Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
macOS Monterey 12.6.4
Disponible el 27 de marzo de 2023
Apple Neural Engine
Disponible para: macOS Monterey
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-23540: Mohamed GHANNAM (@_simo36)
AppleMobileFileIntegrity
Disponible para: macOS Monterey
Impacto: un usuario podría obtener acceso a partes protegidas del sistema de archivos.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-23527: Mickey Jin (@patch1t)
Archive Utility
Disponible para: macOS Monterey
Impacto: un archivo puede ser capaz de eludir Gatekeeper.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-27951: Brandon Dalton (@partyD0lphin) de Red Canary y Csaba Fitzl (@theevilbit) de Offensive Security
Entrada actualizada el 8 de junio de 2023
Calendar
Disponible para: macOS Monterey
Impacto: la importación de una invitación de calendario diseñada con fines malintencionados podría filtrar información del usuario.
Descripción: se han solucionado varios problemas de validación mejorando el saneamiento de las entradas.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
ColorSync
Disponible para: macOS Monterey
Impacto: una app podría leer archivos arbitrarios.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-27955: JeongOhKyea
CommCenter
Disponible para: macOS Monterey
Impacto: una app podría provocar el cierre inesperado del sistema o la escritura de la memoria del kernel.
Descripción: se ha solucionado un problema de escritura fuera de los límites al mejorar la validación de las entradas.
CVE-2023-27936: Tingting Yin de la Universidad Tsinghua
CoreCapture
Disponible para: macOS Monterey
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-28181: Tingting Yin de la Universidad Tsinghua
Entrada añadida el 8 de junio de 2023
dcerpc
Disponible para: macOS Monterey
Impacto: un usuario remoto podría provocar el cierre inesperado de una app o la ejecución arbitraria de código.
Descripción: el problema se ha solucionado mediante la mejora de la comprobación de límites.
CVE-2023-27935: Aleksandar Nikolic de Cisco Talos
dcerpc
Disponible para: macOS Monterey
Impacto: un atacante remoto podría ser capaz de provocar el cierre inesperado de una app o la ejecución de código arbitrario.
Descripción: se ha solucionado un problema de inicialización de memoria.
CVE-2023-27934: Aleksandar Nikolic de Cisco Talos
Entrada añadida el 8 de junio de 2023
dcerpc
Disponible para: macOS Monterey
Impacto: un usuario remoto puede provocar el cierre inesperado del sistema o dañar la memoria del kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-27953: Aleksandar Nikolic de Cisco Talos
CVE-2023-27958: Aleksandar Nikolic de Cisco Talos
Find My
Disponible para: macOS Monterey
Impacto: es posible que una app pueda leer información de ubicación confidencial.
Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.
CVE-2023-23537: Adam M.
Entrada añadida el 21 de diciembre de 2023
FontParser
Disponible para: macOS Monterey
Impacto: el procesamiento de un archivo de tipo de letra podría provocar la ejecución de código arbitrario
Descripción: se ha solucionado un problema de escritura fuera de los límites al mejorar la validación de las entradas.
CVE-2023-32366: Ye Zhang (@VAR10CK) de Baidu Security
Entrada añadida el 21 de diciembre de 2023
Foundation
Disponible para: macOS Monterey
Impacto: analizar un archivo de tipos de letra creado con fines malintencionados provocaba el cierre inesperado de una aplicación o la ejecución de código arbitrario.
Descripción: se ha solucionado un desbordamiento de enteros mediante la mejora de la validación de las entradas.
CVE-2023-27937: investigador anónimo
ImageIO
Disponible para: macOS Monterey
Impacto: el procesamiento de un archivo diseñado con fines malintencionados podría provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.
CVE-2023-27946: Mickey Jin (@patch1t)
IOAcceleratorFamily
Disponible para: macOS Monterey
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de uso después de estar libre mediante la mejora de la gestión de la memoria.
CVE-2023-32378: Murray Mike
Entrada añadida el 21 de diciembre de 2023
Kernel
Disponible para: macOS Monterey
Impacto: una app podría divulgar datos de la memoria de kernel.
Descripción: existía un problema de lectura fuera de los límites que provocaba la divulgación del contenido de la memoria de kernel. Se ha solucionado mejorando la validación de las entradas.
CVE-2023-27941: Arsenii Kostromin (0x3c3e)
CVE-2023-28199: Arsenii Kostromin (0x3c3e)
Entrada añadida el 8 de junio de 2023 y actualizada el 21 de diciembre de 2023
Kernel
Disponible para: macOS Monterey
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: el problema se ha solucionado mediante la mejora de la comprobación de límites.
CVE-2023-23536: Félix Poulin-Bélanger y David Pan Ogea
Entrada añadida el 8 de junio de 2023 y actualizada el 21 de diciembre de 2023
Kernel
Disponible para: macOS Monterey
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
CVE-2023-23514: Xinru Chi de Pangu Lab, Ned Williamson de Google Project Zero
Kernel
Disponible para: macOS Monterey
Impacto: una app con privilegios de raíz podría ser capaz de ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-27933: sqrtpwn
Kernel
Disponible para: macOS Monterey
Impacto: una app podría divulgar datos de la memoria de kernel.
Descripción: se ha solucionado un problema de validación mejorando el saneamiento de entrada.
CVE-2023-28200: Arsenii Kostromin (0x3c3e)
Kernel
Disponible para: macOS Monterey
Impacto: una aplicación puede provocar una denegación de servicio.
Descripción: se ha solucionado un desbordamiento de enteros mejorando la validación de las entradas.
CVE-2023-28185: Pan ZhenPeng de STAR Labs SG Pte. Ltd.
Entrada añadida el 21 de diciembre de 2023
libpthread
Disponible para: macOS Monterey
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de confusión de tipo mediante la mejora de las comprobaciones.
CVE-2023-41075: Zweig de Kunlun Lab
Entrada añadida el 21 de diciembre de 2023
Disponible para: macOS Monterey
Impacto: una app podría ver información confidencial del usuario.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-28189: Mickey Jin (@patch1t)
Entrada añadida el 8 de junio de 2023
Messages
Disponible para: macOS Monterey
Impacto: una app podría acceder a datos confidenciales de los usuarios.
Descripción: se ha solucionado un problema de acceso con restricciones de zona protegida adicionales.
CVE-2023-28197: Joshua Jones
Entrada añadida el 21 de diciembre de 2023
Model I/O
Disponible para: macOS Monterey
Impacto: el procesamiento de un archivo diseñado con fines malintencionados podría provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2023-27949: Mickey Jin (@patch1t)
NetworkExtension
Disponible para: macOS Monterey
Impacto: un usuario en una posición de red privilegiada puede suplantar un host VPN configurado con una autenticación solo EAP en un dispositivo.
Descripción: el problema se ha solucionado mejorando la autenticación.
CVE-2023-28182: Zhuowei Zhang
PackageKit
Disponible para: macOS Monterey
Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.
Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.
CVE-2023-23538: Mickey Jin (@patch1t)
CVE-2023-27962: Mickey Jin (@patch1t)
Podcasts
Disponible para: macOS Monterey
Impacto: una app podría acceder a datos confidenciales de los usuarios.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-27942: Mickey Jin (@patch1t)
Sandbox
Disponible para: macOS Monterey
Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.
Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.
CVE-2023-23533: Mickey Jin (@patch1t), Koh M. Nakagawa de FFRI Security, Inc. y Csaba Fitzl (@theevilbit) de Offensive Security
Sandbox
Disponible para: macOS Monterey
Impacto: una app creada podría evitar las preferencias de privacidad.
Descripción: se ha solucionado un problema de lógica mejorando la validación.
CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)
Shortcuts
Disponible para: macOS Monterey
Impacto: un acceso directo podría utilizar información confidencial mediante ciertas acciones sin preguntar al usuario.
Descripción: se ha solucionado el problema con comprobaciones de permisos adicionales.
CVE-2023-27963: Jubaer Alnazi Jabin de TRS Group Of Companies, y Wenchao Li y Xiaolong Bai de Alibaba Group
System Settings
Disponible para: macOS Monterey
Impacto: una app podría acceder a datos confidenciales de los usuarios.
Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.
CVE-2023-23542: Adam M.
Entrada actualizada el 21 de diciembre de 2023
System Settings
Disponible para: macOS Monterey
Impacto: es posible que una app pueda leer información de ubicación confidencial.
Descripción: se ha solucionado un problema de permisos mediante la mejora de la validación.
CVE-2023-28192: Guilherme Rambo de Best Buddy Apps (rambo.codes)
Vim
Disponible para: macOS Monterey
Impacto: varios problemas en Vim.
Descripción: se han solucionado varios problemas en Vim actualizando a la versión 9.0.1191.
CVE-2023-0433
CVE-2023-0512
XPC
Disponible para: macOS Monterey
Impacto: una app podría salir de su zona protegida.
Descripción: este problema se ha solucionado con una nueva autorización.
CVE-2023-27944: Mickey Jin (@patch1t)
Otros agradecimientos
Activation Lock
Queremos dar las gracias a Christian Mina por su ayuda.
AppleMobileFileIntegrity
Queremos dar las gracias a Wojciech Reguła (@_r3ggi) de SecuRing por su ayuda.
CoreServices
Queremos dar las gracias a Mickey Jin (@patch1t) por su ayuda.
NSOpenPanel
Queremos dar las gracias a Alexandre Colucci (@timacfr) por su ayuda.
Wi-Fi
Queremos dar las gracias a un investigador anónimo por su ayuda.