Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
visionOS 1.1
Disponible el 7 de marzo de 2024
Accessibility
Disponible para: Apple Vision Pro
Impacto: una aplicación podría suplantar notificaciones y elementos de la interfaz del sistema.
Descripción: este problema se ha solucionado con comprobaciones de derechos adicionales.
CVE-2024-23262: Guilherme Rambo de Best Buddy Apps (rambo.codes)
ImageIO
Disponible para: Apple Vision Pro
Impacto: procesar una imagen podría provocar la revelación de la memoria de procesos.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2024-23257: Junsung Lee en colaboración con Zero Day Initiative de Trend Micro
ImageIO
Disponible para: Apple Vision Pro
Impacto: procesar una imagen podría provocar la ejecución de código arbitrario.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2024-23258: Zhenjiang Zhao de pangu team y Qianxin
ImageIO
Disponible para: Apple Vision Pro
Impacto: procesar una imagen podría provocar la ejecución de código arbitrario.
Descripción: se ha solucionado un problema de desbordamiento de búfer mejorando la gestión de la memoria.
CVE-2024-23286: Dohyun Lee (@l33d0hyun)
Kernel
Disponible para: Apple Vision Pro
Impacto: una app podría acceder a datos confidenciales de los usuarios.
Descripción: se ha solucionado una condición de carrera mediante una validación adicional.
CVE-2024-23235
Kernel
Disponible para: Apple Vision Pro
Impacto: una app podría provocar el cierre inesperado del sistema o la escritura de la memoria del kernel.
Descripción: se ha solucionado una vulnerabilidad de corrupción de la memoria mejorando el bloqueo.
CVE-2024-23265: Xinru Chi de Pangu Lab
Kernel
Disponible para: Apple Vision Pro
Impacto: un atacante que tenga funciones arbitrarias de lectura y escritura de kernel podría ser capaz de omitir las protecciones de memoria del kernel. Apple tiene conocimiento de que este problema se ha explotado.
Descripción: se ha solucionado un problema de memoria mejorando la validación.
CVE-2024-23225
Metal
Disponible para: Apple Vision Pro
Impacto: una aplicación podría leer la memoria restringida.
Descripción: se ha solucionado un problema de validación mejorando el saneamiento de entrada.
CVE-2024-23264: Meysam Firouzi (@R00tkitsmm) en colaboración con Zero Day Initiative de Trend Micro
Persona
Disponible para: Apple Vision Pro
Impacto: un usuario no autenticado podría usar una Persona no protegida
Descripción: se ha solucionado un problema de permisos para ayudar a garantizar que las Personas están siempre protegidas
CVE-2024-23295: Patrick Reardon
RTKit
Disponible para: Apple Vision Pro
Impacto: un atacante que tenga funciones arbitrarias de lectura y escritura de kernel podría ser capaz de omitir las protecciones de memoria del kernel. Apple tiene conocimiento de que este problema se ha explotado.
Descripción: se ha solucionado un problema de memoria mejorando la validación.
CVE-2024-23296
Safari
Disponible para: Apple Vision Pro
Impacto: una app podría utilizar la huella digital del usuario
Descripción: el problema se ha solucionado mediante la mejora de la gestión de las cachés.
CVE-2024-23220
UIKit
Disponible para: Apple Vision Pro
Impacto: una app podría salir de su zona protegida.
Descripción: el problema se ha solucionado eliminando el código vulnerable.
CVE-2024-23246: Deutsche Telekom Security GmbH patrocinado por Bundesamt für Sicherheit en der Informationstechnik
WebKit
Disponible para: Apple Vision Pro
Impacto: procesar contenido web puede provocar la ejecución de código arbitrario.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
WebKit Bugzilla: 259694
CVE-2024-23226: Pwn2car
WebKit
Disponible para: Apple Vision Pro
Impacto: un sitio web creado con fines malintencionados podría ocasionar el filtrado de datos de audio en orígenes cruzados
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la interfaz de usuario.
WebKit Bugzilla: 263795
CVE-2024-23254: James Lee (@Windowsrcer)
WebKit
Disponible para: Apple Vision Pro
Impacto: el procesamiento de contenido web creado con fines malintencionados podría impedir que se aplique la política de seguridad de contenido.
Descripción: se ha solucionado un problema de lógica mejorando la validación.
WebKit Bugzilla: 264811
CVE-2024-23263: Johan Carlsson (joaxcar)
WebKit
Disponible para: Apple Vision Pro
Impacto: el procesamiento de contenido web creado con fines malintencionados podría impedir que se aplique la política de seguridad de contenido.
Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.
WebKit Bugzilla: 267241
CVE-2024-23284: Georg Felber y Marco Squarcina
Otros agradecimientos
Kernel
Queremos mostrar nuestro agradecimiento por su ayuda a Tarek Joumaa (@tjkr0wn) y 이준성(Junsung Lee).
Model I/O
Queremos mostrar nuestro agradecimiento por su ayuda a Junsung Lee.
Power Management
Queremos mostrar nuestro agradecimiento por su ayuda a Pan ZhenPeng (@Peterpan0927) de STAR Labs SG Pte. Ltd.
Safari
Queremos mostrar nuestro agradecimiento por su ayuda a Abhinav Saraswat, Matthew C y 이동하 ( Lee Dong Ha of ZeroPointer Lab ).
WebKit
Queremos mostrar nuestro agradecimiento por su ayuda a Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina y Lorenzo Veronese de TU Wien.