Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Las versiones más recientes se pueden encontrar en la página Actualizaciones de seguridad de Apple.
Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.
Para obtener más información sobre la seguridad, consulta la página de seguridad de los productos Apple.
tvOS 16.5
Publicado el 18 de mayo de 2023
Accessibility
Disponible para Apple TV 4K (todos los modelos) y Apple TV HD
Impacto: Es posible que una app creada con fines malintencionados pueda usar los derechos y permisos de privacidad concedidos a esta app
Descripción: Para solucionar este problema, se mejoraron las comprobaciones.
CVE-2023-32400: Mickey Jin (@patch1t)
Entrada agregada el 5 de septiembre de 2023
Accounts
Disponible para Apple TV 4K (todos los modelos) y Apple TV HD
Impacto: Un atacante podía provocar la fuga de correos electrónicos de la cuenta del usuario.
Descripción: Se mejoró la redacción de la información confidencial para solucionar un problema de permisos.
CVE-2023-34352: Sergii Kryvoblotskyi de MacPaw Inc.
Entrada agregada el 5 de septiembre de 2023
AppleMobileFileIntegrity
Disponible para Apple TV 4K (todos los modelos) y Apple TV HD
Impacto: Es posible que una app pueda omitir las preferencias de privacidad.
Descripción: Se mejoraron los derechos para solucionar este problema.
CVE-2023-32411: Mickey Jin (@patch1t)
Core Location
Disponible para Apple TV 4K (todos los modelos) y Apple TV HD
Impacto: Es posible que una app pueda obtener acceso a información confidencial de ubicación
Descripción: Para solucionar el problema, se mejoró el manejo de las cachés.
CVE-2023-32399: Adam M.
Entrada actualizada el 5 de septiembre de 2023
CoreServices
Disponible para Apple TV 4K (todos los modelos) y Apple TV HD
Impacto: Es posible que una app pueda omitir las preferencias de privacidad.
Descripción: Para solucionar este problema, se mejoró la redacción de información confidencial.
CVE-2023-28191: Mickey Jin (@patch1t)
GeoServices
Disponible para Apple TV 4K (todos los modelos) y Apple TV HD
Impacto: Es posible que una app pueda obtener acceso a información confidencial de ubicación
Descripción: Para solucionar un problema de privacidad, se mejoró la redacción de datos privados para las entradas de registro.
CVE-2023-32392: Adam M.
Entrada actualizada el 5 de septiembre de 2023
ImageIO
Disponible para Apple TV 4K (todos los modelos) y Apple TV HD
Impacto: Es posible que el procesamiento de una imagen pueda provocar la divulgación de la memoria de un proceso
Descripción: Se mejoró la validación de entradas para solucionar un problema de lectura fuera de los límites.
CVE-2023-32372: Meysam Firouzi @R00tkitSMM de Mbition Mercedes-Benz Innovation Lab en colaboración con el programa Zero Day Initiative de Trend Micro
Entrada actualizada el 5 de septiembre de 2023
ImageIO
Disponible para Apple TV 4K (todos los modelos) y Apple TV HD
Impacto: Es posible que el procesamiento de una imagen pueda ocasionar la ejecución de código arbitrario
Descripción: Se mejoró la comprobación de límites para solucionar un problema de desbordamiento de búferes.
CVE-2023-32384: Meysam Firouzi @R00tkitsmm en colaboración con la iniciativa Zero Day de Trend Micro
IOSurfaceAccelerator
Disponible para Apple TV 4K (todos los modelos) y Apple TV HD
Impacto: Una app podía divulgar la memoria del kernel.
Descripción: Se mejoró la validación de entradas para solucionar un problema de lectura fuera de los límites.
CVE-2023-32354: Linus Henze de Pinauten GmbH (pinauten.de)
IOSurfaceAccelerator
Disponible para Apple TV 4K (todos los modelos) y Apple TV HD
Impacto: Es posible que una app pueda provocar el cierre inesperado del sistema o leer la memoria del kernel
Descripción: Se mejoró la validación de entradas para solucionar un problema de lectura fuera de los límites.
CVE-2023-32420: Equipo de CertiK SkyFall y Linus Henze de Pinauten GmbH (pinauten.de)
Entrada actualizada el 5 de septiembre de 2023
Kernel
Disponible para Apple TV 4K (todos los modelos) y Apple TV HD
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel.
Descripción: Se mejoraron las comprobaciones para solucionar un problema de tipo confusión.
CVE-2023-27930: 08Tc3wBB de Jamf
Kernel
Disponible para Apple TV 4K (todos los modelos) y Apple TV HD
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel.
Descripción: Para solucionar un problema de uso después de liberación, se mejoró la administración de la memoria.
CVE-2023-32398: Adam Doupé de ASU SEFCOM
Kernel
Disponible para Apple TV 4K (todos los modelos) y Apple TV HD
Impacto: Una app podía obtener privilegios de usuario raíz.
Descripción: Se mejoró el manejo de estados para solucionar un problema de condición de carrera.
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) de Synacktiv (@Synacktiv) en colaboración con la iniciativa Zero Day de Trend Micro
LaunchServices
Disponible para Apple TV 4K (todos los modelos) y Apple TV HD
Impacto: Es posible que una app omita las comprobaciones de Gatekeeper
Descripción: Se mejoraron las comprobaciones para solucionar un problema de lógica.
CVE-2023-32352: Wojciech Reguła (@_r3ggi) de SecuRing (wojciechregula.blog)
Entrada agregada el 5 de septiembre de 2023
MallocStackLogging
Disponible para Apple TV 4K (todos los modelos) y Apple TV HD
Impacto: Una app podía obtener privilegios de usuario raíz.
Descripción: Para solucionar este problema, se mejoró el manejo de archivos.
CVE-2023-32428: Gergely Kalman (@gergely_kalman)
Entrada agregada el 5 de septiembre de 2023
Metal
Disponible para Apple TV 4K (todos los modelos) y Apple TV HD
Impacto: Es posible que una app pueda omitir las preferencias de privacidad.
Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
Model I/O
Disponible para Apple TV 4K (todos los modelos) y Apple TV HD
Impacto: Es posible que el procesamiento de un modelo 3D pueda provocar la divulgación de la memoria de un proceso
Descripción: Se mejoró la validación de entradas para solucionar un problema de lectura fuera de los límites.
CVE-2023-32368: Mickey Jin (@patch1t)
NetworkExtension
Disponible para Apple TV 4K (todos los modelos) y Apple TV HD
Impacto: Es posible que una app pueda obtener acceso a información confidencial de ubicación
Descripción: Para solucionar este problema, se mejoró la redacción de información confidencial.
CVE-2023-32403: Adam M.
Entrada actualizada el martes, 5 de septiembre de 2023
NSURLSession
Disponible para Apple TV 4K (todos los modelos) y Apple TV HD
Impacto: Es posible que una app pueda salir de su zona protegida
Descripción: Para solucionar este problema, se mejoró el protocolo de manejo de archivos.
CVE-2023-32437: Thijs Alkemade de Computest Sector 7
Entrada agregada el 5 de septiembre de 2023
Photos
Disponible para Apple TV 4K (todos los modelos) y Apple TV HD
Impacto: Es posible que las fotos del álbum de fotos ocultas se puedan ver sin autenticación mediante la búsqueda visual
Descripción: Para solucionar este problema, se mejoró la comprobación.
CVE-2023-32390: Julian Szulc
Entrada agregada el 5 de septiembre de 2023
Sandbox
Disponible para Apple TV 4K (todos los modelos) y Apple TV HD
Impacto: Es posible que una app pueda tener acceso a los archivos de configuración del sistema incluso después de que se hayan quitado los permisos
Descripción: Se mejoró la administración de estados para solucionar un problema de autorización.
CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Koh M. Nakagawa de FFRI Security, Inc., Kirin (@Pwnrin), Jeff Johnson (underpassapp.com) y Csaba Fitzl (@theevilbit) de Offensive Security
Share Sheet
Disponible para Apple TV 4K (todos los modelos) y Apple TV HD
Impacto: Una app podía acceder a información confidencial del usuario.
Descripción: Se solucionó un problema de privacidad con la mejora del manejo de archivos temporales.
CVE-2023-32432: Kirin (@Pwnrin)
Entrada agregada el 5 de septiembre de 2023
Shortcuts
Disponible para Apple TV 4K (todos los modelos) y Apple TV HD
Impacto: Es posible que un acceso directo pueda usar los datos confidenciales con determinadas acciones sin solicitarle al usuario
Descripción: Para solucionar este problema, se mejoró la comprobación.
CVE-2023-32391: Wenchao Li y Xiaolong Bai de Alibaba Group
Entrada agregada el 5 de septiembre de 2023
Shortcuts
Disponible para Apple TV 4K (todos los modelos) y Apple TV HD
Impacto: Es posible que una app pueda omitir las preferencias de privacidad.
Descripción: Se mejoraron los derechos para solucionar este problema.
CVE-2023-32404: Zhipeng Huo (@R3dF09) de Tencent Security Xuanwu Lab (xlab.tencent.com), Mickey Jin (@patch1t) y un investigador anónimo
Entrada agregada el 5 de septiembre de 2023
Siri
Disponible para Apple TV 4K (todos los modelos) y Apple TV HD
Impacto: Es posible que una persona con acceso físico a un dispositivo pueda ver la información de contacto desde la pantalla de bloqueo
Descripción: Para solucionar este problema, se mejoró la comprobación.
CVE-2023-32394: Khiem Tran
SQLite
Disponible para Apple TV 4K (todos los modelos) y Apple TV HD
Impacto: Es posible que una app pueda omitir las preferencias de privacidad.
Descripción: Para solucionar este problema, se agregaron restricciones adicionales del registro de SQLite.
CVE-2023-32422: Gergely Kalman (@gergely_kalman) y Wojciech Reguła de SecuRing (wojciechregula.blog)
Entrada actualizada el 2 de junio de 2023
StorageKit
Disponible para Apple TV 4K (todos los modelos) y Apple TV HD
Impacto: Una app podía modificar partes protegidas del sistema de archivos.
Descripción: Se mejoraron los derechos para solucionar este problema.
CVE-2023-32376: Yiğit Can YILMAZ (@yilmazcanyigit)
System Settings
Disponible para Apple TV 4K (todos los modelos) y Apple TV HD
Impacto: Es posible que una configuración del firewall de una app no se implemente después de salir de la app Configuración
Descripción: Este problema se solucionó mejorando la administración del estado.
CVE-2023-28202: Satish Panduranga y un investigador anónimo
Telephony
Disponible para Apple TV 4K (todos los modelos) y Apple TV HD
Impacto: Es posible que un atacante remoto pueda provocar el cierre inesperado de una app o la ejecución de código arbitrario
Descripción: Para solucionar un problema de uso después de liberación, se mejoró la administración de la memoria.
CVE-2023-32412: Ivan Fratric de Google Project Zero
TV App
Disponible para Apple TV 4K (todos los modelos) y Apple TV HD
Impacto: Es posible que una app pueda obtener acceso a información confidencial de ubicación
Descripción: Para solucionar el problema, se mejoró el manejo de las cachés.
CVE-2023-32408: Adam M.
Weather
Disponible para Apple TV 4K (todos los modelos) y Apple TV HD
Impacto: Es posible que una app pueda obtener acceso a información confidencial de ubicación
Descripción: Para solucionar este problema, se mejoró la redacción de información confidencial.
CVE-2023-32415: Wojciech Regula de SecuRing (wojciechregula.blog) y un investigador anónimo
WebKit
Disponible para Apple TV 4K (todos los modelos) y Apple TV HD
Impacto: Es posible que el procesamiento de contenido web pueda divulgar información confidencial
Descripción: Se mejoró la validación de entradas para solucionar un problema de lectura fuera de los límites.
WebKit Bugzilla: 255075
CVE-2023-32402: Un investigador anónimo
WebKit
Disponible para Apple TV 4K (todos los modelos) y Apple TV HD
Impacto: Es posible que el procesamiento de contenido web pueda divulgar información confidencial
Descripción: Se mejoró el manejo de la memoria para solucionar un problema de desbordamiento de búferes.
WebKit Bugzilla: 254781
CVE-2023-32423: Ignacio Sanmillan (@ulexec)
WebKit
Disponible para Apple TV 4K (todos los modelos) y Apple TV HD
Impacto: Es posible que un atacante remoto pueda salir de su zona protegida de contenido web. Apple está al tanto de que este problema podría haberse explotado de forma activa.
Descripción: Para solucionar este problema, se mejoró la comprobación de los límites.
WebKit Bugzilla: 255350
CVE-2023-32409: Clément Lecigne de Threat Analysis Group de Google y Donncha Ó Cearbhaill del Laboratorio de Seguridad de Amnesty International
WebKit
Disponible para Apple TV 4K (todos los modelos) y Apple TV HD
Impacto: Es posible que el procesamiento de contenido web pueda divulgar información confidencial. Apple está al tanto de que este problema podría haberse explotado de forma activa.
Descripción: Se mejoró la validación de entradas para solucionar un problema de lectura fuera de los límites.
WebKit Bugzilla: 254930
CVE-2023-28204: Un investigador anónimo
WebKit
Disponible para Apple TV 4K (todos los modelos) y Apple TV HD
Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda ocasionar la ejecución de código arbitrario. Apple está al tanto de que este problema podría haberse explotado de forma activa.
Descripción: Para solucionar un problema de uso después de liberación, se mejoró la administración de la memoria.
WebKit Bugzilla: 254840
CVE-2023-32373: Un investigador anónimo
Wi-Fi
Disponible para Apple TV 4K (todos los modelos) y Apple TV HD
Impacto: Una app podía divulgar la memoria del kernel.
Descripción: Para solucionar este problema, se mejoró la redacción de información confidencial.
CVE-2023-32389: Pan ZhenPeng (@Peterpan0927) de STAR Labs SG Pte. Ltd.
Otros agradecimientos
Accounts
Nos gustaría darle las gracias a Sergii Kryvoblotskyi de MacPaw Inc. por su ayuda.
CloudKit
Nos gustaría darle las gracias a Iconic por su ayuda.
libxml2
Nos gustaría darles las gracias a OSS-Fuzz y a Ned Williamson de Google Project Zero por su ayuda.
Reminders
Nos gustaría darle las gracias a Kirin (@Pwnrin) por su ayuda.
Security
Nos gustaría darle las gracias a Brandon Toms por su ayuda.
Share Sheet
Nos gustaría darle las gracias a Kirin (@Pwnrin) por su ayuda.
Wallet
Nos gustaría darle las gracias a James Duffy (mangoSecure) por su ayuda.