina Versões da Atualização de Segurança anteriores à 2021-001 Mojave Versões do watchOS anteriores à 7.3 Versões do tvOS anteriores à 14.4 Versões do iOS anteriores à 14.4 Versões do iPadOS anteriores à 14.4 Descrição: Um problema de lógica foi corrigido com validação aprimorada. Um invasor mal-intencionado com capacidade arbitrária de leitura e gravação pode ser capaz de contornar a autenticação por ponteiro. Recomendações: Para o macOS Big Sur, atualize para a versão 11.2 ou posterior. Para a Atualização de Segurança Catalina, aplique a Atualização de Segurança 2021-001 ou posterior. Para a Atualização de Segurança do Mojave, aplique a Atualização de Segurança 2021-001 ou posterior. Para o watchOS, atualize para a versão 7.3 ou posterior. Para o tvOS, atualize para a versão 14.4 ou posterior. Para o iOS, atualize para a versão 14.4 ou posterior. Para o iPadOS, atualize para a versão 14.4 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do iOS anteriores à 14.0 Versões do iPadOS anteriores à 14.0 Versões do tvOS anteriores à 14.0 **Descrição** Um problema de confiança foi resolvido com a remoção de uma API legada. Um invasor pode ser capaz de se aproveitar indevidamente de uma relação de confiança para baixar conteúdo malicioso. **Recomendações** Para versões do iOS anteriores à 14.0, atualize para o iOS 14.0 ou posterior. Para versões do iPadOS anteriores à 14.0, atualize para o iPadOS 14.0 ou posterior. Para versões do tvOS anteriores à 14.0, atualize para o tvOS 14.0 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do macOS Catalina anteriores à 10.15.1 **Descrição** Um aplicativo malicioso pode conseguir elevar privilégios devido a uma vulnerabilidade no sistema. O problema foi resolvido com a remoção do código vulnerável. **Recomendações** Para versões do macOS Catalina anteriores à 10.15.1, atualize para o macOS Catalina 10.15.1 ou aplique a Atualização de Segurança 2019-001 ou a Atualização de Segurança 2019-006 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Safari anteriores à 13.0.5 **Descrição** Um problema no tratamento de esquemas de URL personalizados foi resolvido com uma validação de entrada aprimorada. O processamento de uma URL criada de forma maliciosa pode levar à execução arbitrária de código JavaScript. **Recomendações** Para versões anteriores à 13.0.5, atualize para o Safari 13.0.5 para resolver o problema. Como solução temporária, considere evitar o uso de esquemas de URL personalizados até que a atualização seja aplicada.

**Name of the Vulnerable Software and Affected Versions** iOS versions prior to 12.2 macOS Mojave versions prior to 10.14.4 **Description** A malicious application may be able to overwrite arbitrary files due to insufficient checks. **Recommendations** For iOS versions prior to 12.2, update to iOS 12.2 or later. For macOS Mojave versions prior to 10.14.4, update to macOS Mojave 10.14.4 or later.

**Name of the Vulnerable Software and Affected Versions** iOS versions prior to 12.2 macOS Mojave versions prior to 10.14.4 tvOS versions prior to 12.2 **Description** A malicious application may be able to overwrite arbitrary files due to insufficient checks. **Recommendations** For iOS versions prior to 12.2, update to iOS 12.2 or later. For macOS Mojave versions prior to 10.14.4, update to macOS Mojave 10.14.4 or later. For tvOS versions prior to 12.2, update to tvOS 12.2 or later.

**Name of the Vulnerable Software and Affected Versions** iOS versions prior to 12.2 macOS Mojave versions prior to 10.14.4 **Description** A race condition was addressed with additional validation. A malicious application may be able to gain root privileges. **Recommendations** For iOS versions prior to 12.2, update to iOS 12.2 to resolve the issue. For macOS Mojave versions prior to 10.14.4, update to macOS Mojave 10.14.4 to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** macOS versions prior to 10.14.4 **Description** A local user may be able to execute arbitrary shell commands due to a command injection issue in macOS TimeMachine. This allows for reliable local root privilege escalation. **Recommendations** For macOS versions prior to 10.14.4, update to macOS Mojave 10.14.4 to resolve the issue. As a temporary workaround, consider restricting access to TimeMachine until the update is applied.

**Name of the Vulnerable Software and Affected Versions** iOS versions prior to 12 macOS versions prior to 10.14 **Description** An access issue was addressed with additional sandbox restrictions. **Recommendations** For iOS versions prior to 12, update to iOS 12 or later. For macOS versions prior to 10.14, update to macOS 10.14 or later.

**Name of the Vulnerable Software and Affected Versions** VMware Fusion versions 11.x before 11.0.3 **Description** The issue is related to insufficient input validation in the VMware Fusion hypervisor interface. This can be exploited by a remote attacker to execute arbitrary JavaScript code or run arbitrary commands using the VMware Tools utility set. The vulnerability involves certain unauthenticated APIs that are accessible through a web socket, which can be exploited by tricking the host user into executing JavaScript to perform unauthorized functions on the guest machine where VMware Tools is installed. This may further be exploited to execute commands on the guest machines. **Recommendations** For versions 11.x before 11.0.3, update to version 11.0.3 or later to resolve the issue. As a temporary workaround, consider restricting access to the unauthenticated APIs accessible through the web socket to minimize the risk of exploitation. Additionally, avoid executing JavaScript code from untrusted sources on the host machine to prevent potential exploitation of the guest machine.

**Name of the Vulnerable Software and Affected Versions** Microsoft Office (affected versions not specified) **Description** An issue exists where the Microsoft AutoUpdate application for Mac fails to properly validate updates before executing them. This can lead to an elevation of privilege. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.