Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
macOS Sonoma 14.3
Publicado el 22 de enero de 2024
Apple Neural Engine
Disponible para: macOS Sonoma
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2024-23212: Ye Zhang de Baidu Security
CoreCrypto
Disponible para: macOS Sonoma
Impacto: un atacante podría ser capaz de desencriptar textos RSA PKCS#1 v1.5 encriptados heredados sin tener la clave privada.
Descripción: se ha solucionado un problema de sincronización de canal lateral con mejoras en el cálculo de tiempo constante en funciones criptográficas.
CVE-2024-23218: Clemens Lang
Finder
Disponible para: macOS Sonoma
Impacto: una app podría acceder a la información confidencial del usuario.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2024-23224: Brian McNulty
Kernel
Disponible para: macOS Sonoma
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2024-23208: fmyy(@binary_fmyy) y lime del equipo TIANGONG de Legendsec en QI-ANXIN Group
libxpc
Disponible para: macOS Sonoma
Impacto: una aplicación puede provocar una denegación de servicio.
Descripción: se ha solucionado un problema de permisos con restricciones adicionales.
CVE-2024-23201: Koh M. Nakagawa of FFRI Security, Inc. y un investigador anónimo
Entrada añadida el 7 de marzo de 2024
LLVM
Disponible para: macOS Sonoma
Impacto: procesar contenido web puede provocar la ejecución de código arbitrario.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2024-23209
Mail Search
Disponible para: macOS Sonoma
Impacto: una app podría acceder a la información confidencial del usuario.
Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.
CVE-2024-23207: Noah Roskin-Frazee, profesor J. (ZeroClicks.ai Lab) y Ian de Marcellus
NSSpellChecker
Disponible para: macOS Sonoma
Impacto: una app podría acceder a la información confidencial del usuario.
Descripción: se ha corregido un problema de privacidad con una gestión mejorada de los archivos.
CVE-2024-23223: Noah Roskin-Frazee y Prof. J. (ZeroClicks.ai Lab)
Power Manager
Disponible para: macOS Sonoma
Impacto: una app podría dañar la memoria del coprocesador.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2024-27791: Pan ZhenPeng (@Peterpan0927) de STAR Labs SG Pte. Ltd.
Entrada añadida el 24 de abril de 2024
Safari
Disponible para: macOS Sonoma
Impacto: la actividad de navegación privada de un usuario podría verse en Ajustes.
Descripción: se ha corregido un problema de privacidad con una gestión mejorada de las preferencias del usuario.
CVE-2024-23211: Mark Bowers
Shortcuts
Disponible para: macOS Sonoma
Impacto: un acceso directo podría utilizar información confidencial mediante ciertas acciones sin preguntar al usuario.
Descripción: se ha solucionado el problema con comprobaciones de permisos adicionales.
CVE-2024-23203: investigador anónimo
CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)
Shortcuts
Disponible para: macOS Sonoma
Impacto: una app podría evitar ciertas preferencias de privacidad.
Descripción: se ha corregido un problema de privacidad con una gestión mejorada de los archivos temporales.
CVE-2024-23217: Kirin (@Pwnrin)
TCC
Disponible para: macOS Sonoma
Impacto: una app podría acceder a datos confidenciales de los usuarios
Descripción: se ha corregido un problema con una gestión mejorada de los archivos temporales.
CVE-2024-23215: Zhongquan Li (@Guluisacat)
Time Zone
Disponible para: macOS Sonoma
Impacto: una app podría ver el número de teléfono de un usuario en los registros del sistema.
Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.
CVE-2024-23210: Noah Roskin-Frazee y Prof. J. (ZeroClicks.ai Lab)
WebKit
Disponible para: macOS Sonoma
Impacto: una página web con fines malintencionados podría aprovechar la huella del usuario.
Descripción: se ha solucionado un problema de acceso mejorando las restricciones de acceso.
WebKit Bugzilla: 262699
CVE-2024-23206: investigador anónimo
WebKit
Disponible para: macOS Sonoma
Impacto: procesar contenido web puede provocar la ejecución de código arbitrario.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
WebKit Bugzilla: 266619
CVE-2024-23213: Wangtaiyu de Zhongfu info
WebKit
Disponible para: macOS Sonoma
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de código arbitrario.
Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.
WebKit Bugzilla: 265129
CVE-2024-23214: Nan Wang (@eternalsakura13) del 360 Vulnerability Research Institute
WebKit
Disponible para: macOS Sonoma
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de código arbitrario. Apple tiene conocimiento de que este problema se ha utilizado.
Descripción: se ha solucionado un problema de confusión de tipo mediante la mejora de las comprobaciones.
WebKit Bugzilla: 267134
CVE-2024-23222
WebKit
Disponible para: macOS Sonoma
Impacto: es posible que un sitio web malicioso provoque un comportamiento en orígenes cruzados inesperado.
Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.
WebKit Bugzilla: 265812
CVE-2024-23271: James Lee (@Windowsrcer)
Entrada añadida el 24 de abril de 2024
Otros agradecimientos
NetworkExtension
Queremos dar las gracias a Nils Rollshausen por su ayuda.
Entrada añadida el 24 de abril de 2024