En este documento se describe el contenido de seguridad de macOS Sequoia 15.5.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Los lanzamientos recientes aparecen en la página Versiones de seguridad de Apple.
Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.
Para obtener más información sobre los aspectos de seguridad, consulta la página de seguridad de los productos Apple.
Publicado el lunes, 12 de mayo de 2025
Disponible para macOS Sequoia
Impacto: Es posible que conectarse a un servidor AFP creado con fines malintencionados pueda dañar la memoria del kernel
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
CVE-2025-31246: Joseph Ravichandran (@0xjprx) de MIT CSAIL
Disponible para macOS Sequoia
Impacto: Montar un recurso compartido de red AFP creado con fines malintencionados podía provocar el cierre del sistema
Descripción: Para solucionar este problema, se mejoraron las comprobaciones.
CVE-2025-31240: Dave G.
CVE-2025-31237: Dave G.
Disponible para macOS Sequoia
Impacto: Una app podía acceder a datos confidenciales del usuario
Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.
CVE-2025-31260: Thomas Völkl (@vollkorntomate), SEEMOO, TU Darmstadt
Disponible para macOS Sequoia
Impacto: El procesamiento de un archivo de medios creado con fines malintencionados podía provocar el cierre inesperado de la app o daños en la memoria de proceso
Descripción: Se mejoró el saneamiento de entradas para solucionar el problema.
CVE-2025-31251: Hossein Lotfi (@hosselot) del programa Zero Day Initiative de Trend Micro
Disponible para macOS Sequoia
Impacto: Una app podía provocar el cierre inesperado del sistema
Descripción: Se mejoró la administración de la memoria para solucionar un problema de doble liberación.
CVE-2025-31235: Dillon Franke en colaboración con Google Project Zero
Disponible para macOS Sequoia
Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda provocar el cierre inesperado del proceso
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
CVE-2025-24222: wac en colaboración con el programa Zero Day Initiative de Trend Micro
Disponible para macOS Sequoia
Impacto: Una app podía acceder a datos confidenciales del usuario
Descripción: Para solucionar este problema, se mejoró la administración del estado.
CVE-2025-31212: Guilherme Rambo de Best Buddy Apps (rambo.codes)
Disponible para macOS Sequoia
Impacto: Es posible que el análisis de un archivo pueda provocar el cierre inesperado de la app.
Descripción: Para solucionar este problema, se mejoró la comprobación.
CVE-2025-31208: Hossein Lotfi (@hosselot) del programa Zero Day Initiative de Trend Micro
Disponible para macOS Sequoia
Impacto: Es posible que el análisis de un archivo pueda derivar en la divulgación de información del usuario
Descripción: Para solucionar un problema de lectura fuera de los límites, se mejoró la comprobación de límites.
CVE-2025-31209: Hossein Lotfi (@hosselot) del programa Zero Day Initiative de Trend Micro
Disponible para macOS Sequoia
Impacto: Es posible que el análisis de un archivo pueda provocar el cierre inesperado de la app.
Descripción: Para solucionar un problema de uso después de liberación, se mejoró la administración de la memoria.
CVE-2025-31239: Hossein Lotfi (@hosselot) del programa Zero Day Initiative de Trend Micro
Disponible para macOS Sequoia
Impacto: El procesamiento de un archivo de video creado con fines malintencionados podía provocar el cierre inesperado de la app o daños en la memoria de proceso.
Descripción: Se mejoró el saneamiento de entradas para solucionar el problema.
CVE-2025-31233: Hossein Lotfi (@hosselot) del programa Zero Day Initiative de Trend Micro
Disponible para macOS Sequoia
Impacto: Una app podía acceder a datos confidenciales del usuario
Descripción: Para solucionar un problema de divulgación de información, se mejoraron los controles de privacidad.
CVE-2025-31236: Kirin@Pwnrin y LFY@secsys de Fudan University
Disponible para macOS Sequoia
Impacto: Es posible que una app pueda acceder a información confidencial del usuario
Descripción: Un problema de privacidad se solucionó mediante la eliminación del código vulnerable.
CVE-2025-30443: Bohdan Stasiuk (@bohdan_stasiuk)
Disponible para macOS Sequoia
Impacto: Es posible que el procesamiento de una imagen creada con fines malintencionados pueda ocasionar una denegación de servicio
Descripción: Se mejoraron las comprobaciones para solucionar un problema de lógica.
CVE-2025-31226: Saagar Jha
Disponible para macOS Sequoia
Impacto: Es posible que una app aislada pueda acceder a datos confidenciales del usuario
Descripción: Se mejoraron las comprobaciones para solucionar un problema de lógica.
CVE-2025-31232: Un investigador anónimo
Disponible para macOS Sequoia
Impacto: Un atacante remoto podía provocar el cierre inesperado del sistema.
Descripción: Para solucionar este problema, se mejoró la comprobación.
CVE-2025-24224: Tony Iskow (@Tybbow)
Entrada agregada el 29 de julio de 2025
Disponible para macOS Sequoia
Impacto: Un atacante remoto podía ocasionar el cierre inesperado de una app.
Descripción: Se mejoró la administración de la memoria para solucionar un problema de doble liberación.
CVE-2025-31241: Christian Kohlschütter
Disponible para macOS Sequoia
Impacto: Un atacante podía provocar el cierre inesperado del sistema o dañar la memoria del kernel.
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
CVE-2025-31219: Michael DePlante (@izobashi) y Lucas Leong (@_wmliang_) del programa Zero Day Initiative de Trend Micro
Disponible para macOS Sequoia
Impacto: Varios problemas en libexpat, incluidos el cierre inesperado de la app o la ejecución arbitraria de código
Descripción: Esta es una vulnerabilidad en código abierto y el software de Apple está entre los proyectos afectados. Un proveedor independiente asignó el ID CVE. Obtén más información sobre el problema y el ID CVE en cve.org.
CVE-2024-8176
Disponible para macOS Sequoia
Impacto: Una app podía omitir ASLR.
Descripción: Para solucionar este problema, se mejoró la comprobación.
CVE-2025-30440: Paweł Płatek (Trail of Bits)
Disponible para macOS Sequoia
Impacto: Es posible que un usuario pueda aumentar los privilegios
Descripción: Se mejoraron las comprobaciones para solucionar un problema de corrección.
CVE-2025-31222: Paweł Płatek (Trail of Bits)
Disponible para macOS Sequoia
Impacto: Es posible que una app creada con fines malintencionados pueda obtener privilegios de root.
Descripción: Se eliminó el código vulnerable para solucionar un problema de validación de entrada de datos.
CVE-2025-24274: Un investigador anónimo
Disponible para macOS Sequoia
Impacto: Es posible que una app pueda observar los nombres de host de nuevas conexiones de red
Descripción: Este problema se solucionó mediante la eliminación del código vulnerable.
CVE-2025-31218: Adam M.
Disponible para macOS Sequoia
Impacto: Es posible que la esquina activa pueda revelar inesperadamente las notas eliminadas del usuario
Descripción: Para solucionar el problema, se mejoró el manejo de las cachés.
CVE-2025-31256: Sourabhkumar Mishra
Disponible para macOS Sequoia
Impacto: Una app podía acceder a datos confidenciales del usuario
Descripción: Para solucionar un problema de privacidad, se mejoró la redacción de datos privados para las entradas de registro.
CVE-2025-24142: LFY@secsys de Fudan University
Disponible para macOS Sequoia
Impacto: Varios problemas en OpenSSH
Descripción: Esta es una vulnerabilidad en código abierto y el software de Apple está entre los proyectos afectados. Un proveedor independiente asignó el ID CVE. Obtén más información sobre el problema y el ID CVE en cve.org.
CVE-2025-26465
CVE-2025-26466
Disponible para macOS Sequoia
Impacto: Un atacante podía provocar el cierre inesperado del sistema o dañar la memoria del kernel.
Descripción: Se mejoró el saneamiento de entradas para solucionar el problema.
CVE-2025-31234: CertiK (@CertiK)
Disponible para macOS Sequoia
Impacto: Una app podía provocar el cierre inesperado del sistema
Descripción: Para solucionar este problema, se mejoró la comprobación.
CVE-2025-31245: wac
Disponible para macOS Sequoia
Impacto: Una app podía salir de su zona protegida
Descripción: Se solucionó un problema de omisión de cuarentena de archivos con comprobaciones adicionales.
CVE-2025-31244: Csaba Fitzl (@theevilbit) de Kandji
Disponible para macOS Sequoia
Impacto: Una app podía salir de su zona protegida
Descripción: Este problema se solucionó mediante la eliminación del código vulnerable.
CVE-2025-31258: Un investigador anónimo
Disponible para macOS Sequoia
Impacto: Una app podía acceder a datos confidenciales del usuario
Descripción: Se mejoraron las comprobaciones para solucionar un problema de lógica.
CVE-2025-31249: Ryan Dowd (@_rdowd)
Disponible para macOS Sequoia
Impacto: Es posible que una app pueda omitir ciertas preferencias de privacidad
Descripción: Se mejoraron las comprobaciones para solucionar un problema de lógica.
CVE-2025-31224: Csaba Fitzl (@theevilbit) de Kandji
Disponible para macOS Sequoia
Impacto: Un atacante remoto podía producir una fuga de memoria.
Descripción: Se mejoró la validación de entradas para solucionar un problema de desbordamiento de enteros.
CVE-2025-31221: Dave G.
Disponible para macOS Sequoia
Impacto: Una app puede acceder a los nombres de usuario y sitios web asociados en el llavero de iCloud de un usuario
Descripción: Para solucionar un problema de inicio de sesión, se mejoró la redacción de datos.
CVE-2025-31213: Kirin (@Pwnrin) y 7feilee
Disponible para macOS Sequoia
Impacto: Un atacante podía tener acceso a partes protegidas del sistema de archivos.
Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.
CVE-2025-31247: Un investigador anónimo
Disponible para macOS Sequoia
Impacto: Una app podía obtener privilegios elevados.
Descripción: Se mejoró el saneamiento de entradas para solucionar el problema.
CVE-2025-31259: Un investigador anónimo
Disponible para macOS Sequoia
Impacto: Una app podía acceder a datos confidenciales del usuario
Descripción: Para solucionar un problema de privacidad, se mejoró la redacción de datos privados para las entradas de registro.
CVE-2025-31242: Eric Dorphy de Twin Cities App Dev LLC
Disponible para macOS Sequoia
Impacto: Una app podía acceder a datos confidenciales del usuario
Descripción: Para solucionar un problema de divulgación de información, se mejoraron los controles de privacidad.
CVE-2025-31250: Noah Gregory (wts.dev)
Disponible para macOS Sequoia
Impacto: Una app creada con fines malintencionados podía obtener acceso a información confidencial de ubicación
Descripción: Se solucionó un problema de privacidad eliminando datos confidenciales.
CVE-2025-31220: Adam M.
Disponible para macOS Sequoia
Impacto: Un problema de tipo de confusión podría generar una corrupción de la memoria
Descripción: Para solucionar este problema, se mejoró el manejo de las variables flotantes.
WebKit Bugzilla: 286694
CVE-2025-24213: Equipo de seguridad de Google V8
Disponible para macOS Sequoia
Impacto: El procesamiento de contenido web creado con fines malintencionados podía dañar la memoria.
Descripción: Para solucionar este problema, se mejoró la comprobación.
WebKit Bugzilla: 289387
CVE-2025-31223: Andreas Jaegersberger y Ro Achterberg de Nosebeard Labs
WebKit Bugzilla: 289653
CVE-2025-31238: wac, en colaboración con el programa Zero Day Initiative de Trend Micro
Disponible para macOS Sequoia
Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda provocar el cierre inesperado del proceso
Descripción: Para solucionar este problema, se mejoró la comprobación.
WebKit Bugzilla: 288814
CVE-2025-31215: Jiming Wang y Jikai Ren
Disponible para macOS Sequoia
Impacto: El procesamiento de contenido web creado con fines malintencionados podía dañar la memoria.
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
WebKit Bugzilla: 291506
CVE-2025-31204: Nan Wang (@eternalsakura13)
WebKit Bugzilla: 287577
CVE-2025-24223: rheza (@ginggilBesel) y un investigador anónimo
Disponible para macOS Sequoia
Impacto: el procesamiento de contenido web creado con fines malintencionados podía provocar el cierre inesperado de Safari
Descripción: Se mejoró el manejo de estados para solucionar un problema de confusión de tipo.
WebKit Bugzilla: 290834
CVE-2025-31206: Un investigador anónimo
Disponible para macOS Sequoia
Impacto: el procesamiento de contenido web creado con fines malintencionados podía provocar el cierre inesperado de Safari
Descripción: Se mejoró la validación de entradas para solucionar el problema.
WebKit Bugzilla: 289677
CVE-2025-31217: Ignacio Sanmillan (@ulexec)
Disponible para macOS Sequoia
Impacto: Un sitio web malintencionado podía exfiltrar datos mediante un origen cruzado.
Descripción: Para solucionar este problema, se mejoró la comprobación.
WebKit Bugzilla: 290992
CVE-2025-31205: Ivan Fratric de Google Project Zero
Disponible para macOS Sequoia
Impacto: el procesamiento de contenido web creado con fines malintencionados podía provocar el cierre inesperado de Safari
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
WebKit Bugzilla: 290985
CVE-2025-31257: Juergen Schmied de Lynck GmbH
Nos gustaría darle las gracias a Dalibor Milanovic por su ayuda.
Queremos mostrar nuestro agradecimiento por su ayuda a Claudio Bozzato y Francesco Benvenuto de Cisco Talos.
Nos gustaría darle las gracias a un investigador anónimo por su ayuda.
Nos gustaría darle las gracias a IES Red Team de ByteDance por su ayuda.
Nos gustaría darle las gracias a iisBuri por su ayuda.
Nos gustaría darles las gracias a Andrei-Alexandru Bleorțu y Dmytro Merkulov por su ayuda.
Nos gustaría darle las gracias a YingQi Shi (@Mas0nShi) de DBAppSecurity's WeBin lab por su ayuda.
Nos gustaría darles las gracias a @RenwaX23, Akash Labade, Narendra Bhati, gerente de Cyber Security en Suma Soft Pvt. Ltd, Pune (India) por su ayuda.
Nos gustaría darles las gracias a Kirin@Pwnrin y LFY@secsys de Fudan University, Tal Lossos, Zhongquan Li (@Guluisacat) por su ayuda.
Nos gustaría darles las gracias a Candace Jensen de Kandji, Chi Yuan Chang de ZUSO ART y taikosoup, Egor Filatov (Positive Technologies), Marcio Almeida de Tanto Security, Monnier Pascaud y Ron Masas de BREAKPOINT.SH por su ayuda.
Nos gustaría darles las gracias a Mike Dougherty y Daniel White de Google Chrome y a un investigador anónimo por su ayuda.
Nos gustaría darle las gracias a Csaba Fitzl (@theevilbit) de Kandji por su ayuda.