Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
macOS Ventura 13.6.3
Disponible el 11 de diciembre de 2023
Accounts
Disponible para: macOS Ventura.
Impacto: una app puede acceder a la información confidencial del usuario.
Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.
CVE-2023-42919: Kirin (@Pwnrin)
AppleEvents
Disponible para: macOS Ventura.
Impacto: una app podría ser capaz de acceder a la información sobre los contactos de un usuario.
Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.
CVE-2023-42894: Noah Roskin-Frazee y profesor J. (ZeroClicks.ai Lab)
Archive Utility
Disponible para: macOS Ventura.
Impacto: una app puede acceder a la información confidencial del usuario.
Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.
CVE-2023-42924: Mickey Jin (@patch1t)
Assets
Disponible para: macOS Ventura.
Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.
Descripción: se ha corregido un problema con una gestión mejorada de los archivos temporales.
CVE-2023-42896: Mickey Jin (@patch1t)
Entrada añadida el 22 de marzo de 2024
Automation
Disponible para: macOS Ventura.
Impacto: una aplicación con privilegios de raíz podría ser capaz de acceder a información privada.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-42952: Zhipeng Huo (@R3dF09) de Tencent Security Xuanwu Lab (xlab.tencent.com)
Entrada añadida el 16 de febrero de 2024
AVEVideoEncoder
Disponible para: macOS Ventura.
Impacto: una app podría divulgar datos de la memoria de kernel.
Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.
CVE-2023-42884: investigador anónimo
CoreServices
Disponible para: macOS Ventura.
Impacto: un usuario podría provocar el cierre inesperado de una app o la ejecución de código arbitrario.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.
CVE-2023-42886: Koh M. Nakagawa (@tsunek0h)
DiskArbitration
Disponible para: macOS Ventura.
Impacto: un proceso podría adquirir privilegios de administrador sin la autenticación pertinente.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-42931: Yann GASCUEL de Alter Solutions
Entrada añadida el 22 de marzo de 2024
FileURL
Disponible para: macOS Ventura.
Impacto: un atacante local podría aumentar sus privilegios.
Descripción: se ha solucionado un problema de uso después de estar libre mediante la mejora de la gestión de la memoria.
CVE-2023-42892: Anthony Cruz de App Tyrant Corp
Entrada añadida el 22 de marzo de 2024
Find My
Disponible para: macOS Ventura.
Impacto: es posible que una app pueda leer información de ubicación confidencial.
Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.
CVE-2023-42922: Wojciech Regula de SecuRing (wojciechregula.blog)
Find My
Disponible para: macOS Ventura.
Impacto: una app puede acceder a la información confidencial del usuario.
Descripción: se ha solucionado un problema de privacidad mejorando la gestión de los archivos.
CVE-2023-42834: Csaba Fitzl (@theevilbit) de Offensive Security
Entrada añadida el 16 de febrero de 2024
ImageIO
Disponible para: macOS Ventura.
Impacto: procesar una imagen podría provocar la ejecución de código arbitrario.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-42899: Meysam Firouzi @R00tkitSMM y Junsung Lee
IOKit
Disponible para: macOS Ventura.
Impacto: una aplicación podría ser capaz de monitorear las pulsaciones de teclas sin el permiso del usuario.
Descripción: se ha solucionado el problema de autenticación mejorando la gestión del estado.
CVE-2023-42891: investigador anónimo
IOUSBDeviceFamily
Disponible para: macOS Ventura.
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de condición de carrera mediante la mejora de la gestión del estado.
CVE-2023-42974: Pan ZhenPeng (@Peterpan0927) de STAR Labs SG Pte. Ltd.
Entrada añadida el 22 de marzo de 2024
Kernel
Disponible para: macOS Ventura.
Impacto: una app podría salir de su zona protegida.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) de Synacktiv (@Synacktiv)
Libsystem
Disponible para: macOS Ventura.
Impacto: una app podría acceder a la información protegida del usuario.
Descripción: se ha solucionado un problema de permisos eliminando código vulnerable y añadiendo comprobaciones adicionales.
CVE-2023-42893
Entrada añadida el 22 de marzo de 2024
Model I/O
Disponible para: macOS Ventura.
Impacto: procesar una imagen podría provocar una denegación de servicio.
Descripción: el problema se ha solucionado eliminando el código vulnerable.
CVE-2023-3618
Entrada añadida el 22 de marzo de 2024
ncurses
Disponible para: macOS Ventura.
Impacto: un usuario remoto podría provocar el cierre inesperado de una app o la ejecución arbitraria de código.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2020-19185
CVE-2020-19186
CVE-2020-19187
CVE-2020-19188
CVE-2020-19189
CVE-2020-19190
quarantine
Disponible para: macOS Ventura.
Impacto: una app podría ser capaz de ejecutar código arbitrario fuera de su entorno aislado o con determinados privilegios elevados.
Descripción: se ha solucionado un problema de acceso mediante la mejora de la zona restringida.
CVE-2023-42838: Yiğit Can YILMAZ (@yilmazcanyigit), y Csaba Fitzl (@theevilbit) de Offensive Security
Entrada añadida el 16 de febrero de 2024
Sandbox
Disponible para: macOS Ventura.
Impacto: un atacante podría acceder a volúmenes de red conectados en el directorio de inicio.
Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.
CVE-2023-42836: Yiğit Can YILMAZ (@yilmazcanyigit)
Entrada añadida el 16 de febrero de 2024
Sandbox
Disponible para: macOS Ventura.
Impacto: una app podría acceder a datos confidenciales de los usuarios.
Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.
CVE-2023-42936
Entrada añadida el 22 de marzo de 2024
Shell
Disponible para: macOS Ventura.
Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2023-42930: Arsenii Kostromin (0x3c3e)
Entrada añadida el 22 de marzo de 2024
TCC
Disponible para: macOS Ventura.
Impacto: una app podría acceder a la información protegida del usuario.
Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.
CVE-2023-42932: Zhongquan Li (@Guluisacat)
TCC
Disponible para: macOS Ventura.
Impacto: una app podría salir de su zona protegida.
Descripción: se ha solucionado un problema de gestión de las rutas mejorando la validación.
CVE-2023-42947: Zhongquan Li (@Guluisacat) de Dawn Security Lab de JingDong
Entrada añadida el 22 de marzo de 2024
Vim
Disponible para: macOS Ventura.
Impacto: abrir un archivo creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.
Descripción: este problema se ha solucionado al actualizar a la versión 9.0.1969 de Vim.
CVE-2023-5344
Otros agradecimientos
Preview
Queremos dar las gracias a Akshay Nagpal por su ayuda.
Entrada añadida el 16 de febrero de 2024