Acerca del contenido de seguridad de macOS Sonoma 14

En este documento se describe el contenido de seguridad de macOS Sonoma 14.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Las versiones más recientes se pueden encontrar en la página Versiones de seguridad de Apple.

Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.

Para obtener más información sobre la seguridad, consulta la página Seguridad de los productos Apple.

macOS Sonoma 14

Publicado el 26 de septiembre de 2023

AirPort

Disponible para: Mac Studio (2022 y modelos posteriores), iMac (2019 y modelos posteriores), Mac Pro (2019 y modelos posteriores), Mac mini (2018 y modelos posteriores), MacBook Air (2018 y modelos posteriores), MacBook Pro (2018 y modelos posteriores) y iMac Pro (2017)

Impacto: Es posible que una app pueda obtener acceso a información confidencial de ubicación

Descripción: Se mejoró la redacción de la información confidencial para solucionar un problema de permisos.

CVE-2023-40384: Adam M.

AMD

Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel.

Descripción: Se mejoró el manejo de la memoria para solucionar un problema de desbordamiento de búferes.

CVE-2023-32377: ABC Research s.r.o.

AMD

Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2023-38615: ABC Research s.r.o.

App Store

Impacto: Es posible que un atacante remoto pueda salir de su zona protegida de contenido web

Descripción: Para solucionar el problema, se mejoró el manejo de protocolos.

CVE-2023-40448: w0wbox

Apple Neural Engine

Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2023-40432: Mohamed GHANNAM (@_simo36)

CVE-2023-42871: Mohamed GHANNAM (@_simo36)

Entrada actualizada el 22 de diciembre de 2023

Apple Neural Engine

Impacto: Una app podía divulgar la memoria del kernel.

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2023-40399: Mohamed GHANNAM (@_simo36)

Apple Neural Engine

Impacto: Una app podía divulgar la memoria del kernel.

Descripción: Para solucionar un problema de lectura fuera de los límites, se mejoró la validación de entradas.

CVE-2023-40410: Tim Michaud (@TimGMichaud) de Moveworks.ai

AppleMobileFileIntegrity

Impacto: Una app podía acceder a datos confidenciales del usuario.

Descripción: Se agregaron más comprobaciones de permisos para solucionar el problema.

CVE-2023-42872: Mickey Jin (@patch1t)

Entrada agregada el 22 de diciembre de 2023

AppSandbox

Impacto: Es posible que una app pueda acceder a datos protegidos del usuario

Descripción: Para solucionar este problema, se mejoró la comprobación.

CVE-2023-42929: Mickey Jin (@patch1t)

Entrada agregada el 22 de diciembre de 2023

AppSandbox

Impacto: Una app podía acceder a los archivos adjuntos de Notas.

Descripción: El problema se solucionó con una restricción mejorada del acceso al contenedor de datos.

CVE-2023-42925: Wojciech Reguła (@_r3ggi) y Kirin (@Pwnrin)

Entrada agregada el 16 de julio de 2024

Ask to Buy

Impacto: Es posible que una app pueda acceder a datos protegidos del usuario

Descripción: Para solucionar este problema, se mejoró la comprobación.

CVE-2023-38612: Chris Ross (Zoom)

Entrada agregada el 22 de diciembre de 2023

AuthKit

Impacto: Es posible que una app pueda acceder a información confidencial del usuario

Descripción: Para solucionar el problema, se mejoró el manejo de las cachés.

CVE-2023-32361: Csaba Fitzl (@theevilbit) de Offensive Security

Bluetooth

Impacto: Un atacante con proximidad física podía ocasionar una escritura limitada fuera de límites.

Descripción: Para solucionar este problema, se mejoró la comprobación.

CVE-2023-35984: zer0k

Bluetooth

Impacto: Una app podía acceder a datos confidenciales del usuario.

Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.

CVE-2023-40402: Yiğit Can YILMAZ (@yilmazcanyigit)

Bluetooth

Impacto: Es posible que una app pueda omitir ciertas preferencias de privacidad.

Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.

CVE-2023-40426: Yiğit Can YILMAZ (@yilmazcanyigit)

BOM

Impacto: Es posible que el procesamiento de un archivo pueda ocasionar una denegación de servicio o revelar el contenido de la memoria.

Descripción: Para solucionar este problema, se mejoró la comprobación de los límites.

CVE-2023-42876: Koh M. Nakagawa (@tsunek0h)

Entrada agregada el 22 de diciembre de 2023

bootp

Impacto: Es posible que una app pueda obtener acceso a información confidencial de ubicación

Descripción: Para solucionar un problema de privacidad, se mejoró la redacción de datos privados para las entradas de registro.

CVE-2023-41065: Adam M., y Noah Roskin-Frazee y el profesor Jason Lau (ZeroClicks.ai Lab)

Calendar

Impacto: Una app podía acceder a datos de calendario guardados en un directorio temporario.

Descripción: Se solucionó un problema de privacidad con la mejora del manejo de archivos temporales.

CVE-2023-29497: Kirin (@Pwnrin) y Yishu Wang

CFNetwork

Impacto: Una app podía fallar al ejecutar App Transport Security.

Descripción: Para solucionar el problema, se mejoró el manejo de protocolos.

CVE-2023-38596: Will Brattain en Trail de Bits

Clock

Impacto: Es posible que una app pueda obtener acceso a información confidencial de ubicación

Descripción: Para solucionar un problema de privacidad, se mejoró la redacción de datos privados para las entradas de registro.

CVE-2023-42943: Cristian Dinca del Colegio Nacional de Informática Tudor Vianu de Rumania

Entrada agregada el 16 de julio de 2024

ColorSync

Impacto: Una app podía leer archivos arbitrarios.

Descripción: Para solucionar este problema, se mejoró la comprobación.

CVE-2023-40406: JeongOhKyea de Theori

CoreAnimation

Impacto: El procesamiento de contenido web podía provocar una denegación de servicio.

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2023-40420: 이준성(Junsung Lee) de Cross Republic

Core Data

Impacto: Es posible que una app pueda omitir las preferencias de privacidad.

Descripción: Este problema se solucionó mediante la eliminación del código vulnerable.

CVE-2023-40528: Kirin (@Pwnrin) de NorthSea

Entrada agregada el 22 de enero de 2024

Core Image

Impacto: Una app podía acceder a fotos editadas guardadas en un directorio temporal.

Descripción: Se solucionó un problema con la mejora del manejo de archivos temporales.

CVE-2023-40438: Wojciech Regula de SecuRing (wojciechregula.blog)

Entrada agregada el 22 de diciembre de 2023

CoreMedia

Impacto: Una extensión de la cámara podía acceder a la vista de la cámara desde apps que no eran a la que se le había otorgado permiso.

Descripción: Se mejoraron las comprobaciones para solucionar un problema de lógica

CVE-2023-41994: Halle Winkler y Politepix @hallewinkler

Entrada agregada el 22 de diciembre de 2023

CUPS

Impacto: Un atacante remoto podía provocar una denegación de servicio.

Descripción: Para solucionar este problema, se mejoró la comprobación de los límites.

CVE-2023-40407: Sei K.

Dev Tools

Impacto: Una app podía obtener privilegios elevados.

Descripción: Para solucionar este problema, se mejoraron las comprobaciones.

CVE-2023-32396: Mickey Jin (@patch1t)

CVE-2023-42933: Mickey Jin (@patch1t)

Entrada actualizada el 22 de diciembre de 2023

FileProvider

Impacto: Es posible que una app pueda omitir las preferencias de privacidad.

Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.

CVE-2023-41980: Noah Roskin-Frazee y el profesor Jason Lau (ZeroClicks.ai Lab)

FileProvider

Impacto: Es posible que una app pueda acceder a información confidencial del usuario

Descripción: Para solucionar este problema, se mejoró la protección de datos.

CVE-2023-40411: Noah Roskin-Frazee y Prof. J., (ZeroClicks.ai Lab), y Csaba Fitzl (@theevilbit) de Offensive Security

Entrada agregada el 22 de diciembre de 2023

Game Center

Impacto: Una app podía acceder a los contactos.

Descripción: Para solucionar el problema, se mejoró el manejo de las cachés.

CVE-2023-40395: Csaba Fitzl (@theevilbit) de Offensive Security

GPU Drivers

Impacto: Una app podía divulgar la memoria del kernel.

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2023-40391: Antonio Zekic (@antoniozekic) de Dataflow Security

GPU Drivers

Impacto: El procesamiento de contenido web podía provocar una denegación de servicio.

Descripción: Se solucionó un problema de agotamiento de recursos mejorando la validación de entradas.

CVE-2023-40441: Ron Masas de Imperva

Graphics Drivers

Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel.

Descripción: Para solucionar un problema de condición de carrera, se mejoró el manejo de estados.

CVE-2023-42959: Murray Mike

Entrada agregada el 16 de julio de 2024

iCloud

Impacto: Una app podía acceder a datos confidenciales del usuario.

Descripción: Se mejoró la redacción de la información confidencial para solucionar un problema de permisos.

CVE-2023-23495: Csaba Fitzl (@theevilbit) de Offensive Security

iCloud Photo Library

Impacto: Una app podía acceder a la Fototeca de un usuario.

Descripción: Se solucionó un problema de configuración mediante restricciones adicionales.

CVE-2023-40434: Mikko Kenttälä (@Turmio_) de SensorFu

Image Capture

Impacto: Un proceso aislado podía eludir las restricciones de la zona protegida.

Descripción: Para solucionar un problema de acceso, se agregaron restricciones de la zona protegida.

CVE-2023-38586: Yiğit Can YILMAZ (@yilmazcanyigit)

IOAcceleratorFamily

Impacto: Un atacante podía provocar el cierre inesperado del sistema o leer la memoria del kernel.

Descripción: Para solucionar este problema, se mejoró la comprobación de los límites.

CVE-2023-40436: Murray Mike

IOUserEthernet

Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2023-40396: Equipo de Certik Skyfall

Entrada agregada el 16 de julio de 2024

Kernel

Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel.

Descripción: Se mejoró la administración de la memoria para solucionar un problema de uso después de liberación.

CVE-2023-41995: Equipo de Certik Skyfall y pattern-f (@pattern_F_) de Ant Security Light-Year Lab

CVE-2023-42870: Zweig de Kunlun Lab

Entrada actualizada el 22 de diciembre de 2023

Kernel

Impacto: Un atacante que lograba ejecutar el código del kernel podía omitir las mitigaciones de memoria del kernel.

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2023-41981: Linus Henze de Pinauten GmbH (pinauten.de)

Kernel

Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) de STAR Labs SG Pte. Ltd.

Kernel

Impacto: Una app podía acceder a datos confidenciales del usuario.

Descripción: Se mejoró la validación para solucionar un problema de permisos.

CVE-2023-40429: Michael (Biscuit) Thomas y 张师傅(@京东蓝军)

Kernel

Impacto: Un usuario remoto podía ocasionar la ejecución del código del kernel.

Descripción: Se mejoraron las comprobaciones para solucionar un problema de tipo confusión.

CVE-2023-41060: Joseph Ravichandran (@0xjprx) de MIT CSAIL

Entrada agregada el 22 de diciembre de 2023

LaunchServices

Impacto: Es posible que una app omita las comprobaciones de Gatekeeper

Descripción: Se mejoraron las comprobaciones para solucionar un problema de lógica.

CVE-2023-41067: Ferdous Saljooki (@malwarezoo) de Jamf Software y un investigador anónimo

libpcap

Impacto: Un usuario remoto podía provocar el cierre inesperado de una app o la ejecución de código arbitrario.

Descripción: Para solucionar este problema, se mejoraron las comprobaciones.

CVE-2023-40400: Sei K.

libxpc

Impacto: Una app podía eliminar archivos para los que no tenía permiso.

Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.

CVE-2023-40454: Zhipeng Huo (@R3dF09) de Tencent Security Xuanwu Lab (xlab.tencent.com)

libxpc

Impacto: Es posible que una app pueda acceder a datos protegidos del usuario

Descripción: Se mejoró la administración de estados para solucionar un problema de autorización.

CVE-2023-41073: Zhipeng Huo (@R3dF09) de Tencent Security Xuanwu Lab (xlab.tencent.com)

libxslt

Impacto: Es posible que el procesamiento de contenido web pueda divulgar información confidencial

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2023-40403: Dohyun Lee (@l33d0hyun) de PK Security

Maps

Impacto: Es posible que una app pueda obtener acceso a información confidencial de ubicación

Descripción: Para solucionar el problema, se mejoró el manejo de las cachés.

CVE-2023-40427: Adam M. y Wojciech Regula de SecuRing (wojciechregula.blog)

Maps

Impacto: Es posible que una app pueda obtener acceso a información confidencial de ubicación

Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.

CVE-2023-42957: Adam M. y Ron Masas de BreakPoint Security Research

Entrada agregada el 16 de julio de 2024

Messages

Impacto: Una app podía observar datos de usuario no protegidos.

Descripción: Se solucionó un problema de privacidad con la mejora del manejo de archivos temporales.

CVE-2023-32421: Meng Zhang (鲸落) de NorthSea, Ron Masas de BreakPoint Security Research, Kishan Bagaria de Texts.com y Brian McNulty

Model I/O

Impacto: El procesamiento de un archivo podía ocasionar la ejecución de código arbitrario.

Descripción: Para solucionar este problema, se mejoró la comprobación.

CVE-2023-42826: Michael DePlante (@izobashi) del programa Zero Day Initiative de Trend Micro

Entrada agregada el 19 de octubre de 2023

Model I/O

Impacto: Un proceso aislado podía eludir las restricciones de la zona protegida.

Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.

CVE-2023-42918: Mickey Jin (@patch1t)

Entrada agregada el 16 de julio de 2024

Music

Impacto: Una app podía modificar partes protegidas del sistema de archivos.

Descripción: Para solucionar este problema, se mejoró la comprobación.

CVE-2023-41986: Gergely Kalman (@gergely_kalman)

NetFSFramework

Impacto: Un proceso aislado podía eludir las restricciones de la zona protegida.

Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.

CVE-2023-40455: Zhipeng Huo (@R3dF09) de Tencent Security Xuanwu Lab (xlab.tencent.com)

Notes

Impacto: Una app podía acceder a los archivos adjuntos de Notas.

Descripción: Se solucionó un problema de privacidad con la mejora del manejo de archivos temporales.

CVE-2023-40386: Kirin (@Pwnrin)

OpenSSH

Impacto: Se descubrió una vulnerabilidad en el reenvío remoto de OpenSSH.

Descripción: Para solucionar este problema, se actualizó OpenSSH a la versión 9.3p2.

CVE-2023-38408: baba yaga, un investigador anónimo

Entrada agregada el 22 de diciembre de 2023

Passkeys

Impacto: Un atacante podía acceder a las llaves de acceso sin autenticación.

Descripción: Se agregaron más comprobaciones de permisos para solucionar el problema.

CVE-2023-40401: weize she y un investigador anónimo

Entrada agregada el 22 de diciembre de 2023

Photos

Impacto: Las fotos del álbum de fotos ocultas se podían ver sin autenticación.

Descripción: Se solucionó un problema de autenticación mejorando la administración de estados.

CVE-2023-40393: un investigador anónimo, Berke Kırbaş y Harsh Jaiswal

Entrada agregada el 22 de diciembre de 2023

Photos

Impacto: Una app podía acceder a fotos editadas guardadas en un directorio temporal.

Descripción: Para solucionar este problema, se mejoró la protección de datos.

CVE-2023-42949: Kirin (@Pwnrin)

Entrada agregada el 16 de julio de 2024

Photos Storage

Impacto: Una app con privilegios de usuario raíz podía acceder a información privada.

Descripción: Se solucionó un problema de divulgación de información eliminando el código vulnerable.

CVE-2023-42934: Wojciech Regula de SecuRing (wojciechregula.blog)

Entrada agregada el 22 de diciembre de 2023

Power Management

Impacto: Es posible que un usuario pueda ver contenido restringido desde la pantalla de bloqueo

Descripción: Se mejoró la administración de estados para solucionar un problema de bloqueo de pantalla.

CVE-2023-37448: Serkan Erayabakan, David Kotval, Akincibor, Sina Ahmadi de George Mason University y Billy Tabrizi

Entrada actualizada el 22 de diciembre de 2023

Printing

Impacto: Una app podía modificar la configuración de la impresora.

Descripción: Para solucionar el problema, se mejoró el manejo de las cachés.

CVE-2023-38607: Yiğit Can YILMAZ (@yilmazcanyigit)

Entrada agregada el 22 de diciembre de 2023

Printing

Impacto: Una app podía acceder a datos confidenciales del usuario.

Descripción: Para solucionar este problema, se mejoraron las comprobaciones.

CVE-2023-41987: Kirin (@Pwnrin) y Wojciech Regula de SecuRing (wojciechregula.blog)

Entrada agregada el 22 de diciembre de 2023

Pro Res

Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2023-41063: Equipo de Certik Skyfall

QuartzCore

Impacto: Una app podía provocar una denegación de servicio.

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2023-40422: Tomi Tokics (@tomitokics) de iTomsn0w

Safari

Impacto: Es posible que el procesamiento de contenido web pueda divulgar información confidencial

Descripción: Para solucionar este problema, se mejoró la comprobación.

CVE-2023-39233: Luan Herrera (@lbherrera_)

Safari

Impacto: Safari podía guardar las fotos en una ubicación no protegida.

Descripción: Se solucionó un problema de privacidad con la mejora del manejo de archivos temporales.

CVE-2023-40388: Kirin (@Pwnrin)

Safari

Impacto: Una app podía identificar qué otras apps había instalado un usuario.

Descripción: Para solucionar este problema, se mejoró la comprobación.

CVE-2023-35990: Adriatik Raci de Sentry Cybersecurity

Safari

Impacto: Visitar un sitio web con contenido malicioso podía provocar una suplantación en la interfaz del usuario.

Descripción: Se mejoró la administración de estados para solucionar un problema de administración de ventanas.

CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati) de Suma Soft Pvt. Ltd, Pune, India

Entrada actualizada el 22 de diciembre de 2023

Sandbox

Impacto: Una app podía sobrescribir archivos arbitrarios.

Descripción: Para solucionar este problema, se mejoró la comprobación de los límites.

CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)

Sandbox

Impacto: Una app podía acceder a volúmenes extraíbles sin el consentimiento del usuario.

Descripción: Se mejoraron las comprobaciones para solucionar un problema de lógica.

CVE-2023-40430: Yiğit Can YILMAZ (@yilmazcanyigit)

Entrada agregada el 22 de diciembre de 2023

Sandbox

Impacto: Las apps que no pasaban las pruebas de verificación podían iniciarse de todos modos.

Descripción: Para solucionar este problema, se mejoró la comprobación.

CVE-2023-41996: Mickey Jin (@patch1t) y Yiğit Can YILMAZ (@yilmazcanyigit)

Entrada agregada el 22 de diciembre de 2023

Screen Sharing

Impacto: Es posible que una app pueda omitir ciertas preferencias de privacidad.

Descripción: Se mejoró la administración de estados para solucionar un problema de autorización.

CVE-2023-41078: Zhipeng Huo (@R3dF09) de Tencent Security Xuanwu Lab (xlab.tencent.com)

Share Sheet

Impacto: Una app podía acceder a datos confidenciales registrados cuando un usuario compartía un enlace.

Descripción: Se mejoraron las comprobaciones para solucionar un problema de lógica.

CVE-2023-41070: Kirin (@Pwnrin)

Shortcuts

Impacto: Un atajo podía emitir datos confidenciales del usuario sin su consentimiento.

Descripción: Para solucionar este problema, se agregó una solicitud de consentimiento del usuario adicional.

CVE-2023-40541: Noah Roskin-Frazee (ZeroClicks.ai Lab) y James Duffy (mangoSecure)

Shortcuts

Impacto: Es posible que una app pueda omitir las preferencias de privacidad.

Descripción: Se mejoró la lógica de permisos para solucionar el problema.

CVE-2023-41079: Ron Masas de BreakPoint.sh y un investigador anónimo

Spotlight

Impacto: Una app podía obtener privilegios de usuario raíz.

Descripción: Para solucionar este problema, se mejoró la comprobación.

CVE-2023-40443: Gergely Kalman (@gergely_kalman)

Entrada agregada el 22 de diciembre de 2023

StorageKit

Impacto: Una app podía leer archivos arbitrarios.

Descripción: Para solucionar este problema, se mejoró la validación de enlaces simbólicos.

CVE-2023-41968: Mickey Jin (@patch1t) y James Hutchins

System Preferences

Impacto: Es posible que una app omita las comprobaciones de Gatekeeper

Descripción: Para solucionar este problema, se mejoró la comprobación.

CVE-2023-40450: Thijs Alkemade (@xnyhps) de Computest Sector 7

System Settings

Impacto: Es posible que una contraseña de Wi-Fi no se elimine al activar una Mac desde Recuperación de macOS.

Descripción: Para solucionar este problema, se mejoró la administración del estado.

CVE-2023-42948: Andrew Haggard

Entrada agregada el 16 de julio de 2024

TCC

Impacto: Es posible que una app pueda acceder a información confidencial del usuario

Descripción: Para solucionar este problema, se mejoró la comprobación.

CVE-2023-40424: Arsenii Kostromin (0x3c3e), Joshua Jewett (@JoshJewett33) y Csaba Fitzl (@theevilbit) de Offensive Security

WebKit

Impacto: Es posible que el procesamiento de contenido web creado pueda provocar la ejecución de código arbitrario

Descripción: Para solucionar un problema de uso después de liberación, se mejoró la administración de la memoria.

WebKit Bugzilla: 249451

CVE-2023-39434: Francisco Alonso (@revskills) y Dohyun Lee (@l33d0hyun) de PK Security

WebKit Bugzilla: 258992

CVE-2023-40414: Francisco Alonso (@revskills)

Entrada actualizada el 22 de diciembre de 2023

WebKit

Impacto: Es posible que el procesamiento de contenido web creado pueda provocar la ejecución de código arbitrario

Descripción: Para solucionar este problema, se mejoró la comprobación.

WebKit Bugzilla: 256551

CVE-2023-41074: 이준성 (Junsung Lee) de Cross Republic y Jie Ding (@Lime) de HKUS3 Lab

Entrada actualizada el 22 de diciembre de 2023

WebKit

Impacto: Es posible que el procesamiento de contenido web genere la ejecución de código arbitrario

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

WebKit Bugzilla: 239758

CVE-2023-35074: Jong Seong Kim (@nevul37) y Dong Jun Kim (@smlijun) de Ajou University Abysslab

Entrada actualizada el 22 de diciembre de 2023

WebKit

Impacto: El procesamiento de contenido web podía provocar la ejecución de código arbitrario. Apple está al tanto de que este problema podría haberse explotado de forma activa frente a las versiones de iOS anteriores a iOS 16.7.

Descripción: Para solucionar este problema, se mejoró la comprobación.

WebKit Bugzilla: 261544

CVE-2023-41993: Bill Marczak de The Citizen Lab de Munk School de la Universidad de Toronto y Maddie Stone de Threat Analysis Group de Google

WebKit

Impacto: La contraseña del usuario podía leerse en voz alta usando VoiceOver.

Descripción: Para solucionar este problema, se mejoró la redacción de información confidencial.

WebKit Bugzilla: 248717

CVE-2023-32359: Claire Houston

Entrada agregada el 22 de diciembre de 2023

WebKit

Impacto: Un atacante remoto podía ver consultas de DNS filtradas al tener la Retransmisión privada activada.

Descripción: Este problema se solucionó mediante la eliminación del código vulnerable.

WebKit Bugzilla: 257303

CVE-2023-40385: anónimo

Entrada agregada el 22 de diciembre de 2023

WebKit

Impacto: Es posible que el procesamiento de contenido web creado pueda provocar la ejecución de código arbitrario

Descripción: Se mejoraron las comprobaciones para solucionar un problema de corrección.

WebKit Bugzilla: 258592

CVE-2023-42833: Dong Jun Kim (@smlijun) y Jong Seong Kim (@nevul37) de AbyssLab

Entrada agregada el 22 de diciembre de 2023

Wi-Fi

Impacto: Una app podía provocar el cierre inesperado del sistema o escribir la memoria del kernel.

Descripción: Se eliminó un código vulnerable para solucionar un problema de daños en la memoria.

CVE-2023-38610: Wang Yu de Cyberserval

Entrada agregada el 22 de diciembre de 2023

Windows Server

Impacto: Una app podía divulgar de forma inesperada las credenciales de un usuario de los campos de texto protegido.

Descripción: Se solucionó un problema de autenticación mejorando la administración de estados.

CVE-2023-41066: un investigador anónimo, Jeremy Legendre de MacEnhance y Felix Kratz

Entrada actualizada el 22 de diciembre de 2023

XProtectFramework

Impacto: Una app podía modificar partes protegidas del sistema de archivos.

Descripción: Para solucionar un problema de condición de carrera, se mejoró el bloqueo.

CVE-2023-41979: Koh M. Nakagawa (@tsunek0h)

Otros agradecimientos

AirPort

Nos gustaría darles las gracias a Adam M., Noah Roskin-Frazee y al profesor Jason Lau (ZeroClicks.ai Lab) por su ayuda.

AppKit

Nos gustaría darle las gracias a un investigador anónimo por su ayuda.

Apple Neural Engine

Nos gustaría darles las gracias a pattern-f (@pattern_F_) de Ant Security Light-Year Lab por su ayuda.

Entrada agregada el 22 de diciembre de 2023

AppSandbox

Nos gustaría darle las gracias a Kirin (@Pwnrin) por su ayuda.

Archive Utility

Nos gustaría darle las gracias a Mickey Jin (@patch1t) por su ayuda.

Audio

Nos gustaría darle las gracias a Mickey Jin (@patch1t) por su ayuda.

Bluetooth

Nos gustaría darles las gracias a Jianjun Dai y Guang Gong de 360 Vulnerability Research Institute por su ayuda.

Books

Nos gustaría darle las gracias a Aapo Oksman de Nixu Cybersecurity por su ayuda.

Entrada agregada el 22 de diciembre de 2023

Control Center

Nos gustaría darle las gracias a Yiğit Can YILMAZ (@yilmazcanyigit) por su ayuda.

Entrada agregada el 22 de diciembre de 2023

Core Location

Nos gustaría darle las gracias a Wouter Hennen por su ayuda.

CoreMedia Playback

Nos gustaría darle las gracias a Mickey Jin (@patch1t) por su ayuda.

CoreServices

Nos gustaría darles las gracias a Thijs Alkemade de Computest Sector 7, Wojciech Reguła (@_r3ggi) de SecuRing y un investigador anónimo por su ayuda.

Entrada agregada el 22 de diciembre de 2023

Data Detectors UI

Nos gustaría darle las gracias por su ayuda a Abhay Kailasia (@abhay_kailasia) de Lakshmi Narain College of Technology Bhopal.

Find My

Nos gustaría darle las gracias a Cher Scarlett por su ayuda.

Home

Nos gustaría darle las gracias a Jake Derouin (jakederouin.com) por su ayuda.

IOGraphics

Nos gustaría darle las gracias a un investigador anónimo por su ayuda.

IOUserEthernet

Nos gustaría darle las gracias a Certik Skyfall Team por su ayuda.

Entrada agregada el 22 de diciembre de 2023

Kernel

Nos gustaría darles las gracias a Bill Marczak de The Citizen Lab de Munk School de la Universidad de Toronto, Maddie Stone de Threat Analysis Group de Google y Xinru Chi de Pangu Lab, 永超王, por su ayuda.

libxml2

Nos gustaría darle las gracias a OSS-Fuzz, Ned Williamson de Google Project Zero por su ayuda.

libxpc

Nos gustaría darle las gracias a un investigador anónimo por su ayuda.

libxslt

Nos gustaría darles las gracias a Dohyun Lee (@l33d0hyun) de PK Security, OSS-Fuzz y Ned Williamson de Google Project Zero por su ayuda.

Mail

Nos gustaría darle las gracias a Taavi Eomäe de Zone Media OÜ por su ayuda.

Entrada agregada el 22 de diciembre de 2023

Menus

Nos gustaría darle las gracias a Matthew Denton de Google Chrome Security por su ayuda.

Entrada agregada el 22 de diciembre de 2023

NSURL

Nos gustaría darle las gracias a Zhanpeng Zhao (行之), 糖豆爸爸 (@晴天组织) por su ayuda.

PackageKit

Nos gustaría darles las gracias a Csaba Fitzl (@theevilbit) de Offensive Security y a un investigador anónimo por su ayuda.

Photos

Nos gustaría darles las gracias a Anatolii Kozlov, Dawid Pałuska, Lyndon Cornelius y Paul Lurin por su ayuda.

Entrada actualizada el 16 de julio de 2024

Power Services

Nos gustaría darle las gracias a Mickey Jin (@patch1t) por su ayuda.

Entrada agregada el 22 de diciembre de 2023

Reminders

Nos gustaría darle las gracias a Paweł Szafirowski por su ayuda.

Safari

Nos gustaría darle las gracias a Kang Ali de Punggawa Cyber Security por su ayuda.

Sandbox

Nos gustaría darle las gracias a Yiğit Can YILMAZ (@yilmazcanyigit) por su ayuda.

SharedFileList

Nos gustaría darles las gracias a Christopher Lopez (@L0Psec) y Kandji, Leo Pitt de Zoom Video Communications, Masahiro Kawada (@kawakatz) de GMO Cybersecurity by Ierae y Ross Bingham (@PwnDexter) por su ayuda.

Entrada actualizada el 22 de diciembre de 2023

Shortcuts

Nos gustaría darles las gracias a Alfie CG, Christian Basting de Bundesamt für Sicherheit in der Informationstechnik, Cristian Dinca de “Tudor Vianu” National High School of Computer Science (Rumania), Giorgos Christodoulidis, Jubaer Alnazi de TRS Group Of Companies, KRISHAN KANT DWIVEDI (@xenonx7) y Matthew Butler por su ayuda.

Entrada actualizada el 24 de abril de 2024

Software Update

Nos gustaría darle las gracias a Omar Siman por su ayuda.

Spotlight

Nos gustaría darle las gracias a Abhay Kailasia (@abhay_kailasia) de Lakshmi Narain College Of Technology Bhopal y Dawid Pałuska por su ayuda.

StorageKit

Nos gustaría darle las gracias a Mickey Jin (@patch1t) por su ayuda.

Video Apps

Nos gustaría darle las gracias a James Duffy (mangoSecure) por su ayuda.

WebKit

Nos gustaría darles las gracias a Khiem Tran, Narendra Bhati de Suma Soft Pvt. Ltd, Pune (India) y a un investigador anónimo por su ayuda.

WebRTC

Nos gustaría darle las gracias a un investigador anónimo por su ayuda.

Wi-Fi

Nos gustaría darles las gracias a Adam M. y Wang Yu de Cyberserval por su ayuda.

Entrada actualizada el 22 de diciembre de 2023

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.

Fecha de publicación: 19 de agosto de 2024