Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
macOS Monterey 12.7.1
Disponible el 25 de octubre de 2023
Automation
Disponible para: macOS Monterey
Impacto: una app con privilegios de raíz podría acceder a información privada.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-42952: Zhipeng Huo (@R3dF09) de Tencent Security Xuanwu Lab (xlab.tencent.com)
Entrada añadida el viernes 16 de febrero de 2024
CoreAnimation
Disponible para: macOS Monterey
Impacto: una aplicación puede provocar una denegación de servicio.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-40449: Tomi Tokics (@tomitokics) de iTomsn0w
Core Recents
Disponible para: macOS Monterey
Impacto: una app podría acceder a datos confidenciales de los usuarios.
Descripción: El problema se ha resuelto limpiando los registros
CVE-2023-42823
Entrada añadida el viernes 16 de febrero de 2024
FileProvider
Disponible para: macOS Monterey
Impacto: una app podría causar una denegación de servicio a los clientes de seguridad de punto final.
Descripción: el problema se ha solucionado eliminando el código vulnerable.
CVE-2023-42854: Noah Roskin-Frazee y profesor J. (ZeroClicks.ai Lab)
Find My
Disponible para: macOS Monterey
Impacto: es posible que una app pueda leer información de ubicación confidencial.
Descripción: el problema se ha solucionado mediante la mejora de la gestión de las cachés.
CVE-2023-40413: Adam M.
Foundation
Disponible para: macOS Monterey
Impacto: un sitio web podría acceder a los datos confidenciales del usuario durante la resolución de enlaces simbólicos.
Descripción: se ha solucionado el problema mejorando la gestión de los enlaces simbólicos.
CVE-2023-42844: Ron Masas de BreakPoint.sh
libc
Disponible para: macOS Monterey
Impacto: el procesamiento de una entrada creada con fines malintencionados puede provocar la ejecución de código arbitrario en las apps instaladas por el usuario.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-40446: inooo
Entrada añadida el viernes 3 de noviembre de 2023
ImageIO
Disponible para: macOS Monterey
Impacto: procesar una imagen podría provocar la revelación de la memoria de procesos.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-40416: JZ
IOTextEncryptionFamily
Disponible para: macOS Monterey
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-40423: investigador anónimo
Kernel
Disponible para: macOS Monterey
Impacto: un atacante que haya conseguido ejecutar el código de kernel puede ser capaz de omitir las soluciones de la memoria del kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-42849: Linus Henze de Pinauten GmbH (pinauten.de)
Model I/O
Disponible para: macOS Monterey
Impacto: el procesamiento de un archivo puede provocar el cierre inesperado de la app o la ejecución de código arbitrario.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-42856: Michael DePlante (@izobashi) de Zero Day Initiative de Trend Micro
PackageKit
Disponible para: macOS Monterey
Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-42859: Arsenii Kostromin (0x3c3e), Mickey Jin (@patch1t) y Hevel Engineering
CVE-2023-42877: Arsenii Kostromin (0x3c3e)
Entrada añadida el viernes 16 de febrero de 2024
PackageKit
Disponible para: macOS Monterey
Impacto: una app podría acceder a datos confidenciales de los usuarios.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-42840: Mickey Jin (@patch1t) y Csaba Fitzl (@theevilbit) de Offensive Security
Entrada añadida el viernes 16 de febrero de 2024
PackageKit
Disponible para: macOS Monterey
Impacto: una app podría evitar ciertas preferencias de privacidad.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-42889: Mickey Jin (@patch1t)
Entrada añadida el viernes 16 de febrero de 2024
PackageKit
Disponible para: macOS Monterey
Impacto: una app podría acceder a datos confidenciales de los usuarios.
Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.
CVE-2023-42853: Mickey Jin (@patch1t)
Entrada añadida el viernes 16 de febrero de 2024
PackageKit
Disponible para: macOS Monterey
Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.
Descripción: se ha solucionado un problema de permisos con restricciones adicionales.
CVE-2023-42860: Koh M. Nakagawa (@tsunek0h) de FFRI Security, Inc.
Entrada añadida el viernes 16 de febrero de 2024
Pro Res
Disponible para: macOS Monterey
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: el problema se ha solucionado mediante la mejora de la comprobación de límites.
CVE-2023-42873: Mingxuan Yang (@PPPF00L), y happybabywu y Guang Gong de 360 Vulnerability Research Institute
Entrada añadida el viernes 16 de febrero de 2024
Sandbox
Disponible para: macOS Monterey
Impacto: una app con privilegios de raíz podría acceder a información privada.
Descripción: se ha solucionado un problema de privacidad mediante la mejora de la eliminación de datos privados para las entradas de registro.
CVE-2023-40425: Csaba Fitzl (@theevilbit) de Offensive Security
SQLite
Disponible para: macOS Monterey
Impacto: un usuario remoto puede causar una denegación de servicio.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2023-36191
Entrada añadida el viernes 16 de febrero de 2024
talagent
Disponible para: macOS Monterey
Impacto: una app puede acceder a la información confidencial del usuario.
Descripción: se ha solucionado un problema de permisos con restricciones adicionales.
CVE-2023-40421: Noah Roskin-Frazee y profesor J. (ZeroClicks.ai Lab)
WindowServer
Disponible para: macOS Monterey
Impacto: un sitio web podría acceder al micrófono sin que se muestre el indicador de uso del micrófono
Descripción: el problema se ha solucionado eliminando el código vulnerable.
CVE-2023-41975: investigador anónimo
WindowServer
Disponible para: macOS Monterey
Impacto: una app podría acceder a datos confidenciales de los usuarios.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-42858: investigador anónimo
Entrada añadida el viernes 16 de febrero de 2024
Otros agradecimientos
GPU Drivers
Queremos dar las gracias a un investigador anónimo por su ayuda.
libarchive
Queremos dar las gracias a Bahaa Naamneh por su ayuda.
libxml2
Queremos dar las gracias por su ayuda a OSS-Fuzz y Ned Williamson de Google Project Zero.