Acerca del contenido de seguridad de macOS Sequoia 15.5

En este documento se describe el contenido de seguridad de macOS Sequoia 15.5.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Encontrarás una lista de las últimas versiones en la página Versiones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

macOS Sequoia 15.5

afpfs

Disponible para: macOS Sequoia

Impacto: la conexión a un servidor AFP creado con fines malintencionados puede corromper la memoria del kernel.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2025-31246: Joseph Ravichandran (@0xjprx) de MIT CSAIL

afpfs

Disponible para: macOS Sequoia

Impacto: montar un recurso compartido de red AFP creado con fines malintencionados podría provocar el cierre del sistema.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2025-31240: Dave G.

CVE-2025-31237: Dave G.

Apple Intelligence Reports

Disponible para: macOS Sequoia

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se ha solucionado un problema de permisos con restricciones adicionales.

CVE-2025-31260: Thomas Völkl (@vollkorntomate), SEEMOO, TU Darmstadt

AppleJPEG

Disponible para: macOS Sequoia

Impacto: procesar un archivo multimedia creado con fines malintencionados podría provocar el cierre inesperado de la app o corrupción en la memoria de procesos.

Descripción: se ha solucionado un problema mejorando el saneamiento de entrada.

CVE-2025-31251: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

Audio

Disponible para: macOS Sequoia

Impacto: una app puede provocar una terminación inesperada del sistema

Descripción: se ha solucionado un problema de vulnerabilidad «double free» mejorando la gestión de la memoria.

CVE-2025-31235: Dillon Franke en colaboración con Google Project Zero

BOM

Disponible para: macOS Sequoia

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2025-24222: wac en colaboración con Trend Micro Zero Day Initiative

Core Bluetooth

Disponible para: macOS Sequoia

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: para resolver este problema se ha mejorado la gestión del estado.

CVE-2025-31212: Guilherme Rambo de Best Buddy Apps (rambo.codes)

CoreAudio

Disponible para: macOS Sequoia

Impacto: el análisis de un archivo podría provocar el cierre inesperado de la app.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2025-31208: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

CoreGraphics

Disponible para: macOS Sequoia

Impacto: analizar un archivo de audio podría provocar la revelación de información del usuario.

Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.

CVE-2025-31209: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

CoreMedia

Disponible para: macOS Sequoia

Impacto: el análisis de un archivo podría provocar el cierre inesperado de la app.

Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.

CVE-2025-31239: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

CoreMedia

Disponible para: macOS Sequoia

Impacto: procesar un archivo de vídeo creado con fines malintencionados podría provocar el cierre inesperado de la app o corrupción en la memoria de procesos

Descripción: se ha solucionado un problema mejorando el saneamiento de entrada.

CVE-2025-31233: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

Finder

Disponible para: macOS Sequoia

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se ha solucionado un problema de divulgación de información mejorando los controles de privacidad.

CVE-2025-31236: Kirin@Pwnrin y LFY@secsys de Fudan University

Found in Apps

Disponible para: macOS Sequoia

Impacto: una app podría acceder a datos confidenciales de los usuarios.

Descripción: se ha solucionado un problema de privacidad eliminando el código vulnerable.

CVE-2025-30443: Bohdan Stasiuk (@bohdan_stasiuk)

ImageIO

Disponible para: macOS Sequoia

Impacto: procesar una imagen creada con fines malintencionados podría originar la denegación del servicio.

Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.

CVE-2025-31226: Saagar Jha

Installer

Disponible para: macOS Sequoia

Impacto: una app en un entorno de prueba podría acceder a la información confidencial del usuario.

Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.

CVE-2025-31232: un investigador anónimo

Kernel

Disponible para: macOS Sequoia

Impacto: un atacante remoto podría ser capaz de provocar una terminación inesperada del sistema.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2025-24224: Tony Iskow (@Tybbow)

Kernel

Disponible para: macOS Sequoia

Impacto: un atacante remoto podría provocar el cierre inesperado de la app.

Descripción: se ha solucionado un problema de vulnerabilidad «double free» mejorando la gestión de la memoria.

CVE-2025-31241: Christian Kohlschütter

Kernel

Disponible para: macOS Sequoia

Impacto: un atacante podría provocar la interrupción inesperada del sistema o estropear la memoria del kernel.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2025-31219: Michael DePlante (@izobashi) y Lucas Leong (@_wmliang_) de Trend Micro Zero Day Initiative

libexpat

Disponible para: macOS Sequoia

Impacto: varios problemas en libexpat, incluido el cierre inesperado de la app o la ejecución de código arbitrario.

Descripción: se trata de una vulnerabilidad en el código fuente abierto y el Software Apple se encuentra entre los proyectos afectados. El CVE-ID fue asignado por un tercero. Obtén más información sobre el problema y el CVE-ID en cve.org.

CVE-2024-8176

Libinfo

Disponible para: macOS Sequoia

Impacto: una app podría ser capaz de omitir ASLR.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2025-30440: Paweł Płatek (Trail of Bits)

mDNSResponder

Disponible para: macOS Sequoia

Impacto: un usuario podría ser capaz de elevar los privilegios.

Descripción: se ha solucionado un problema de corrección mejorando las comprobaciones.

CVE-2025-31222: Paweł Płatek (Trail of Bits)

Mobile Device Service

Disponible para: macOS Sequoia

Impacto: una app creada con fines malintencionados podría ser capaz de obtener privilegios de raíz.

Descripción: se ha solucionado un problema de validación de entradas eliminando el código vulnerable.

CVE-2025-24274: un investigador anónimo

NetworkExtension

Disponible para: macOS Sequoia

Impacto: una app puede ser capaz de observar los nombres de host de nuevas conexiones de red.

Descripción: el problema se ha solucionado eliminando el código vulnerable.

CVE-2025-31218: Adam M.

Notes

Disponible para: macOS Sequoia

Impacto: la esquina activa puede revelar de forma inesperada las notas eliminadas de un usuario.

Descripción: el problema se ha solucionado mediante la mejora de la gestión de las cachés.

CVE-2025-31256: Sourabhkumar Mishra

Notification Center

Disponible para: macOS Sequoia

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.

CVE-2025-24142: LFY@secsys de Fudan University

OpenSSH

Disponible para: macOS Sequoia

Impacto: varios problemas en OpenSSH

Descripción: se trata de una vulnerabilidad en el código fuente abierto y el Software Apple se encuentra entre los proyectos afectados. El CVE-ID fue asignado por un tercero. Obtén más información sobre el problema y el CVE-ID en cve.org.

CVE-2025-26465

CVE-2025-26466

Pro Res

Disponible para: macOS Sequoia

Impacto: un atacante podría provocar la interrupción inesperada del sistema o estropear la memoria del kernel.

Descripción: se ha solucionado un problema mejorando el saneamiento de entrada.

CVE-2025-31234: CertiK (@CertiK)

Pro Res

Disponible para: macOS Sequoia

Impacto: una app puede provocar una terminación inesperada del sistema

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2025-31245: wac

quarantine

Disponible para: macOS Sequoia

Impacto: una app podría salir de su zona protegida.

Descripción: se ha abordado una omisión de cuarentena de archivos con comprobaciones adicionales.

CVE-2025-31244: Csaba Fitzl (@theevilbit) de Kandji

RemoteViewServices

Disponible para: macOS Sequoia

Impacto: una app podría salir de su zona protegida.

Descripción: el problema se ha solucionado eliminando el código vulnerable.

CVE-2025-31258: un investigador anónimo

Sandbox

Disponible para: macOS Sequoia

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.

CVE-2025-31249: Ryan Dowd (@_rdowd)

Sandbox

Disponible para: macOS Sequoia

Impacto: una app podría evitar ciertas preferencias de privacidad.

Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.

CVE-2025-31224: Csaba Fitzl (@theevilbit) de Kandji

Security

Disponible para: macOS Sequoia

Impacto: un atacante remoto podría filtrar memoria.

Descripción: se ha solucionado un desbordamiento de enteros mediante la mejora de la validación de las entradas.

CVE-2025-31221: Dave G.

Security

Disponible para: macOS Sequoia

Impacto: una app puede acceder a los nombres de usuario y sitios web asociados en Llavero de iCloud de un usuario

Descripción: se ha solucionado un problema de registro con una redacción de datos mejorada.

CVE-2025-31213: Kirin (@Pwnrin) y 7feilee

SharedFileList

Disponible para: macOS Sequoia

Impacto: un usuario podría obtener acceso a partes protegidas del sistema de archivos.

Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.

CVE-2025-31247: un investigador anónimo

SoftwareUpdate

Disponible para: macOS Sequoia

Impacto: una app podría obtener privilegios de alto nivel.

Descripción: se ha solucionado un problema mejorando el saneamiento de entrada.

CVE-2025-31259: un investigador anónimo

StoreKit

Disponible para: macOS Sequoia

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.

CVE-2025-31242: Eric Dorphy de Twin Cities App Dev LLC

TCC

Disponible para: macOS Sequoia

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se ha solucionado un problema de divulgación de información mejorando los controles de privacidad.

CVE-2025-31250: Noah Gregory (wts.dev)

Weather

Disponible para: macOS Sequoia

Impacto: es posible que una app maliciosa pueda leer información de ubicación confidencial

Descripción: se ha solucionado un problema de privacidad eliminando datos confidenciales.

CVE-2025-31220: Adam M.

WebKit

Disponible para: macOS Sequoia

Impacto: un problema de confusión de tipos podría provocar corrupción en la memoria

Descripción: se ha solucionado el problema mejorando la gestión de los elementos flotantes.

CVE-2025-24213: Google V8 Security Team

WebKit

Disponible para: macOS Sequoia

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la corrupción de la memoria.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2025-31223: Andreas Jaegersberger & Ro Achterberg of Nosebeard Labs

CVE-2025-31238: wac en colaboración con Trend Micro Zero Day Initiative

WebKit

Disponible para: macOS Sequoia

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2025-31215: Jiming Wang y Jikai Ren

WebKit

Disponible para: macOS Sequoia

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la corrupción de la memoria.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2025-31204: Nan Wang(@eternalsakura13)

CVE-2025-24223: rheza (@ginggilBesel) y un investigador anónimo

WebKit

Disponible para: macOS Sequoia

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado en Safari

Descripción: se ha solucionado un problema de confusión de tipo mejorando la gestión del estado.

CVE-2025-31206: un investigador anónimo

WebKit

Disponible para: macOS Sequoia

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado en Safari

Descripción: se ha solucionado el problema mejorando la validación de las entradas.

CVE-2025-31217: Ignacio Sanmillan (@ulexec)

WebKit

Disponible para: macOS Sequoia

Impacto: un sitio web creado con fines malintencionados podría ocasionar el filtrado de datos en orígenes cruzados

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2025-31205: Ivan Fratric de Google Project Zero

WebKit

Disponible para: macOS Sequoia

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado en Safari

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2025-31257: Juergen Schmied de Lynck GmbH

Otros agradecimientos

AirDrop

Queremos dar las gracias a Dalibor Milanovic por su ayuda.

Foundation

Queremos dar las gracias a Claudio Bozzato y Francesco Benvenuto de Cisco Talos por su ayuda.

Kernel

Queremos dar las gracias a un investigador anónimo por su ayuda.

Mail

Queremos dar las gracias por su ayuda a IES Red Team de ByteDance.

MobileGestalt

Queremos dar las gracias a iisBuri por su ayuda.

NetworkExtension

Queremos dar las gracias a Andrei-Alexandru Bleorțu y Dmytro Merkulov por su ayuda.

Notes

Queremos dar las gracias a YingQi Shi (@Mas0nShi) de DBAppSecurity's WeBin lab por su ayuda.

Safari

Queremos dar las gracias a @RenwaX23, Akash Labade, Narendra Bhati, supervisor de ciberseguridad de Suma Soft Pvt. Ltd, Pune (India).

Sandbox

Queremos dar las gracias a Kirin@Pwnrin y LFY@secsys de Fudan University y Tal Lossos, Zhongquan Li (@Guluisacat) por su ayuda.

Shortcuts

Queremos dar las gracias a Candace Jensen de Kandji, Chi Yuan Chang de ZUSO ART y taikosoup, Egor Filatov (Positive Technologies), Marcio Almeida de Tanto Security, Monnier Pascaud, Ron Masas de BREAKPOINT.SH por su ayuda.

WebKit

Queremos dar las gracias a Mike Dougherty y Daniel White de Google Chrome y a un investigador anónimo por su ayuda.

XProtect

Queremos dar las gracias a Csaba Fitzl (@theevilbit) de Kandji por su ayuda.