Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
visionOS 1.2
Publicado el 10 de junio de 2024
CoreMedia
Disponible para: Apple Vision Pro
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2024-27817: pattern-f (@pattern_F_) de Ant Security Light-Year Lab
CoreMedia
Disponible para: Apple Vision Pro
Impacto: el procesamiento de un archivo puede provocar el cierre inesperado de la app o la ejecución de código arbitrario.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la validación de las entradas.
CVE-2024-27831: Amir Bazine y Karsten König de CrowdStrike Counter Adversary Operations
Disk Images
Disponible para: Apple Vision Pro
Impacto: una app podría obtener privilegios de alto nivel.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2024-27832: investigador anónimo
Foundation
Disponible para: Apple Vision Pro
Impacto: una app podría obtener privilegios de alto nivel.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2024-27801: CertiK SkyFall Team
ImageIO
Disponible para: Apple Vision Pro
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución de código arbitrario.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2024-27836: Junsung Lee en colaboración con Trend Micro Zero Day Initiative
IOSurface
Disponible para: Apple Vision Pro
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2024-27828: Pan ZhenPeng (@Peterpan0927) de STAR Labs SG Pte. Ltd.
Kernel
Disponible para: Apple Vision Pro
Impacto: un atacante que haya conseguido ejecutar el código de kernel puede ser capaz de omitir las protecciones de la memoria del kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2024-27840: investigador anónimo
Kernel
Disponible para: Apple Vision Pro
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la validación de las entradas.
CVE-2024-27815: investigador anónimo y Joseph Ravichandran (@0xjprx) de MIT CSAIL
libiconv
Disponible para: Apple Vision Pro
Impacto: una app podría obtener privilegios de alto nivel.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2024-27811: Nick Wellnhofer
Messages
Disponible para: Apple Vision Pro
Impacto: el procesamiento de un mensaje creado con fines malintencionados podría provocar una denegación de servicio.
Descripción: el problema se ha solucionado eliminando el código vulnerable.
CVE-2024-27800: Daniel Zajork y Joshua Zajork
Metal
Disponible para: Apple Vision Pro
Impacto: el procesamiento de un archivo diseñado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) en colaboración con Trend Micro Zero Day Initiative
Metal
Disponible para: Apple Vision Pro
Impacto: un atacante remoto podría ser capaz de provocar el cierre inesperado de una app o la ejecución de código arbitrario.
Descripción: se ha solucionado un problema de acceso fuera de los límites al mejorar la comprobación de los límites.
CVE-2024-27857: Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative
Safari
Disponible para: Apple Vision Pro
Impacto: el diálogo de permisos de un sitio web puede persistir después de salir del sitio.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2024-27844: Narendra Bhati de Suma Soft Pvt. Ltd en Pune (India), Shaheen Fazim
WebKit
Disponible para: Apple Vision Pro
Impacto: una página web con fines malintencionados podría aprovechar la huella del usuario.
Descripción: se ha solucionado el problema añadiendo lógica adicional.
WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos de Mozilla
WebKit
Disponible para: Apple Vision Pro
Impacto: procesar contenido web podría provocar la ejecución de código arbitrario
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
WebKit Bugzilla: 268221
CVE-2024-27808: Lukas Bernhard de CISPA Helmholtz Center for Information Security
WebKit
Disponible para: Apple Vision Pro
Impacto: procesar contenido web podría provocar una denegación de servicio.
Descripción: se ha solucionado un problema de lógica con la mejora de la gestión de archivos.
CVE-2024-27812: Ryan Pickren (ryanpickren.com)
Entrada actualizada el 20 de junio de 2024
WebKit
Disponible para: Apple Vision Pro
Impacto: una página web con fines malintencionados podría aprovechar la huella del usuario.
Descripción: este problema se ha solucionado aplicando mejoras al algoritmo de inyección de ruido.
WebKit Bugzilla: 270767
CVE-2024-27850: investigador anónimo
WebKit
Disponible para: Apple Vision Pro
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de código arbitrario.
Descripción: se ha solucionado un desbordamiento de enteros mediante la mejora de la validación de las entradas.
WebKit Bugzilla: 271491
CVE-2024-27833: Manfred Paul (@_manfp) en colaboración con Trend Micro Zero Day Initiative
WebKit
Disponible para: Apple Vision Pro
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de código arbitrario.
Descripción: el problema se ha solucionado mediante la mejora de la comprobación de límites.
WebKit Bugzilla: 272106
CVE-2024-27851: Nan Wang (@eternalsakura13) de 360 Vulnerability Research Institute
WebKit Canvas
Disponible para: Apple Vision Pro
Impacto: una página web con fines malintencionados podría aprovechar la huella del usuario.
Descripción: para resolver este problema se ha mejorado la gestión del estado.
WebKit Bugzilla: 271159
CVE-2024-27830: Joe Rutkowski (@Joe12387) de Crawless y @abrahamjuliot
WebKit Web Inspector
Disponible para: Apple Vision Pro
Impacto: procesar contenido web podría provocar la ejecución de código arbitrario
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson de underpassapp.com
Otros agradecimientos
ImageIO
Queremos dar las gracias a un investigador anónimo por su ayuda.
Transparency
Queremos dar las gracias a Mickey Jin (@patch1t) por su ayuda.