Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
macOS Sonoma 14.5
Publicado el 13 de mayo de 2024
AppleAVD
Disponible para: macOS Sonoma
Impacto: una aplicación puede provocar una terminación inesperada del sistema
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)
Entrada actualizada el 15 de mayo de 2024
AppleMobileFileIntegrity
Disponible para: macOS Sonoma
Impacto: un atacante local podría obtener acceso a los ítems del llavero
Descripción: se ha solucionado un problema de degradación con restricciones adicionales de firma de código.
CVE-2024-27837: Mickey Jin (@patch1t) y ajajfxhj
AppleMobileFileIntegrity
Disponible para: macOS Sonoma
Impacto: un atacante podría acceder a la información del usuario.
Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.
CVE-2024-27816: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Disponible para: macOS Sonoma
Impacto: una app podría evitar ciertas preferencias de privacidad.
Descripción: se ha solucionado un problema de degradación que afectaba a los ordenadores Mac con procesador de Intel con restricciones adicionales de firma de código.
CVE-2024-27825: Kirin (@Pwnrin)
AppleVA
Disponible para: macOS Sonoma
Impacto: el procesamiento de un archivo puede provocar el cierre inesperado de la app o la ejecución de código arbitrario.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2024-27829: Amir Bazine y Karsten König de CrowdStrike Counter Adversary Operations, y Pwn2car trabajando con la Iniciativa de Día Cero de Trend Micro
AVEVideoEncoder
Disponible para: macOS Sonoma
Impacto: una app podría divulgar datos de la memoria de kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2024-27841: investigador anónimo
CFNetwork
Disponible para: macOS Sonoma
Impacto: una app podría leer archivos arbitrarios.
Descripción: se ha solucionado un problema de corrección mejorando las comprobaciones.
CVE-2024-23236: Ron Masas de Imperva
Core Data
Disponible para: macOS Sonoma
Impacto: una app podría acceder a la información confidencial del usuario.
Descripción: se ha solucionado un problema mejorando la validación de las variables de entorno.
CVE-2024-27805: Kirin (@Pwnrin) y 小来来 (@Smi1eSEC)
Entrada añadida el 10 de junio de 2024
CoreMedia
Disponible para: macOS Sonoma
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2024-27817: pattern-f (@pattern_F_) de Ant Security Light-Year Lab
Entrada añadida el 10 de junio de 2024
CoreMedia
Disponible para: macOS Sonoma
Impacto: el procesamiento de un archivo puede provocar el cierre inesperado de la app o la ejecución de código arbitrario.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la validación de las entradas.
CVE-2024-27831: Amir Bazine y Karsten König de CrowdStrike Counter Adversary Operations
Entrada añadida el 10 de junio de 2024
Disk Images
Disponible para: macOS Sonoma
Impacto: una app podría obtener privilegios de alto nivel.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2024-27832: investigador anónimo
Entrada añadida el 10 de junio de 2024
Finder
Disponible para: macOS Sonoma
Impacto: una app podría leer archivos arbitrarios.
Descripción: para resolver este problema se ha mejorado la gestión del estado.
CVE-2024-27827: investigador anónimo
Foundation
Disponible para: macOS Sonoma
Impacto: una app podría obtener privilegios de alto nivel.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2024-27801: CertiK SkyFall Team
Entrada añadida el 10 de junio de 2024
ImageIO
Disponible para: macOS Sonoma
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución de código arbitrario.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2024-27836: Junsung Lee en colaboración con Trend Micro Zero Day Initiative
Entrada añadida el 10 de junio de 2024
IOHIDFamily
Disponible para: macOS Sonoma
Impacto: una app sin privilegios podía ser capaz de registrar pulsaciones de teclas en otras apps, incluidas las que utilizan el modo de entrada seguro.
Descripción: este problema se ha solucionado incrementando las comprobaciones de derechos.
CVE-2024-27799: investigador anónimo
Entrada añadida el 10 de junio de 2024
Kernel
Disponible para: macOS Sonoma
Impacto: un atacante podría ser capaz de provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2024-27818: pattern-f (@pattern_F_) de Ant Security Light-Year Lab
Kernel
Disponible para: macOS Sonoma
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la validación de las entradas.
CVE-2024-27815: investigador anónimo y Joseph Ravichandran (@0xjprx) de MIT CSAIL
Entrada añadida el 10 de junio de 2024
libiconv
Disponible para: macOS Sonoma
Impacto: una app podría obtener privilegios de alto nivel.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2024-27811: Nick Wellnhofer
Entrada añadida el 10 de junio de 2024
Libsystem
Disponible para: macOS Sonoma
Impacto: una app podría acceder a la información protegida del usuario.
Descripción: se ha solucionado un problema de permisos eliminando código vulnerable y añadiendo comprobaciones adicionales.
CVE-2023-42893: investigador anónimo
Disponible para: macOS Sonoma
Impacto: un atacante con acceso físico podría filtrar las credenciales de la cuenta de Mail.
Descripción: se ha solucionado el problema de autenticación mejorando la gestión del estado.
CVE-2024-23251: Gil Pedersen
Entrada añadida el 10 de junio de 2024
Disponible para: macOS Sonoma
Impacto: un correo electrónico creado con fines malintencionados podría ser capaz de iniciar llamadas de FaceTime sin autorización del usuario.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2024-23282: Dohyun Lee (@l33d0hyun)
Entrada añadida el 10 de junio de 2024
Maps
Disponible para: macOS Sonoma
Impacto: es posible que una app pueda leer información de ubicación confidencial.
Descripción: se ha solucionado un problema de gestión de las rutas mejorando la validación.
CVE-2024-27810: LFY@secsys de la Universidad de Fudan
Messages
Disponible para: macOS Sonoma
Impacto: el procesamiento de un mensaje creado con fines malintencionados podría provocar una denegación de servicio.
Descripción: el problema se ha solucionado eliminando el código vulnerable.
CVE-2024-27800: Daniel Zajork y Joshua Zajork
Entrada añadida el 10 de junio de 2024
Metal
Disponible para: macOS Sonoma
Impacto: el procesamiento de un archivo diseñado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) en colaboración con Trend Micro Zero Day Initiative
Entrada añadida el 10 de junio de 2024
Metal
Disponible para: macOS Sonoma
Impacto: un atacante remoto podría ser capaz de provocar el cierre inesperado de una app o la ejecución de código arbitrario.
Descripción: se ha solucionado un problema de acceso fuera de los límites al mejorar la comprobación de los límites.
CVE-2024-27857: Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative
Entrada añadida el 10 de junio de 2024
PackageKit
Disponible para: macOS Sonoma
Impacto: una app podría obtener privilegios de raíz.
Descripción: se ha solucionado un problema de lógica mejorando las restricciones.
CVE-2024-27822: Scott Johnson, Mykola Grymalyuk de RIPEDA Consulting, Jordy Witteman y Carlos Polop
PackageKit
Disponible para: macOS Sonoma
Impacto: una app podría obtener privilegios de alto nivel.
Descripción: el problema se ha solucionado eliminando el código vulnerable.
CVE-2024-27824: Pedro Tôrres (@t0rr3sp3dr0)
PackageKit
Disponible para: macOS Sonoma
Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.
Descripción: se ha solucionado el problema mejorando la validación de los enlaces simbólicos.
CVE-2024-27885: Mickey Jin (@patch1t)
Entrada añadida el 10 de junio de 2024
PrintCenter
Disponible para: macOS Sonoma
Impacto: una app podría ser capaz de ejecutar código arbitrario fuera de su entorno aislado o con determinados privilegios elevados.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2024-27813: investigador anónimo
PrintCenter
Disponible para: macOS Sonoma
Impacto: una app podría ser capaz de ejecutar código arbitrario fuera de su entorno aislado o con determinados privilegios elevados.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2024-27813: investigador anónimo
Entrada añadida el 10 de junio de 2024
RemoteViewServices
Disponible para: macOS Sonoma
Impacto: un atacante podría acceder a la información del usuario.
Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.
CVE-2024-27816: Mickey Jin (@patch1t)
RemoteViewServices
Disponible para: macOS Sonoma
Impacto: un atacante podría acceder a la información del usuario.
Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.
CVE-2024-27816: Mickey Jin (@patch1t)
Entrada añadida el 10 de junio de 2024
Safari
Disponible para: macOS Sonoma
Impacto: el diálogo de permisos de un sitio web puede persistir después de salir del sitio.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2024-27844: Narendra Bhati de Suma Soft Pvt. Ltd en Pune (India), Shaheen Fazim
Entrada añadida el 10 de junio de 2024
SharedFileList
Disponible para: macOS Sonoma
Impacto: una app podría obtener privilegios de alto nivel.
Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.
CVE-2024-27843: Mickey Jin (@patch1t)
Shortcuts
Disponible para: macOS Sonoma
Impacto: un acceso directo puede dar salida a datos sensibles del usuario sin consentimiento.
Descripción: se ha solucionado un problema de gestión de las rutas mejorando la validación.
CVE-2024-27821: Kirin (@Pwnrin), zbleet y Csaba Fitzl (@theevilbit) de Kandji
Shortcuts
Disponible para: macOS Sonoma
Impacto: un acceso directo podría utilizar información confidencial mediante ciertas acciones sin preguntar al usuario.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2024-27855: investigador anónimo
Entrada añadida el 10 de junio de 2024
Spotlight
Disponible para: macOS Sonoma
Impacto: una app podría acceder a la información confidencial del usuario.
Descripción: este problema se ha solucionado mejorando el saneamiento del entorno.
CVE-2024-27806
Entrada añadida el 10 de junio de 2024
StorageKit
Disponible para: macOS Sonoma
Impacto: un atacante podría obtener privilegios de alto nivel.
Descripción: se ha solucionado el problema de autorización mejorando la gestión del estado.
CVE-2024-27798: Yann GASCUEL de Alter Solutions
StorageKit
Disponible para: macOS Sonoma
Impacto: una app creada con fines malintencionados podría ser capaz de obtener privilegios de raíz.
Descripción: se ha solucionado el problema mejorando la comprobación de los permisos.
CVE-2024-27848: Csaba Fitzl (@theevilbit) de Kandji
Entrada añadida el 10 de junio de 2024
Sync Services
Disponible para: macOS Sonoma
Impacto: una app podría evitar las preferencias de privacidad.
Descripción: este problema se ha solucionado mejorando las comprobaciones
CVE-2024-27847: Mickey Jin (@patch1t)
udf
Disponible para: macOS Sonoma
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2024-27842: CertiK Skyfall Team
Voice Control
Disponible para: macOS Sonoma
Impacto: un atacante podría obtener privilegios de alto nivel.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2024-27796: ajajfxhj
WebKit
Disponible para: macOS Sonoma
Impacto: un atacante que tenga funciones arbitrarias de lectura y escritura podría ser capaz de omitir la autenticación de puntero
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) en colaboración con Zero Day Initiative de Trend Micro
WebKit
Disponible para: macOS Sonoma
Impacto: una página web con fines malintencionados podría aprovechar la huella del usuario.
Descripción: se ha solucionado el problema añadiendo lógica adicional.
WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos de Mozilla
Entrada añadida el 10 de junio de 2024
WebKit
Disponible para: macOS Sonoma
Impacto: procesar contenido web puede provocar la ejecución de código arbitrario.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
WebKit Bugzilla: 268221
CVE-2024-27808: Lukas Bernhard de CISPA Helmholtz Center for Information Security
Entrada añadida el 10 de junio de 2024
WebKit
Disponible para: macOS Sonoma
Impacto: una página web con fines malintencionados podría aprovechar la huella del usuario.
Descripción: este problema se ha solucionado aplicando mejoras al algoritmo de inyección de ruido.
WebKit Bugzilla: 270767
CVE-2024-27850: investigador anónimo
Entrada añadida el 10 de junio de 2024
WebKit
Disponible para: macOS Sonoma
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de código arbitrario.
Descripción: el problema se ha solucionado mediante la mejora de la comprobación de límites.
WebKit Bugzilla: 272106
CVE-2024-27851: Nan Wang (@eternalsakura13) de 360 Vulnerability Research Institute
Entrada añadida el 10 de junio de 2024
WebKit
Disponible para: macOS Sonoma
Impacto: un atacante malintencionado que tenga funciones arbitrarias de lectura y escritura podría ser capaz de omitir la autenticación de puntero.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) en colaboración con Zero Day Initiative de Trend Micro
Entrada añadida el 10 de junio de 2024
WebKit Canvas
Disponible para: macOS Sonoma
Impacto: una página web con fines malintencionados podría aprovechar la huella del usuario.
Descripción: para resolver este problema se ha mejorado la gestión del estado.
WebKit Bugzilla: 271159
CVE-2024-27830: Joe Rutkowski (@Joe12387) de Crawless y @abrahamjuliot
Entrada añadida el 10 de junio de 2024
WebKit Web Inspector
Disponible para: macOS Sonoma
Impacto: procesar contenido web puede provocar la ejecución de código arbitrario.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson de underpassapp.com
Entrada añadida el 10 de junio de 2024
Otros agradecimientos
App Store
Queremos dar las gracias a un investigador anónimo por su ayuda.
AppleMobileFileIntegrity
Queremos dar las gracias a Mickey Jin (@patch1t) por su ayuda.
Entrada añadida el 10 de junio de 2024
CoreHAP
Queremos dar las gracias a Adrian Cable por su ayuda.
Disk Images
Queremos dar las gracias a Mickey Jin (@patch1t) por su ayuda.
Entrada añadida el 10 de junio de 2024
HearingCore
Queremos dar las gracias a un investigador anónimo por su ayuda.
ImageIO
Queremos dar las gracias a un investigador anónimo por su ayuda.
Entrada añadida el 10 de junio de 2024
Managed Configuration
Queremos dar las gracias a 遥遥领先 (@晴天组织) por su ayuda.
Music
Queremos dar las gracias a un investigador anónimo por su ayuda.
Safari Downloads
Queremos dar las gracias a Arsenii Kostromin (0x3c3e) por su ayuda.
Transparency
Queremos dar las gracias a Mickey Jin (@patch1t) por su ayuda.
Entrada añadida el 10 de junio de 2024