Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
macOS Ventura 13.6.7
Publicado el 13 de mayo de 2024
Core Data
Disponible para: macOS Ventura.
Impacto: una app podría acceder a la información confidencial del usuario.
Descripción: se ha solucionado un problema mejorando la validación de las variables de entorno.
CVE-2024-27805: Kirin (@Pwnrin) y 小来来 (@Smi1eSEC)
Entrada añadida el 10 de junio de 2024
CoreMedia
Disponible para: macOS Ventura.
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2024-27817: pattern-f (@pattern_F_) de Ant Security Light-Year Lab
Entrada añadida el 10 de junio de 2024
CoreMedia
Disponible para: macOS Ventura.
Impacto: el procesamiento de un archivo puede provocar el cierre inesperado de la app o la ejecución de código arbitrario.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la validación de las entradas.
CVE-2024-27831: Amir Bazine y Karsten König de CrowdStrike Counter Adversary Operations
Entrada añadida el 10 de junio de 2024
Finder
Disponible para: macOS Ventura.
Impacto: una app podría leer archivos arbitrarios.
Descripción: para resolver este problema se ha mejorado la gestión del estado.
CVE-2024-27827: investigador anónimo
Entrada añadida el 10 de junio de 2024
Foundation
Disponible para: macOS Ventura.
Impacto: una app podría acceder a datos confidenciales de los usuarios.
Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.
CVE-2024-27789: Mickey Jin (@patch1t)
IOHIDFamily
Disponible para: macOS Ventura.
Impacto: una app sin privilegios podía ser capaz de registrar pulsaciones de teclas en otras apps, incluidas las que utilizan el modo de entrada seguro.
Descripción: este problema se ha solucionado incrementando las comprobaciones de derechos.
CVE-2024-27799: investigador anónimo
Entrada añadida el 10 de junio de 2024
Kernel
Disponible para: macOS Ventura.
Impacto: un atacante que haya conseguido ejecutar el código de kernel puede ser capaz de omitir las protecciones de la memoria del kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2024-27840: investigador anónimo
Entrada añadida el 10 de junio de 2024
Login Window
Disponible para: macOS Ventura.
Impacto: un atacante con las credenciales de un usuario estándar podría desbloquear la pantalla bloqueada de otro usuario estándar en el mismo Mac.
Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.
CVE-2023-42861: un investigador anónimo, 凯 王, Steven Maser, Matthew McLean, Brandon Chesser, CPU IT, inc, y el equipo de TI de Avalon de Concentrix
Maps
Disponible para: macOS Ventura.
Impacto: es posible que una app pueda leer información de ubicación confidencial.
Descripción: se ha solucionado un problema de gestión de las rutas mejorando la validación.
CVE-2024-27810: LFY@secsys de la Universidad de Fudan
Entrada añadida el 10 de junio de 2024
Messages
Disponible para: macOS Ventura.
Impacto: el procesamiento de un mensaje creado con fines malintencionados podría provocar una denegación de servicio.
Descripción: el problema se ha solucionado eliminando el código vulnerable.
CVE-2024-27800: Daniel Zajork y Joshua Zajork
Entrada añadida el 10 de junio de 2024
Metal
Disponible para: macOS Ventura.
Impacto: el procesamiento de un archivo diseñado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) en colaboración con Trend Micro Zero Day Initiative
Entrada añadida el 10 de junio de 2024
PackageKit
Disponible para: macOS Ventura.
Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.
Descripción: se ha solucionado el problema mejorando la validación de los enlaces simbólicos.
CVE-2024-27885: Mickey Jin (@patch1t)
Entrada añadida el 10 de junio de 2024
PackageKit
Disponible para: macOS Ventura.
Impacto: una app podría obtener privilegios de alto nivel.
Descripción: el problema se ha solucionado eliminando el código vulnerable.
CVE-2024-27824: Pedro Tôrres (@t0rr3sp3dr0)
Entrada añadida el 10 de junio de 2024
RTKit
Disponible para: macOS Ventura.
Impacto: un atacante que tenga funciones arbitrarias de lectura y escritura de kernel podría ser capaz de omitir las protecciones de la memoria del kernel. Apple tiene conocimiento de que este problema se ha explotado.
Descripción: se ha solucionado un problema de memoria mejorando la validación.
CVE-2024-23296
SharedFileList
Disponible para: macOS Ventura.
Impacto: una app podría obtener privilegios de alto nivel.
Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.
CVE-2024-27843: Mickey Jin (@patch1t)
Entrada añadida el 10 de junio de 2024
Shortcuts
Disponible para: macOS Ventura.
Impacto: un acceso directo podría utilizar información confidencial mediante ciertas acciones sin preguntar al usuario.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2024-27855: investigador anónimo
Entrada añadida el 10 de junio de 2024
Spotlight
Disponible para: macOS Ventura.
Impacto: una app podría acceder a la información confidencial del usuario.
Descripción: este problema se ha solucionado mejorando el saneamiento del entorno.
CVE-2024-27806
Entrada añadida el 10 de junio de 2024
StorageKit
Disponible para: macOS Ventura.
Impacto: un usuario podría ser capaz de elevar los privilegios
Descripción: se ha solucionado el problema de autorización mejorando la gestión del estado.
CVE-2024-27798: Yann GASCUEL de Alter Solutions
Entrada añadida el 10 de junio de 2024
Sync Services
Disponible para: macOS Ventura.
Impacto: una app podría evitar las preferencias de privacidad.
Descripción: este problema se ha solucionado mejorando las comprobaciones
CVE-2024-27847: Mickey Jin (@patch1t)
Entrada añadida el 10 de junio de 2024
Voice Control
Disponible para: macOS Ventura.
Impacto: un usuario podría ser capaz de elevar los privilegios
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2024-27796: ajajfxhj
Entrada añadida el 10 de junio de 2024
Otros agradecimientos
App Store
Queremos dar las gracias a un investigador anónimo por su ayuda.