Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Las versiones más recientes se pueden encontrar en la página Versiones de seguridad de Apple.
Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.
Para obtener más información sobre la seguridad, consulta la página de seguridad de los productos Apple.
macOS Ventura 13.6.5
Publicado el 7 de marzo de 2024
Admin Framework
Disponible para macOS Ventura
Impacto: Es posible que una app pueda aumentar los privilegios
Descripción: Se mejoraron las comprobaciones para solucionar un problema de lógica.
CVE-2024-23276: Kirin (@Pwnrin)
AirPort
Disponible para macOS Ventura
Impacto: Es posible que una app pueda obtener acceso a información confidencial de ubicación
Descripción: Para solucionar este problema, se mejoró la redacción de información confidencial.
CVE-2024-23227: Brian McNulty
AppleMobileFileIntegrity
Disponible para macOS Ventura
Impacto: Es posible que una app pueda modificar partes protegidas del sistema de archivos
Descripción: Se solucionó un problema de reducción de la versión que afectaba a las computadoras Mac con procesador Intel con restricciones adicionales de firma de código.
CVE-2024-23269: Mickey Jin (@patch1t)
ColorSync
Disponible para macOS Ventura
Impacto: Es posible que el procesamiento de un archivo pueda ocasionar el cierre inesperado de una app o la ejecución de código arbitrario
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
CVE-2024-23247: m4yfly con TianGong Team de Legendsec en Qi'anxin Group
CoreCrypto
Disponible para macOS Ventura
Impacto: Es posible que un atacante pueda desencriptar textos cifrados RSA PKCS#1 v1.5 antiguos sin tener la clave privada
Descripción: Se solucionó un problema del canal lateral de temporización con mejoras en el cálculo de tiempo constante en funciones criptográficas.
CVE-2024-23218: Clemens Lang
Disk Images
Disponible para macOS Ventura
Impacto: Es posible que una app pueda salir de su zona protegida
Descripción: Para solucionar este problema, se mejoró la comprobación.
CVE-2024-23299: Un investigador anónimo
Entrada agregada el 31 de mayo de 2024
Find My
Disponible para macOS Ventura
Impacto: Es posible que una app creada con fines malintencionados pueda obtener acceso a los datos de Encontrar
Descripción: Para solucionar este problema, se mejoró la redacción de información confidencial.
CVE-2024-23229: Joshua Jewett (@JoshJewett33)
Entrada agregada el 13 de mayo de 2024
Image Processing
Disponible para macOS Ventura
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
CVE-2024-23270: Un investigador anónimo
ImageIO
Disponible para macOS Ventura
Impacto: Es posible que el procesamiento de una imagen pueda ocasionar la ejecución de código arbitrario
Descripción: Se mejoró el manejo de la memoria para solucionar un problema de desbordamiento de búferes.
CVE-2024-23286: Junsung Lee en colaboración con el programa Zero Day Initiative de Trend Micro, Amir Bazine y Karsten König de CrowdStrike Counter Adversary Operations, Dohyun Lee (@l33d0hyun) y Lyutoon y Mr.R
Entrada actualizada el 31 de mayo de 2024
ImageIO
Disponible para macOS Ventura
Impacto: Es posible que el procesamiento de una imagen pueda provocar la divulgación de la memoria de un proceso
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
CVE-2024-23257: Junsung Lee en colaboración con el programa Zero Day Initiative de Trend Micro
Intel Graphics Driver
Disponible para macOS Ventura
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel
Descripción: Se mejoró la validación de entradas para solucionar un problema de escritura fuera de los límites.
CVE-2024-23234: Murray Mike
Kerberos v5 PAM module
Disponible para macOS Ventura
Impacto: Es posible que una app pueda modificar partes protegidas del sistema de archivos
Descripción: Para solucionar este problema, se mejoró la comprobación.
CVE-2024-23266: Pedro Tôrres (@t0rr3sp3dr0)
Kernel
Disponible para macOS Ventura
Impacto: Es posible que una app pueda provocar el cierre inesperado del sistema o la escritura de la memoria del kernel
Descripción: Se solucionó un problema de vulnerabilidad de daños en la memoria mejorando el bloqueo.
CVE-2024-23265: Xinru Chi de Pangu Lab
Kernel
Disponible para macOS Ventura
Impacto: Es posible que un atacante con una función de lectura y escritura arbitraria del kernel pueda omitir las protecciones de memoria del kernel Apple está al tanto de que este problema podría haberse explotado.
Descripción: Se mejoró la validación para solucionar un problema de daños en la memoria.
CVE-2024-23225
libxpc
Disponible para macOS Ventura
Impacto: Es posible que una app pueda provocar una denegación de servicio
Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.
CVE-2024-23201: Koh M. Nakagawa de FFRI Security, Inc., y un investigador anónimo
libxpc
Disponible para macOS Ventura
Impacto: Es posible que una app pueda salir de su zona protegida
Descripción: Para solucionar este problema, se mejoró la comprobación.
CVE-2024-23278: Un investigador anónimo
MediaRemote
Disponible para macOS Ventura
Impacto: Es posible que una app pueda acceder a datos confidenciales del usuario
Descripción: Para solucionar este problema, se mejoró la redacción de información confidencial.
CVE-2023-28826: Meng Zhang (鲸落) de NorthSea
Metal
Disponible para macOS Ventura
Impacto: Es posible que una app pueda leer la memoria restringida
Descripción: Se mejoró el saneamiento de entradas para solucionar un problema de validación.
CVE-2024-23264: Meysam Firouzi (@R00tkitsmm) en colaboración con el programa Zero Day Initiative de Trend Micro
Notes
Disponible para macOS Ventura
Impacto: Es posible que una app pueda acceder a información confidencial del usuario
Descripción: Para solucionar un problema de privacidad, se mejoró la redacción de datos privados para las entradas de registro.
CVE-2024-23283
PackageKit
Disponible para macOS Ventura
Impacto: Es posible que una app pueda aumentar los privilegios
Descripción: Se solucionó un problema de inyección mejorando la validación de entradas.
CVE-2024-23274: Bohdan Stasiuk (@Bohdan_Stasiuk)
CVE-2024-23268: Mickey Jin (@patch1t) y Pedro Tôrres (@t0rr3sp3dr0)
PackageKit
Disponible para macOS Ventura
Impacto: Es posible que una app pueda acceder a datos protegidos del usuario
Descripción: Se solucionó un problema de condición de carrera mediante validaciones adicionales.
CVE-2024-23275: Mickey Jin (@patch1t)
PackageKit
Disponible para macOS Ventura
Impacto: Es posible que una app pueda omitir ciertas preferencias de privacidad
Descripción: Para solucionar este problema, se mejoró la comprobación.
CVE-2024-23267: Mickey Jin (@patch1t)
PackageKit
Disponible para macOS Ventura
Impacto: Es posible que una app pueda sobrescribir archivos arbitrarios
Descripción: Se mejoró la validación para solucionar un problema de manejo de rutas.
CVE-2024-23216: Pedro Tôrres (@t0rr3sp3dr0)
Share Sheet
Disponible para macOS Ventura
Impacto: Es posible que una app pueda acceder a información confidencial del usuario
Descripción: Para solucionar un problema de privacidad, se mejoró la redacción de datos privados para las entradas de registro.
CVE-2024-23231: Kirin (@Pwnrin) y luckyu (@uuulucky)
SharedFileList
Disponible para macOS Ventura
Impacto: Es posible que una app pueda acceder a datos confidenciales del usuario
Descripción: Para solucionar este problema, se mejoró el manejo de archivos.
CVE-2024-23230: Mickey Jin (@patch1t)
Shortcuts
Disponible para macOS Ventura
Impacto: Es posible que un acceso directo pueda usar los datos confidenciales con determinadas acciones sin solicitarle al usuario
Descripción: Se agregaron más comprobaciones de permisos para solucionar el problema.
CVE-2024-23203: Un investigador anónimo
CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)
Shortcuts
Disponible para macOS Ventura
Impacto: Es posible que los accesos directos de terceros usen una acción heredada de Automator para enviar eventos a aplicaciones sin el consentimiento del usuario
Descripción: Para solucionar este problema, se agregó una solicitud de consentimiento del usuario adicional.
CVE-2024-23245: Un investigador anónimo
Shortcuts
Disponible para macOS Ventura
Impacto: Es posible que una app pueda omitir ciertas preferencias de privacidad
Descripción: Se solucionó un problema de privacidad con la mejora del manejo de archivos temporales.
CVE-2024-23217: Kirin (@Pwnrin)
Storage Services
Disponible para macOS Ventura
Impacto: Es posible que un atacante pueda tener acceso a partes protegidas del sistema de archivos
Descripción: Se mejoraron las comprobaciones para solucionar un problema de lógica.
CVE-2024-23272: Mickey Jin (@patch1t)
Entrada actualizada el 13 de mayo de 2024
Transparency
Disponible para macOS Ventura
Impacto: Es posible que una app pueda acceder a datos confidenciales del usuario
Descripción: El problema se solucionó con una restricción mejorada del acceso al contenedor de datos.
CVE-2023-40389: Csaba Fitzl (@theevilbit) de Offensive Security y Joshua Jewett (@JoshJewett33)
Entrada agregada el 31 de mayo de 2024