En este documento, se describe el contenido de seguridad de macOS Sonoma 14.7.7.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Los lanzamientos recientes aparecen en la página Versiones de seguridad de Apple.
Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.
Para obtener más información sobre los aspectos de seguridad, consulta la página de seguridad de los productos Apple.
Publicado el martes, 29 de julio de 2025
Disponible para macOS Sonoma
Impacto: Es posible que una app pueda provocar una denegación de servicio
Descripción: Se mejoró la validación para solucionar un problema de manejo de rutas.
CVE-2025-43191: Ryan Dowd (@_rdowd)
Disponible para macOS Sonoma
Impacto: Es posible que el análisis de un archivo pueda provocar el cierre inesperado de la app.
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
CVE-2025-43186: Hossein Lotfi (@hosselot) del programa Zero Day Initiative de Trend Micro
Disponible para macOS Sonoma
Impacto: Una app podía provocar el cierre inesperado del sistema
Descripción: Se mejoró el manejo de estados para solucionar un problema de condición de carrera.
CVE-2025-43244: ABC Research s.r.o.
Disponible para macOS Sonoma
Impacto: Una app podía obtener privilegios de usuario raíz
Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.
CVE-2025-31243: Mickey Jin (@patch1t)
Disponible para macOS Sonoma
Impacto: Una app con fines malintencionados podía iniciar binarios arbitrarios en un dispositivo de confianza.
Descripción: Este problema se solucionó mejorando la validación de entradas.
CVE-2025-43253: Noah Gregory (wts.dev)
Disponible para macOS Sonoma
Impacto: Una app podía obtener privilegios de usuario raíz
Descripción: Se mejoraron las comprobaciones para solucionar un problema de lógica.
CVE-2025-43249: Mickey Jin (@patch1t)
Disponible para macOS Sonoma
Impacto: Es posible que una app creada con fines malintencionados pueda obtener privilegios de root.
Descripción: Se mejoraron las restricciones para solucionar un problema de lógica.
CVE-2025-43248: Mickey Jin (@patch1t)
Disponible para macOS Sonoma
Impacto: Es posible que una app pueda acceder a datos protegidos del usuario
Descripción: Se solucionó un problema de reducción de la versión mediante restricciones adicionales de firma de código.
CVE-2025-43245: Mickey Jin (@patch1t)
Disponible para macOS Sonoma
Impacto: Es posible que un atacante pueda provocar el cierre inesperado de la app
Descripción: Para solucionar un problema de uso después de liberación, se eliminó el código vulnerable.
CVE-2025-43222: Andreas Jaegersberger y Ro Achterberg de Nosebeard Labs
Disponible para macOS Sonoma
Impacto: Un usuario sin privilegios podía modificar la configuración de red restringida
Descripción: Para solucionar un problema de denegación de servicio, se mejoró la validación de entradas.
CVE-2025-43223: Andreas Jaegersberger y Ro Achterberg de Nosebeard Labs
Disponible para macOS Sonoma
Impacto: Es posible que una app pueda acceder a datos protegidos del usuario
Descripción: Para solucionar este problema, se mejoró la validación de enlaces simbólicos.
CVE-2025-43220: Mickey Jin (@patch1t)
Disponible para macOS Sonoma
Impacto: Es posible que una app creada con fines malintencionados pueda obtener privilegios de root.
Descripción: Un problema de permisos se solucionó mediante la eliminación del código vulnerable.
CVE-2025-43199: Un investigador anónimo, Gergely Kalman (@gergely_kalman)
Disponible para macOS Sonoma
Impacto: El procesamiento de un archivo de medios creado con fines malintencionados podía provocar el cierre inesperado de la app o daños en la memoria de proceso
Descripción: Se mejoró la comprobación de límites para solucionar un problema de acceso fuera de los límites.
CVE-2025-43210: Hossein Lotfi (@hosselot) del programa Zero Day Initiative de Trend Micro
Disponible para macOS Sonoma
Impacto: Una app podía acceder a datos confidenciales del usuario
Descripción: Existía un problema en el manejo de variables del entorno. Este problema se solucionó mejorando la validación.
CVE-2025-43195: 风沐云烟 (@binary_fmyy) y Minghao Lin (@Y1nKoc)
Disponible para macOS Sonoma
Impacto: Al ejecutar un comando hdiutil, se podía ejecutar inesperadamente código arbitrario.
Descripción: Este problema se solucionó mediante la eliminación del código vulnerable.
CVE-2025-43187: 风沐云烟 (@binary_fmyy) y Minghao Lin (@Y1nKoc)
Disponible para macOS Sonoma
Impacto: Es posible que una app pueda acceder a datos protegidos del usuario
Descripción: Este problema se solucionó mediante la eliminación del código vulnerable.
CVE-2025-43198: Mickey Jin (@patch1t)
Disponible para macOS Sonoma
Impacto: Es posible que el procesamiento de un archivo creado con fines malintencionados pueda provocar el cierre inesperado de la app.
Descripción: Se mejoró la validación de entradas para solucionar un problema de lectura fuera de los límites.
CVE-2025-43254: 2ourc3 | Salim Largo
Disponible para macOS Sonoma
Impacto: Una app podía salir de su zona protegida
Descripción: Se mejoraron las comprobaciones para solucionar un problema de lógica.
CVE-2025-43261: Un investigador anónimo
Disponible para macOS Sonoma
Impacto: Es posible que una app pueda registrar la huella digital del usuario
Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.
CVE-2025-31279: Dawuge de Shuffle Team
Disponible para macOS Sonoma
Impacto: Es posible que una app pueda ejecutar código arbitrario fuera de su zona protegida o con determinados privilegios elevados
Descripción: Para solucionar este problema, se mejoró la administración del estado.
CVE-2025-24119: Un investigador anónimo
Disponible para macOS Sonoma
Impacto: Una app podía provocar el cierre inesperado del sistema
Descripción: Para solucionar un problema de lectura fuera de los límites, se mejoró la comprobación de límites.
CVE-2025-43255: Investigador anónimo en colaboración con el programa Zero Day Initiative de Trend Micro
CVE-2025-43284: Investigador anónimo en colaboración con el programa Zero Day Initiative de Trend Micro
Entrada actualizada el 28 de agosto de 2025
Disponible para macOS Sonoma
Impacto: el procesamiento de contenido web creado con fines malintencionados podía provocar el cierre inesperado de Safari
Descripción: Se mejoró la comprobación de límites para solucionar un problema de acceso fuera de los límites.
CVE-2025-43209: Gary Kwong en colaboración con el programa Zero Day Initiative de Trend Micro
Disponible para macOS Sonoma
Impacto: El procesamiento de una imagen creada con fines malintencionados podía provocar la divulgación de la memoria de un proceso.
Descripción: Se mejoró la validación de entradas para solucionar un problema de lectura fuera de los límites.
CVE-2025-43226
Disponible para macOS Sonoma
Impacto: Es posible que una app pueda ejecutar código arbitrario fuera de su zona protegida o con determinados privilegios elevados
Descripción: Para solucionar este problema, se mejoró la administración del estado.
CVE-2025-24119: Un investigador anónimo
Disponible para macOS Sonoma
Impacto: Una app podía obtener privilegios de usuario raíz
Descripción: Se mejoró la validación para solucionar un problema de manejo de rutas.
CVE-2025-43196: Un investigador anónimo
Disponible para macOS Sonoma
Impacto: El procesamiento de contenido web creado con fines malintencionados podía dañar la memoria.
Descripción: Esta es una vulnerabilidad en código abierto y el software de Apple está entre los proyectos afectados. Un proveedor independiente asignó el ID CVE. Obtén más información sobre el problema y el ID CVE en cve.org.
CVE-2025-7424: Ivan Fratric de Google Project Zero
Disponible para macOS Sonoma
Impacto: La inscripción de usuarios basada en cuentas era posible aunque el modo de bloqueo estuviera activado.
Descripción: Se solucionó un problema de configuración mediante restricciones adicionales.
CVE-2025-43192: Pyrophoria
Disponible para macOS Sonoma
Impacto: Una app podía salir de su zona protegida
Descripción: Se solucionó un problema de condición de carrera mediante validaciones adicionales.
CVE-2025-43275: Csaba Fitzl (@theevilbit) de Kandji
Disponible para macOS Sonoma
Impacto: Es posible que una app obtenga acceso no autorizado a la red local
Descripción: Para solucionar un problema de acceso, se agregaron restricciones de la zona protegida.
CVE-2025-43270: Minqiang Gui
Disponible para macOS Sonoma
Impacto: Una app podía acceder a datos confidenciales del usuario
Descripción: Para solucionar un problema de inicio de sesión, se mejoró la redacción de datos.
CVE-2025-43225: Kirin (@Pwnrin)
Disponible para macOS Sonoma
Impacto: Una app podía salir de su zona protegida
Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.
CVE-2025-43266: Noah Gregory (wts.dev)
Disponible para macOS Sonoma
Impacto: Una app podía sabotear derechos otorgados a otras apps privilegiadas.
Descripción: Para solucionar este problema, se mejoró la protección de datos.
CVE-2025-43260: Zhongquan Li (@Guluisacat)
Disponible para macOS Sonoma
Impacto: Es posible que una app malintencionada con privilegios de usuario raíz pueda modificar el contenido de los archivos del sistema
Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.
CVE-2025-43247: Mickey Jin (@patch1t)
Disponible para macOS Sonoma
Impacto: Es posible que una app pueda modificar partes protegidas del sistema de archivos
Descripción: Para solucionar este problema, se mejoró la comprobación.
CVE-2025-43194: Mickey Jin (@patch1t)
Disponible para macOS Sonoma
Impacto: Es posible que una app pueda omitir ciertas preferencias de privacidad
Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.
CVE-2025-43232: Koh M. Nakagawa (@tsunek0h), Csaba Fitzl (@theevilbit) de Kandji y Gergely Kalman (@gergely_kalman)
Disponible para macOS Sonoma
Impacto: Es posible que un atacante pueda provocar el cierre inesperado de la app
Descripción: se mejoró el manejo de la memoria para solucionar un problema de confusión de tipo.
CVE-2025-43236: Dawuge de Shuffle Team
Disponible para macOS Sonoma
Impacto: Es posible que una app pueda leer archivos fuera de su zona protegida
Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.
CVE-2025-43241: Mickey Jin (@patch1t)
Disponible para macOS Sonoma
Impacto: Es posible que una app creada con fines malintencionados que actuaba como proxy HTTPS pueda obtener acceso a datos confidenciales de los usuarios
Descripción: Para solucionar este problema, se mejoraron las restricciones de acceso.
CVE-2025-43233: Wojciech Regula de SecuRing (wojciechregula.blog)
Disponible para macOS Sonoma
Impacto: Es posible que una app pueda provocar una denegación de servicio
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
CVE-2025-43193: Dawuge de Shuffle Team
Disponible para macOS Sonoma
Impacto: Una app podía salir de su zona protegida
Descripción: Se mejoró la validación para solucionar un problema de manejo de rutas.
CVE-2025-43250: Yuebin Sun (@yuebinsun2020), Mickey Jin (@patch1t)
Disponible para macOS Sonoma
Impacto: Es posible que un atajo pueda omitir las configuraciones confidenciales de la app Atajos.
Descripción: Para solucionar este problema, se agregó una solicitud de consentimiento del usuario adicional.
CVE-2025-43184: Csaba Fitzl (@theevilbit) de Kandji
Disponible para macOS Sonoma
Impacto: Una app podía acceder a datos confidenciales del usuario
Descripción: Se agregaron más comprobaciones de titularidad para solucionar este problema.
CVE-2025-43197: Shang-De Jiang y Kazma Ye de CyCraft Technology
Disponible para macOS Sonoma
Impacto: Es posible que el procesamiento de un archivo creado con fines malintencionados pueda provocar el cierre inesperado de la app.
Descripción: Se mejoró la comprobación de límites para solucionar un problema de acceso fuera de los límites.
CVE-2025-43239: Nikolai Skliarenko del programa Zero Day Initiative de Trend Micro
Disponible para macOS Sonoma
Impacto: Es posible que una app pueda modificar partes protegidas del sistema de archivos
Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.
CVE-2025-43243: Mickey Jin (@patch1t), Keith Yeo (@kyeojy) de Team Orca de Sea Security
Disponible para macOS Sonoma
Impacto: Una app podía acceder a datos confidenciales del usuario
Descripción: Para solucionar este problema, se mejoraron las comprobaciones.
CVE-2025-43246: Mickey Jin (@patch1t)
Disponible para macOS Sonoma
Impacto: Una app podía obtener privilegios de usuario raíz
Descripción: Para solucionar este problema, se mejoró la administración del estado.
CVE-2025-43256: Un investigador anónimo
Disponible para macOS Sonoma
Impacto: Es posible que una app pueda acceder a datos protegidos del usuario
Descripción: Se mejoró la validación de rutas para solucionar un problema de análisis sintáctico en el manejo de rutas de directorios.
CVE-2025-43206: Zhongquan Li (@Guluisacat)
Disponible para macOS Sonoma
Impacto: Una app con fines malintencionados podía leer la memoria del kernel.
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
CVE-2025-43189: Un investigador anónimo
Disponible para macOS Sonoma
Impacto: Es posible que un atacante con acceso físico a un dispositivo bloqueado pueda acceder a información confidencial del usuario
Descripción: Para solucionar este problema, se mejoró la redacción de información confidencial.
CVE-2025-43259: Martti Hütt
Disponible para macOS Sonoma
Impacto: Una app podía provocar el cierre inesperado del sistema
Descripción: Se mejoró la validación de entradas para solucionar un problema de desbordamiento de enteros.
CVE-2025-43238: Un investigador anónimo
Nos gustaría darles las gracias a @zlluny y Noah Weinberg por su ayuda.
Nos gustaría darle las gracias a Al Karak por su ayuda.
Nos gustaría darle las gracias a YingQi Shi (@Mas0nShi) de DBAppSecurity's WeBin lab por su ayuda.
Nos gustaría darle las gracias a Ivan Fratric de Google Project Zero por su ayuda.
Queremos mostrar nuestro agradecimiento por su ayuda a Chi Yuan Chang de ZUSO ART, taikosoup y Dennis Kniep.
Nos gustaría darle las gracias a Christian Kohlschütter por su ayuda.