Acerca del contenido de seguridad de macOS Sonoma 14.2

En este documento se describe el contenido de seguridad de macOS Sonoma 14.2.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

macOS Sonoma 14.2

Fecha de lanzamiento: 11 de diciembre de 2023

Accessibility

Disponible para: macOS Sonoma

Impacto: los campos de texto seguro pueden mostrarse a través del teclado de accesibilidad cuando se usa un teclado físico.

Descripción: este problema se ha solucionado con la mejora de la gestión del estado.

CVE-2023-42874: Don Clarke

Accessibility

Disponible para: macOS Sonoma

Impacto: una app puede acceder a la información confidencial del usuario.

Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.

CVE-2023-42937: Noah Roskin-Frazee y Prof. J. (ZeroClicks.ai Lab)

Entrada añadida el 22 de enero de 2024

Accounts

Disponible para: macOS Sonoma

Impacto: una app puede acceder a la información confidencial del usuario.

Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.

CVE-2023-42919: Kirin (@Pwnrin)

AppleEvents

Disponible para: macOS Sonoma

Impacto: una app puede ser capaz de acceder a la información sobre los contactos de un usuario.

Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.

CVE-2023-42894: Noah Roskin-Frazee y Prof. J. (ZeroClicks.ai Lab)

AppleGraphicsControl

Disponible para: macOS Sonoma

Impacto: el procesamiento de un archivo diseñado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.

Descripción: se han solucionado varios problemas de corrupción de memoria y se ha mejorado la validación de las entradas.

CVE-2023-42901: Ivan Fratric de Google Project Zero

CVE-2023-42902: Ivan Fratric de Google Project Zero y Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative

CVE-2023-42912: Ivan Fratric de Google Project Zero

CVE-2023-42903: Ivan Fratric de Google Project Zero

CVE-2023-42904: Ivan Fratric de Google Project Zero

CVE-2023-42905: Ivan Fratric de Google Project Zero

CVE-2023-42906: Ivan Fratric de Google Project Zero

CVE-2023-42907: Ivan Fratric de Google Project Zero

CVE-2023-42908: Ivan Fratric de Google Project Zero

CVE-2023-42909: Ivan Fratric de Google Project Zero

CVE-2023-42910: Ivan Fratric de Google Project Zero

CVE-2023-42911: Ivan Fratric de Google Project Zero

CVE-2023-42926: Ivan Fratric de Google Project Zero

AppleVA

Disponible para: macOS Sonoma

Impacto: procesar una imagen podría provocar la ejecución de código arbitrario.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2023-42882: Ivan Fratric de Google Project Zero

AppleVA

Disponible para: macOS Sonoma

Impacto: el procesamiento de un archivo puede provocar el cierre inesperado de la app o la ejecución de código arbitrario.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2023-42881: Ivan Fratric de Google Project Zero

Entrada añadida el 12 de diciembre de 2023

Archive Utility

Disponible para: macOS Sonoma

Impacto: una app puede acceder a la información confidencial del usuario.

Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.

CVE-2023-42924: Mickey Jin (@patch1t)

Assets

Disponible para: macOS Sonoma

Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.

Descripción: se ha corregido un problema con una gestión mejorada de los archivos temporales.

CVE-2023-42896: Mickey Jin (@patch1t)

Entrada añadida el 22 de marzo de 2024

AVEVideoEncoder

Disponible para: macOS Sonoma

Impacto: una app podría divulgar datos de la memoria de kernel.

Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.

CVE-2023-42884: investigador anónimo

Bluetooth

Disponible para: macOS Sonoma

Impacto: un atacante en una posición de red privilegiada puede introducir pulsaciones de tecla suplantando un teclado.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2023-45866: Marc Newlin de SkySafe

CoreMedia Playback

Disponible para: macOS Sonoma

Impacto: una app podría acceder a datos confidenciales de los usuarios.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2023-42900: Mickey Jin (@patch1t)

CoreServices

Disponible para: macOS Sonoma

Impacto: un usuario podría provocar el cierre inesperado de una app o la ejecución de código arbitrario.

Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.

CVE-2023-42886: Koh M. Nakagawa (@tsunek0h)

curl

Disponible para: macOS Sonoma

Impacto: varios problemas en curl.

Descripción: se han solucionado varios problemas en curl actualizando a la versión 8.4.0.

CVE-2023-38545

CVE-2023-38039

CVE-2023-38546

Entrada añadida el 22 de enero de 2024; actualizado el 13 de febrero de 2024

DiskArbitration

Disponible para: macOS Sonoma

Impacto: Un proceso podría adquirir privilegios de administrador sin la autenticación pertinente

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2023-42931: Yann GASCUEL de Alter Solutions

Entrada añadida el 22 de marzo de 2024

FileURL

Disponible para: macOS Sonoma

Impacto: un atacante local podría aumentar sus privilegios.

Descripción: se ha solucionado un problema de uso después de estar libre mediante la mejora de la gestión de la memoria.

CVE-2023-42892: Anthony Cruz @App Tyrant Corp

Entrada añadida el 22 de marzo de 2024

Find My

Disponible para: macOS Sonoma

Impacto: es posible que una app pueda leer información de ubicación confidencial.

Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.

CVE-2023-42922: Wojciech Regula de SecuRing (wojciechregula.blog)

ImageIO

Disponible para: macOS Sonoma

Impacto: procesar una imagen podría provocar la ejecución de código arbitrario.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2023-42898: Zhenjiang Zhao de Pangu Team, Qianxin y Junsung Lee

CVE-2023-42899: Meysam Firouzi @R00tkitSMM y Junsung Lee

Entrada actualizada el 22 de marzo de 2024

ImageIO

Disponible para: macOS Sonoma

Impacto: procesar una imagen creada con fines malintencionados podría provocar la revelación de la memoria de procesos.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2023-42888: Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative

Entrada añadida el 22 de enero de 2024

IOKit

Disponible para: macOS Sonoma

Impacto: una app puede supervisar las pulsaciones de tecla sin permiso del usuario.

Descripción: se ha solucionado el problema de autenticación mejorando la gestión del estado.

CVE-2023-42891: investigador anónimo

IOUSBDeviceFamily

Disponible para: macOS Sonoma

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado un problema de condición de carrera mediante la mejora de la gestión del estado.

CVE-2023-42974: Pan ZhenPeng (@Peterpan0927) de STAR Labs SG Pte. Ltd.

Entrada añadida el 22 de marzo de 2024

Kernel

Disponible para: macOS Sonoma

Impacto: una app podría salir de su zona protegida.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) de Synacktiv (@Synacktiv)

Libsystem

Disponible para: macOS Sonoma

Impacto: una app podría acceder a la información protegida del usuario.

Descripción: se ha solucionado un problema de permisos eliminando código vulnerable y añadiendo comprobaciones adicionales.

CVE-2023-42893

Entrada añadida el 22 de marzo de 2024

Model I/O

Disponible para: macOS Sonoma

Impacto: procesar una imagen podría provocar una denegación de servicio.

Descripción: el problema se ha solucionado eliminando el código vulnerable.

CVE-2023-3618

Entrada añadida el 22 de marzo de 2024

ncurses

Disponible para: macOS Sonoma

Impacto: un usuario remoto podría provocar el cierre inesperado de una app o la ejecución arbitraria de código.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2020-19185

CVE-2020-19186

CVE-2020-19187

CVE-2020-19188

CVE-2020-19189

CVE-2020-19190

NSOpenPanel

Disponible para: macOS Sonoma

Impacto: una app podría leer archivos arbitrarios.

Descripción: se ha solucionado un problema de acceso con restricciones de zona protegida adicionales.

CVE-2023-42887: Ron Masas de BreakPoint.sh

Entrada añadida el 22 de enero de 2024

Sandbox

Disponible para: macOS Sonoma

Impacto: una app podría acceder a datos confidenciales de los usuarios.

Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.

CVE-2023-42936

Entrada añadida el 22 de marzo de 2024

Share Sheet

Disponible para: macOS Sonoma

Impacto: una app podría acceder a datos confidenciales de los usuarios.

Descripción: se ha solucionado un problema de privacidad moviendo la información confidencial a una ubicación más segura.

CVE-2023-40390: Csaba Fitzl (@theevilbit) de Offensive Security y Mickey Jin (@patch1t)

Entrada añadida el 22 de marzo de 2024

SharedFileList

Disponible para: macOS Sonoma

Impacto: una app puede acceder a la información confidencial del usuario.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2023-42842: investigador anónimo

Shell

Disponible para: macOS Sonoma

Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2023-42930: Arsenii Kostromin (0x3c3e)

Entrada añadida el 22 de marzo de 2024

System Settings

Disponible para: macOS Sonoma

Impacto: las sesiones de inicio de sesión remoto podrían obtener permiso de acceso total al disco.

Descripción: para resolver este problema se ha mejorado la gestión del estado.

CVE-2023-42913: Mattie Behrens y Joshua Jewett (@JoshJewett33)

Entrada añadida el 22 de marzo de 2024

TCC

Disponible para: macOS Sonoma

Impacto: una app podría acceder a la información protegida del usuario.

Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.

CVE-2023-42932: Zhongquan Li (@Guluisacat)

TCC

Disponible para: macOS Sonoma

Impacto: una app podría salir de su zona protegida.

Descripción: se ha solucionado un problema de gestión de las rutas mejorando la validación.

CVE-2023-42947: Zhongquan Li (@Guluisacat) de Dawn Security Lab de JingDong

Entrada añadida el 22 de marzo de 2024

Vim

Disponible para: macOS Sonoma

Impacto: abrir un archivo creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

Descripción: este problema se ha solucionado al actualizar a la versión 9.0.1969 de Vim.

CVE-2023-5344

WebKit

Disponible para: macOS Sonoma

Impacto: procesar contenido web puede provocar la ejecución de código arbitrario.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

WebKit Bugzilla: 259830
CVE-2023-42890: Pwn2car

WebKit

Disponible para: macOS Sonoma

Impacto: procesar una imagen podría provocar una denegación de servicio.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

WebKit Bugzilla: 263349
CVE-2023-42883: Zoom Offensive Security Team

WebKit

Disponible para: macOS Sonoma

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de código arbitrario.

Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.

WebKit Bugzilla: 263682
CVE-2023-42950: Nan Wang (@eternalsakura13) de 360 Vulnerability Research Institute y rushikesh nandedkar

Entrada añadida el 22 de marzo de 2024

WebKit

Disponible para: macOS Sonoma

Impacto: procesar contenido web podría provocar una denegación de servicio.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

WebKit Bugzilla: 263989
CVE-2023-42956: SungKwon Lee (Demon.Team)

Entrada añadida el 22 de marzo de 2024

 

Otros agradecimientos

Memoji

Queremos dar las gracias a Jerry Tenenbaum por su ayuda.

WebSheet

Queremos dar las gracias por su ayuda a Paolo Ruggero de e-phors S.p.A. (A FINCANTIERI S.p.A. Company).

Entrada añadida el 22 de marzo de 2024

Wi-Fi

Queremos dar las gracias a Noah Roskin-Frazee y al profesor J. (ZeroClicks.ai Lab) por su ayuda.

 

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Fecha de publicación: