Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
macOS Monterey 12.7.6
Publicado el 29 de julio de 2024
APFS
Disponible para: macOS Monterey
Impacto: una aplicación maliciosa podría sortear las preferencias de privacidad.
Descripción: el problema se solucionó con una restricción mejorada del acceso al contenedor de datos.
CVE-2024-40783: Csaba Fitzl (@theevilbit) de Kandji
Apple Neural Engine
Disponible para: macOS Monterey
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2024-27826: Minghao Lin y Ye Zhang (@VAR10CK) de Baidu Security
AppleMobileFileIntegrity
Disponible para: macOS Monterey
Impacto: una app podría filtrar información confidencial del usuario.
Descripción: se ha solucionado un problema de degradación con restricciones adicionales de firma de código.
CVE-2024-40775: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Disponible para: macOS Monterey
Impacto: una app podría evitar las preferencias de privacidad.
Descripción: se ha solucionado un problema de degradación con restricciones adicionales de firma de código.
CVE-2024-40774: Mickey Jin (@patch1t)
AppleVA
Disponible para: macOS Monterey
Impacto: el procesamiento de un archivo creado con fines malintencionados podría generar una denegación de servicio o una posible revelación del contenido de la memoria.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2024-27877: Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative
CoreGraphics
Disponible para: macOS Monterey
Impacto: el procesamiento de un archivo creado con fines malintencionados podría provocar el cierre inesperado de la app.
Descripción: se ha solucionado un problema de lectura fuera de los límites al mejorar la validación de las entradas.
CVE-2024-40799: D4m0n
CoreMedia
Disponible para: macOS Monterey
Impacto: procesar un archivo de vídeo creado con fines malintencionados podría provocar el cierre inesperado de la app.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la validación de las entradas.
CVE-2024-27873: Amir Bazine y Karsten König de CrowdStrike Counter Adversary Operations
curl
Disponible para: macOS Monterey
Impacto: varios problemas en curl
Descripción: se trata de una vulnerabilidad en el código fuente abierto y el Software Apple se encuentra entre los proyectos afectados. El CVE-ID fue asignado por un tercero. Más información sobre el tema y el CVE-ID en cve.org.
CVE-2024-2004
CVE-2024-2379
CVE-2024-2398
CVE-2024-2466
DesktopServices
Disponible para: macOS Monterey
Impacto: una app podría sobrescribir archivos arbitrarios.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2024-40827: investigador anónimo
Disk Management
Disponible para: macOS Monterey
Impacto: una app creada con fines malintencionados podría ser capaz de obtener privilegios de raíz.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2024-40828: Mickey Jin (@patch1t)
ImageIO
Disponible para: macOS Monterey
Impacto: procesar una imagen podría provocar una denegación de servicio.
Descripción: se trata de una vulnerabilidad en el código fuente abierto y el Software Apple se encuentra entre los proyectos afectados. El CVE-ID fue asignado por un tercero. Más información sobre el tema y el CVE-ID en cve.org.
CVE-2023-6277
CVE-2023-52356
ImageIO
Disponible para: macOS Monterey
Impacto: el procesamiento de un archivo creado con fines malintencionados podría provocar el cierre inesperado de la app.
Descripción: se ha solucionado un problema de lectura fuera de los límites al mejorar la validación de las entradas.
CVE-2024-40806: Yisumi
Kernel
Disponible para: macOS Monterey
Impacto: un atacante local podría provocar un apagado inesperado del sistema.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2024-40816: sqrtpwn
Kernel
Disponible para: macOS Monterey
Impacto: un atacante local podría provocar un apagado inesperado del sistema.
Descripción: se ha solucionado un problema de confusión de tipo mejorando la gestión de la memoria.
CVE-2024-40788: Minghao Lin y Jiaxun Zhu de Zhejiang University
Keychain Access
Disponible para: macOS Monterey
Impacto: un atacante local podría provocar el cierre inesperado de la app.
Descripción: se ha solucionado un problema de confusión de tipo mediante la mejora de las comprobaciones.
CVE-2024-40803: Patrick Wardle de DoubleYou & Objective-See Foundation
NetworkExtension
Disponible para: macOS Monterey
Impacto: la navegación privada puede filtrar parte del historial de navegación.
Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.
CVE-2024-40796: Adam M.
OpenSSH
Disponible para: macOS Monterey
Impacto: un atacante remoto podría provocar la ejecución de código arbitrario.
Descripción: se trata de una vulnerabilidad en el código fuente abierto y el Software Apple se encuentra entre los proyectos afectados. El CVE-ID fue asignado por un tercero. Más información sobre el tema y el CVE-ID en cve.org.
CVE-2024-6387
PackageKit
Disponible para: macOS Monterey
Impacto: un atacante local podría aumentar sus privilegios.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2024-40781: Mickey Jin (@patch1t)
CVE-2024-40802: Mickey Jin (@patch1t)
PackageKit
Disponible para: macOS Monterey
Impacto: una app podría acceder a datos confidenciales de los usuarios.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2024-40823: Zhongquan Li (@Guluisacat) de Dawn Security Lab, JingDong
PackageKit
Disponible para: macOS Monterey
Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.
Descripción: se ha solucionado un problema de permisos con restricciones adicionales.
CVE-2024-27882: Mickey Jin (@patch1t)
CVE-2024-27883: Csaba Fitzl (@theevilbit) de Kandji y Mickey Jin (@patch1t)
Restore Framework
Disponible para: macOS Monterey
Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.
Descripción: se ha solucionado un problema de validación de las entradas mejorando dicha validación.
CVE-2024-40800: Claudio Bozzato y Francesco Benvenuto de Cisco Talos
RTKit
Disponible para: macOS Monterey
Impacto: un atacante que tenga funciones arbitrarias de lectura y escritura de kernel podría ser capaz de omitir la autenticación de puntero. Apple tiene conocimiento de que este problema se ha explotado.
Descripción: se ha solucionado un problema de memoria mejorando la validación.
CVE-2024-23296
Safari
Disponible para: macOS Monterey
Impacto: visitar un sitio web que incluye contenido malintencionado podría provocar la suplantación de la interfaz del usuario.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la interfaz de usuario.
CVE-2024-40817: Yadhu Krishna M y Narendra Bhati, dirección de Cyber Security en Suma Soft Pvt. Ltd, Pune (India)
Scripting Bridge
Disponible para: macOS Monterey
Impacto: una app podría ser capaz de acceder a la información sobre los contactos de un usuario.
Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.
CVE-2024-27881: Kirin (@Pwnrin)
Security
Disponible para: macOS Monterey
Impacto: es posible que las extensiones de apps de otros fabricantes no reciban las restricciones de zona protegida correctas
Descripción: se ha solucionado un problema de acceso con restricciones de zona protegida adicionales.
CVE-2024-40821: Joshua Jones
Security
Disponible para: macOS Monterey
Impacto: una app puede ser capaz de leer el historial de navegación de Safari.
Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.
CVE-2024-40798: Adam M.
Shortcuts
Disponible para: macOS Monterey
Impacto: un acceso directo podría utilizar información confidencial mediante ciertas acciones sin preguntar al usuario.
Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.
CVE-2024-40833: investigador anónimo
CVE-2024-40835: investigador anónimo
CVE-2024-40807: investigador anónimo
Shortcuts
Disponible para: macOS Monterey
Impacto: un acceso directo puede ser capaz de omitir la configuración sensible de la app Atajos.
Descripción: este problema se ha solucionado añadiendo una solicitud adicional de consentimiento del usuario.
CVE-2024-40834: Marcio Almeida de Tanto Security
Shortcuts
Disponible para: macOS Monterey
Impacto: un acceso directo podría ser capaz de omitir los requisitos de permisos de Internet
Descripción: este problema se ha solucionado añadiendo una solicitud adicional de consentimiento del usuario.
CVE-2024-40787: investigador anónimo
Shortcuts
Disponible para: macOS Monterey
Impacto: una app podría acceder a datos confidenciales de los usuarios.
Descripción: el problema se ha solucionado eliminando el código vulnerable.
CVE-2024-40793: Kirin (@Pwnrin)
Shortcuts
Disponible para: macOS Monterey
Impacto: un acceso directo podría ser capaz de omitir los requisitos de permisos de Internet
Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.
CVE-2024-40809: investigador anónimo
CVE-2024-40812: investigador anónimo
Time Zone
Disponible para: macOS Monterey
Impacto: un atacante puede leer información que pertenece a otro usuario.
Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.
CVE-2024-23261: Matthew Loewen
Otros agradecimientos
Image Capture
Queremos dar las gracias a un investigador anónimo por su ayuda.
Shortcuts
Queremos dar las gracias a un investigador anónimo por su ayuda.