Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
macOS Sonoma 14.2
Fecha de lanzamiento: 11 de diciembre de 2023
Accessibility
Disponible para: macOS Sonoma
Impacto: los campos de texto seguro pueden mostrarse a través del teclado de accesibilidad cuando se usa un teclado físico.
Descripción: este problema se ha solucionado con la mejora de la gestión del estado.
CVE-2023-42874: Don Clarke
Accessibility
Disponible para: macOS Sonoma
Impacto: una app puede acceder a la información confidencial del usuario.
Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.
CVE-2023-42937: Noah Roskin-Frazee y Prof. J. (ZeroClicks.ai Lab)
Entrada añadida el 22 de enero de 2024
Accounts
Disponible para: macOS Sonoma
Impacto: una app puede acceder a la información confidencial del usuario.
Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.
CVE-2023-42919: Kirin (@Pwnrin)
AppleEvents
Disponible para: macOS Sonoma
Impacto: una app puede ser capaz de acceder a la información sobre los contactos de un usuario.
Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.
CVE-2023-42894: Noah Roskin-Frazee y Prof. J. (ZeroClicks.ai Lab)
AppleGraphicsControl
Disponible para: macOS Sonoma
Impacto: el procesamiento de un archivo diseñado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.
Descripción: se han solucionado varios problemas de corrupción de memoria y se ha mejorado la validación de las entradas.
CVE-2023-42901: Ivan Fratric de Google Project Zero
CVE-2023-42902: Ivan Fratric de Google Project Zero y Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative
CVE-2023-42912: Ivan Fratric de Google Project Zero
CVE-2023-42903: Ivan Fratric de Google Project Zero
CVE-2023-42904: Ivan Fratric de Google Project Zero
CVE-2023-42905: Ivan Fratric de Google Project Zero
CVE-2023-42906: Ivan Fratric de Google Project Zero
CVE-2023-42907: Ivan Fratric de Google Project Zero
CVE-2023-42908: Ivan Fratric de Google Project Zero
CVE-2023-42909: Ivan Fratric de Google Project Zero
CVE-2023-42910: Ivan Fratric de Google Project Zero
CVE-2023-42911: Ivan Fratric de Google Project Zero
CVE-2023-42926: Ivan Fratric de Google Project Zero
AppleVA
Disponible para: macOS Sonoma
Impacto: procesar una imagen podría provocar la ejecución de código arbitrario.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-42882: Ivan Fratric de Google Project Zero
AppleVA
Disponible para: macOS Sonoma
Impacto: el procesamiento de un archivo puede provocar el cierre inesperado de la app o la ejecución de código arbitrario.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-42881: Ivan Fratric de Google Project Zero
Entrada añadida el 12 de diciembre de 2023
Archive Utility
Disponible para: macOS Sonoma
Impacto: una app puede acceder a la información confidencial del usuario.
Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.
CVE-2023-42924: Mickey Jin (@patch1t)
Assets
Disponible para: macOS Sonoma
Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.
Descripción: se ha corregido un problema con una gestión mejorada de los archivos temporales.
CVE-2023-42896: Mickey Jin (@patch1t)
Entrada añadida el 22 de marzo de 2024
AVEVideoEncoder
Disponible para: macOS Sonoma
Impacto: una app podría divulgar datos de la memoria de kernel.
Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.
CVE-2023-42884: investigador anónimo
Bluetooth
Disponible para: macOS Sonoma
Impacto: un atacante en una posición de red privilegiada puede introducir pulsaciones de tecla suplantando un teclado.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-45866: Marc Newlin de SkySafe
CoreMedia Playback
Disponible para: macOS Sonoma
Impacto: una app podría acceder a datos confidenciales de los usuarios.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-42900: Mickey Jin (@patch1t)
CoreServices
Disponible para: macOS Sonoma
Impacto: un usuario podría provocar el cierre inesperado de una app o la ejecución de código arbitrario.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.
CVE-2023-42886: Koh M. Nakagawa (@tsunek0h)
curl
Disponible para: macOS Sonoma
Impacto: varios problemas en curl.
Descripción: se han solucionado varios problemas en curl actualizando a la versión 8.4.0.
CVE-2023-38545
CVE-2023-38039
CVE-2023-38546
Entrada añadida el 22 de enero de 2024; actualizado el 13 de febrero de 2024
DiskArbitration
Disponible para: macOS Sonoma
Impacto: Un proceso podría adquirir privilegios de administrador sin la autenticación pertinente
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-42931: Yann GASCUEL de Alter Solutions
Entrada añadida el 22 de marzo de 2024
FileURL
Disponible para: macOS Sonoma
Impacto: un atacante local podría aumentar sus privilegios.
Descripción: se ha solucionado un problema de uso después de estar libre mediante la mejora de la gestión de la memoria.
CVE-2023-42892: Anthony Cruz @App Tyrant Corp
Entrada añadida el 22 de marzo de 2024
Find My
Disponible para: macOS Sonoma
Impacto: es posible que una app pueda leer información de ubicación confidencial.
Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.
CVE-2023-42922: Wojciech Regula de SecuRing (wojciechregula.blog)
ImageIO
Disponible para: macOS Sonoma
Impacto: procesar una imagen podría provocar la ejecución de código arbitrario.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-42898: Zhenjiang Zhao de Pangu Team, Qianxin y Junsung Lee
CVE-2023-42899: Meysam Firouzi @R00tkitSMM y Junsung Lee
Entrada actualizada el 22 de marzo de 2024
ImageIO
Disponible para: macOS Sonoma
Impacto: procesar una imagen creada con fines malintencionados podría provocar la revelación de la memoria de procesos.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-42888: Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative
Entrada añadida el 22 de enero de 2024
IOKit
Disponible para: macOS Sonoma
Impacto: una app puede supervisar las pulsaciones de tecla sin permiso del usuario.
Descripción: se ha solucionado el problema de autenticación mejorando la gestión del estado.
CVE-2023-42891: investigador anónimo
IOUSBDeviceFamily
Disponible para: macOS Sonoma
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de condición de carrera mediante la mejora de la gestión del estado.
CVE-2023-42974: Pan ZhenPeng (@Peterpan0927) de STAR Labs SG Pte. Ltd.
Entrada añadida el 22 de marzo de 2024
Kernel
Disponible para: macOS Sonoma
Impacto: una app podría salir de su zona protegida.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) de Synacktiv (@Synacktiv)
Libsystem
Disponible para: macOS Sonoma
Impacto: una app podría acceder a la información protegida del usuario.
Descripción: se ha solucionado un problema de permisos eliminando código vulnerable y añadiendo comprobaciones adicionales.
CVE-2023-42893
Entrada añadida el 22 de marzo de 2024
Model I/O
Disponible para: macOS Sonoma
Impacto: procesar una imagen podría provocar una denegación de servicio.
Descripción: el problema se ha solucionado eliminando el código vulnerable.
CVE-2023-3618
Entrada añadida el 22 de marzo de 2024
ncurses
Disponible para: macOS Sonoma
Impacto: un usuario remoto podría provocar el cierre inesperado de una app o la ejecución arbitraria de código.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2020-19185
CVE-2020-19186
CVE-2020-19187
CVE-2020-19188
CVE-2020-19189
CVE-2020-19190
NSOpenPanel
Disponible para: macOS Sonoma
Impacto: una app podría leer archivos arbitrarios.
Descripción: se ha solucionado un problema de acceso con restricciones de zona protegida adicionales.
CVE-2023-42887: Ron Masas de BreakPoint.sh
Entrada añadida el 22 de enero de 2024
Sandbox
Disponible para: macOS Sonoma
Impacto: una app podría acceder a datos confidenciales de los usuarios.
Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.
CVE-2023-42936
Entrada añadida el 22 de marzo de 2024
Share Sheet
Disponible para: macOS Sonoma
Impacto: una app podría acceder a datos confidenciales de los usuarios.
Descripción: se ha solucionado un problema de privacidad moviendo la información confidencial a una ubicación más segura.
CVE-2023-40390: Csaba Fitzl (@theevilbit) de Offensive Security y Mickey Jin (@patch1t)
Entrada añadida el 22 de marzo de 2024
SharedFileList
Disponible para: macOS Sonoma
Impacto: una app puede acceder a la información confidencial del usuario.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-42842: investigador anónimo
Shell
Disponible para: macOS Sonoma
Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2023-42930: Arsenii Kostromin (0x3c3e)
Entrada añadida el 22 de marzo de 2024
System Settings
Disponible para: macOS Sonoma
Impacto: las sesiones de inicio de sesión remoto podrían obtener permiso de acceso total al disco.
Descripción: para resolver este problema se ha mejorado la gestión del estado.
CVE-2023-42913: Mattie Behrens y Joshua Jewett (@JoshJewett33)
Entrada añadida el 22 de marzo de 2024
TCC
Disponible para: macOS Sonoma
Impacto: una app podría acceder a la información protegida del usuario.
Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.
CVE-2023-42932: Zhongquan Li (@Guluisacat)
TCC
Disponible para: macOS Sonoma
Impacto: una app podría salir de su zona protegida.
Descripción: se ha solucionado un problema de gestión de las rutas mejorando la validación.
CVE-2023-42947: Zhongquan Li (@Guluisacat) de Dawn Security Lab de JingDong
Entrada añadida el 22 de marzo de 2024
Vim
Disponible para: macOS Sonoma
Impacto: abrir un archivo creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.
Descripción: este problema se ha solucionado al actualizar a la versión 9.0.1969 de Vim.
CVE-2023-5344
WebKit
Disponible para: macOS Sonoma
Impacto: procesar contenido web puede provocar la ejecución de código arbitrario.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
WebKit Bugzilla: 259830
CVE-2023-42890: Pwn2car
WebKit
Disponible para: macOS Sonoma
Impacto: procesar una imagen podría provocar una denegación de servicio.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
WebKit Bugzilla: 263349
CVE-2023-42883: Zoom Offensive Security Team
WebKit
Disponible para: macOS Sonoma
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de código arbitrario.
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
WebKit Bugzilla: 263682
CVE-2023-42950: Nan Wang (@eternalsakura13) de 360 Vulnerability Research Institute y rushikesh nandedkar
Entrada añadida el 22 de marzo de 2024
WebKit
Disponible para: macOS Sonoma
Impacto: procesar contenido web podría provocar una denegación de servicio.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
WebKit Bugzilla: 263989
CVE-2023-42956: SungKwon Lee (Demon.Team)
Entrada añadida el 22 de marzo de 2024
Otros agradecimientos
Memoji
Queremos dar las gracias a Jerry Tenenbaum por su ayuda.
WebSheet
Queremos dar las gracias por su ayuda a Paolo Ruggero de e-phors S.p.A. (A FINCANTIERI S.p.A. Company).
Entrada añadida el 22 de marzo de 2024
Wi-Fi
Queremos dar las gracias a Noah Roskin-Frazee y al profesor J. (ZeroClicks.ai Lab) por su ayuda.