Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
macOS Ventura 13.6.5
Publicado el martes 7 de marzo de 2024
Admin Framework
Disponible para: macOS Ventura.
Impacto: una app podría obtener privilegios de alto nivel.
Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.
CVE-2024-23276: Kirin (@Pwnrin)
Airport
Disponible para: macOS Ventura.
Impacto: es posible que una app pueda leer información de ubicación confidencial.
Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.
CVE-2024-23227: Brian McNulty
AppleMobileFileIntegrity
Disponible para: macOS Ventura.
Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.
Descripción: se ha solucionado un problema de degradación que afectaba a los ordenadores Mac con procesador de Intel con restricciones adicionales de firma de código.
CVE-2024-23269: Mickey Jin (@patch1t)
ColorSync
Disponible para: macOS Ventura.
Impacto: el procesamiento de un archivo puede provocar el cierre inesperado de la app o la ejecución de código arbitrario.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2024-23247: m4yfly y TianGong Team of Legendsec de Qi'anxin Group
CoreCrypto
Disponible para: macOS Ventura.
Impacto: un atacante podría ser capaz de desencriptar textos RSA PKCS#1 v1.5 encriptados heredados sin tener la clave privada.
Descripción: se ha solucionado un problema de sincronización de canal lateral con mejoras en el cálculo de tiempo constante en funciones criptográficas.
CVE-2024-23218: Clemens Lang
Image Processing
Disponible para: macOS Ventura.
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2024-23270: investigador anónimo
ImageIO
Disponible para: macOS Ventura.
Impacto: procesar una imagen podría provocar la ejecución de código arbitrario.
Descripción: se ha solucionado un problema de desbordamiento de búfer mejorando la gestión de la memoria.
CVE-2024-23286: Dohyun Lee (@l33d0hyun)
ImageIO
Disponible para: macOS Ventura.
Impacto: procesar una imagen podría provocar la revelación de la memoria de procesos.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2024-23257: Junsung Lee en colaboración con Trend Micro Zero Day Initiative
Intel Graphics Driver
Disponible para: macOS Ventura.
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la validación de las entradas.
CVE-2024-23234: Murray Mike
Kerberos v5 PAM module
Disponible para: macOS Ventura.
Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2024-23266: Pedro Tôrres (@t0rr3sp3dr0)
Kernel
Disponible para: macOS Ventura.
Impacto: una app podría provocar el cierre inesperado del sistema o la escritura de la memoria del kernel.
Descripción: se ha solucionado una vulnerabilidad de corrupción de la memoria mejorando el bloqueo.
CVE-2024-23265: Xinru Chi de Pangu Lab
Kernel
Disponible para: macOS Ventura.
Impacto: un atacante que tenga funciones arbitrarias de lectura y escritura de kernel podría ser capaz de omitir las protecciones de la memoria del kernel. Apple tiene conocimiento de que este problema se ha explotado.
Descripción: se ha solucionado un problema de memoria mejorando la validación.
CVE-2024-23225
libxpc
Disponible para: macOS Ventura.
Impacto: una aplicación puede provocar una denegación de servicio.
Descripción: se ha solucionado un problema de permisos con restricciones adicionales.
CVE-2024-23201: Koh M. Nakagawa of FFRI Security, Inc., un investigador anónimo
libxpc
Disponible para: macOS Ventura.
Impacto: una app podría salir de su zona protegida.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2024-23278: investigador anónimo
MediaRemote
Disponible para: macOS Ventura.
Impacto: una app puede acceder a la información confidencial del usuario.
Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.
CVE-2023-28826: Meng Zhang (鲸落) de NorthSea
Metal
Disponible para: macOS Ventura.
Impacto: una aplicación podría leer la memoria restringida.
Descripción: se ha solucionado un problema de validación mejorando el saneamiento de entrada.
CVE-2024-23264: Meysam Firouzi @R00tkitsmm en colaboración con Trend Micro Zero Day Initiative
Notes
Disponible para: macOS Ventura.
Impacto: una app podría acceder a datos confidenciales de los usuarios.
Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.
CVE-2024-23283
PackageKit
Disponible para: macOS Ventura.
Impacto: una app podría obtener privilegios de alto nivel.
Descripción: se ha solucionado un problema de inyección con la mejora de la validación de las entradas.
CVE-2024-23274: Bohdan Stasiuk (@Bohdan_Stasiuk)
CVE-2024-23268: Mickey Jin (@patch1t) y Pedro Tôrres (@t0rr3sp3dr0)
PackageKit
Disponible para: macOS Ventura.
Impacto: una app podría acceder a la información protegida del usuario.
Descripción: se ha solucionado una condición de carrera mediante una validación adicional.
CVE-2024-23275: Mickey Jin (@patch1t)
PackageKit
Disponible para: macOS Ventura.
Impacto: una app podría evitar ciertas preferencias de privacidad.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2024-23267: Mickey Jin (@patch1t)
PackageKit
Disponible para: macOS Ventura.
Impacto: una app podría sobrescribir archivos arbitrarios.
Descripción: se ha solucionado un problema de gestión de las rutas mejorando la validación.
CVE-2024-23216: Pedro Tôrres (@t0rr3sp3dr0)
Share Sheet
Disponible para: macOS Ventura.
Impacto: una app podría acceder a datos confidenciales de los usuarios.
Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.
CVE-2024-23231: Kirin (@Pwnrin) y luckyu (@uuulucky)
SharedFileList
Disponible para: macOS Ventura.
Impacto: una app puede acceder a la información confidencial del usuario.
Descripción: este problema se ha solucionado mejorando la gestión de archivos.
CVE-2024-23230: Mickey Jin (@patch1t)
Shortcuts
Disponible para: macOS Ventura.
Impacto: un acceso directo podría utilizar información confidencial mediante ciertas acciones sin preguntar al usuario.
Descripción: se ha solucionado el problema con comprobaciones de permisos adicionales.
CVE-2024-23203: investigador anónimo
CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)
Shortcuts
Disponible para: macOS Ventura.
Impacto: atajos de terceros podrían utilizar una acción heredada de Automator para enviar eventos a apps sin el consentimiento del usuario.
Descripción: este problema se ha solucionado añadiendo una solicitud adicional de consentimiento del usuario.
CVE-2024-23245: investigador anónimo
Shortcuts
Disponible para: macOS Ventura.
Impacto: una app podría evitar ciertas preferencias de privacidad.
Descripción: se ha corregido un problema de privacidad con una gestión mejorada de los archivos temporales.
CVE-2024-23217: Kirin (@Pwnrin)
Storage Services
Disponible para: macOS Ventura.
Impacto: un usuario podría obtener acceso a partes protegidas del sistema de archivos.
Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.
CVE-2024-23272: Mickey Jin (@patch1t)