Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Las versiones más recientes se pueden encontrar en la página Versiones de seguridad de Apple.
Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.
Para obtener más información sobre la seguridad, consulta la página de seguridad de los productos Apple.
macOS Monterey 12.7.4
Publicado el 7 de marzo de 2024
Admin Framework
Disponible para macOS Monterey
Impacto: Es posible que una app pueda aumentar los privilegios.
Descripción: Se mejoraron las comprobaciones para solucionar un problema de lógica.
CVE-2024-23276: Kirin (@Pwnrin)
Airport
Disponible para macOS Monterey
Impacto: Es posible que una app pueda obtener acceso a información confidencial de ubicación
Descripción: Para solucionar este problema, se mejoró la redacción de información confidencial.
CVE-2024-23227: Brian McNulty
AppleMobileFileIntegrity
Disponible para macOS Monterey
Impacto: Es posible que una app pueda modificar partes protegidas del sistema de archivos.
Descripción: Se solucionó un problema de reducción de la versión que afectaba a las computadoras Mac con procesador Intel con restricciones adicionales de firma de código.
CVE-2024-23269: Mickey Jin (@patch1t)
ColorSync
Disponible para macOS Monterey
Impacto: Es posible que el procesamiento de un archivo pueda ocasionar el cierre inesperado de una app o la ejecución de código arbitrario
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
CVE-2024-23247: m4yfly con TianGong Team de Legendsec en Qi'anxin Group
CoreCrypto
Disponible para macOS Monterey
Impacto: Es posible que un atacante pueda desencriptar textos cifrados RSA PKCS#1 v1.5 antiguos sin tener la clave de privacidad.
Descripción: Para resolver un problema de canal lateral de temporización, se realizaron mejoras a la computación de tiempo constante en funciones criptográficas.
CVE-2024-23218: Clemens Lang
Dock
Disponible para macOS Monterey
Impacto: Es posible que una app de una cuenta de usuario estándar pueda escalar privilegios después de que el usuario administrador inicie sesión.
Descripción: Se mejoraron las restricciones para solucionar un problema de lógica.
CVE-2024-23244: Csaba Fitzl (@theevilbit) de OffSec
Image Processing
Disponible para macOS Monterey
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel.
Descripción: Este problema se solucionó mejorando el manejo de la memoria.
CVE-2024-23270: Un investigador anónimo
ImageIO
Disponible para macOS Monterey
Impacto: Es posible que el procesamiento de una imagen pueda ocasionar la ejecución de código arbitrario.
Descripción: Se mejoró el manejo de la memoria para solucionar un problema de desbordamiento de búferes.
CVE-2024-23286: Dohyun Lee (@l33d0hyun)
ImageIO
Disponible para macOS Monterey
Impacto: Es posible que el procesamiento de una imagen pueda provocar la divulgación de la memoria de un proceso
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
CVE-2024-23257: Junsung Lee en colaboración con el programa Zero Day Initiative de Trend Micro
Intel Graphics Driver
Disponible para macOS Monterey
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel.
Descripción: Se mejoró la validación de entradas para solucionar un problema de escritura fuera de los límites.
CVE-2024-23234: Murray Mike
Kerberos v5 PAM module
Disponible para macOS Monterey
Impacto: Una app podía modificar partes protegidas del sistema de archivos.
Descripción: Para solucionar este problema, se mejoró la comprobación.
CVE-2024-23266: Pedro Tôrres (@t0rr3sp3dr0)
Kernel
Disponible para macOS Monterey
Impacto: Una app podía provocar el cierre inesperado del sistema o escribir la memoria del kernel.
Descripción: Se solucionó un problema de vulnerabilidad de daños en la memoria mejorando el bloqueo.
CVE-2024-23265: Xinru Chi de Pangu Lab
Kernel
Disponible para macOS Monterey
Impacto: Es posible que un atacante con una función de lectura y escritura arbitraria del kernel pueda omitir las protecciones de memoria del kernel. Apple está al tanto de que este problema podría haberse explotado.
Descripción: Se mejoró la validación para solucionar un problema de daños en la memoria.
CVE-2024-23225
libxpc
Disponible para macOS Monterey
Impacto: Una app podía provocar una denegación de servicio.
Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.
CVE-2024-23201: Koh M. Nakagawa de FFRI Security, Inc. y un investigador anónimo
MediaRemote
Disponible para macOS Monterey
Impacto: Una app podía acceder a datos confidenciales del usuario.
Descripción: Para solucionar este problema, se mejoró la redacción de información confidencial.
CVE-2023-28826: Meng Zhang (鲸落) de NorthSea
Metal
Disponible para macOS Monterey
Impacto: Es posible que una app pueda leer la memoria restringida.
Descripción: Se mejoró el saneamiento de entradas para solucionar un problema de validación.
CVE-2024-23264: Meysam Firouzi (@R00tkitsmm) en colaboración con el programa Zero Day Initiative de Trend Micro
Notes
Disponible para macOS Monterey
Impacto: Es posible que una app pueda acceder a información confidencial del usuario
Descripción: Para solucionar un problema de privacidad, se mejoró la redacción de datos privados para las entradas de registro.
CVE-2024-23283
PackageKit
Disponible para macOS Monterey
Impacto: Es posible que una app pueda aumentar los privilegios.
Descripción: Se solucionó un problema de inyección mejorando la validación de entradas.
CVE-2024-23274: Bohdan Stasiuk (@Bohdan_Stasiuk)
CVE-2024-23268: Mickey Jin (@patch1t) y Pedro Tôrres (@t0rr3sp3dr0)
PackageKit
Disponible para macOS Monterey
Impacto: Una app podía acceder a datos protegidos del usuario.
Descripción: Se solucionó un problema de condición de carrera mediante validaciones adicionales.
CVE-2024-23275: Mickey Jin (@patch1t)
PackageKit
Disponible para macOS Monterey
Impacto: Es posible que una app pueda omitir ciertas preferencias de privacidad.
Descripción: Para solucionar este problema, se mejoró la comprobación.
CVE-2024-23267: Mickey Jin (@patch1t)
PackageKit
Disponible para macOS Monterey
Impacto: Es posible que una app pueda sobrescribir archivos arbitrarios.
Descripción: Se mejoró la validación para solucionar un problema de manejo de rutas.
CVE-2024-23216: Pedro Tôrres (@t0rr3sp3dr0)
SharedFileList
Disponible para macOS Monterey
Impacto: Una app podía acceder a datos confidenciales del usuario.
Descripción: Para solucionar este problema, se mejoró el manejo de archivos.
CVE-2024-23230: Mickey Jin (@patch1t)
Shortcuts
Disponible para macOS Monterey
Impacto: Es posible que un acceso directo pueda usar los datos confidenciales con determinadas acciones sin solicitarle al usuario
Descripción: Se agregaron más comprobaciones de permisos para solucionar el problema.
CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)
Shortcuts
Disponible para macOS Monterey
Impacto: Es posible que los accesos directos de terceros usen una acción heredada de Automator para enviar eventos a aplicaciones sin el consentimiento del usuario.
Descripción: Para solucionar este problema, se agregó una solicitud de consentimiento del usuario adicional.
CVE-2024-23245: Un investigador anónimo
Storage Services
Disponible para macOS Monterey
Impacto: Es posible que un usuario pueda tener acceso a partes protegidas del sistema de archivos.
Descripción: Se mejoraron las comprobaciones para solucionar un problema de lógica.
CVE-2024-23272: Mickey Jin (@patch1t)