Acerca del contenido de seguridad de macOS Sonoma 14.2
En este documento se describe el contenido de seguridad de macOS Sonoma 14.2.
Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
macOS Sonoma 14.2
Publicado el 11 de diciembre de 2023
Accessibility
Disponible para: macOS Sonoma
Impacto: los campos de texto seguro pueden mostrarse a través del teclado de accesibilidad cuando se usa un teclado físico.
Descripción: este problema se ha solucionado con la mejora de la gestión del estado.
CVE-2023-42874: Don Clarke
Accessibility
Disponible para: macOS Sonoma
Impacto: una app podría acceder a la información confidencial del usuario.
Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.
CVE-2023-42937: Noah Roskin-Frazee y Prof. J. (ZeroClicks.ai Lab)
Entrada añadida el 22 de enero de 2024
Accounts
Disponible para: macOS Sonoma
Impacto: una app podría acceder a la información confidencial del usuario.
Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.
CVE-2023-42919: Kirin (@Pwnrin)
AppleEvents
Disponible para: macOS Sonoma
Impacto: una app puede ser capaz de acceder a la información sobre los contactos de un usuario.
Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.
CVE-2023-42894: Noah Roskin-Frazee y Prof. J. (ZeroClicks.ai Lab)
AppleGraphicsControl
Disponible para: macOS Sonoma
Impacto: el procesamiento de un archivo diseñado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.
Descripción: se han solucionado varios problemas de corrupción de memoria y se ha mejorado la validación de las entradas.
CVE-2023-42901: Ivan Fratric de Google Project Zero
CVE-2023-42902: Ivan Fratric de Google Project Zero y Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative
CVE-2023-42912: Ivan Fratric de Google Project Zero
CVE-2023-42903: Ivan Fratric de Google Project Zero
CVE-2023-42904: Ivan Fratric de Google Project Zero
CVE-2023-42905: Ivan Fratric de Google Project Zero
CVE-2023-42906: Ivan Fratric de Google Project Zero
CVE-2023-42907: Ivan Fratric de Google Project Zero
CVE-2023-42908: Ivan Fratric de Google Project Zero
CVE-2023-42909: Ivan Fratric de Google Project Zero
CVE-2023-42910: Ivan Fratric de Google Project Zero
CVE-2023-42911: Ivan Fratric de Google Project Zero
CVE-2023-42926: Ivan Fratric de Google Project Zero
AppleVA
Disponible para: macOS Sonoma
Impacto: procesar una imagen podría provocar la ejecución de código arbitrario.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-42882: Ivan Fratric de Google Project Zero
AppleVA
Disponible para: macOS Sonoma
Impacto: el procesamiento de un archivo puede provocar el cierre inesperado de la app o la ejecución de código arbitrario.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-42881: Ivan Fratric de Google Project Zero
Entrada añadida el 12 de diciembre de 2023
Archive Utility
Disponible para: macOS Sonoma
Impacto: una app podría acceder a la información confidencial del usuario.
Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.
CVE-2023-42924: Mickey Jin (@patch1t)
Assets
Disponible para: macOS Sonoma
Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.
Descripción: se ha corregido un problema con una gestión mejorada de los archivos temporales.
CVE-2023-42896: Mickey Jin (@patch1t)
Entrada añadida el 22 de marzo de 2024
AVEVideoEncoder
Disponible para: macOS Sonoma
Impacto: una app podría divulgar datos de la memoria de kernel.
Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.
CVE-2023-42884: investigador anónimo
Bluetooth
Disponible para: macOS Sonoma
Impacto: un atacante en una posición de red privilegiada puede introducir pulsaciones de tecla suplantando un teclado.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-45866: Marc Newlin de SkySafe
CoreMedia Playback
Disponible para: macOS Sonoma
Impacto: una app podría acceder a datos confidenciales de los usuarios.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-42900: Mickey Jin (@patch1t)
CoreServices
Disponible para: macOS Sonoma
Impacto: un usuario podría provocar el cierre inesperado de una app o la ejecución de código arbitrario.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.
CVE-2023-42886: Koh M. Nakagawa (@tsunek0h)
curl
Disponible para: macOS Sonoma
Impacto: varios problemas en curl.
Descripción: se han solucionado varios problemas en curl actualizando a la versión 8.4.0.
CVE-2023-38545
CVE-2023-38039
CVE-2023-38546
Entrada añadida el 22 de enero de 2024; actualizado el 13 de febrero de 2024
DiskArbitration
Disponible para: macOS Sonoma
Impacto: un proceso podría adquirir privilegios de administrador sin la autenticación pertinente.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-42931: Yann GASCUEL de Alter Solutions
Entrada añadida el 22 de marzo de 2024
FileURL
Disponible para: macOS Sonoma
Impacto: un atacante local podría aumentar sus privilegios.
Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.
CVE-2023-42892: Anthony Cruz de App Tyrant Corp
Entrada añadida el 22 de marzo de 2024
Find My
Disponible para: macOS Sonoma
Impacto: es posible que una app pueda leer información de ubicación confidencial.
Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.
CVE-2023-42922: Wojciech Regula de SecuRing (wojciechregula.blog)
ImageIO
Disponible para: macOS Sonoma
Impacto: procesar una imagen podría provocar la ejecución de código arbitrario.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-42898: Zhenjiang Zhao de Pangu Team, Qianxin y Junsung Lee
CVE-2023-42899: Meysam Firouzi @R00tkitSMM y Junsung Lee
Entrada actualizada el 22 de marzo de 2024
ImageIO
Disponible para: macOS Sonoma
Impacto: procesar una imagen creada con fines malintencionados podría provocar la revelación de la memoria de procesos.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-42888: Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative
Entrada añadida el 22 de enero de 2024
IOKit
Disponible para: macOS Sonoma
Impacto: una app puede supervisar las pulsaciones de tecla sin permiso del usuario.
Descripción: se ha solucionado el problema de autenticación mejorando la gestión del estado.
CVE-2023-42891: investigador anónimo
IOUSBDeviceFamily
Disponible para: macOS Sonoma
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de condición de carrera mediante la mejora de la gestión del estado.
CVE-2023-42974: Pan ZhenPeng (@Peterpan0927) de STAR Labs SG Pte. Ltd.
Entrada añadida el 22 de marzo de 2024
Kernel
Disponible para: macOS Sonoma
Impacto: una app podría salir de su zona protegida.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) de Synacktiv (@Synacktiv)
Libsystem
Disponible para: macOS Sonoma
Impacto: una app podría acceder a la información protegida del usuario.
Descripción: se ha solucionado un problema de permisos eliminando código vulnerable y añadiendo comprobaciones adicionales.
CVE-2023-42893
Entrada añadida el 22 de marzo de 2024
Model I/O
Disponible para: macOS Sonoma
Impacto: procesar una imagen podría provocar una denegación de servicio.
Descripción: el problema se ha solucionado eliminando el código vulnerable.
CVE-2023-3618
Entrada añadida el 22 de marzo de 2024
ncurses
Disponible para: macOS Sonoma
Impacto: un usuario remoto podría provocar el cierre inesperado de una app o la ejecución arbitraria de código.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2020-19185
CVE-2020-19186
CVE-2020-19187
CVE-2020-19188
CVE-2020-19189
CVE-2020-19190
NSOpenPanel
Disponible para: macOS Sonoma
Impacto: una app podría leer archivos arbitrarios.
Descripción: se ha solucionado un problema de acceso con restricciones de zona protegida adicionales.
CVE-2023-42887: Ron Masas de BreakPoint.sh
Entrada añadida el 22 de enero de 2024
Sandbox
Disponible para: macOS Sonoma
Impacto: una app podría acceder a datos confidenciales de los usuarios.
Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.
CVE-2023-42936: Csaba Fitzl (@theevilbit) de OffSec
Entrada añadida el 22 de marzo de 2024 y actualizada el 16 de julio de 2024
Share Sheet
Disponible para: macOS Sonoma
Impacto: una app podría acceder a datos confidenciales de los usuarios.
Descripción: se ha solucionado un problema de privacidad moviendo la información confidencial a una ubicación más segura.
CVE-2023-40390: Csaba Fitzl (@theevilbit) de Offensive Security y Mickey Jin (@patch1t)
Entrada añadida el 22 de marzo de 2024
SharedFileList
Disponible para: macOS Sonoma
Impacto: una app podría acceder a la información confidencial del usuario.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-42842: investigador anónimo
Shell
Disponible para: macOS Sonoma
Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2023-42930: Arsenii Kostromin (0x3c3e)
Entrada añadida el 22 de marzo de 2024
System Settings
Disponible para: macOS Sonoma
Impacto: las sesiones de inicio de sesión remoto podrían obtener permiso de acceso total al disco.
Descripción: para resolver este problema se ha mejorado la gestión del estado.
CVE-2023-42913: Mattie Behrens y Joshua Jewett (@JoshJewett33)
Entrada añadida el 22 de marzo de 2024
TCC
Disponible para: macOS Sonoma
Impacto: una app podría acceder a la información protegida del usuario.
Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.
CVE-2023-42932: Zhongquan Li (@Guluisacat)
TCC
Disponible para: macOS Sonoma
Impacto: una app podría salir de su zona protegida.
Descripción: se ha solucionado un problema de gestión de las rutas mejorando la validación.
CVE-2023-42947: Zhongquan Li (@Guluisacat) de Dawn Security Lab de JingDong
Entrada añadida el 22 de marzo de 2024
Transparency
Disponible para: macOS Sonoma
Impacto: una app podría acceder a la información confidencial del usuario.
Descripción: el problema se solucionó con una restricción mejorada del acceso al contenedor de datos.
CVE-2023-40389: Csaba Fitzl (@theevilbit) de Offensive Security y Joshua Jewett (@JoshJewett33)
Entrada añadida el 16 de julio de 2024
Vim
Disponible para: macOS Sonoma
Impacto: abrir un archivo creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.
Descripción: este problema se ha solucionado al actualizar a la versión 9.0.1969 de Vim.
CVE-2023-5344
WebKit
Disponible para: macOS Sonoma
Impacto: procesar contenido web puede provocar la ejecución de código arbitrario.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
WebKit Bugzilla: 259830
CVE-2023-42890: Pwn2car
WebKit
Disponible para: macOS Sonoma
Impacto: procesar una imagen podría provocar una denegación de servicio.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
WebKit Bugzilla: 263349
CVE-2023-42883: Zoom Offensive Security Team
WebKit
Disponible para: macOS Sonoma
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de código arbitrario.
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
WebKit Bugzilla: 263682
CVE-2023-42950: Nan Wang (@eternalsakura13) de 360 Vulnerability Research Institute y Rushikesh Nandedkar
Entrada añadida el 22 de marzo de 2024
WebKit
Disponible para: macOS Sonoma
Impacto: procesar contenido web podría provocar una denegación de servicio.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
WebKit Bugzilla: 263989
CVE-2023-42956: SungKwon Lee (Demon.Team)
Entrada añadida el 22 de marzo de 2024
Otros agradecimientos
Memoji
Queremos dar las gracias a Jerry Tenenbaum por su ayuda.
WebSheet
Queremos dar las gracias a Paolo Ruggero de e-phors S.p.A. (una empresa de FINCANTIERI S.p.A.) por su ayuda.
Entrada añadida el 22 de marzo de 2024
Wi-Fi
Queremos dar las gracias a Noah Roskin-Frazee y al profesor J. (ZeroClicks.ai Lab) por su ayuda.
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.