Acerca del contenido de seguridad de macOS Sonoma 14.8

En este documento, se describe el contenido de seguridad de macOS Sonoma 14.8.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Las versiones recientes se enumeran en la página Versiones de seguridad de Apple.

Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.

Para obtener más información sobre los aspectos de seguridad, consulta la página de seguridad de los productos Apple.

macOS Sonoma 14.8

AMD

Disponible para macOS Sonoma

Impacto: Una app podía provocar el cierre inesperado del sistema.

Descripción: Se mejoró la comprobación de límites para solucionar un problema de desbordamiento de búferes.

CVE-2025-43312: ABC Research s.r.o.

AppKit

Disponible para macOS Sonoma

Impacto: Una app podía acceder a datos protegidos del usuario

Descripción: Para resolver este problema, se bloqueó el inicio de servicios no firmados en las Mac con procesador Intel.

CVE-2025-43321: Mickey Jin (@patch1t)

Apple Online Store Kit

Disponible para macOS Sonoma

Impacto: Una app podía acceder a datos protegidos del usuario

Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.

CVE-2025-31268: Csaba Fitzl (@theevilbit) y Nolan Astrein de Kandji

AppSandbox

Disponible para macOS Sonoma

Impacto: Una app podía acceder a datos protegidos del usuario

Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.

CVE-2025-43285: Zhongquan Li (@Guluisacat), Mickey Jin (@patch1t)

Call History

Disponible para macOS Sonoma

Impacto: Es posible que una app pueda registrar la huella digital del usuario

Descripción: Para solucionar este problema, se mejoró la redacción de información confidencial.

CVE-2025-43357: Rosyna Keller de Totally Not Malicious Software y Guilherme Rambo de Best Buddy Apps (rambo.codes)

CoreAudio

Disponible para macOS Sonoma

Impacto: El procesamiento de un archivo de video creado con fines malintencionados podía provocar el cierre inesperado de la app.

Descripción: Se mejoró la validación de entradas para solucionar un problema de escritura fuera de los límites.

CVE-2025-43349: @zlluny en colaboración con el programa Zero Day Initiative de Trend

CoreAudio

Disponible para macOS Sonoma

Impacto: El procesamiento de un archivo de audio creado con fines malintencionados podía generar daños en la memoria.

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2025-43277: Google's Threat Analysis Group

CoreMedia

Disponible para macOS Sonoma

Impacto: Un proceso aislado podía eludir las restricciones de la zona protegida.

Descripción: Se solucionó un problema de permisos mediante restricciones adicionales de la zona protegida.

CVE-2025-43273: Seo Hyun-gyu (@wh1te4ever), Minghao Lin (@Y1nKoc), 风 (binaryfmyy), BochengXiang(@Crispr), YingQi Shi (@Mas0nShi) y Dora Orak

CoreServices

Disponible para macOS Sonoma

Impacto: Una app creada con fines malintencionados podía obtener acceso a información privada.

Descripción: Se mejoraron las comprobaciones para solucionar un problema de lógica.

CVE-2025-43305: un investigador anónimo y Mickey Jin (@patch1t)

CoreServices

Disponible para macOS Sonoma

Impacto: Es posible que una app pueda modificar partes protegidas del sistema de archivos

Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.

CVE-2025-43290: Zhongcheng Li de IES Red Team de ByteDance

CoreServices

Disponible para macOS Sonoma

Impacto: Una app creada con fines malintencionados podía acceder a datos confidenciales de los usuarios.

Descripción: Se mejoró la validación para solucionar un problema de lógica.

CVE-2025-43289: Matej Moravec (@MacejkoMoravec), Kirin (@Pwnrin)

FaceTime

Disponible para macOS Sonoma

Impacto: Las llamadas entrantes de FaceTime podían aparecer o ser aceptadas en un dispositivo macOS bloqueado, incluso con las notificaciones desactivadas en la pantalla de bloqueo.

Descripción: Para solucionar este problema, se mejoró la administración del estado.

CVE-2025-31271: Shantanu Thakur

GPU Drivers

Disponible para macOS Sonoma

Impacto: Una app podía acceder a datos confidenciales del usuario.

Descripción: Para solucionar un problema de lectura fuera de los límites, se mejoró la comprobación de límites.

CVE-2025-43326: Wang Yu de Cyberserval

IOHIDFamily

Disponible para macOS Sonoma

Impacto: Una app podía provocar el cierre inesperado del sistema.

Descripción: Para solucionar un problema de escritura fuera de los límites, se mejoró la comprobación de límites.

CVE-2025-43302: Keisuke Hosoda

IOKit

Disponible para macOS Sonoma

Impacto: Una app podía acceder a datos confidenciales del usuario.

Descripción: Se mejoró la administración de estados para solucionar un problema de autorización.

CVE-2025-31255: Csaba Fitzl (@theevilbit) de Kandji

Kernel

Disponible para macOS Sonoma

Impacto: Un socket de servidor UDP vinculado con una interfaz local podía vincularse con todas las interfaces.

Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.

CVE-2025-43359: Viktor Oreshkin

Kernel

Disponible para macOS Sonoma

Impacto: Una app podía acceder a datos confidenciales del usuario.

Descripción: Se mejoraron las comprobaciones para solucionar un problema de corrección.

CVE-2025-43345: Mickey Jin (@patch1t)

LaunchServices

Disponible para macOS Sonoma

Impacto: Es posible que una app pueda acceder a información confidencial del usuario

Descripción: Se mejoraron las comprobaciones para solucionar un problema de lógica.

CVE-2025-43231: Mickey Jin (@patch1t), Kirin@Pwnrin y LFY@secsys de Fudan University, un investigador anónimo

libc

Disponible para macOS Sonoma

Impacto: Una app podía provocar una denegación de servicio.

Descripción: Para solucionar un problema de denegación de servicio, se mejoró la validación.

CVE-2025-43299: Nathaniel Oh (@calysteon)

CVE-2025-43295: Nathaniel Oh (@calysteon)

Libinfo

Disponible para macOS Sonoma

Impacto: El procesamiento de una cadena creada con fines malintencionados podía generar daños en la memoria del montón.

Descripción: Para solucionar este problema, se mejoró la comprobación de los límites.

CVE-2025-43353: Nathaniel Oh (@calysteon)

MediaLibrary

Disponible para macOS Sonoma

Impacto: Una app podía acceder a datos protegidos del usuario

Descripción: Este problema se solucionó mediante la eliminación del código vulnerable.

CVE-2025-43319: Hikerell (Loadshine Lab)

MigrationKit

Disponible para macOS Sonoma

Impacto: Es posible que una app pueda acceder a información confidencial del usuario

Descripción: Este problema se solucionó mediante la eliminación del código vulnerable.

CVE-2025-43315: Rodolphe Brunetti (@eisw0lf) de Lupus Nova

MobileStorageMounter

Disponible para macOS Sonoma

Impacto: Una app podía provocar una denegación de servicio.

Descripción: Se mejoró el manejo de la memoria para solucionar un problema de confusión de tipo.

CVE-2025-43355: Dawuge de Shuffle Team

NetFSFramework

Disponible para macOS Sonoma

Impacto: Una app podía salir de su zona protegida

Descripción: Se solucionó un problema de condición de carrera mediante validaciones adicionales.

CVE-2025-43364: Csaba Fitzl (@theevilbit) de Kandji

Notification Center

Disponible para macOS Sonoma

Impacto: Una app podía acceder a la información de contacto relativa a las notificaciones en el Centro de notificaciones.

Descripción: Para solucionar un problema de privacidad, se mejoró la redacción de datos privados para las entradas de registro.

CVE-2025-43301: LFY@secsys de Fudan University

PackageKit

Disponible para macOS Sonoma

Impacto: Una app podía obtener privilegios de usuario raíz.

Descripción: Se mejoró la validación de rutas para solucionar un problema de análisis sintáctico en el manejo de rutas de directorios.

CVE-2025-43298: un investigador anónimo

Perl

Disponible para macOS Sonoma

Impacto: Varios problemas en Perl.

Descripción: Esta es una vulnerabilidad en código abierto y el software de Apple está entre los proyectos afectados. Un proveedor independiente asignó el ID CVE. Obtén más información sobre el problema y el ID CVE en cve.org.

CVE-2025-40909

Phone

Disponible para macOS Sonoma

Impacto: Una app podía acceder a datos confidenciales del usuario.

Descripción: Para solucionar un problema de inicio de sesión, se mejoró la redacción de datos.

CVE-2025-43508: Wojciech Regula de SecuRing (wojciechregula.blog)

Printing

Disponible para macOS Sonoma

Impacto: Una app podía acceder a datos protegidos del usuario

Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.

CVE-2025-31269: Zhongcheng Li de IES Red Team de ByteDance

Ruby

Disponible para macOS Sonoma

Impacto: Es posible que el procesamiento de un archivo pueda ocasionar una denegación de servicio o revelar el contenido de la memoria.

Descripción: Esta es una vulnerabilidad en código abierto y el software de Apple está entre los proyectos afectados. Un proveedor independiente asignó el ID CVE. Obtén más información sobre el problema y el ID CVE en cve.org.

CVE-2024-27280

Screenshots

Disponible para macOS Sonoma

Impacto: Una app podía hacer una captura de pantalla de una app durante el ingreso al modo de pantalla completa o la salida de él.

Descripción: Se mejoraron las comprobaciones para solucionar un problema de privacidad.

CVE-2025-31259: un investigador anónimo

Security Initialization

Disponible para macOS Sonoma

Impacto: Una app podía salir de su zona protegida

Descripción: Se solucionó un problema de omisión de cuarentena de archivos con comprobaciones adicionales.

CVE-2025-43332: un investigador anónimo

SharedFileList

Disponible para macOS Sonoma

Impacto: Una app podía acceder a datos confidenciales del usuario.

Descripción: Se mejoró la validación de entradas para solucionar el problema.

CVE-2025-43293: un investigador anónimo

SharedFileList

Disponible para macOS Sonoma

Impacto: Es posible que una app pueda modificar partes protegidas del sistema de archivos

Descripción: Un problema de permisos se solucionó mediante la eliminación del código vulnerable.

CVE-2025-43291: Ye Zhang de Baidu Security

SharedFileList

Disponible para macOS Sonoma

Impacto: Una app podía salir de su zona protegida

Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.

CVE-2025-43286: pattern-f (@pattern_F_), @zlluny

Shortcuts

Disponible para macOS Sonoma

Impacto: Un atajo podía eludir las restricciones de la zona protegida.

Descripción: Se solucionó un problema de permisos mediante restricciones adicionales de la zona protegida.

CVE-2025-43358: 정답이 아닌 해답

Siri

Disponible para macOS Sonoma

Impacto: Una app podía acceder a datos protegidos del usuario

Descripción: Para solucionar un problema de privacidad, se trasladaron datos confidenciales.

CVE-2025-43367: Kirin (@Pwnrin), Cristian Dinca del Colegio Nacional de Informática Tudor Vianu de Rumania

Spell Check

Disponible para macOS Sonoma

Impacto: Una app podía acceder a datos confidenciales del usuario.

Descripción: Se mejoró la validación de rutas para solucionar un problema de análisis sintáctico en el manejo de rutas de directorios.

CVE-2025-43190: Noah Gregory (wts.dev)

Spotlight

Disponible para macOS Sonoma

Impacto: Una app podía acceder a datos confidenciales del usuario.

Descripción: Se mejoraron las comprobaciones para solucionar un problema de lógica.

CVE-2025-24197: Rodolphe Brunetti (@eisw0lf) de Lupus Nova

Storage

Disponible para macOS Sonoma

Impacto: Una app podía obtener privilegios de usuario raíz.

Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.

CVE-2025-43341: un investigador anónimo

StorageKit

Disponible para macOS Sonoma

Impacto: Una app podía acceder a datos confidenciales del usuario.

Descripción: Se mejoró la validación de rutas para solucionar un problema de análisis sintáctico en el manejo de rutas de directorios.

CVE-2025-43314: Mickey Jin (@patch1t)

StorageKit

Disponible para macOS Sonoma

Impacto: Una app podía obtener privilegios de usuario raíz.

Descripción: Se mejoró el manejo de estados para solucionar un problema de condición de carrera.

CVE-2025-43304: Mickey Jin (@patch1t)

StorageKit

Disponible para macOS Sonoma

Impacto: Una app creada con fines malintencionados podía obtener privilegios de usuario raíz.

Descripción: Se mejoraron las comprobaciones para solucionar un problema de lógica.

CVE-2025-43306: Mickey Jin (@patch1t)

Touch Bar

Disponible para macOS Sonoma

Impacto: Una app podía acceder a datos protegidos del usuario

Descripción: Para solucionar este problema, se realizaron más comprobaciones de titularidad.

CVE-2025-43311: un investigador anónimo, Justin Elliot Fu

Touch Bar Controls

Disponible para macOS Sonoma

Impacto: Una app podía acceder a datos confidenciales del usuario.

Descripción: Para solucionar este problema, se realizaron más comprobaciones de titularidad.

CVE-2025-43308: un investigador anónimo

WindowServer

Disponible para macOS Sonoma

Impacto: Una app podía engañar a un usuario para que copie datos confidenciales en el portapapeles.

Descripción: Se solucionó un problema de configuración mediante restricciones adicionales.

CVE-2025-43310: un investigador anónimo

Otros agradecimientos

AirPort

Nos gustaría darle las gracias a Csaba Fitzl (@theevilbit) de Kandji por su ayuda.

libpthread

Nos gustaría darle las gracias a Nathaniel Oh (@calysteon) por su ayuda.

libxml2

Nos gustaría darles las gracias a Nathaniel Oh (@calysteon) y Sergei Glazunov de Google Project Zero por su ayuda.

SharedFileList

Nos gustaría darle las gracias a Ye Zhang de Baidu Security por su ayuda.

Wi-Fi

Nos gustaría darles las gracias a Csaba Fitzl (@theevilbit) de Kandji, Noah Gregory (wts.dev), Wojciech Regula de SecuRing (wojciechregula.blog) y un investigador anónimo por su ayuda.

WindowServer

Nos gustaría darle las gracias a un investigador anónimo por su ayuda.