En este documento, se describe el contenido de seguridad de macOS Sonoma 14.7.6.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Los lanzamientos recientes aparecen en la página Versiones de seguridad de Apple.
Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.
Para obtener más información sobre los aspectos de seguridad, consulta la página de seguridad de los productos Apple.
Publicado el 12 de mayo de 2025
Disponible para macOS Sonoma
Impacto: Es posible que conectarse a un servidor AFP creado con fines malintencionados pueda dañar la memoria del kernel
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
CVE-2025-31246: Joseph Ravichandran (@0xjprx) de MIT CSAIL
Disponible para macOS Sonoma
Impacto: Es posible que montar un recurso compartido de red AFP creado con fines malintencionados pueda provocar el cierre del sistema
Descripción: Para solucionar este problema, se mejoraron las comprobaciones.
CVE-2025-31240: Dave G.
CVE-2025-31237: Dave G.
Disponible para macOS Sonoma
Impacto: Es posible que el procesamiento de un archivo multimedia creado con fines malintencionados pueda provocar el cierre inesperado de la app o daños en la memoria de proceso
Descripción: Se mejoró el saneamiento de entradas para solucionar el problema.
CVE-2025-31251: Hossein Lotfi (@hosselot) del programa Zero Day Initiative de Trend Micro
Disponible para macOS Sonoma
Impacto: Es posible que una app pueda provocar el cierre inesperado del sistema
Descripción: Se mejoró la administración de la memoria para solucionar un problema de doble liberación.
CVE-2025-31235: Dillon Franke en colaboración con Google Project Zero
Disponible para macOS Sonoma
Impacto: Es posible que el análisis de un archivo pueda provocar el cierre inesperado de la app
Descripción: Para solucionar este problema, se mejoró la comprobación.
CVE-2025-31208: Hossein Lotfi (@hosselot) del programa Zero Day Initiative de Trend Micro
Disponible para macOS Sonoma
Impacto: Es posible que el procesamiento de un archivo creado con fines malintencionados pueda ocasionar una denegación de servicio o revelar el contenido de la memoria
Descripción: Se mejoró la validación de entradas para solucionar un problema de lectura fuera de los límites.
CVE-2025-31196: wac en colaboración con programa Zero Day Initiative de Trend Micro
Disponible para macOS Sonoma
Impacto: Es posible que el análisis de un archivo pueda derivar en la divulgación de información del usuario
Descripción: Para solucionar un problema de lectura fuera de los límites, se mejoró la comprobación de límites.
CVE-2025-31209: Hossein Lotfi (@hosselot) del programa Zero Day Initiative de Trend Micro
Disponible para macOS Sonoma
Impacto: Es posible que el análisis de un archivo pueda provocar el cierre inesperado de la app
Descripción: Para solucionar un problema de uso después de liberación, se mejoró la administración de la memoria.
CVE-2025-31239: Hossein Lotfi (@hosselot) del programa Zero Day Initiative de Trend Micro
Disponible para macOS Sonoma
Impacto: Es posible que el procesamiento de un archivo de video creado con fines malintencionados pueda provocar el cierre inesperado de la app o daños en la memoria de proceso
Descripción: Se mejoró el saneamiento de entradas para solucionar el problema.
CVE-2025-31233: Hossein Lotfi (@hosselot) del programa Zero Day Initiative de Trend Micro
Disponible para macOS Sonoma
Impacto: Es posible que una app creada con fines malintencionados pueda obtener privilegios de root
Descripción: Se agregaron más comprobaciones de permisos para solucionar el problema.
CVE-2025-30453: Csaba Fitzl (@theevilbit) de Kandji, un investigador anónimo
Disponible para macOS Sonoma
Impacto: Es posible que una app pueda obtener privilegios de usuario raíz
Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.
CVE-2025-24258: Csaba Fitzl (@theevilbit) de Kandji, un investigador anónimo
Disponible para macOS Sonoma
Impacto: Es posible que un atacante pueda activar el uso compartido de una carpeta de iCloud sin autenticación
Descripción: Se agregaron más comprobaciones de titularidad para solucionar este problema.
CVE-2025-30448: Lyutoon y YenKoc, Dayton Pidhirney de Atredis Partners
Disponible para macOS Sonoma
Impacto: Es posible que una app aislada pueda acceder a datos confidenciales del usuario
Descripción: Se mejoraron las comprobaciones para solucionar un problema de lógica.
CVE-2025-31232: Un investigador anónimo
Disponible para macOS Sonoma
Impacto: Es posible que una app pueda filtrar el estado confidencial del kernel
Descripción: Se solucionó un problema de divulgación de información eliminando el código vulnerable.
CVE-2025-24144: Mateusz Krzywicki (@krzywix)
Disponible para macOS Sonoma
Impacto: Es posible que un atacante pueda provocar el cierre inesperado del sistema o dañar la memoria del kernel
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
CVE-2025-31219: Michael DePlante (@izobashi) y Lucas Leong (@_wmliang_) del programa Zero Day Initiative de Trend Micro
Disponible para macOS Sonoma
Impacto: Es posible que un atacante remoto pueda ocasionar el cierre inesperado de una app
Descripción: Se mejoró la administración de la memoria para solucionar un problema de doble liberación.
CVE-2025-31241: Christian Kohlschütter
Disponible para macOS Sonoma
Impacto: Varios problemas en libexpat, incluido el cierre inesperado de la app o la ejecución de código arbitrario
Descripción: Esta es una vulnerabilidad en código abierto y el software de Apple está entre los proyectos afectados. Un proveedor independiente asignó el ID CVE. Obtén más información sobre el problema y el ID CVE en cve.org.
CVE-2024-8176
Disponible para macOS Sonoma
Impacto: Es posible que una app pueda omitir ASLR
Descripción: Para solucionar este problema, se mejoró la comprobación.
CVE-2025-30440: Paweł Płatek (Trail of Bits)
Disponible para macOS Sonoma
Impacto: Es posible que un usuario pueda aumentar los privilegios
Descripción: Se mejoraron las comprobaciones para solucionar un problema de corrección.
CVE-2025-31222: Paweł Płatek (Trail of Bits)
Disponible para macOS Sonoma
Impacto: Es posible que una app creada con fines malintencionados pueda obtener privilegios de root
Descripción: Se solucionó un problema de validación de entradas eliminando el código vulnerable.
CVE-2025-24274: Un investigador anónimo
Disponible para macOS Sonoma
Impacto: Es posible que una app pueda acceder a datos confidenciales del usuario
Descripción: Para solucionar un problema de privacidad, se mejoró la redacción de datos privados para las entradas de registro.
CVE-2025-24142: LFY@secsys de Fudan University
Disponible para macOS Sonoma
Impacto: Varios problemas en OpenSSH
Descripción: Esta es una vulnerabilidad en código abierto y el software de Apple está entre los proyectos afectados. Un proveedor independiente asignó el ID CVE. Obtén más información sobre el problema y el ID CVE en cve.org.
CVE-2025-26465
CVE-2025-26466
Disponible para macOS Sonoma
Impacto: Es posible que una app pueda provocar el cierre inesperado del sistema
Descripción: Para solucionar este problema, se mejoró la comprobación.
CVE-2025-31245: wac
Disponible para macOS Sonoma
Impacto: Es posible que una app pueda omitir ciertas preferencias de privacidad
Descripción: Se mejoraron las comprobaciones para solucionar un problema de lógica.
CVE-2025-31224: Csaba Fitzl (@theevilbit) de Kandji
Disponible para macOS Sonoma
Impacto: Es posible que un atacante remoto pueda producir una fuga de memoria
Descripción: Se mejoró la validación de entradas para solucionar un problema de desbordamiento de enteros.
CVE-2025-31221: Dave G.
Disponible para macOS Sonoma
Impacto: Es posible que una app pueda acceder a nombres de usuario y sitios web asociados en el llavero de iCloud del usuario
Descripción: Para solucionar un problema de inicio de sesión, se mejoró la redacción de datos.
CVE-2025-31213: Kirin (@Pwnrin) y 7feilee
Disponible para macOS Sonoma
Impacto: Es posible que un atacante pueda tener acceso a partes protegidas del sistema de archivos
Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.
CVE-2025-31247: Un investigador anónimo
Disponible para macOS Sonoma
Impacto: Es posible que una app pueda obtener privilegios elevados
Descripción: Se mejoró el saneamiento de entradas para solucionar el problema.
CVE-2025-30442: Un investigador anónimo
Disponible para macOS Sonoma
Impacto: Es posible que una app pueda acceder a datos confidenciales del usuario
Descripción: Para solucionar un problema de privacidad, se mejoró la redacción de datos privados para las entradas de registro.
CVE-2025-31242: Eric Dorphy de Twin Cities App Dev LLC
Disponible para macOS Sonoma
Impacto: Es posible que una app creada con fines malintencionados pueda obtener acceso a información confidencial de ubicación
Descripción: Se solucionó un problema de privacidad eliminando datos confidenciales.
CVE-2025-31220: Adam M.
Disponible para macOS Sonoma
Impacto: Es posible que una app pueda divulgar la memoria del kernel
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
CVE-2025-24155: Un investigador anónimo
Nos gustaría darle las gracias a un investigador anónimo por su ayuda.
Nos gustaría darles las gracias a Candace Jensen de Kandji, Chi Yuan Chang de ZUSO ART y a taikosoup por su ayuda.