Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
macOS Big Sur 11.7.7
Publicado el 18 de mayo de 2023
Accessibility
Disponible para: macOS Big Sur
Impacto: una app creada podría evitar las preferencias de privacidad.
Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.
CVE-2023-32388: Kirin (@Pwnrin)
AppleEvents
Disponible para: macOS Big Sur
Impacto: una app creada podría evitar las preferencias de privacidad.
Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.
CVE-2023-28191: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Disponible para: macOS Big Sur
Impacto: una app creada podría evitar las preferencias de privacidad.
Descripción: este problema se ha solucionado mejorando las certificaciones.
CVE-2023-32411: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Disponible para: macOS Big Sur
Impacto: una app podría insertar código en binarios sensibles incluidos con Xcode
Descripción: este problema se ha solucionado imponiendo un tiempo de ejecución reforzado en los binarios afectados a nivel del sistema.
CVE-2023-32383: James Duffy (mangoSecure)
Entrada añadida el 21 de diciembre de 2023
Contacts
Disponible para: macOS Big Sur
Impacto: una app podría ser capaz de observar los datos de usuario sin proteger.
Descripción: se ha corregido un problema de privacidad con una gestión mejorada de los archivos temporales.
CVE-2023-32386: Kirin (@Pwnrin)
CoreCapture
Disponible para: macOS Big Sur
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-28181: Tingting Yin de la Universidad Tsinghua
CUPS
Disponible para: macOS Big Sur
Impacto: un usuario no autenticado podría acceder a documentos impresos recientemente.
Descripción: se ha solucionado el problema de autenticación mejorando la gestión del estado.
CVE-2023-32360: Gerhard Muth
dcerpc
Disponible para: macOS Big Sur
Impacto: un atacante remoto podría ser capaz de provocar el cierre inesperado de una app o la ejecución de código arbitrario.
Descripción: se ha solucionado un problema de vulnerabilidad “use-after-free” mejorando la gestión de la memoria.
CVE-2023-32387: Dimitrios Tatsis de Cisco Talos
Dev Tools
Disponible para: macOS Big Sur
Impacto: una app aislada puede recopilar registros del sistema
Descripción: este problema se ha solucionado mejorando las certificaciones.
CVE-2023-27945: Mickey Jin (@patch1t)
GeoServices
Disponible para: macOS Big Sur
Impacto: es posible que una app pueda leer información de ubicación confidencial.
Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.
CVE-2023-32392: Adam M.
Entrada actualizada el 21 de diciembre de 2023
ImageIO
Disponible para: macOS Big Sur
Impacto: procesar una imagen podría provocar la ejecución de código arbitrario.
Descripción: se ha solucionado un desbordamiento de búfer mejorando la comprobación de límites.
CVE-2023-32384: Meysam Firouzi @R00tkitsmm en colaboración con Trend Micro Zero Day Initiative
IOSurface
Disponible para: macOS Big Sur
Impacto: una app podría filtrar información confidencial sobre el estado del kernel.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2023-32410: hou xuewei (@p1ay8y3ar) vmk msu
Kernel
Disponible para: macOS Big Sur
Impacto: una app podría obtener privilegios de raíz.
Descripción: se ha solucionado un problema de condición de carrera mediante la mejora de la gestión del estado.
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) de Synacktiv (@Synacktiv) en colaboración con Trend Micro Zero Day Initiative
Kernel
Disponible para: macOS Big Sur
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de uso después de estar libre mediante la mejora de la gestión de la memoria.
CVE-2023-32398: Adam Doupé de ASU SEFCOM
LaunchServices
Disponible para: macOS Big Sur
Impacto: una app podría omitir las comprobaciones de Gatekeeper.
Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.
CVE-2023-32352: Wojciech Reguła (@_r3ggi) de SecuRing (wojciechregula.blog)
libxpc
Disponible para: macOS Big Sur
Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.
Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.
CVE-2023-32369: Jonathan Bar Or de Microsoft, Anurag Bohra de Microsoft y Michael Pearse de Microsoft
libxpc
Disponible para: macOS Big Sur
Impacto: una app podría obtener privilegios de raíz.
Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.
CVE-2023-32405: Thijs Alkemade (@xnyhps) de Computest Sector 7
Metal
Disponible para: macOS Big Sur
Impacto: una app creada podría evitar las preferencias de privacidad.
Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
Model I/O
Disponible para: macOS Big Sur
Impacto: procesar un modelo 3D podría provocar la ejecución de código arbitrario.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.
CVE-2023-32380: Mickey Jin (@patch1t)
Model I/O
Disponible para: macOS Big Sur
Impacto: procesar un modelo 3D podría provocar la revelación de la memoria de procesos.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2023-32382: Mickey Jin (@patch1t)
NetworkExtension
Disponible para: macOS Big Sur
Impacto: es posible que una app pueda leer información de ubicación confidencial.
Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.
CVE-2023-32403: Adam M.
Entrada actualizada el 21 de diciembre de 2023
PackageKit
Disponible para: macOS Big Sur
Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.
Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.
CVE-2023-32355: Mickey Jin (@patch1t)
Perl
Disponible para: macOS Big Sur
Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.
Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.
CVE-2023-32395: Arsenii Kostromin (0x3c3e)
Quick Look
Disponible para: macOS Big Sur
Impacto: analizar un documento de Office podría provocar el cierre inesperado de una aplicación o la ejecución de un código arbitrario
Descripción: se ha solucionado un desbordamiento de búfer mejorando la comprobación de límites.
CVE-2023-32401: Holger Fuhrmannek de Deutsche Telekom Security GmbH en nombre de BSI (Oficina federal alemana de seguridad de la información)
Entrada añadida el 21 de diciembre de 2023
Sandbox
Disponible para: macOS Big Sur
Impacto: una app podría conservar el acceso a los archivos de configuración del sistema incluso después de que se le haya revocado el permiso.
Descripción: se ha solucionado el problema de autorización mejorando la gestión del estado.
CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Jeff Johnson, Koh M. Nakagawa de FFRI Security, Inc., Kirin (@Pwnrin) y Csaba Fitzl (@theevilbit) de Offensive Security
Shell
Disponible para: macOS Big Sur
Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.
Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.
CVE-2023-32397: Arsenii Kostromin (0x3c3e)
Telephony
Disponible para: macOS Big Sur
Impacto: un atacante remoto podría ser capaz de provocar el cierre inesperado de una app o la ejecución de código arbitrario.
Descripción: se ha solucionado un problema de vulnerabilidad “use-after-free” mejorando la gestión de la memoria.
CVE-2023-32412: Ivan Fratric de Google Project Zero
Otros agradecimientos
libxml2
Queremos dar las gracias por su ayuda a OSS-Fuzz y Ned Williamson de Google Project Zero.
Reminders
Queremos dar las gracias a Kirin (@Pwnrin) por su ayuda.
Security
Queremos dar las gracias a James Duffy (mangoSecure) por su ayuda.
Wi-Fi
Queremos dar las gracias a Adam M. por su ayuda.
Entrada actualizada el 21 de diciembre de 2023
Wi-Fi Connectivity
Queremos dar las gracias a Adam M. por su ayuda.
Entrada actualizada el 21 de diciembre de 2023