Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
macOS Ventura 13.4
Publicado el 18 de mayo de 2023
Accessibility
Disponible para: macOS Ventura.
Impacto: una app creada podría evitar las preferencias de privacidad.
Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.
CVE-2023-32388: Kirin (@Pwnrin)
Accessibility
Disponible para: macOS Ventura.
Impacto: es posible que una app creada con fines malintencionados utilice los derechos y permisos de privacidad otorgados a esta app.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2023-32400: Mickey Jin (@patch1t)
Accounts
Disponible para: macOS Ventura.
Impacto: un atacante podría filtrar correos electrónicos de cuentas de usuario
Descripción: se ha solucionado un problema de permisos mediante mejoras de la redacción de la información confidencial.
CVE-2023-34352: Sergii Kryvoblotskyi of MacPaw Inc.
Entrada añadida el 5 de septiembre de 2023
AMD
Disponible para: macOS Ventura.
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de desbordamiento de búfer mejorando la gestión de la memoria.
CVE-2023-32379: ABC Research s.r.o.
Entrada añadida el 5 de septiembre de 2023
AppleMobileFileIntegrity
Disponible para: macOS Ventura.
Impacto: una app creada podría evitar las preferencias de privacidad.
Descripción: este problema se ha solucionado mejorando las certificaciones.
CVE-2023-32411: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Disponible para: macOS Ventura.
Impacto: una app podría insertar código en binarios sensibles incluidos con Xcode
Descripción: este problema se ha solucionado imponiendo un tiempo de ejecución reforzado en los binarios afectados a nivel del sistema.
CVE-2023-32383: James Duffy (mangoSecure)
Entrada añadida el 21 de diciembre de 2023
Associated Domains
Disponible para: macOS Ventura.
Impacto: una app podría salir de su zona protegida.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-32371: James Duffy (mangoSecure)
Contacts
Disponible para: macOS Ventura.
Impacto: una app podría ser capaz de observar los datos de usuario sin proteger.
Descripción: se ha corregido un problema de privacidad con una gestión mejorada de los archivos temporales.
CVE-2023-32386: Kirin (@Pwnrin)
Core Location
Disponible para: macOS Ventura.
Impacto: es posible que una app pueda leer información de ubicación confidencial.
Descripción: el problema se ha solucionado mediante la mejora de la gestión de las cachés.
CVE-2023-32399: Adam M.
Entrada añadida el 5 de septiembre de 2023
CoreServices
Disponible para: macOS Ventura.
Impacto: una app creada podría evitar las preferencias de privacidad.
Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.
CVE-2023-28191: Mickey Jin (@patch1t)
CUPS
Disponible para: macOS Ventura.
Impacto: un usuario no autenticado podría acceder a documentos impresos recientemente.
Descripción: se ha solucionado el problema de autenticación mejorando la gestión del estado.
CVE-2023-32360: Gerhard Muth
dcerpc
Disponible para: macOS Ventura.
Impacto: un atacante remoto podría ser capaz de provocar el cierre inesperado de una app o la ejecución de código arbitrario.
Descripción: se ha solucionado un problema de vulnerabilidad “use-after-free” mejorando la gestión de la memoria.
CVE-2023-32387: Dimitrios Tatsis de Cisco Talos
DesktopServices
Disponible para: macOS Ventura.
Impacto: una app podría salir de su zona protegida.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-32414: Mickey Jin (@patch1t)
Face Gallery
Disponible para: macOS Ventura.
Impacto: un atacante con acceso físico a un Apple Watch bloqueado podría ser capaz de ver las fotos o los contactos del usuario a través de las funciones de accesibilidad.
Descripción: este problema se ha solucionado restringiendo las opciones que se ofrecen en un dispositivo bloqueado.
CVE-2023-32417: Zitong Wu (吴梓桐) de Zhuhai No.1 High School (珠海市第一中学)
Entrada añadida el 5 de septiembre de 2023
GeoServices
Disponible para: macOS Ventura.
Impacto: es posible que una app pueda leer información de ubicación confidencial.
Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.
CVE-2023-32392: Adam M.
Entrada añadida el 5 de septiembre de 2023
ImageIO
Disponible para: macOS Ventura.
Impacto: procesar una imagen podría provocar la revelación de la memoria de procesos.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2023-32372: Meysam Firouzi @R00tkitSMM de Mbition Mercedes-Benz Innovation Lab en colaboración con Trend Micro Zero Day Initiative
Entrada añadida el 5 de septiembre de 2023
ImageIO
Disponible para: macOS Ventura.
Impacto: procesar una imagen podría provocar la ejecución de código arbitrario.
Descripción: se ha solucionado un desbordamiento de búfer mejorando la comprobación de límites.
CVE-2023-32384: Meysam Firouzi @R00tkitsmm en colaboración con Trend Micro Zero Day Initiative
IOSurface
Disponible para: macOS Ventura.
Impacto: una app podría filtrar información confidencial sobre el estado del kernel.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2023-32410: hou xuewei (@p1ay8y3ar) vmk msu
IOSurfaceAccelerator
Disponible para: macOS Ventura.
Impacto: una app podría provocar el cierre inesperado del sistema o la lectura de la memoria del kernel.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2023-32420: CertiK SkyFall Team and Linus Henze of Pinauten GmbH (pinauten.de)
Entrada añadida el 5 de septiembre de 2023
Kernel
Disponible para: macOS Ventura.
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de confusión de tipo mediante la mejora de las comprobaciones.
CVE-2023-27930: 08Tc3wBB de Jamf
Kernel
Disponible para: macOS Ventura.
Impacto: una app en la zona protegida podría ser capaz de observar las conexiones de red de todo el sistema.
Descripción: se ha solucionado el problema con comprobaciones de permisos adicionales.
CVE-2023-27940: James Duffy (mangoSecure)
Kernel
Disponible para: macOS Ventura.
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de uso después de estar libre mediante la mejora de la gestión de la memoria.
CVE-2023-32398: Adam Doupé de ASU SEFCOM
Kernel
Disponible para: macOS Ventura.
Impacto: una app podría obtener privilegios de raíz.
Descripción: se ha solucionado un problema de condición de carrera mediante la mejora de la gestión del estado.
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) de Synacktiv (@Synacktiv) en colaboración con Trend Micro Zero Day Initiative
LaunchServices
Disponible para: macOS Ventura.
Impacto: una app podría omitir las comprobaciones de Gatekeeper.
Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.
CVE-2023-32352: Wojciech Reguła (@_r3ggi) de SecuRing (wojciechregula.blog)
libxml2
Disponible para: macOS Ventura.
Impacto: varios problemas en libxml2
Descripción: se han solucionado varios problemas de corrupción de memoria y se ha mejorado la validación de las entradas.
CVE-2023-29469: OSS-Fuzz y Ned Williamson de Google Project Zero
CVE-2023-42869: OSS-Fuzz y Ned Williamson de Google Project Zero
Entrada añadida el 21 de diciembre de 2023
libxpc
Disponible para: macOS Ventura.
Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.
Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.
CVE-2023-32369: Jonathan Bar Or de Microsoft, Anurag Bohra de Microsoft y Michael Pearse de Microsoft
libxpc
Disponible para: macOS Ventura.
Impacto: una app podría obtener privilegios de raíz.
Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.
CVE-2023-32405: Thijs Alkemade (@xnyhps) de Computest Sector 7
MallocStackLogging
Disponible para: macOS Ventura.
Impacto: una app podría obtener privilegios de raíz.
Descripción: este problema se ha solucionado mejorando la gestión de archivos.
CVE-2023-32428: Gergely Kalman (@gergely_kalman)
Entrada añadida el 5 de septiembre de 2023
Metal
Disponible para: macOS Ventura.
Impacto: una app creada podría evitar las preferencias de privacidad.
Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
Model I/O
Disponible para: macOS Ventura.
Impacto: procesar un modelo 3D podría provocar la revelación de la memoria de procesos.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2023-32368: Mickey Jin (@patch1t)
CVE-2023-32375: Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative
CVE-2023-32382: Mickey Jin (@patch1t)
Model I/O
Disponible para: macOS Ventura.
Impacto: procesar un modelo 3D podría provocar la ejecución de código arbitrario.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.
CVE-2023-32380: Mickey Jin (@patch1t)
NetworkExtension
Disponible para: macOS Ventura.
Impacto: es posible que una app pueda leer información de ubicación confidencial.
Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.
CVE-2023-32403: Adam M.
Entrada añadida el 5 de septiembre de 2023
NSURLSession
Disponible para: macOS Ventura.
Impacto: una app podría salir de su zona protegida.
Descripción: se ha solucionado el problema mediante mejoras del protocolo de gestión de archivos.
CVE-2023-32437: Thijs Alkemade de Computest Sector 7
Entrada añadida el 5 de septiembre de 2023
PackageKit
Disponible para: macOS Ventura.
Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.
Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.
CVE-2023-32355: Mickey Jin (@patch1t)
PDFKit
Disponible para: macOS Ventura.
Impacto: abrir un archivo PDF podría provocar la finalización inesperada de la app.
Descripción: se ha solucionado un problema de denegación de servicio mediante la mejora de la gestión de la memoria.
CVE-2023-32385: Jonathan Fritz
Perl
Disponible para: macOS Ventura.
Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.
Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.
CVE-2023-32395: Arsenii Kostromin (0x3c3e)
Photos
Disponible para: macOS Ventura.
Impacto: las fotos del álbum Oculto de Fotos podían verse sin autenticarse a través del Buscador visual.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-32390: Julian Szulc
Quick Look
Disponible para: macOS Ventura.
Impacto: analizar un documento de Office podría provocar el cierre inesperado de una aplicación o la ejecución de un código arbitrario
Descripción: se ha solucionado un desbordamiento de búfer mejorando la comprobación de límites.
CVE-2023-32401: Holger Fuhrmannek de Deutsche Telekom Security GmbH en nombre de BSI (Oficina federal alemana de seguridad de la información)
Entrada añadida el 21 de diciembre de 2023
Sandbox
Disponible para: macOS Ventura.
Impacto: una app podría conservar el acceso a los archivos de configuración del sistema incluso después de que se le haya revocado el permiso.
Descripción: se ha solucionado el problema de autorización mejorando la gestión del estado.
CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Koh M. Nakagawa de FFRI Security, Inc., Kirin (@Pwnrin), Jeff Johnson (underpassapp.com) y Csaba Fitzl (@theevilbit) de Offensive Security
Screen Saver
Disponible para: macOS Ventura.
Impacto: una app creada podría evitar las preferencias de privacidad.
Descripción: se ha solucionado un problema de permisos eliminando código vulnerable y añadiendo comprobaciones adicionales.
CVE-2023-32363: Mickey Jin (@patch1t)
Security
Disponible para: macOS Ventura.
Impacto: una app podría acceder a datos confidenciales de los usuarios.
Descripción: este problema se ha solucionado mejorando las certificaciones.
CVE-2023-32367: James Duffy (mangoSecure)
Share Sheet
Disponible para: macOS Ventura.
Impacto: una app podría acceder a datos confidenciales de los usuarios.
Descripción: se ha corregido un problema de privacidad con una gestión mejorada de los archivos temporales.
CVE-2023-32432: Kirin (@Pwnrin)
Entrada añadida el 5 de septiembre de 2023
Shell
Disponible para: macOS Ventura.
Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.
Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.
CVE-2023-32397: Arsenii Kostromin (0x3c3e)
Shortcuts
Disponible para: macOS Ventura.
Impacto: un acceso directo podría utilizar información confidencial mediante ciertas acciones sin preguntar al usuario.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-32391: Wenchao Li y Xiaolong Bai de Alibaba Group
Shortcuts
Disponible para: macOS Ventura.
Impacto: una app creada podría evitar las preferencias de privacidad.
Descripción: este problema se ha solucionado mejorando las certificaciones.
CVE-2023-32404: Mickey Jin (@patch1t), Zhipeng Huo (@R3dF09) de Tencent Security Xuanwu Lab (xlab.tencent.com) y un investigador anónimo
Siri
Disponible para: macOS Ventura.
Impacto: una persona con acceso físico a un dispositivo podría ver información de los contactos desde la pantalla bloqueada.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-32394: Khiem Tran
SQLite
Disponible para: macOS Ventura.
Impacto: una app creada podría evitar las preferencias de privacidad.
Descripción: el problema se ha solucionado añadiendo restricciones adicionales al registro SQLite.
CVE-2023-32422: Gergely Kalman (@gergely_kalman) y Wojciech Reguła de SecuRing (wojciechregula.blog)
Entrada actualizada el 2 de junio de 2023
StorageKit
Disponible para: macOS Ventura.
Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.
Descripción: este problema se ha solucionado mejorando las certificaciones.
CVE-2023-32376: Yiğit Can YILMAZ (@yilmazcanyigit)
sudo
Disponible para: macOS Ventura.
Impacto: una app podría obtener privilegios de alto nivel.
Descripción: este problema se ha solucionado actualizando a la versión de sudo.
CVE-2023-22809
Entrada añadida el 5 de septiembre de 2023
System Settings
Disponible para: macOS Ventura.
Impacto: un ajuste del firewall de una app podría no surtir efecto después de salir de la app Ajustes.
Descripción: este problema se ha solucionado con la mejora de la gestión del estado.
CVE-2023-28202: Satish Panduranga y un investigador anónimo
Telephony
Disponible para: macOS Ventura.
Impacto: un atacante remoto podría ser capaz de provocar el cierre inesperado de una app o la ejecución de código arbitrario.
Descripción: se ha solucionado un problema de vulnerabilidad “use-after-free” mejorando la gestión de la memoria.
CVE-2023-32412: Ivan Fratric de Google Project Zero
TV App
Disponible para: macOS Ventura.
Impacto: es posible que una app pueda leer información de ubicación confidencial.
Descripción: el problema se ha solucionado mediante la mejora de la gestión de las cachés.
CVE-2023-32408: Adam M.
Weather
Disponible para: macOS Ventura.
Impacto: es posible que una app pueda leer información de ubicación confidencial.
Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.
CVE-2023-32415: Wojciech Regula de SecuRing (wojciechregula.blog) y un investigador anónimo
WebKit
Disponible para: macOS Ventura.
Impacto: procesar contenidos web podría revelar información confidencial.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
WebKit Bugzilla: 255075
CVE-2023-32402: Ignacio Sanmillan (@ulexec)
Entrada actualizada el 21 de diciembre de 2023
WebKit
Disponible para: macOS Ventura.
Impacto: procesar contenidos web podría revelar información confidencial.
Descripción: se ha solucionado un problema de desbordamiento de búfer mejorando la gestión de la memoria.
WebKit Bugzilla: 254781
CVE-2023-32423: Ignacio Sanmillan (@ulexec)
WebKit
Disponible para: macOS Ventura.
Impacto: un atacante remoto podría ser capaz de salir de su zona protegida de Web Content. Apple tiene conocimiento de que este problema se ha explotado activamente.
Descripción: el problema se ha solucionado mediante la mejora de la comprobación de límites.
WebKit Bugzilla: 255350
CVE-2023-32409: Clément Lecigne de Threat Analysis Group de Google y Donncha Ó Cearbhaill de Security Lab de Amnistía Internacional
WebKit
Disponible para: macOS Ventura.
Impacto: procesar contenidos web podría revelar información confidencial. Apple tiene conocimiento de que este problema se ha explotado activamente.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
WebKit Bugzilla: 254930
CVE-2023-28204: un investigador anónimo
Este problema se solucionó primero en la respuesta rápida de seguridad macOS 13.3.1 (a).
WebKit
Disponible para: macOS Ventura.
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de código arbitrario. Apple tiene conocimiento de que este problema se ha explotado activamente.
Descripción: se ha solucionado un problema de uso después de estar libre mediante la mejora de la gestión de la memoria.
WebKit Bugzilla: 254840
CVE-2023-32373: un investigador anónimo
Este problema se solucionó primero en la respuesta rápida de seguridad macOS 13.3.1 (a).
Wi-Fi
Disponible para: macOS Ventura.
Impacto: una app podría divulgar datos de la memoria de kernel.
Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.
CVE-2023-32389: Pan ZhenPeng (@Peterpan0927) de STAR Labs SG Pte. Ltd.
Otros agradecimientos
Accounts
Queremos dar las gracias a Sergii Kryvoblotskyi de MacPaw Inc. por su ayuda.
CloudKit
Queremos dar las gracias a Iconic por su ayuda.
Find My
Queremos dar las gracias a Abhinav Thakur, Artem Starovoitov, Hodol K y a un investigador anónimo por su ayuda.
Entrada añadida el 21 de diciembre de 2023
libxml2
Queremos dar las gracias por su ayuda a OSS-Fuzz y Ned Williamson de Google Project Zero.
Reminders
Queremos dar las gracias a Kirin (@Pwnrin) por su ayuda.
Rosetta
Queremos dar las gracias por su ayuda a Koh M. Nakagawa de FFRI Security, Inc.
Safari
Queremos dar las gracias a Khiem Tran (databaselog.com) por su ayuda.
Entrada actualizada el 21 de diciembre de 2023
Security
Queremos dar las gracias a Brandon Toms por su ayuda.
Share Sheet
Queremos dar las gracias a Kirin (@Pwnrin) por su ayuda.
Wallet
Queremos dar las gracias a James Duffy (mangoSecure) por su ayuda.
WebRTC
Queremos dar las gracias a Dohyun Lee (@l33d0hyun) de PK Security y a un investigador anónimo por su ayuda.
Entrada añadida el 21 de diciembre de 2023
Wi-Fi
Queremos dar las gracias a Adam M. por su ayuda.
Entrada actualizada el 21 de diciembre de 2023