Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
macOS Monterey 12.6.8
Disponible el 24 de julio de 2023
Accessibility
Disponible para: macOS Monterey
Impacto: es posible que una app pueda leer información de ubicación confidencial.
Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.
CVE-2023-40442: Nick Brook
Entrada añadida el 8 de septiembre de 2023
Apple Neural Engine
Disponible para: macOS Monterey
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-34425: pattern-f (@pattern_F_) de Ant Security Light-Year Lab
Entrada añadida el 27 de julio de 2023
AppSandbox
Disponible para: macOS Monterey
Impacto: un proceso aislado podría ser capaz de eludir las restricciones de la zona protegida
Descripción: se ha solucionado un problema de lógica mejorando las restricciones.
CVE-2023-32364: Gergely Kalman (@gergely_kalman)
Entrada añadida el 27 de julio de 2023
Assets
Disponible para: macOS Monterey
Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.
Descripción: este problema se ha solucionado con una protección de datos mejorada.
CVE-2023-35983: Mickey Jin (@patch1t)
CFNetwork
Disponible para: macOS Monterey
Impacto: es posible que una app pueda leer información de ubicación confidencial.
Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.
CVE-2023-40392: Wojciech Regula de SecuRing (wojciechregula.blog)
Entrada añadida el 8 de septiembre de 2023
CUPS
Disponible para: macOS Monterey
Impacto: un usuario que se encontrase en una posición de red privilegiada podría filtrar información confidencial.
Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.
CVE-2023-34241: Sei K.
Entrada añadida el 27 de julio de 2023
curl
Disponible para: macOS Monterey
Impacto: varios problemas en curl
Descripción: se han solucionado varios problemas actualizando curl.
CVE-2023-28319
CVE-2023-28320
CVE-2023-28321
CVE-2023-28322
Find My
Disponible para: macOS Monterey
Impacto: es posible que una app pueda leer información de ubicación confidencial.
Descripción: se ha solucionado un problema de lógica mejorando las restricciones.
CVE-2023-32416: Wojciech Reguła de SecuRing (wojciechregula.blog)
FontParser
Disponible para: macOS Monterey
Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar la ejecución de código arbitrario. Apple está al tanto de un informe que indica que este problema puede haber sido explotado activamente contra versiones de iOS lanzadas antes de iOS 15.7.1.
Descripción: el problema se ha solucionado mediante la mejora de la gestión de las cachés.
CVE-2023-41990: Apple, Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) y Boris Larin (@oct0xor) de Kaspersky
Entrada añadida el 8 de septiembre de 2023
Grapher
Disponible para: macOS Monterey
Impacto: el procesamiento de un archivo podría provocar el cierre inesperado de la app o la ejecución de código arbitrario.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-36854: Bool de YunShangHuaAn (云上华安)
CVE-2023-32418: Bool de YunShangHuaAn (云上华安)
Kernel
Disponible para: macOS Monterey
Impacto: un usuario remoto puede causar una denegación de servicio.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-38603: Zweig de Kunlun Lab
Entrada añadida el 27 de julio de 2023
Kernel
Disponible para: macOS Monterey
Impacto: un usuario remoto puede provocar el cierre inesperado del sistema o dañar la memoria del kernel.
Descripción: se ha solucionado un problema de desbordamiento de búfer mejorando la gestión de la memoria.
CVE-2023-38590: Zweig de Kunlun Lab
Entrada añadida el 27 de julio de 2023
Kernel
Disponible para: macOS Monterey
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de uso después de estar libre mediante la mejora de la gestión de la memoria.
CVE-2023-38598: Mohamed GHANNAM (@_simo36)
Entrada añadida el 27 de julio de 2023
Kernel
Disponible para: macOS Monterey
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un desbordamiento de enteros mediante la mejora de la validación de las entradas.
CVE-2023-36495: 香农的三蹦子 de Pangu Lab
Entrada añadida el 27 de julio de 2023
Kernel
Disponible para: macOS Monterey
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.
CVE-2023-37285: Arsenii Kostromin (0x3c3e)
Entrada añadida el 27 de julio de 2023
Kernel
Disponible para: macOS Monterey
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de escritura fuera de los límites al mejorar la validación de las entradas.
CVE-2023-38604: investigador anónimo
Entrada añadida el 27 de julio de 2023
Kernel
Disponible para: macOS Monterey
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de uso después de estar libre mediante la mejora de la gestión de la memoria.
CVE-2023-32381: investigador anónimo
CVE-2023-32433: Zweig de Kunlun Lab
CVE-2023-35993: Wenchao Li y Xiaolong Bai de Alibaba Group
Kernel
Disponible para: macOS Monterey
Impacto: una app podría modificar información confidencial sobre el estado del kernel. Apple está al tanto de un informe que indica que este problema puede haber sido explotado activamente contra versiones de iOS lanzadas antes de iOS 15.7.1.
Descripción: este problema se ha solucionado con la mejora de la gestión del estado.
CVE-2023-38606: Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) y Boris Larin (@oct0xor) de Kaspersky
Kernel
Disponible para: macOS Monterey
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14) de STAR Labs SG Pte. Ltd.
Kernel
Disponible para: macOS Monterey
Impacto: un usuario remoto puede causar una denegación de servicio.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-38603: Zweig de Kunlun Lab
Entrada añadida el 22 de diciembre de 2023
libxpc
Disponible para: macOS Monterey
Impacto: una app podría obtener privilegios de raíz.
Descripción: se ha solucionado un problema de gestión de las rutas mejorando la validación.
CVE-2023-38565: Zhipeng Huo (@R3dF09) de Tencent Security Xuanwu Lab (xlab.tencent.com)
libxpc
Disponible para: macOS Monterey
Impacto: una aplicación puede provocar una denegación de servicio.
Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.
CVE-2023-38593: Noah Roskin-Frazee
Disponible para: macOS Monterey
Impacto: un correo electrónico S/MIME cifrado podría enviarse sin cifrar de manera involuntaria.
Descripción: el problema se ha solucionado mediante la mejora de la gestión del estado de correos electrónicos S/MIME cifrados.
CVE-2023-40440: Taavi Eomäe de Zone Media OÜ
Entrada añadida el 8 de septiembre de 2023
Music
Disponible para: macOS Monterey
Impacto: una app creada podría evitar las preferencias de privacidad.
Descripción: se ha solucionado el problema mejorando la validación de los enlaces simbólicos.
CVE-2023-38571: Gergely Kalman (@gergely_kalman)
Entrada añadida el 27 de julio de 2023
Model I/O
Disponible para: macOS Monterey
Impacto: procesar un modelo 3D podría provocar la revelación de la memoria de procesos.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-38421: Mickey Jin (@patch1t) y Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative
CVE-2023-38258: Mickey Jin (@patch1t)
Entrada actualizada el 27 de julio de 2023
Model I/O
Disponible para: macOS Monterey
Impacto: procesar una imagen podría provocar la revelación de la memoria de procesos.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2023-1916
Entrada añadida el 22 de diciembre de 2023
ncurses
Disponible para: macOS Monterey
Impacto: una app podría hacer que una app se cierre de forma inesperada o se ejecute código arbitrario.
Descripción: se ha solucionado un problema de memoria mejorando la validación.
CVE-2023-29491: Jonathan Bar Or de Microsoft, Emanuele Cozzi de Microsoft y Michael Pearse de Microsoft
Entrada añadida el 8 de septiembre de 2023
Net-SNMP
Disponible para: macOS Monterey
Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.
Descripción: el problema se ha solucionado eliminando el código vulnerable.
CVE-2023-38601: Csaba Fitzl (@theevilbit) de Offensive Security
Entrada añadida el 27 de julio de 2023
NSSpellChecker
Disponible para: macOS Monterey
Impacto: un proceso aislado podría ser capaz de eludir las restricciones de la zona protegida
Descripción: se ha solucionado un problema de lógica mejorando la validación.
CVE-2023-32444: Mickey Jin (@patch1t)
Entrada añadida el 27 de julio de 2023
OpenLDAP
Disponible para: macOS Monterey
Impacto: un usuario remoto puede causar una denegación de servicio.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-2953: Sandipan Roy
OpenSSH
Disponible para: macOS Monterey
Impacto: una app podría acceder a las contraseñas de SSH
Descripción: el problema se solucionó con restricciones adicionales para la observabilidad de los estados de la aplicación.
CVE-2023-42829: James Duffy (mangoSecure)
Entrada añadida el 22 de diciembre de 2023
PackageKit
Disponible para: macOS Monterey
Impacto: una app podría acceder a datos confidenciales de los usuarios.
Descripción: se ha solucionado un problema de lógica mejorando las restricciones.
CVE-2023-38259: Mickey Jin (@patch1t)
PackageKit
Disponible para: macOS Monterey
Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.
Descripción: se ha solucionado un problema de permisos con restricciones adicionales.
CVE-2023-38602: Arsenii Kostromin (0x3c3e)
Security
Disponible para: macOS Monterey
Impacto: una app podría utilizar la huella digital del usuario
Descripción: el problema se ha solucionado eliminando el código vulnerable.
CVE-2023-42831: James Duffy (mangoSecure)
Entrada añadida el 22 de diciembre de 2023
Shortcuts
Disponible para: macOS Monterey
Impacto: un acceso directo puede ser capaz de modificar la configuración sensible de la app de accesos directos
Descripción: se ha solucionado un problema de acceso mejorando las restricciones de acceso.
CVE-2023-32442: investigador anónimo
sips
Disponible para: macOS Monterey
Impacto: el procesamiento de un archivo podría generar una denegación de servicio o una posible revelación del contenido de la memoria.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2023-32443: David Hoyt de Hoyt LLC
Software Update
Disponible para: macOS Monterey
Impacto: una app podría obtener privilegios de raíz.
Descripción: se ha solucionado un problema de condición de carrera mediante la mejora de la gestión del estado.
CVE-2023-42832: Arsenii Kostromin (0x3c3e)
Entrada añadida el 22 de diciembre de 2023
SQLite
Disponible para: macOS Monterey
Impacto: una app creada podría evitar las preferencias de privacidad.
Descripción: el problema se ha solucionado añadiendo restricciones adicionales al registro SQLite.
CVE-2023-32422: Gergely Kalman (@gergely_kalman) y Wojciech Regula de SecuRing (wojciechregula.blog)
Entrada añadida el 8 de septiembre de 2023
SystemMigration
Disponible para: macOS Monterey
Impacto: una app creada podría evitar las preferencias de privacidad.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-32429: Wenchao Li y Xiaolong Bai de Hangzhou Orange Shield Information Technology Co., Ltd.
Entrada añadida el 27 de julio de 2023
tcpdump
Disponible para: macOS Monterey
Impacto: un atacante en una posición de red privilegiada podría ejecutar código arbitrario.
Descripción: se ha solucionado un problema de escritura fuera de los límites al mejorar la validación de las entradas.
CVE-2023-1801
Entrada añadida el 22 de diciembre de 2023
Vim
Disponible para: macOS Monterey
Impacto: varios problemas en Vim.
Descripción: se han solucionado varios problemas actualizando Vim.
CVE-2023-2426
CVE-2023-2609
CVE-2023-2610
Entrada añadida el 22 de diciembre de 2023
Weather
Disponible para: macOS Monterey
Impacto: una app puede ser capaz de determinar la ubicación actual de un usuario
Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.
CVE-2023-38605: Adam M.
Entrada añadida el 8 de septiembre de 2023
Otros agradecimientos
Nos gustaría dar las gracias a Parvez Anwar por su ayuda.