Acerca del contenido de seguridad de macOS Ventura 13.7.5

En este documento se describe el contenido de seguridad de macOS Ventura 13.7.5.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Encontrarás una lista de las últimas versiones en la página Versiones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

macOS Ventura 13.7.5

AccountPolicy

Disponible para: macOS Ventura.

Impacto: una app creada con fines malintencionados podría ser capaz de obtener privilegios de raíz.

Descripción: el problema se ha solucionado eliminando el código vulnerable.

CVE-2025-24234: un investigador anónimo

AirPlay

Disponible para: macOS Ventura.

Impacto: un atacante en la red local puede causar una denegación de servicio

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2025-24131: Uri Katz (Oligo Security)

AirPlay

Disponible para: macOS Ventura.

Impacto: un atacante en la red local podría filtrar información confidencial de los usuarios

Descripción: el problema se ha solucionado eliminando el código vulnerable.

CVE-2025-24270: Uri Katz (Oligo Security)

AirPlay

Disponible para: macOS Ventura.

Impacto: un usuario no autenticado en la misma red como un Mac conectado podría enviar comandos AirPlay sin realizar la vinculación

Descripción: se ha solucionado un problema de acceso mejorando las restricciones de acceso.

CVE-2025-24271: Uri Katz (Oligo Security)

AirPlay

Disponible para: macOS Ventura.

Impacto: un atacante en la red local puede causar una denegación de servicio

Descripción: se ha solucionado una falta de referencia a un puntero nulo mediante la mejora de la validación.

CVE-2025-24177: Uri Katz (Oligo Security)

CVE-2025-24179: Uri Katz (Oligo Security)

AirPlay

Disponible para: macOS Ventura.

Impacto: un atacante en la red local podría causar el cierre inesperado de una app

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2025-24251: Uri Katz (Oligo Security)

CVE-2025-31197: Uri Katz (Oligo Security)

AirPlay

Disponible para: macOS Ventura.

Impacto: un atacante en la red local podría corromper la memoria

Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.

CVE-2025-24252: Uri Katz (Oligo Security)

AirPlay

Disponible para: macOS Ventura.

Impacto: un atacante en la red local podría causar el cierre inesperado de una app

Descripción: se ha solucionado un problema de confusión de tipo mediante la mejora de las comprobaciones.

CVE-2025-30445: Uri Katz (Oligo Security)

CVE-2025-24129: Uri Katz (Oligo Security)

AirPlay

Disponible para: macOS Ventura.

Impacto: un atacante en la red local podría corromper la memoria

Descripción: se ha solucionado un problema de validación de entrada.

CVE-2025-24126: Uri Katz (Oligo Security)

AirPlay

Disponible para: macOS Ventura.

Impacto: un atacante en la red local podría esquivar la política de autenticación

Descripción: se ha solucionado el problema de autenticación mejorando la gestión del estado.

CVE-2025-24206: Uri Katz (Oligo Security)

App Store

Disponible para: macOS Ventura.

Impacto: una app creada con fines malintencionados podría tener acceso a información privada

Descripción: el problema se ha solucionado eliminando el código vulnerable.

CVE-2025-24276: un investigador anónimo

Apple Account

Disponible para: macOS Ventura.

Impacto: un atacante en una posición de red privilegiada podría ser capaz de rastrear la actividad de un usuario.

Descripción: el problema se ha solucionado mediante la mejora de la gestión de los protocolos.

CVE-2024-40864: Wojciech Regula de SecuRing (wojciechregula.blog)

AppleMobileFileIntegrity

Disponible para: macOS Ventura.

Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2025-24272: Mickey Jin (@patch1t)

CVE-2025-24231: Claudio Bozzato y Francesco Benvenuto de Cisco Talos

AppleMobileFileIntegrity

Disponible para: macOS Ventura.

Impacto: una app maliciosa puede leer o escribir en archivos protegidos.

Descripción: se ha solucionado un problema de permisos con restricciones adicionales.

CVE-2025-24233: Claudio Bozzato y Francesco Benvenuto de Cisco Talos.

AppleMobileFileIntegrity

Disponible para: macOS Ventura.

Impacto: una app podría acceder a datos confidenciales de los usuarios.

Descripción: se ha solucionado un problema de privacidad eliminando el código vulnerable.

CVE-2025-30443: Bohdan Stasiuk (@bohdan_stasiuk)

Audio

Disponible para: macOS Ventura.

Impacto: una app podría ser capaz de omitir ASLR.

Descripción: se ha solucionado un problema de acceso fuera de los límites al mejorar la comprobación de los límites.

CVE-2025-43205: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

Audio

Disponible para: macOS Ventura.

Impacto: procesar un archivo creado con fines malintencionados podría provocar la ejecución de código arbitrario.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2025-24243: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

Audio

Disponible para: macOS Ventura.

Impacto: procesar un sitio web creado con fines malintencionados podría provocar la revelación de la memoria de procesos.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2025-24244: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

Automator

Disponible para: macOS Ventura.

Impacto: una app podría acceder a la información protegida del usuario.

Descripción: se ha solucionado un problema de permisos eliminando código vulnerable y añadiendo comprobaciones adicionales.

CVE-2025-30460: un investigador anónimo

BiometricKit

Disponible para: macOS Ventura.

Impacto: una app puede provocar una terminación inesperada del sistema

Descripción: se ha solucionado un desbordamiento de búfer mejorando la comprobación de límites.

CVE-2025-24237: Yutong Xiu (@Sou1gh0st)

Calendar

Disponible para: macOS Ventura.

Impacto: una app podría salir de su zona protegida.

Descripción: se ha solucionado un problema de gestión de las rutas mejorando la validación.

CVE-2025-30429: Denis Tokarev (@illusionofcha0s)

Calendar

Disponible para: macOS Ventura.

Impacto: una app podría salir de su zona protegida.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2025-24212: Denis Tokarev (@illusionofcha0s)

CloudKit

Disponible para: macOS Ventura.

Impacto: una app creada con fines malintencionados podría tener acceso a información privada

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2025-24215: Kirin (@Pwnrin).

CoreAudio

Disponible para: macOS Ventura.

Impacto: reproducir un archivo de audio con fines malintencionados podría provocar una interrupción inesperada de la app

Descripción: se ha solucionado un problema de lectura fuera de los límites al mejorar la validación de las entradas.

CVE-2025-24230: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

CoreMedia

Disponible para: macOS Ventura.

Impacto: una aplicación maliciosa podría elevar los privilegios. Apple conoce la existencia de un informe en el que se indica que este problema se podría haber explotado de forma activa contra versiones de iOS anteriores a iOS 17.2.

Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.

CVE-2025-24085

CoreMedia

Disponible para: macOS Ventura.

Impacto: procesar un archivo de vídeo creado con fines malintencionados podría provocar el cierre inesperado de la app o corrupción en la memoria de procesos

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2025-24190: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

CoreMedia

Disponible para: macOS Ventura.

Impacto: procesar un archivo de vídeo creado con fines malintencionados podría provocar el cierre inesperado de la app o corrupción en la memoria de procesos

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2025-24211: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

CoreServices

Disponible para: macOS Ventura.

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: para resolver este problema se ha mejorado la gestión del estado.

CVE-2025-31191: Jonathan Bar Or (@yo_yo_yo_jbo) de Microsoft y un investigador anónimo

CoreServices

Disponible para: macOS Ventura.

Impacto: una app podría obtener privilegios de raíz.

Descripción: se ha solucionado un problema de lógica con la mejora de la gestión de archivos.

CVE-2025-24170: YingQi Shi (@Mas0nShi) de DBAppSecurity's WeBin y Minghao Lin (@Y1nKoc), Stephan Casas

Crash Reporter

Disponible para: macOS Ventura.

Impacto: una app podría obtener privilegios de raíz.

Descripción: se ha solucionado un problema de análisis en la gestión de las rutas de los directorios mejorando la validación de las rutas.

CVE-2025-24277: Csaba Fitzl (@theevilbit) de Kandji, Gergely Kalman (@gergely_kalman) y un investigador anónimo

curl

Disponible para: macOS Ventura.

Impacto: se ha resuelto un problema de validación de entradas

Descripción: se trata de una vulnerabilidad en el código fuente abierto y el Software Apple se encuentra entre los proyectos afectados. El CVE-ID fue asignado por un tercero. Obtén más información sobre el problema y el CVE-ID en cve.org.

CVE-2024-9681

Disk Images

Disponible para: macOS Ventura.

Impacto: una app podría salir de su zona protegida.

Descripción: se ha abordado una omisión de cuarentena de archivos con comprobaciones adicionales.

CVE-2025-31189: un investigador anónimo

Disk Images

Disponible para: macOS Ventura.

Impacto: una app podría salir de su zona protegida.

Descripción: se ha solucionado un problema de acceso a archivos mediante la mejora de la validación de las entradas.

CVE-2025-24255: un investigador anónimo

DiskArbitration

Disponible para: macOS Ventura.

Impacto: una app podría obtener privilegios de raíz.

Descripción: se ha solucionado un problema de permisos con restricciones adicionales.

CVE-2025-24267: un investigador anónimo

DiskArbitration

Disponible para: macOS Ventura.

Impacto: una app podría obtener privilegios de raíz.

Descripción: se ha solucionado un problema de análisis en la gestión de las rutas de los directorios mejorando la validación de las rutas.

CVE-2025-30456: Gergely Kalman (@gergely_kalman)

Display

Disponible para: macOS Ventura.

Impacto: una app puede provocar una terminación inesperada del sistema

Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.

CVE-2025-24111: Wang Yu de Cyberserval

Dock

Disponible para: macOS Ventura.

Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.

Descripción: el problema se ha solucionado eliminando el código vulnerable.

CVE-2025-31187: Rodolphe BRUNETTI (@eisw0lf) de Lupus Nova

dyld

Disponible para: macOS Ventura.

Impacto: apps que parecen usar un contenedor sandbox de apps podrían iniciarse sin restricciones.

Descripción: se ha solucionado un problema de inyección de biblioteca con restricciones adicionales.

CVE-2025-30462: Pietro Francesco Tirenna, Davide Silvetti, Abdel Adim Oisfi de Shielder (shielder.com)

Foundation

Disponible para: macOS Ventura.

Impacto: una app puede provocar una denegación de servicio.

Descripción: se ha solucionado un problema de cadena de formato sin control mediante la mejora de la validación de las entradas.

CVE-2025-24199: Manuel Fernandez (Stackhopper Security)

Foundation

Disponible para: macOS Ventura.

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: el problema se ha solucionado saneando los registros

CVE-2025-30447: LFY@secsys de Fudan University

GPU Drivers

Disponible para: macOS Ventura.

Impacto: una app podría divulgar datos de la memoria de kernel.

Descripción: el problema se ha solucionado mediante la mejora de la comprobación de límites.

CVE-2025-24256: Murray Mike y una persona anónima en colaboración con Trend Micro Zero Day Initiative

GPU Drivers

Disponible para: macOS Ventura.

Impacto: una app podría provocar el cierre inesperado del sistema o daños en la memoria del kernel.

Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.

CVE-2025-24273: Wang Yu de Cyberserval

CVE-2025-30464: ABC Research s.r.o.

ImageIO

Disponible para: macOS Ventura.

Impacto: analizar una imagen podría provocar la revelación de información del usuario

Descripción: se ha solucionado un error de lógica con la mejora de la gestión de errores.

CVE-2025-24210: anónimo, en colaboración con Trend Micro Zero Day Initiative

Installer

Disponible para: macOS Ventura.

Impacto: una app podría comprobar la existencia de una ruta arbitraria en el sistema de archivos.

Descripción: se ha solucionado un problema de permisos con restricciones de zona protegida adicionales.

CVE-2025-24249: YingQi Shi(@Mas0nShi) de DBAppSecurity's WeBin lab y Minghao Lin (@Y1nKoc)

Installer

Disponible para: macOS Ventura.

Impacto: una app en un entorno de prueba podría acceder a la información confidencial del usuario.

Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.

CVE-2025-24229: un investigador anónimo

Kerberos Helper

Disponible para: macOS Ventura.

Impacto: un atacante remoto podría ser capaz de provocar el cierre inesperado de una app o daños en la memoria heap.

Descripción: se ha solucionado un problema de inicialización de memoria mejorando la gestión de la memoria.

CVE-2025-24235: Dave G. de Supernetworks

Kernel

Disponible para: macOS Ventura.

Impacto: una app creada con fines malintencionados podría intentar acceder a códigos en un dispositivo bloqueado y provocar retrasos incrementales tras 4 intentos erróneos

Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.

CVE-2025-30432: Michael (Biscuit) Thomas - @biscuit@social.lol

Kernel

Disponible para: macOS Ventura.

Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2025-24203: Ian Beer de Google Project Zero

LaunchServices

Disponible para: macOS Ventura.

Impacto: un archivo JAR creado con fines malintencionados podría omitir las comprobaciones de Gatekeeper.

Descripción: este problema se ha solucionado mejorando la gestión de los tipos ejecutables.

CVE-2025-24148: Kenneth Chew

Libinfo

Disponible para: macOS Ventura.

Impacto: un usuario podría ser capaz de elevar los privilegios.

Descripción: se ha solucionado un desbordamiento de enteros mediante la mejora de la validación de las entradas.

CVE-2025-24195: Paweł Płatek (Trail of Bits)

libxml2

Disponible para: macOS Ventura.

Impacto: el análisis de un archivo podría provocar el cierre inesperado de la app.

Descripción: se trata de una vulnerabilidad en el código fuente abierto y el Software Apple se encuentra entre los proyectos afectados. El CVE-ID fue asignado por un tercero. Obtén más información sobre el problema y el CVE-ID en cve.org.

CVE-2025-27113

CVE-2024-56171

libxpc

Disponible para: macOS Ventura.

Impacto: una app podría salir de su zona protegida.

Descripción: para resolver este problema se ha mejorado la gestión del estado.

CVE-2025-24178: un investigador anónimo

libxpc

Disponible para: macOS Ventura.

Impacto: una app podría eliminar archivos para los que no tiene permiso.

Descripción: se ha solucionado el problema mejorando la gestión de los enlaces simbólicos.

CVE-2025-31182: 风沐云烟(@binary_fmyy) y Minghao Lin(@Y1nKoc), Alex Radocea y Dave G. de Supernetworks

libxpc

Disponible para: macOS Ventura.

Impacto: una app podría obtener privilegios de alto nivel.

Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.

CVE-2025-24238: un investigador anónimo

macOS Recovery

Disponible para: macOS Ventura.

Impacto: un atacante con acceso físico a un dispositivo bloqueado podría ver información confidencial de los usuarios.

Descripción: se ha solucionado el problema de autenticación mejorando la gestión del estado.

CVE-2025-31264: Diamant Osmani y Valdrin Haliti [Kosovë], dbpeppe y Solitechworld

Mail

Disponible para: macOS Ventura.

Impacto: «Bloquear todo el contenido remoto» podría no aplicarse a todos los tipos de contenido remoto.

Descripción: se ha solucionado un problema de permisos con restricciones de zona protegida adicionales.

CVE-2025-24172: un investigador anónimo

manpages

Disponible para: macOS Ventura.

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se ha solucionado el problema mejorando la validación de los enlaces simbólicos.

CVE-2025-30450: Pwn2car

Maps

Disponible para: macOS Ventura.

Impacto: es posible que una app pueda leer información de ubicación confidencial.

Descripción: se ha solucionado un problema de gestión de las rutas mejorando la lógica.

CVE-2025-30470: LFY@secsys de Fudan University

NSDocument

Disponible para: macOS Ventura.

Impacto: una app creada con fines malintencionados podría tener acceso a archivos arbitrarios.

Descripción: para resolver este problema se ha mejorado la gestión del estado.

CVE-2025-24232: un investigador anónimo

OpenSSH

Disponible para: macOS Ventura.

Impacto: una app podría acceder a datos confidenciales de los usuarios.

Descripción: se ha solucionado un problema de inyección con la mejora de la validación.

CVE-2025-24246: Mickey Jin (@patch1t) y Csaba Fitzl (@theevilbit) de Kandji

PackageKit

Disponible para: macOS Ventura.

Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2025-24261: Mickey Jin (@patch1t)

PackageKit

Disponible para: macOS Ventura.

Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.

Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.

CVE-2025-24164: Mickey Jin (@patch1t)

PackageKit

Disponible para: macOS Ventura.

Impacto: una app malintencionada con privilegios de raíz podría modificar el contenido de los archivos del sistema.

Descripción: se ha solucionado un problema de permisos con restricciones adicionales.

CVE-2025-30446: Pedro Tôrres (@t0rr3sp3dr0)

Parental Controls

Disponible para: macOS Ventura.

Impacto: una app puede recopilar marcadores de Safari sin una comprobación de sus derechos

Descripción: este problema se ha solucionado con comprobaciones de derechos adicionales.

CVE-2025-24259: Noah Gregory (wts.dev)

Photos Storage

Disponible para: macOS Ventura.

Impacto: eliminar una conversación en Messages podría dejar al descubierto la información de contacto del usuario en el registro del sistema.

Descripción: se ha solucionado un problema de registro con una redacción de datos mejorada.

CVE-2025-30424: un investigador anónimo

Power Services

Disponible para: macOS Ventura.

Impacto: una app podría salir de su zona protegida.

Descripción: este problema se ha solucionado con comprobaciones de derechos adicionales.

CVE-2025-24173: Mickey Jin (@patch1t)

Sandbox

Disponible para: macOS Ventura.

Impacto: se ha resuelto un problema de validación de entradas

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2025-30452: un investigador anónimo

Sandbox

Disponible para: macOS Ventura.

Impacto: una app podría acceder a la información protegida del usuario.

Descripción: se ha solucionado un problema de permisos con restricciones adicionales.

CVE-2025-24181: Arsenii Kostromin (0x3c3e)

Security

Disponible para: macOS Ventura.

Impacto: un usuario remoto puede causar una denegación de servicio

Descripción: se ha solucionado un problema de validación mejorando la lógica.

CVE-2025-30471: Bing Shi, Wenchao Li, Xiaolong Bai de Alibaba Group, Luyi Xing de Indiana University Bloomington

Security

Disponible para: macOS Ventura.

Impacto: una app creada con fines malintencionados que actuaba como una proxy HTTPS podía acceder a datos sensibles del usuario.

Descripción: se ha solucionado el problema mediante la mejora de las restricciones de acceso.

CVE-2025-24250: Wojciech Regula de SecuRing (wojciechregula.blog)

Share Sheet

Disponible para: macOS Ventura.

Impacto: una app creada con fines malintencionados podría descartar la notificación del sistema en la pantalla de bloqueo al iniciarse una grabación.

Descripción: se ha solucionado el problema mediante la mejora de las restricciones de acceso.

CVE-2025-30438: Halle Winkler, Politepix theoffcuts.org

Shortcuts

Disponible para: macOS Ventura.

Impacto: una función rápida podría ejecutarse con privilegios de administrador sin autenticación.

Descripción: se ha solucionado el problema de autenticación mejorando la gestión del estado.

CVE-2025-31194: Dolf Hoegaerts y Michiel Devliegere

Shortcuts

Disponible para: macOS Ventura.

Impacto: una función rápida podría acceder a archivos que normalmente no son accesibles a través de la app Atajos

Descripción: se ha solucionado un problema de permisos mediante la mejora de la validación.

CVE-2025-30465: investigador anónimo

Shortcuts

Disponible para: macOS Ventura.

Impacto: una función rápida podría acceder a archivos que normalmente no son accesibles a través de la app Atajos

Descripción: se ha solucionado el problema mediante la mejora de las restricciones de acceso.

CVE-2025-30433: Andrew James Gonzalez

sips

Disponible para: macOS Ventura.

Impacto: el análisis de un archivo creado con fines malintencionados podría provocar el cierre inesperado de la app.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2025-24139: Junsung <3, Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

Siri

Disponible para: macOS Ventura.

Impacto: un atacante con acceso físico puede ser capaz de utilizar Siri para acceder a datos sensibles del usuario

Descripción: este problema se ha solucionado restringiendo las opciones que se ofrecen en un dispositivo bloqueado.

CVE-2025-24198: Richard Hyunho Im (@richeeta) con routezero.security

Siri

Disponible para: macOS Ventura.

Impacto: una app podría acceder a datos confidenciales de los usuarios

Descripción: se ha solucionado el problema de autorización mejorando la gestión del estado.

CVE-2025-24205: YingQi Shi(@Mas0nShi) de DBAppSecurity's WeBin lab y Minghao Lin (@Y1nKoc)

SMB

Disponible para: macOS Ventura.

Impacto: montar un recurso compartido de red SMB creado con fines malintencionados podría provocar el cierre del sistema.

Descripción: se ha solucionado una condición de carrera con una mejora del bloqueo.

CVE-2025-30444: Dave G. de Supernetworks

SMB

Disponible para: macOS Ventura.

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado un problema de desbordamiento de búfer mejorando la gestión de la memoria.

CVE-2025-24228: Joseph Ravichandran (@0xjprx) de MIT CSAIL

smbx

Disponible para: macOS Ventura.

Impacto: un atacante en una posición privilegiada podría llevar a cabo una denegación de servicio.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2025-24260: zbleet de QI-ANXIN TianGong Team

Software Update

Disponible para: macOS Ventura.

Impacto: un usuario podría ser capaz de elevar los privilegios.

Descripción: se ha solucionado el problema mejorando la validación de los enlaces simbólicos.

CVE-2025-24254: Arsenii Kostromin (0x3c3e)

Spotlight

Disponible para: macOS Ventura.

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se ha solucionado un problema de permisos con restricciones de zona protegida adicionales.

CVE-2024-54533: Csaba Fitzl (@theevilbit) de OffSec

Storage Management

Disponible para: macOS Ventura.

Impacto: una app podría activar las prestaciones de almacenamiento de iCloud sin la autorización del usuario.

Descripción: se ha solucionado un problema de permisos con restricciones adicionales.

CVE-2025-24207: 风沐云烟 (binary_fmyy) y Minghao Lin (@Y1nKoc), YingQi Shi (@Mas0nShi) de DBAppSecurity's WeBin lab

StorageKit

Disponible para: macOS Ventura.

Impacto: una app podría acceder a la información protegida del usuario.

Descripción: se ha solucionado un problema de permisos con restricciones de zona protegida adicionales.

CVE-2025-31261: Mickey Jin (@patch1t)

StorageKit

Disponible para: macOS Ventura.

Impacto: una app podría acceder a la información protegida del usuario.

Descripción: se ha solucionado el problema mejorando la gestión de los enlaces simbólicos.

CVE-2025-24253: Mickey Jin (@patch1t), Csaba Fitzl (@theevilbit) de Kandji

StorageKit

Disponible para: macOS Ventura.

Impacto: una app podría obtener privilegios de raíz.

Descripción: se ha solucionado un problema de permisos con restricciones adicionales.

CVE-2025-30449: Arsenii Kostromin (0x3c3e) y un investigador anónimo

StorageKit

Disponible para: macOS Ventura.

Impacto: una app podría evitar las preferencias de privacidad.

Descripción: se ha solucionado una condición de carrera mediante una validación adicional.

CVE-2025-31188: Mickey Jin (@patch1t)

StorageKit

Disponible para: macOS Ventura.

Impacto: una app podría acceder a datos confidenciales de los usuarios.

Descripción: se ha solucionado una condición de carrera mediante una validación adicional.

CVE-2025-24240: Mickey Jin (@patch1t)

System Settings

Disponible para: macOS Ventura.

Impacto: una app podría acceder a la información protegida del usuario.

Descripción: se ha solucionado el problema mejorando la validación de los enlaces simbólicos.

CVE-2025-24278: Zhongquan Li (@Guluisacat)

SystemMigration

Disponible para: macOS Ventura.

Impacto: una app maliciosa puede crear enlaces simbólicos a regiones protegidas del disco.

Descripción: se ha solucionado el problema mejorando la validación de los enlaces simbólicos.

CVE-2025-30457: Mickey Jin (@patch1t)

Voice Control

Disponible para: macOS Ventura.

Impacto: una app podría acceder a los contactos

Descripción: este problema se ha solucionado mejorando la gestión de archivos.

CVE-2025-24279: Mickey Jin (@patch1t)

WindowServer

Disponible para: macOS Ventura.

Impacto: un atacante podría provocar el cierre inesperado de la app.

Descripción: se ha solucionado un problema de confusión de tipo mediante la mejora de las comprobaciones.

CVE-2025-24247: PixiePoint Security

WindowServer

Disponible para: macOS Ventura.

Impacto: una app podría engañar a un usuario para que copiara datos sensibles en un tablero de pegado.

Descripción: se ha solucionado un problema de configuración con restricciones adicionales.

CVE-2025-24241: Andreas Hegenberg (folivora.AI GmbH)

Xsan

Disponible para: macOS Ventura.

Impacto: una app puede provocar una terminación inesperada del sistema

Descripción: se ha solucionado un desbordamiento de búfer mejorando la comprobación de límites.

CVE-2025-24266: un investigador anónimo

Xsan

Disponible para: macOS Ventura.

Impacto: una app puede provocar una terminación inesperada del sistema

Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.

CVE-2025-24265: un investigador anónimo

Xsan

Disponible para: macOS Ventura.

Impacto: una app podría provocar el cierre inesperado del sistema o daños en la memoria del kernel.

Descripción: se ha solucionado un problema de desbordamiento de búfer mejorando la gestión de la memoria.

CVE-2025-24157: un investigador anónimo

zip

Disponible para: macOS Ventura.

Impacto: se ha solucionado un problema de gestión de las rutas mejorando la validación.

Descripción: se ha solucionado el problema mejorando la validación de los enlaces simbólicos.

CVE-2025-31198: Jonathan Bar Or (@yo_yo_yo_jbo) de Microsoft

Otros agradecimientos

AirPlay

Queremos dar las gracias por su ayuda a Uri Katz (Oligo Security)

configd

Queremos dar las gracias a Andrei-Alexandru Bleorțu por su ayuda.

Security

Queremos dar las gracias a Kevin Jones (GitHub) por su ayuda.

Shortcuts

Queremos dar las gracias a Chi Yuan Chang de ZUSO ART y taikosoup por su ayuda.

SMB

Queremos dar las gracias a Dave G. de Supernetworks por su ayuda.