Acerca del contenido de seguridad de macOS Monterey 12.7.1
En este documento se describe el contenido de seguridad de macOS Monterey 12.7.1.
Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Versiones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
macOS Monterey 12.7.1
Publicado el 25 de octubre de 2023
Automation
Disponible para: macOS Monterey
Impacto: una aplicación con privilegios de raíz podría ser capaz de acceder a información privada.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-42952: Zhipeng Huo (@R3dF09) de Tencent Security Xuanwu Lab (xlab.tencent.com)
Entrada añadida el 16 de febrero de 2024
CoreAnimation
Disponible para: macOS Monterey
Impacto: una aplicación puede provocar una denegación de servicio.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-40449: Tomi Tokics (@tomitokics) de iTomsn0w
Core Recents
Disponible para: macOS Monterey
Impacto: una app podría acceder a datos confidenciales de los usuarios.
Descripción: el problema se ha solucionado saneando los registros.
CVE-2023-42823
Entrada añadida el 16 de febrero de 2024
FileProvider
Disponible para: macOS Monterey
Impacto: una app podría causar una denegación de servicio a los clientes de seguridad de punto final.
Descripción: el problema se ha solucionado eliminando el código vulnerable.
CVE-2023-42854: Noah Roskin-Frazee y profesor J. (ZeroClicks.ai Lab)
Find My
Disponible para: macOS Monterey
Impacto: es posible que una app pueda leer información de ubicación confidencial.
Descripción: el problema se ha solucionado mediante la mejora de la gestión de las cachés.
CVE-2023-40413: Adam M.
Foundation
Disponible para: macOS Monterey
Impacto: un sitio web podría acceder a los datos confidenciales del usuario durante la resolución de enlaces simbólicos.
Descripción: se ha solucionado el problema mejorando la gestión de los enlaces simbólicos.
CVE-2023-42844: Ron Masas de BreakPoint.sh
libc
Disponible para: macOS Monterey
Impacto: el procesamiento de una entrada creada con fines malintencionados podría provocar la ejecución de código arbitrario en las apps instaladas por el usuario.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-40446: inooo
Entrada añadida el 3 de noviembre de 2023
ImageIO
Disponible para: macOS Monterey
Impacto: procesar una imagen podría provocar la revelación de la memoria de procesos.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-40416: JZ
IOTextEncryptionFamily
Disponible para: macOS Monterey
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-40423: investigador anónimo
Kernel
Disponible para: macOS Monterey
Impacto: un atacante que haya conseguido ejecutar el código de kernel puede ser capaz de omitir las soluciones de la memoria del kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-42849: Linus Henze de Pinauten GmbH (pinauten.de)
Model I/O
Disponible para: macOS Monterey
Impacto: el procesamiento de un archivo puede provocar el cierre inesperado de la app o la ejecución de código arbitrario.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-42856: Michael DePlante (@izobashi) de Zero Day Initiative de Trend Micro
PackageKit
Disponible para: macOS Monterey
Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-42859: Arsenii Kostromin (0x3c3e), Mickey Jin (@patch1t) y Hevel Engineering
CVE-2023-42877: Arsenii Kostromin (0x3c3e)
Entrada añadida el 16 de febrero de 2024
PackageKit
Disponible para: macOS Monterey
Impacto: una app podría acceder a datos confidenciales de los usuarios.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-42840: Mickey Jin (@patch1t) y Csaba Fitzl (@theevilbit) de Offensive Security
Entrada añadida el 16 de febrero de 2024
PackageKit
Disponible para: macOS Monterey
Impacto: una app podría evitar ciertas preferencias de privacidad.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-42889: Mickey Jin (@patch1t)
Entrada añadida el 16 de febrero de 2024
PackageKit
Disponible para: macOS Monterey
Impacto: una app podría acceder a datos confidenciales de los usuarios.
Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.
CVE-2023-42853: Mickey Jin (@patch1t)
Entrada añadida el 16 de febrero de 2024
PackageKit
Disponible para: macOS Monterey
Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.
Descripción: se ha solucionado un problema de permisos con restricciones adicionales.
CVE-2023-42860: Koh M. Nakagawa (@tsunek0h) de FFRI Security, Inc.
Entrada añadida el 16 de febrero de 2024
Pro Res
Disponible para: macOS Monterey
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: el problema se ha solucionado mediante la mejora de la comprobación de límites.
CVE-2023-42873: Mingxuan Yang (@PPPF00L), happybabywu y Guang Gong de 360 Vulnerability Research Institute
Entrada añadida el 16 de febrero de 2024
Sandbox
Disponible para: macOS Monterey
Impacto: una app con privilegios de raíz podría acceder a información privada.
Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.
CVE-2023-40425: Csaba Fitzl (@theevilbit) de Offensive Security
SQLite
Disponible para: macOS Monterey
Impacto: un usuario remoto puede causar una denegación de servicio.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2023-36191
Entrada añadida el 16 de febrero de 2024
talagent
Disponible para: macOS Monterey
Impacto: una app podría acceder a la información confidencial del usuario.
Descripción: se ha solucionado un problema de permisos con restricciones adicionales.
CVE-2023-40421: Noah Roskin-Frazee y profesor J. (ZeroClicks.ai Lab)
WindowServer
Disponible para: macOS Monterey
Impacto: un sitio web podría acceder al micrófono sin que se muestre el indicador de uso del micrófono
Descripción: el problema se ha solucionado eliminando el código vulnerable.
CVE-2023-41975: investigador anónimo
WindowServer
Disponible para: macOS Monterey
Impacto: una app podría acceder a datos confidenciales de los usuarios.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-42858: investigador anónimo
Entrada añadida el 16 de febrero de 2024
Otros agradecimientos
GPU Drivers
Queremos dar las gracias a un investigador anónimo por su ayuda.
libarchive
Queremos dar las gracias a Bahaa Naamneh por su ayuda.
libxml2
Queremos dar las gracias por su ayuda a OSS-Fuzz y Ned Williamson de Google Project Zero.
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.