Acerca del contenido de seguridad de macOS Sonoma 14.

En este documento se describe el contenido de seguridad de macOS Sonoma 14.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

macOS Sonoma 14

Publicado el 26 de septiembre de 2023

Airport

Disponible para: Mac Studio (2022 y modelos posteriores), iMac (2019 y modelos posteriores), Mac Pro (2019 y modelos posteriores), Mac mini (2018 y modelos posteriores), MacBook Air (2018 y modelos posteriores), MacBook Pro (2018 y modelos posteriores) y iMac Pro (2017)

Impacto: es posible que una app pueda leer información de ubicación confidencial.

Descripción: se ha solucionado un problema de permisos mediante mejoras de la supresión de la información confidencial.

CVE-2023-40384: Adam M.

AMD

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado un problema de desbordamiento de búfer mejorando la gestión de la memoria.

CVE-2023-32377: ABC Research s.r.o.

AMD

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2023-38615: ABC Research s.r.o.

App Store

Impacto: un atacante remoto podría ser capaz de salir de su zona protegida de Web Content

Descripción: el problema se ha solucionado mediante la mejora de la gestión de los protocolos.

CVE-2023-40448: w0wbox

Apple Neural Engine

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2023-40432: Mohamed GHANNAM (@_simo36)

CVE-2023-42871: Mohamed GHANNAM (@_simo36)

Entrada actualizada el 22 de diciembre de 2023

Apple Neural Engine

Impacto: una app podría divulgar datos de la memoria de kernel.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2023-40399: Mohamed GHANNAM (@_simo36)

Apple Neural Engine

Impacto: una app podría divulgar datos de la memoria de kernel.

Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.

CVE-2023-40410: Tim Michaud (@TimGMichaud) de Moveworks.ai

AppleMobileFileIntegrity

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se ha solucionado el problema con comprobaciones de permisos adicionales.

CVE-2023-42872: Mickey Jin (@patch1t)

Entrada añadida el 22 de diciembre de 2023

AppSandbox

Impacto: una app podría acceder a la información protegida del usuario.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2023-42929: Mickey Jin (@patch1t)

Entrada añadida el 22 de diciembre de 2023

AppSandbox

Impacto: una app podría acceder a los archivos adjuntos de Notas.

Descripción: el problema se solucionó con una restricción mejorada del acceso al contenedor de datos.

CVE-2023-42925: Wojciech Reguła (@_r3ggi) y Kirin (@Pwnrin)

Entrada añadida el 16 de julio de 2024

Ask to Buy

Impacto: una app podría acceder a la información protegida del usuario.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2023-38612: Chris Ross (Zoom)

Entrada añadida el 22 de diciembre de 2023

AuthKit

Impacto: una app podría acceder a datos confidenciales de los usuarios.

Descripción: el problema se ha solucionado mediante la mejora de la gestión de las cachés.

CVE-2023-32361: Csaba Fitzl (@theevilbit) de Offensive Security

Bluetooth

Impacto: un atacante que se encuentre a poca distancia puede provocar una escritura no autorizada limitada.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2023-35984: zer0k

Bluetooth

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se ha solucionado un problema de permisos con restricciones adicionales.

CVE-2023-40402: Yiğit Can YILMAZ (@yilmazcanyigit)

Bluetooth

Impacto: una app podría evitar ciertas preferencias de privacidad.

Descripción: se ha solucionado un problema de permisos con restricciones adicionales.

CVE-2023-40426: Yiğit Can YILMAZ (@yilmazcanyigit)

BOM

Impacto: el procesamiento de un archivo podría generar una denegación de servicio o una posible revelación del contenido de la memoria.

Descripción: el problema se ha solucionado mediante la mejora de la comprobación de límites.

CVE-2023-42876: Koh M. Nakagawa (@tsunek0h)

Entrada añadida el 22 de diciembre de 2023

bootp

Impacto: es posible que una app pueda leer información de ubicación confidencial.

Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.

CVE-2023-41065: Adam M., Noah Roskin-Frazee y el profesor Jason Lau (ZeroClicks.ai Lab)

Calendar

Impacto: una app podría acceder a los datos del calendario guardados en un directorio temporal.

Descripción: se ha corregido un problema de privacidad con una gestión mejorada de los archivos temporales.

CVE-2023-29497: Kirin (@Pwnrin) y Yishu Wang

CFNetwork

Impacto: es posible que una app no utilice correctamente App Transport Security.

Descripción: el problema se ha solucionado mediante la mejora de la gestión de los protocolos.

CVE-2023-38596: Will Brattain de Trail of Bits

Reloj

Impacto: es posible que una app pueda leer información de ubicación confidencial.

Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.

CVE-2023-42943: Cristian Dinca del Tudor Vianu National High School of Computer Science, Rumanía

Entrada añadida el 16 de julio de 2024

ColorSync

Impacto: una app podría leer archivos arbitrarios.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2023-40406: JeongOhKyea de Theori

CoreAnimation

Impacto: procesar contenido web podría provocar una denegación de servicio.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2023-40420: 이준성(Junsung Lee) de Cross Republic

Core Data

Impacto: una app podría evitar las preferencias de privacidad.

Descripción: el problema se ha solucionado eliminando el código vulnerable.

CVE-2023-40528: Kirin (@Pwnrin) de NorthSea

Entrada añadida el 22 de enero de 2024

Core Image

Impacto: es posible que una app pueda acceder a fotos editadas que se hayan guardado en un directorio temporal.

Descripción: se ha corregido un problema con una gestión mejorada de los archivos temporales.

CVE-2023-40438: Wojciech Regula de SecuRing (wojciechregula.blog)

Entrada añadida el 22 de diciembre de 2023

CoreMedia

Impacto: una extensión de la cámara podría acceder a la vista de cámara desde otras apps que no tengan permiso para ello.

Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones

CVE-2023-41994: Halle Winkler, Politepix @hallewinkler

Entrada añadida el 22 de diciembre de 2023

CUPS

Impacto: un atacante remoto podría ser capaz de provocar una denegación del servicio

Descripción: el problema se ha solucionado mediante la mejora de la comprobación de límites.

CVE-2023-40407: Sei K.

Dev Tools

Impacto: una app podría obtener privilegios de alto nivel.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2023-32396: Mickey Jin (@patch1t)

CVE-2023-42933: Mickey Jin (@patch1t)

Entrada actualizada el 22 de diciembre de 2023

FileProvider

Impacto: una app podría evitar las preferencias de privacidad.

Descripción: se ha solucionado un problema de permisos con restricciones adicionales.

CVE-2023-41980: Noah Roskin-Frazee y el profesor Jason Lau (ZeroClicks.ai Lab)

FileProvider

Impacto: una app podría acceder a datos confidenciales de los usuarios.

Descripción: este problema se ha solucionado con una protección de datos mejorada.

CVE-2023-40411: Noah Roskin-Frazee y Prof. J. (ZeroClicks.ai Lab) y Csaba Fitzl (@theevilbit) de Offensive Security

Entrada añadida el 22 de diciembre de 2023

Game Center

Impacto: una app podría acceder a los contactos.

Descripción: el problema se ha solucionado mediante la mejora de la gestión de las cachés.

CVE-2023-40395: Csaba Fitzl (@theevilbit) de Offensive Security

GPU Drivers

Impacto: una app podría divulgar datos de la memoria de kernel.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2023-40391: Antonio Zekic (@antoniozekic) de Dataflow Security

GPU Drivers

Impacto: procesar contenido web podría provocar una denegación de servicio.

Descripción: se ha solucionado un problema de falta de recursos mejorando la validación de entrada.

CVE-2023-40441: Ron Masas de Imperva

Graphics Drivers

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado un problema de condición de carrera mediante la mejora de la gestión del estado.

CVE-2023-42959: Murray Mike

Entrada añadida el 16 de julio de 2024

iCloud

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se ha solucionado un problema de permisos mediante mejoras de la supresión de la información confidencial.

CVE-2023-23495: Csaba Fitzl (@theevilbit) de Offensive Security

iCloud Photo Library

Impacto: una app podría acceder a la biblioteca de fotos de un usuario.

Descripción: se ha solucionado un problema de configuración con restricciones adicionales.

CVE-2023-40434: Mikko Kenttälä (@Turmio_ ) de SensorFu

Image Capture

Impacto: un proceso aislado podría ser capaz de eludir las restricciones de la zona protegida

Descripción: se ha solucionado un problema de acceso con restricciones de zona protegida adicionales.

CVE-2023-38586: Yiğit Can YILMAZ (@yilmazcanyigit)

IOAcceleratorFamily

Impacto: un ataque podría provocar el cierre inesperado del sistema o la lectura de la memoria del kernel.

Descripción: el problema se ha solucionado mediante la mejora de la comprobación de límites.

CVE-2023-40436: Murray Mike

IOUserEthernet

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2023-40396: Certik Skyfall Team

Entrada añadida el 16 de julio de 2024

Kernel

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.

CVE-2023-41995: Certik Skyfall Team y pattern-f (@pattern_F_) de Ant Security Light-Year Lab

CVE-2023-42870: Zweig de Kunlun Lab

Entrada actualizada el 22 de diciembre de 2023

Kernel

Impacto: un atacante que haya conseguido ejecutar el código de kernel puede ser capaz de omitir las soluciones de la memoria del kernel.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2023-41981: Linus Henze de Pinauten GmbH (pinauten.de)

Kernel

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) de STAR Labs SG Pte. Ltd.

Kernel

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se ha solucionado un problema de permisos mediante la mejora de la validación.

CVE-2023-40429: Michael (Biscuit) Thomas y 张师傅(@京东蓝军)

Kernel

Impacto: un usuario remoto podría causar la ejecución de código del núcleo.

Descripción: se ha solucionado un problema de confusión de tipo mediante la mejora de las comprobaciones.

CVE-2023-41060: Joseph Ravichandran (@0xjprx) de MIT CSAIL

Entrada añadida el 22 de diciembre de 2023

LaunchServices

Impacto: una app podría omitir las comprobaciones de Gatekeeper.

Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.

CVE-2023-41067: Ferdous Saljooki (@malwarezoo) de Jamf Software y un investigador anónimo

libpcap

Impacto: un usuario remoto podría hacer que una app se cierre de forma inesperada o se ejecute código arbitrario.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2023-40400: Sei K.

libxpc

Impacto: una app podría eliminar archivos para los que no tiene permiso.

Descripción: se ha solucionado un problema de permisos con restricciones adicionales.

CVE-2023-40454: Zhipeng Huo (@R3dF09) de Tencent Security Xuanwu Lab (xlab.tencent.com)

libxpc

Impacto: una app podría acceder a la información protegida del usuario.

Descripción: se ha solucionado el problema de autorización mejorando la gestión del estado.

CVE-2023-41073: Zhipeng Huo (@R3dF09) de Tencent Security Xuanwu Lab (xlab.tencent.com)

libxslt

Impacto: procesar contenidos web podría revelar información confidencial.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2023-40403: Dohyun Lee (@l33d0hyun) de PK Security

Maps

Impacto: es posible que una app pueda leer información de ubicación confidencial.

Descripción: el problema se ha solucionado mediante la mejora de la gestión de las cachés.

CVE-2023-40427: Adam M. y Wojciech Regula de SecuRing (wojciechregula.blog)

Maps

Impacto: es posible que una app pueda leer información de ubicación confidencial.

Descripción: se ha solucionado un problema de permisos con restricciones adicionales.

CVE-2023-42957: Adam M. y Ron Masas de BreakPoint Security Research

Entrada añadida el 16 de julio de 2024

Messages

Impacto: una app podría ser capaz de observar los datos de usuario sin proteger.

Descripción: se ha corregido un problema de privacidad con una gestión mejorada de los archivos temporales.

CVE-2023-32421: Meng Zhang (鲸落) de NorthSea, Ron Masas de BreakPoint Security Research, Brian McNulty, y Kishan Bagaria de Texts.com

Model I/O

Impacto: el procesamiento de un archivo podría provocar la ejecución arbitraria de código.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2023-42826: Michael DePlante (@izobashi) de Zero Day Initiative de Trend Micro

Entrada añadida el 19 de octubre de 2023

Model I/O

Impacto: un proceso aislado podría ser capaz de eludir las restricciones de la zona protegida

Descripción: se ha solucionado un problema de permisos con restricciones adicionales.

CVE-2023-42918: Mickey Jin (@patch1t)

Entrada añadida el 16 de julio de 2024

Music

Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2023-41986: Gergely Kalman (@gergely_kalman)

NetFSFramework

Impacto: un proceso aislado podría ser capaz de eludir las restricciones de la zona protegida

Descripción: se ha solucionado un problema de permisos con restricciones adicionales.

CVE-2023-40455: Zhipeng Huo (@R3dF09) de Tencent Security Xuanwu Lab (xlab.tencent.com)

Notes

Impacto: una app podría acceder a los archivos adjuntos de Notas.

Descripción: se ha corregido un problema de privacidad con una gestión mejorada de los archivos temporales.

CVE-2023-40386: Kirin (@Pwnrin)

OpenSSH

Impacto: se ha detectado una vulneración en el reenvío remoto de OpenSSH.

Descripción: este problema se ha solucionado actualizando OpenSSH a 9.3p2.

CVE-2023-38408: baba yaga, un investigador anónimo

Entrada añadida el 22 de diciembre de 2023

Passkeys

Impacto: un atacante puede acceder a las llaves de acceso sin autenticación.

Descripción: se ha solucionado el problema con comprobaciones de permisos adicionales.

CVE-2023-40401: weize she y un investigador anónimo

Entrada añadida el 22 de diciembre de 2023

Photos

Impacto: las fotos del álbum de fotos Oculto se pueden ver sin autenticación.

Descripción: se ha solucionado el problema de autenticación mejorando la gestión del estado.

CVE-2023-40393: un investigador anónimo, Berke Kırbaş y Harsh Jaiswal

Entrada añadida el 22 de diciembre de 2023

Photos

Impacto: es posible que una app pueda acceder a fotos editadas que se hayan guardado en un directorio temporal.

Descripción: este problema se ha solucionado con una protección de datos mejorada.

CVE-2023-42949: Kirin (@Pwnrin)

Entrada añadida el 16 de julio de 2024

Photos Storage

Impacto: una aplicación con privilegios de raíz podría ser capaz de acceder a información privada.

Descripción: se ha solucionado un problema de divulgación de información eliminando el código vulnerable.

CVE-2023-42934: Wojciech Regula de SecuRing (wojciechregula.blog)

Entrada añadida el 22 de diciembre de 2023

Power Management

Impacto: un usuario podría ver contenido restringido desde la pantalla de bloqueo.

Descripción: se ha solucionado un problema de bloqueo de pantalla mejorando la gestión del estado.

CVE-2023-37448: Serkan Erayabakan, David Kotval, Akincibor, Sina Ahmadi de George Mason University y Billy Tabrizi

Entrada actualizada el 22 de diciembre de 2023

Printing

Impacto: una app podría modificar la configuración de la impresora.

Descripción: el problema se ha solucionado mediante la mejora de la gestión de las cachés.

CVE-2023-38607: Yiğit Can YILMAZ (@yilmazcanyigit)

Entrada añadida el 22 de diciembre de 2023

Printing

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2023-41987: Kirin (@Pwnrin) y Wojciech Regula de SecuRing (wojciechregula.blog)

Entrada añadida el 22 de diciembre de 2023

Pro Res

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2023-41063: Certik Skyfall Team

QuartzCore

Impacto: una aplicación puede provocar una denegación de servicio.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2023-40422: Tomi Tokics (@tomitokics) de iTomsn0w

Safari

Impacto: procesar contenidos web podría revelar información confidencial.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2023-39233: Luan Herrera (@lbherrera_)

Safari

Impacto: Safari puede guardar fotos en una ubicación desprotegida.

Descripción: se ha corregido un problema de privacidad con una gestión mejorada de los archivos temporales.

CVE-2023-40388: Kirin (@Pwnrin)

Safari

Impacto: es posible que una app pueda identificar otras apps que ha instalado un usuario.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2023-35990: Adriatik Raci de Sentry Cybersecurity

Safari

Impacto: visitar un sitio web que incluye contenido malintencionado podría provocar la suplantación de la interfaz del usuario.

Descripción: se ha solucionado un problema de gestión de ventanas mejorando la gestión del estado.

CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati) de Suma Soft Pvt. Ltd, Pune (India)

Entrada actualizada el 22 de diciembre de 2023

Sandbox

Impacto: una app podría sobrescribir archivos arbitrarios.

Descripción: el problema se ha solucionado mediante la mejora de la comprobación de límites.

CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)

Sandbox

Impacto: una app podría acceder a los volúmenes extraíbles sin la autorización del usuario.

Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.

CVE-2023-40430: Yiğit Can YILMAZ (@yilmazcanyigit)

Entrada añadida el 22 de diciembre de 2023

Sandbox

Impacto: es posible que se inicien las apps que no superen las comprobaciones de verificación.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2023-41996: Mickey Jin (@patch1t) y Yiğit Can YILMAZ (@yilmazcanyigit)

Entrada añadida el 22 de diciembre de 2023

Screen Sharing

Impacto: una app podría evitar ciertas preferencias de privacidad.

Descripción: se ha solucionado el problema de autorización mejorando la gestión del estado.

CVE-2023-41078: Zhipeng Huo (@R3dF09) de Tencent Security Xuanwu Lab (xlab.tencent.com)

Share Sheet

Impacto: es posible que una app pueda acceder a los datos confidenciales que se registran cuando un usuario comparte un enlace.

Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.

CVE-2023-41070: Kirin (@Pwnrin)

Shortcuts

Impacto: un acceso directo puede dar salida a datos sensibles del usuario sin consentimiento.

Descripción: este problema se ha solucionado añadiendo una solicitud adicional de consentimiento del usuario.

CVE-2023-40541: Noah Roskin-Frazee (ZeroClicks.ai Lab) y James Duffy (mangoSecure)

Shortcuts

Impacto: una app podría evitar las preferencias de privacidad.

Descripción: se ha solucionado el problema mejorando la lógica de los permisos.

CVE-2023-41079: Ron Masas de BreakPoint.sh y un investigador anónimo

Spotlight

Impacto: una app podría obtener privilegios de raíz.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2023-40443: Gergely Kalman (@gergely_kalman)

Entrada añadida el 22 de diciembre de 2023

StorageKit

Impacto: una app podría leer archivos arbitrarios.

Descripción: se ha solucionado el problema mejorando la validación de los enlaces simbólicos.

CVE-2023-41968: Mickey Jin (@patch1t) y James Hutchins

System Preferences

Impacto: una app podría omitir las comprobaciones de Gatekeeper.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2023-40450: Thijs Alkemade (@xnyhps) de Computest Sector 7

System Settings

Impacto: puede que no se elimine una contraseña de wifi al activar un Mac en Recuperación de macOS.

Descripción: para resolver este problema se ha mejorado la gestión del estado.

CVE-2023-42948: Andrew Haggard

Entrada añadida el 16 de julio de 2024

TCC

Impacto: una app podría acceder a datos confidenciales de los usuarios.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2023-40424: Arsenii Kostromin (0x3c3e), Joshua Jewett (@JoshJewett33) y Csaba Fitzl (@theevilbit) de Offensive Security

WebKit

Impacto: procesar contenido web puede provocar la ejecución de código arbitrario.

Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.

WebKit Bugzilla: 249451

CVE-2023-39434: Francisco Alonso (@revskills) y Dohyun Lee (@l33d0hyun) de PK Security

WebKit Bugzilla: 258992

CVE-2023-40414: Francisco Alonso (@revskills)

Entrada actualizada el 22 de diciembre de 2023

WebKit

Impacto: procesar contenido web puede provocar la ejecución de código arbitrario.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

WebKit Bugzilla: 256551

CVE-2023-41074: 이준성(Junsung Lee) de Cross Republic y Jie Ding(@Lime) de HKUS3 Lab

Entrada actualizada el 22 de diciembre de 2023

WebKit

Impacto: procesar contenido web podría provocar la ejecución de código arbitrario

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

WebKit Bugzilla: 239758

CVE-2023-35074: Ajou University Abysslab Dong Jun Kim(@smlijun) y Jong Seong Kim(@nevul37)

Entrada actualizada el 22 de diciembre de 2023

WebKit

Impacto: el procesamiento de contenido web puede provocar la ejecución de código arbitrario. Apple está al tanto de un informe que indica que este problema puede haber sido usado activamente contra versiones de iOS publicadas antes de iOS 16.7.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

WebKit Bugzilla: 261544

CVE-2023-41993: Bill Marczak de The Citizen Lab del Munk School de la Universidad de Toronto y Maddie Stone del Grupo de Análisis de Amenazas de Google

WebKit

Impacto: la contraseña de un usuario puede ser leída en voz alta por VoiceOver.

Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.

WebKit Bugzilla: 248717

CVE-2023-32359: Claire Houston

Entrada añadida el 22 de diciembre de 2023

WebKit

Impacto: un atacante remoto podría ver consultas DNS filtradas con el relay privado activado.

Descripción: el problema se ha solucionado eliminando el código vulnerable.

WebKit Bugzilla: 257303

CVE-2023-40385: anónimo

Entrada añadida el 22 de diciembre de 2023

WebKit

Impacto: procesar contenido web puede provocar la ejecución de código arbitrario.

Descripción: se ha solucionado un problema de corrección mejorando las comprobaciones.

WebKit Bugzilla: 258592

CVE-2023-42833: Dong Jun Kim (@smlijun) y Jong Seong Kim (@nevul37) de AbyssLab

Entrada añadida el 22 de diciembre de 2023

Wi-Fi

Impacto: una app podría provocar el cierre inesperado del sistema o la escritura de la memoria del kernel.

Descripción: se ha solucionado un problema de corrupción de memoria eliminando el código vulnerable.

CVE-2023-38610: Wang Yu de Cyberserval

Entrada añadida el 22 de diciembre de 2023

Windows Server

Impacto: una app podría ser capaz de filtrar inesperadamente las credenciales de un usuario desde campos de texto seguros.

Descripción: se ha solucionado el problema de autenticación mejorando la gestión del estado.

CVE-2023-41066: un investigador anónimo, Jeremy Legendre de MacEnhance y Felix Kratz

Entrada actualizada el 22 de diciembre de 2023

XProtectFramework

Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.

Descripción: se ha solucionado una condición de carrera con una mejora del bloqueo.

CVE-2023-41979: Koh M. Nakagawa (@tsunek0h)

Otros agradecimientos

Airport

Queremos dar las gracias a Adam M., Noah Roskin-Frazee y al profesor Jason Lau (ZeroClicks.ai Lab) por su ayuda.

AppKit

Queremos dar las gracias a un investigador anónimo por su ayuda.

Apple Neural Engine

Queremos dar las gracias a pattern-f (@pattern_F_) de Ant Security Light-Year Lab por su ayuda.

Entrada añadida el 22 de diciembre de 2023

AppSandbox

Queremos dar las gracias a Kirin (@Pwnrin) por su ayuda.

Archive Utility

Queremos dar las gracias a Mickey Jin (@patch1t) por su ayuda.

Audio

Queremos dar las gracias a Mickey Jin (@patch1t) por su ayuda.

Bluetooth

Queremos dar las gracias a Jianjun Dai y Guang Gong de 360 Vulnerability Research Institute por su ayuda.

Books

Queremos dar las gracias a Aapo Oksman de Nixu Cybersecurity por su ayuda.

Entrada añadida el 22 de diciembre de 2023

Control Center

Queremos dar las gracias a Yiğit Can YILMAZ (@yilmazcanyigit) por su ayuda.

Entrada añadida el 22 de diciembre de 2023

Core Location

Queremos dar las gracias a Wouter Hennen por su ayuda.

CoreMedia Playback

Queremos dar las gracias a Mickey Jin (@patch1t) por su ayuda.

CoreServices

Queremos dar las gracias a Thijs Alkemade de Computest Sector 7, Wojciech Reguła (@_r3ggi) de SecuRing y a un investigador anónimo por su ayuda.

Entrada añadida el 22 de diciembre de 2023

Data Detectors UI

Queremos dar las gracias por su ayuda a Abhay Kailasia (@abhay_kailasia) de la Universidad técnica de Lakshmi Narain en Bhopal.

Find My

Queremos dar las gracias a Cher Scarlett por su ayuda.

Home

Queremos dar las gracias a Jake Derouin (jakederouin.com) por su ayuda.

IOGraphics

Queremos dar las gracias a un investigador anónimo por su ayuda.

IOUserEthernet

Queremos dar las gracias a Certik Skyfall Team por su ayuda.

Entrada añadida el 22 de diciembre de 2023

Kernel

Queremos dar las gracias por su ayuda a Bill Marczak de The Citizen Lab de The University of Toronto's Munk School y a Maddie Stone de Google's Threat Analysis Group y a Xinru Chi de Pangu Lab, 永超王.

libxml2

Queremos dar las gracias por su ayuda a OSS-Fuzz y Ned Williamson de Google Project Zero.

libxpc

Queremos dar las gracias a un investigador anónimo por su ayuda.

libxslt

Queremos dar las gracias por su ayuda a Dohyun Lee (@l33d0hyun) de PK Security, OSS-Fuzz y a Ned Williamson de Google Project Zero.

Mail

Queremos dar las gracias a Taavi Eomäe de Zone Media OÜ por su ayuda.

Entrada añadida el 22 de diciembre de 2023

Menus

Queremos dar las gracias a Matthew Denton de Google Chrome Security por su ayuda.

Entrada añadida el 22 de diciembre de 2023

NSURL

Queremos dar las gracias por su ayuda a Zhanpeng Zhao (行之) y a 糖豆爸爸(@晴天组织).

PackageKit

Queremos dar las gracias por su ayuda a Csaba Fitzl (@theevilbit) de Offensive Security y a un investigador anónimo.

Photos

Queremos dar las gracias por su ayuda a Anatolii Kozlov, Dawid Pałuska, Lyndon Cornelius y Paul Lurin.

Entrada actualizada el 16 de julio de 2024

Power Services

Queremos dar las gracias a Mickey Jin (@patch1t) por su ayuda.

Entrada añadida el 22 de diciembre de 2023

Reminders

Queremos dar las gracias a Paweł Szafirowski por su ayuda.

Safari

Queremos dar las gracias por su ayuda a Kang Ali de Punggawa Cyber Security.

Sandbox

Queremos dar las gracias a Yiğit Can YILMAZ (@yilmazcanyigit) por su ayuda.

SharedFileList

Queremos dar las gracias a Christopher Lopez - @L0Psec y Kandji, Leo Pitt de Zoom Video Communications, Masahiro Kawada (@kawakatz) de GMO Cybersecurity by Ierae y Ross Bingham (@PwnDexter) por su ayuda.

Entrada actualizada el 22 de diciembre de 2023

Shortcuts

Queremos dar las gracias a Alfie CG, Christian Basting de Bundesamt für Sicherheit in der Informationstechnik, Cristian Dinca de "Tudor Vianu" Instituto Nacional de Informática, Rumanía, Giorgos Christodoulidis, Jubaer Alnazi de TRS Group Of Companies, KRISHAN KANT DWIVEDI (@xenonx7) y Matthew Butler por su ayuda.

Entrada actualizada el 24 de abril de 2024

Software Update

Queremos dar las gracias a Omar Siman por su ayuda.

Spotlight

Queremos dar las gracias por su ayuda a Abhay Kailasia (@abhay_kailasia) de la universidad técnica de Lakshmi Narain en Bhopal y a Dawid Pałuska.

StorageKit

Queremos dar las gracias a Mickey Jin (@patch1t) por su ayuda.

Video Apps

Queremos dar las gracias a James Duffy (mangoSecure) por su ayuda.

WebKit

Queremos dar las gracias a Khiem Tran, Narendra Bhati de Suma Soft Pvt. Ltd, Pune (India) y a un investigador anónimo.

WebRTC

Queremos dar las gracias a un investigador anónimo por su ayuda.

Wi-Fi

Queremos dar las gracias a Adam M. y Wang Yu de Cyberserval por su ayuda.

Entrada actualizada el 22 de diciembre de 2023

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Fecha de publicación: 19 de agosto de 2024