Ron Masas

**Name of the Vulnerable Software and Affected Versions** Apple macOS versions prior to Tahoe 26.3 Apple macOS versions prior to Sonoma 14.8.4 Apple iOS versions prior to 18.7.5 Apple iPadOS versions prior to 18.7.5 Apple visionOS versions prior to 26.3 Apple iOS versions prior to 26.3 Apple iPadOS versions prior to 26.3 **Description** A race condition existed in the handling of symbolic links. This allowed a shortcut to potentially bypass sandbox restrictions. **Recommendations** Update Apple macOS to version 26.3 or later. Update Apple macOS to version 14.8.4 or later. Update Apple iOS to version 18.7.5 or later. Update Apple iPadOS to version 18.7.5 or later. Update Apple visionOS to version 26.3 or later. Update Apple iOS to version 26.3 or later. Update Apple iPadOS to version 26.3 or later.

**Name of the Vulnerable Software and Affected Versions** watchOS versions prior to 26.1 iOS versions prior to 26.1 iPadOS versions prior to 26.1 visionOS versions prior to 26.1 **Description** A privacy issue existed where a malicious application could potentially capture screenshots of sensitive information displayed in embedded views. This was addressed with improved checks. **Recommendations** Update watchOS to version 26.1. Update iOS to version 26.1. Update iPadOS to version 26.1. Update visionOS to version 26.1.

**Nome do Software Vulnerável e Versões Afetadas** Versões do iOS anteriores à 18 Versões do iPadOS anteriores à 18 Versões do macOS Sequoia anteriores à 15 **Descrição** Um problema de clickjacking foi corrigido com um gerenciamento aprimorado de visualização fora do processo. Este problema pode permitir que um aplicativo induza o usuário a conceder acesso às fotos da biblioteca de fotos do usuário. **Recomendações** Para versões do iOS anteriores à 18, atualize para o iOS 18 ou posterior. Para versões do iPadOS anteriores à 18, atualize para o iPadOS 18 ou posterior. Para versões do macOS Sequoia anteriores à 15, atualize para o macOS Sequoia 15 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Safari anteriores à 18 Versões do visionOS anteriores à 2 Versões do watchOS anteriores à 11 Versões do macOS Sequoia anteriores à 15 Versões do iOS anteriores à 18 Versões do iPadOS anteriores à 18 Versões do tvOS anteriores à 18 **Descrição** O processamento de conteúdo da web criado de forma maliciosa pode levar a um ataque de cross-site scripting universal. Esse problema foi resolvido por meio de um gerenciamento de estado aprimorado. **Recomendações** Para versões do Safari anteriores à 18, atualize para o Safari 18 para resolver o problema. Para versões do visionOS anteriores à 2, atualize para o visionOS 2 para resolver o problema. Para versões do watchOS anteriores à 11, atualize para o watchOS 11 para resolver o problema. Para versões do macOS Sequoia anteriores à 15, atualize para o macOS Sequoia 15 para resolver o problema. Para versões do iOS anteriores à 18, atualize para o iOS 18 para resolver o problema. Para versões do iPadOS anteriores à 18, atualize para o iPadOS 18 para resolver o problema. Para versões do tvOS anteriores à 18, atualize para o tvOS 18 para resolver o problema.

**Nome do Software Vulnerável e Versões Afetadas** versões do watchOS anteriores à 11 versões do macOS Sequoia anteriores à 15 versões do Safari anteriores à 18 versões do visionOS anteriores à 2 versões do iOS anteriores à 18 versões do iPadOS anteriores à 18 versões do tvOS anteriores à 18 **Descrição** O processamento de conteúdo da web maliciosamente elaborado pode levar a uma falha inesperada do processo. O problema foi resolvido com verificações aprimoradas. **Recomendações** Para versões do watchOS anteriores à 11, atualize para o watchOS 11 para resolver o problema. Para versões do macOS Sequoia anteriores à 15, atualize para o macOS Sequoia 15 para resolver o problema. Para versões do Safari anteriores à 18, atualize para o Safari 18 para resolver o problema. Para versões do visionOS anteriores à 2, atualize para o visionOS 2 para resolver o problema. Para versões do iOS anteriores à 18, atualize para o iOS 18 para resolver o problema. Para versões do iPadOS anteriores à 18, atualize para o iPadOS 18 para resolver o problema. Para versões do tvOS anteriores à 18, atualize para o tvOS 18 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do macOS Sonoma anteriores à 14.5 **Descrição** Foi corrigido um problema de correção por meio de verificações aprimoradas, que permitia que um aplicativo pudesse ler arquivos arbitrários. **Recomendações** Para versões anteriores à 14.5, atualize para o macOS Sonoma 14.5 para resolver o problema.

**Name of the Vulnerable Software and Affected Versions** macOS versions prior to 13.6.4 macOS versions prior to 14.2 **Description** An access issue was addressed with additional sandbox restrictions. This issue may allow an app to read arbitrary files. The vulnerability is related to the lack of protection for service data in the NSOpenPanel component of the macOS operating system, which could allow an attacker to disclose protected information. **Recommendations** For macOS versions prior to 13.6.4, update to macOS Ventura 13.6.4 to resolve the issue. For macOS versions prior to 14.2, update to macOS Sonoma 14.2 to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** macOS versions prior to 12.7.1 macOS versions prior to 13.6.1 macOS versions prior to 14.1 **Description** The issue is related to incorrect handling of symlinks, which may allow a remote attacker to disclose sensitive user data. A website may be able to access sensitive user data when resolving symlinks. **Recommendations** For macOS versions prior to 12.7.1, update to macOS Monterey 12.7.1 to resolve the issue. For macOS versions prior to 13.6.1, update to macOS Ventura 13.6.1 to resolve the issue. For macOS versions prior to 14.1, update to macOS Sonoma 14.1 to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** iOS versions prior to 17 iPadOS versions prior to 17 macOS versions prior to Sonoma 14 watchOS versions prior to 10 **Description** A permissions issue was addressed with additional restrictions. This issue allows an app to potentially read sensitive location information. **Recommendations** For iOS versions prior to 17, update to iOS 17 or later. For iPadOS versions prior to 17, update to iPadOS 17 or later. For macOS versions prior to Sonoma 14, update to macOS Sonoma 14 or later. For watchOS versions prior to 10, update to watchOS 10 or later.

**Name of the Vulnerable Software and Affected Versions** macOS versions prior to 14 **Description** The issue allows an app to bypass Privacy preferences. It was addressed with improved permissions logic. The problem is related to the Shortcuts app, which allowed programmatic access to TCC protected files from within the app sandbox. **Recommendations** For versions prior to 14, update to macOS Sonoma 14 to resolve the issue. As a temporary workaround, consider restricting access to sensitive files and preferences to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** iOS versions prior to 17 iPadOS versions prior to 17 macOS versions prior to Sonoma 14 **Description** A resource exhaustion issue was addressed with improved input validation. Processing web content may lead to a denial-of-service. The issue is related to how GPUs handle shaders and can cause devices to freeze or crash, forcing reboots. **Recommendations** For iOS versions prior to 17, update to iOS 17 to resolve the issue. For iPadOS versions prior to 17, update to iPadOS 17 to resolve the issue. For macOS versions prior to Sonoma 14, update to macOS Sonoma 14 to resolve the issue. As a temporary workaround, consider restricting the processing of web content to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** macOS versions prior to 14 **Description** A privacy issue was addressed with improved handling of temporary files. This issue allows an app to potentially observe unprotected user data. **Recommendations** For versions prior to 14, update to macOS Sonoma 14 to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** macOS versions prior to 13.6 macOS versions prior to 12.7 tvOS versions prior to 17 watchOS versions prior to 10 iOS versions prior to 17 iPadOS versions prior to 17 macOS versions prior to 14 **Description** The issue is related to insufficient protection of internal data in the Maps component of various Apple operating systems. This may allow an attacker to gain unauthorized access to protected information. An app may be able to read sensitive location information due to the issue. The problem was addressed with improved handling of caches. **Recommendations** For macOS versions prior to 13.6, update to macOS Ventura 13.6 to resolve the issue. For macOS versions prior to 12.7, update to macOS Monterey 12.7 to resolve the issue. For tvOS versions prior to 17, update to tvOS 17 to resolve the issue. For watchOS versions prior to 10, update to watchOS 10 to resolve the issue. For iOS versions prior to 17, update to iOS 17 to resolve the issue. For iPadOS versions prior to 17, update to iPadOS 17 to resolve the issue. For macOS versions prior to 14, update to macOS Sonoma 14 to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** tvOS versions prior to 17 iOS versions prior to 17 iPadOS versions prior to 17 macOS Sonoma versions prior to 14 Xcode versions prior to 15 **Description** The issue was addressed with improved memory handling. An app may be able to disclose kernel memory. **Recommendations** For tvOS versions prior to 17, update to tvOS 17 to resolve the issue. For iOS versions prior to 17, update to iOS 17 to resolve the issue. For iPadOS versions prior to 17, update to iPadOS 17 to resolve the issue. For macOS Sonoma versions prior to 14, update to macOS Sonoma 14 to resolve the issue. For Xcode versions prior to 15, update to Xcode 15 to resolve the issue.

**Nome do software vulnerável e versões afetadas** Versões do snyk anteriores à 1.1064.0 Versões do snyk-mvn-plugin anteriores à 2.31.3 Versões do snyk-gradle-plugin anteriores à 3.24.5 Versões do @snyk/snyk-cocoapods-plugin anteriores à 2.5.3 Versões do snyk-sbt-plugin anteriores à 2.16.2 Versões do snyk-python-plugin anteriores à 1.24.2 Versões do snyk-docker-plugin anteriores à 5.6.5 Versões do @snyk/snyk-hex-plugin anteriores à 1.1.6 **Descrição** A vulnerabilidade permite que invasores executem comandos arbitrários no sistema host onde a CLI do Snyk está instalada, passando sinalizadores de linha de comando maliciosos. Uma exploração bem-sucedida requer que um usuário execute o comando snyk test em arquivos não confiáveis. Isso poderia ser explorado em cenários específicos, como pipelines de integração contínua, onde desenvolvedores podem controlar os argumentos passados para a CLI do Snyk para aproveitar esse componente como parte de um ataque mais amplo contra um pipeline de integração/compilação. **Recomendações** Para versões do snyk anteriores à 1.1064.0, atualize para a versão 1.1064.0 ou posterior. Para versões do snyk-mvn-plugin anteriores à 2.31.3, atualize para a versão 2.31.3 ou posterior. Para versões do snyk-gradle-plugin anteriores à 3.24.5, atualize para a versão 3.24.5 ou posterior. Para versões do @snyk/snyk-cocoapods-plugin anteriores à 2.5.3, atualize para a versão 2.5.3 ou posterior. Para versões do snyk-sbt-plugin anteriores à 2.16.2, atualize para a versão 2.16.2 ou posterior. Para versões do snyk-python-plugin anteriores à 1.24.2, atualize para a versão 1.24.2 ou posterior. Para versões do snyk-docker-plugin anteriores à 5.6.5, atualize para a versão 5.6.5 ou posterior. Para

**Nome do software vulnerável e versões afetadas** Versões do Snyk anteriores à 1.1064.0 Versões do VS Code anteriores à 1.9.0 Versões do IntelliJ anteriores à 2.4.48 Versões do Visual Studio anteriores à 1.1.31 Versões do Eclipse anteriores à v20221115.132308 Versões do Language Server anteriores à v20221109.114426 **Descrição** A vulnerabilidade permite a injeção de código durante a análise de um projeto. Um invasor pode incluir comandos em um arquivo de compilação, como `build.gradle` ou `gradle-wrapper.jar`, que serão executados com os privilégios do aplicativo. Isso pode ser acionado ao executar a ferramenta CLI diretamente ou ao realizar uma verificação com um dos plug-ins de IDE que invocam a CLI do Snyk. A exploração bem-sucedida provavelmente exigiria algum nível de engenharia social para forçar o download e a análise de um projeto não confiável. Se o IDE tiver um recurso de confiança, a pasta de destino deve ser marcada como “confiável” para que haja vulnerabilidade. **Recomendações** Para versões do Snyk anteriores à 1.1064.0, atualize para a versão 1.1064.0 ou posterior. Para versões do VS Code anteriores à 1.9.0, atualize para a versão 1.9.0 ou posterior. Para versões do IntelliJ anteriores à 2.4.48, atualize para a versão 2.4.48 ou posterior. Para versões do Visual Studio anteriores à 1.1.31, atualize para a versão 1.1.31 ou posterior. Para versões do Eclipse anteriores à v20221115.132308, atualize para uma versão posterior. Para versões do Language Server anteriores à v20221109.114426, atualize para uma versão posterior. Como solução alternativa temporária, considere restringir o uso da CLI do Snyk ou dos plug-ins de IDE para minimizar o risco de exp

**Nome do software vulnerável e versões afetadas** Versões do macOS anteriores à 13 **Descrição** O problema diz respeito ao processamento de arquivos DMG criados com intenção maliciosa, o que pode levar à execução de código arbitrário com privilégios de sistema. Isso foi corrigido com uma validação aprimorada de links simbólicos. **Recomendações** Para versões anteriores ao macOS 13, atualize para o macOS Ventura 13 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do macOS anteriores à 12.6 Versões do iOS anteriores à 15.7 Versões do iPadOS anteriores à 15.7 Versões do macOS Big Sur anteriores à 11.7 **Descrição** Foi corrigida uma falha de lógica com restrições aprimoradas, que poderia permitir que um aplicativo lesse informações confidenciais de localização. **Recomendações** Para versões do macOS anteriores à 12.6, atualize para o macOS Monterey 12.6. Para versões do iOS anteriores à 15.7, atualize para o iOS 15.7 ou iOS 16. Para versões do iPadOS anteriores à 15.7, atualize para o iPadOS 15.7. Para versões do macOS Big Sur anteriores à 11.7, atualize para o macOS Big Sur 11.7.

**Nome do software vulnerável e versões afetadas** Visual Studio Code (versões afetadas não especificadas) **Descrição** O problema está relacionado a erros na representação de informações pela interface do usuário, o que pode permitir que um invasor realize ataques de spoofing. Há também uma menção a um problema de execução remota de código (RCE) no componente Jupyter Notebook do Visual Studio Code. Não há informações sobre o número estimado de dispositivos potencialmente afetados ou incidentes reais em que esse problema tenha sido explorado. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do macOS anteriores à 12.1 Versões do macOS Big Sur anteriores à 11.6.2 Versões da Atualização de Segurança anteriores à 2021-008 Catalina **Descrição** Foi corrigido um problema de lógica com uma validação aprimorada, que permitia que um aplicativo malicioso contornasse as verificações do Gatekeeper. **Recomendações** Para versões do macOS anteriores à 12.1, atualize para o macOS Monterey 12.1. Para versões do macOS Big Sur anteriores à 11.6.2, atualize para o macOS Big Sur 11.6.2. Para versões da Atualização de Segurança anteriores à 2021-008 Catalina, aplique a Atualização de Segurança 2021-008 Catalina.