Luyi Xing

Nome do software vulnerável e versões afetadas: versões do visionOS anteriores à 2.1 versões do iOS anteriores à 18.1 versões do iPadOS anteriores à 18.1 versões do iOS anteriores à 17.7.1 versões do iPadOS anteriores à 17.7.1 versões do tvOS anteriores à 18.1 versões do macOS Sonoma anteriores à 14.7.1 Versões do watchOS anteriores à 11.1 Versões do macOS Ventura anteriores à 13.7.1 Descrição: Um problema de negação de serviço foi corrigido com a validação aprimorada de entradas. Um invasor remoto pode ser capaz de causar uma negação de serviço. Recomendações: Atualize para o visionOS 2.1 ou posterior. Atualize para o iOS 18.1 ou posterior. Atualize para o iPadOS 18.1 ou posterior. Atualize para o iOS 17.7.1 ou posterior. Atualize para o iPadOS 17.7.1 ou posterior. Atualize para o tvOS 18.1 ou posterior. Atualize para o macOS Sonoma 14.7.1 ou posterior. Atualize para o watchOS 11.1 ou posterior. Atualize para o macOS Ventura 13.7.1 ou posterior.

**Nome do software vulnerável e versões afetadas** Rastreador Bluetooth Chipolo ONE (2020), versão 4.13.0 Aplicativo Chipolo para iOS, versão 4.13.0 **Descrição** O problema diz respeito a um controle de acesso incorreto, permitindo ataques de evasão da revogação de acesso. Assim que um destinatário mal-intencionado obtiver as credenciais de acesso, os dispositivos Chipolo podem ser afetados. **Recomendações** Para o rastreador Bluetooth Chipolo ONE (2020) versão 4.13.0, atualize o aplicativo Chipolo para iOS para uma versão que corrija o problema de controle de acesso. Para o aplicativo Chipolo para iOS versão 4.13.0, considere restringir o acesso a recursos confidenciais até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas** Eclipse Mosquitto, versões 1.6 a 2.0.11 **Descrição** O problema está relacionado à implementação do protocolo MQTT v5 no Eclipse Mosquitto, o que pode causar uso excessivo da CPU. Isso pode ser explorado por um invasor remoto para causar uma negação de serviço. O problema ocorre quando um cliente MQTT v5 se conecta com um grande número de propriedades `user-property`. **Recomendações** Para as versões 1.6 a 2.0.11 do Eclipse Mosquitto, considere restringir o número de propriedades `user-property` que podem ser enviadas por um cliente MQTT v5 para evitar o uso excessivo da CPU. Como solução temporária, restrinja o acesso ao protocolo MQTT v5 até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do macOS anteriores à 11.1 macOS Big Sur versão 11.0.1 Atualizações de segurança anteriores à 2020-001 Catalina Atualizações de segurança anteriores à 2020-007 Mojave **Descrição** Um problema de gravação fora dos limites foi corrigido com uma verificação de limites aprimorada, permitindo que um aplicativo potencialmente execute código arbitrário com privilégios do kernel. **Recomendações** Para versões do macOS anteriores à 11.1, atualize para o macOS Big Sur 11.1 ou posterior. Para o macOS Big Sur versão 11.0.1, atualize para o macOS Big Sur 11.1 ou posterior. Para versões da Atualização de Segurança anteriores à 2020-001 Catalina, aplique a Atualização de Segurança 2020-001 Catalina ou posterior. Para versões da Atualização de Segurança anteriores à 2020-007 Mojave, aplique a Atualização de Segurança 2020-007 Mojave ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Apple macOS anteriores à 11.1 Versões do Apple macOS anteriores à Atualização de Segurança 2020-001 Catalina Versões do Apple macOS anteriores à Atualização de Segurança 2020-007 Mojave Versão 11.0.1 do Apple macOS **Descrição** Um problema de gravação fora dos limites foi corrigido com uma verificação de limites aprimorada, permitindo que um aplicativo potencialmente execute código arbitrário com privilégios de kernel. **Recomendações** Para o macOS Big Sur, atualize para a versão 11.1 ou posterior. Para o macOS Catalina, aplique a Atualização de Segurança 2020-001 ou posterior. Para o macOS Mojave, aplique a Atualização de Segurança 2020-007 ou posterior. Para o macOS Big Sur 11.0.1, atualize para uma versão mais recente que inclua a correção de segurança.

**Nome do software vulnerável e versões afetadas** Versões do macOS Big Sur anteriores à 11.0.1 Versões do macOS Big Sur anteriores à 11.1 Versões do tvOS anteriores à 14.0 Versões do macOS Catalina anteriores à Atualização de Segurança 2020-001 Versões do macOS Mojave anteriores à Atualização de Segurança 2020-007 Versões do watchOS anteriores à 7.0 Versões do iOS anteriores à 14.0 Versões do iPadOS anteriores à 14.0 **Descrição** Este problema foi resolvido com a melhoria da propagação de configurações. Um invasor em uma posição privilegiada na rede pode ser capaz de alterar inesperadamente o estado do aplicativo. **Recomendações** Para versões do macOS Big Sur anteriores à 11.0.1, atualize para o macOS Big Sur 11.0.1 ou posterior. Para versões do macOS Big Sur anteriores à 11.1, atualize para o macOS Big Sur 11.1 ou posterior. Para versões do tvOS anteriores à 14.0, atualize para o tvOS 14.0 ou posterior. Para versões do macOS Catalina anteriores à Atualização de Segurança 2020-001, aplique a Atualização de Segurança 2020-001 ou posterior. Para versões do macOS Mojave anteriores à Atualização de Segurança 2020-007, aplique a Atualização de Segurança 2020-007 ou posterior. Para versões do watchOS anteriores à 7.0, atualize para o watchOS 7.0 ou posterior. Para versões do iOS anteriores à 14.0, atualize para o iOS 14.0 ou posterior. Para versões do iPadOS anteriores à 14.0, atualize para o iPadOS 14.0 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do watchOS anteriores à 6.1.2 Versões do iOS anteriores à 13.3.1 Versões do iPadOS anteriores à 13.3.1 Versões do tvOS anteriores à 13.3.1 **Descrição** Um problema de corrupção de memória foi corrigido com um gerenciamento de memória aprimorado, o que permitia que um aplicativo potencialmente executasse código arbitrário com privilégios de kernel. **Recomendações** Para versões do watchOS anteriores à 6.1.2, atualize para o watchOS 6.1.2 para resolver o problema. Para versões do iOS anteriores à 13.3.1, atualize para o iOS 13.3.1 para resolver o problema. Para versões do iPadOS anteriores à 13.3.1, atualize para o iPadOS 13.3.1 para resolver o problema. Para versões do tvOS anteriores à 13.3.1, atualize para o tvOS 13.3.1 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do macOS Catalina anteriores à 10.15.4 Versões do macOS Mojave anteriores à Atualização de Segurança 2020-002 Versões do macOS High Sierra anteriores à Atualização de Segurança 2020-002 **Descrição** Um problema de uso após liberação de memória foi corrigido com um gerenciamento de memória aprimorado, o que poderia permitir que um aplicativo obtivesse privilégios elevados. **Recomendações** Para versões do macOS Catalina anteriores à 10.15.4, atualize para o macOS Catalina 10.15.4 ou posterior. Para versões do macOS Mojave anteriores à Atualização de Segurança 2020-002, aplique a Atualização de Segurança 2020-002 ou posterior. Para versões do macOS High Sierra anteriores à Atualização de Segurança 2020-002, aplique a Atualização de Segurança 2020-002 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do iOS anteriores à 13.3.1 Versões do iPadOS anteriores à 13.3.1 **Descrição** Um problema de corrupção de memória foi corrigido com um gerenciamento de memória aprimorado, o que permitia que um aplicativo potencialmente executasse código arbitrário com privilégios de kernel. **Recomendações** Para versões do iOS anteriores à 13.3.1, atualize para o iOS 13.3.1 para resolver o problema. Para versões do iPadOS anteriores à 13.3.1, atualize para o iPadOS 13.3.1 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do watchOS anteriores à 6.1.2 **Descrição** Foi corrigida uma falha de corrupção de memória por meio de um gerenciamento de estado aprimorado, que permitia que um aplicativo pudesse executar código arbitrário com privilégios de kernel. **Recomendações** Para versões anteriores à 6.1.2, atualize para o watchOS 6.1.2 para resolver o problema.

**Name of the Vulnerable Software and Affected Versions** Google Chrome on Android versions prior to 72.0.3626.81 **Description** The issue concerns insufficient protection of permission UI in WebAPKs, allowing an attacker to access privacy and security-sensitive web APIs. This can occur if the user is convinced to install a malicious application. The exploitation enables a remote attacker to gain unauthorized access to information using a specially crafted APK. **Recommendations** For versions prior to 72.0.3626.81, update to version 72.0.3626.81 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** Apple OS X versions prior to 10.11.2 tvOS versions prior to 9.1 **Description** The issue is related to improper interaction between Keychain Access and Keychain Agent. This allows attackers to spoof the Keychain Server, potentially enabling remote attackers to substitute the Keychain Server. **Recommendations** For Apple OS X versions prior to 10.11.2, update to version 10.11.2 or later. For tvOS versions prior to 9.1, update to version 9.1 or later.

**Name of the Vulnerable Software and Affected Versions** Apple OS X versions prior to 10.11 **Description** The issue is related to improper validation of iCloud keychain item ACLs in the Apple Online Store Kit. This allows attackers to obtain access to keychain items via a crafted app. The vulnerability can be exploited by a remote attacker using a specially formed application to gain access to keychain item management. **Recommendations** For versions prior to 10.11, update to version 10.11 or later to resolve the issue. As a temporary workaround, consider restricting access to keychain items to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** Apple iOS versions prior to 9 **Description** The issue is related to a lack of protection for service data in the iOS operating system. It allows a remote attacker to obtain sensitive information about inter-app communication via a crafted app that conducts an interception attack. The attack involves an unspecified URL scheme and can provide access to protected information. **Recommendations** For Apple iOS versions prior to 9, update to version 9 or later to resolve the issue. As a temporary workaround, consider restricting the installation of third-party apps to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** OS X versions prior to 10.10.5 **Description** The issue is related to the Bluetooth subsystem, which does not properly restrict access to certain data. This allows attackers to read Notification Center notifications of paired devices using a crafted app. The estimated number of potentially affected devices and details about real-world incidents are not provided. **Recommendations** For OS X versions prior to 10.10.5, update to version 10.10.5 or later to resolve the issue. As a temporary workaround, consider restricting access to the Notification Center Service to minimize the risk of exploitation.