Acerca del contenido de seguridad de macOS Ventura 13.6.1
En este documento se describe el contenido de seguridad de macOS Ventura 13.6.1.
Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Versiones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
macOS Ventura 13.6.1
Publicado el 25 de octubre de 2023
CoreAnimation
Disponible para: macOS Ventura.
Impacto: una aplicación puede provocar una denegación de servicio.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-40449: Tomi Tokics (@tomitokics) de iTomsn0w
Core Recents
Disponible para: macOS Ventura.
Impacto: una app podría acceder a datos confidenciales de los usuarios.
Descripción: el problema se ha solucionado saneando los registros.
CVE-2023-42823
Entrada añadida el 16 de febrero de 2024
FileProvider
Disponible para: macOS Ventura.
Impacto: una app podría causar una denegación de servicio a los clientes de seguridad de punto final.
Descripción: el problema se ha solucionado eliminando el código vulnerable.
CVE-2023-42854: Noah Roskin-Frazee y profesor J. (ZeroClicks.ai Lab)
Find My
Disponible para: macOS Ventura.
Impacto: es posible que una app pueda leer información de ubicación confidencial.
Descripción: el problema se ha solucionado mediante la mejora de la gestión de las cachés.
CVE-2023-40413: Adam M.
Foundation
Disponible para: macOS Ventura.
Impacto: un sitio web podría acceder a los datos confidenciales del usuario durante la resolución de enlaces simbólicos.
Descripción: se ha solucionado el problema mejorando la gestión de los enlaces simbólicos.
CVE-2023-42844: Ron Masas de BreakPoint.sh
Image Capture
Disponible para: macOS Ventura.
Impacto: una app podría acceder a la información protegida del usuario.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-41077: Mickey Jin (@patch1t)
ImageIO
Disponible para: macOS Ventura.
Impacto: procesar una imagen podría provocar la revelación de la memoria de procesos.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-40416: JZ
ImageIO
Disponible para: macOS Ventura.
Impacto: procesar una imagen creada con fines malintencionados podría provocar daños en la memoria heap.
Descripción: el problema se ha solucionado mediante la mejora de la comprobación de límites.
CVE-2023-42848: JZ
Entrada añadida el 16 de febrero de 2024
IOTextEncryptionFamily
Disponible para: macOS Ventura.
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-40423: investigador anónimo
iperf3
Disponible para: macOS Ventura.
Impacto: un usuario remoto podría provocar el cierre inesperado de una app o la ejecución arbitraria de código.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-38403
Kernel
Disponible para: macOS Ventura.
Impacto: un atacante que haya conseguido ejecutar el código de kernel podría ser capaz de omitir las soluciones de la memoria del kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-42849: Linus Henze de Pinauten GmbH (pinauten.de)
libc
Disponible para: macOS Ventura.
Impacto: el procesamiento de una entrada creada con fines malintencionados podría provocar la ejecución de código arbitrario en las apps instaladas por el usuario.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-40446: inooo
Entrada añadida el 3 de noviembre de 2023
libxpc
Disponible para: macOS Ventura.
Impacto: una app creada con fines malintencionados podría ser capaz de obtener privilegios de raíz.
Descripción: se ha solucionado el problema mejorando la gestión de los enlaces simbólicos.
CVE-2023-42942: Mickey Jin (@patch1t)
Entrada añadida el 16 de febrero de 2024
Model I/O
Disponible para: macOS Ventura.
Impacto: el procesamiento de un archivo puede provocar el cierre inesperado de la app o la ejecución de código arbitrario.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-42856: Michael DePlante (@izobashi) de Zero Day Initiative de Trend Micro
PackageKit
Disponible para: macOS Ventura.
Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-42859: Arsenii Kostromin (0x3c3e), Mickey Jin (@patch1t) y Hevel Engineering
CVE-2023-42877: Arsenii Kostromin (0x3c3e)
Entrada añadida el 16 de febrero de 2024
PackageKit
Disponible para: macOS Ventura.
Impacto: una app podría acceder a datos confidenciales de los usuarios.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-42840: Mickey Jin (@patch1t) y Csaba Fitzl (@theevilbit) de Offensive Security
Entrada añadida el 16 de febrero de 2024
PackageKit
Disponible para: macOS Ventura.
Impacto: una app podría evitar ciertas preferencias de privacidad.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-42889: Mickey Jin (@patch1t)
Entrada añadida el 16 de febrero de 2024
PackageKit
Disponible para: macOS Ventura.
Impacto: una app podría acceder a datos confidenciales de los usuarios.
Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.
CVE-2023-42853: Mickey Jin (@patch1t)
Entrada añadida el 16 de febrero de 2024
PackageKit
Disponible para: macOS Ventura.
Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.
Descripción: se ha solucionado un problema de permisos con restricciones adicionales.
CVE-2023-42860: Koh M. Nakagawa (@tsunek0h) de FFRI Security, Inc.
Entrada añadida el 16 de febrero de 2024
Passkeys
Disponible para: macOS Ventura.
Impacto: un atacante puede acceder a las llaves de acceso sin autenticación.
Descripción: se ha solucionado el problema con comprobaciones de permisos adicionales.
CVE-2023-40401: un investigador anónimo y weize she
Pro Res
Disponible para: macOS Ventura.
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu y Guang Gong de 360 Vulnerability Research Institute
Pro Res
Disponible para: macOS Ventura.
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: el problema se ha solucionado mediante la mejora de la comprobación de límites.
CVE-2023-42873: Mingxuan Yang (@PPPF00L), happybabywu y Guang Gong de 360 Vulnerability Research Institute
Entrada añadida el 16 de febrero de 2024
SQLite
Disponible para: macOS Ventura.
Impacto: un usuario remoto puede causar una denegación de servicio.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2023-36191
Entrada añadida el 16 de febrero de 2024
talagent
Disponible para: macOS Ventura.
Impacto: una app podría acceder a la información confidencial del usuario.
Descripción: se ha solucionado un problema de permisos con restricciones adicionales.
CVE-2023-40421: Noah Roskin-Frazee y profesor J. (ZeroClicks.ai Lab)
Weather
Disponible para: macOS Ventura.
Impacto: una app podría acceder a la información confidencial del usuario.
Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.
CVE-2023-41254: Cristian Dinca del Tudor Vianu National High School of Computer Science, Rumanía
WindowServer
Disponible para: macOS Ventura.
Impacto: un sitio web podría acceder al micrófono sin que se muestre el indicador de uso del micrófono
Descripción: el problema se ha solucionado eliminando el código vulnerable.
CVE-2023-41975: investigador anónimo
WindowServer
Disponible para: macOS Ventura.
Impacto: una app podría acceder a datos confidenciales de los usuarios.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-42858: investigador anónimo
Entrada añadida el 16 de febrero de 2024
Otros agradecimientos
GPU Drivers
Queremos dar las gracias a un investigador anónimo por su ayuda.
libarchive
Queremos dar las gracias a Bahaa Naamneh por su ayuda.
libxml2
Queremos dar las gracias por su ayuda a OSS-Fuzz y Ned Williamson de Google Project Zero.
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.