Acerca del contenido de seguridad de macOS Sonoma 14.8

En este documento, se describe el contenido de seguridad de macOS Sonoma 14.8.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Los lanzamientos recientes aparecen en la página Versiones de seguridad de Apple.

Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.

Para obtener más información sobre los aspectos de seguridad, consulta la página de seguridad de los productos Apple.

macOS Sonoma 14.8

AMD

Disponible para macOS Sonoma

Impacto: Una app podía provocar el cierre inesperado del sistema

Descripción: Se mejoró la comprobación de límites para solucionar un problema de desbordamiento de búferes.

CVE-2025-43312: ABC Research s.r.o.

AppKit

Disponible para macOS Sonoma

Impacto: Es posible que una app pueda acceder a datos protegidos del usuario

Descripción: Este problema se resolvió al bloquear el inicio de servicios no firmados en las Mac con procesador Intel.

CVE-2025-43321: Mickey Jin (@patch1t)

Apple Online Store Kit

Disponible para macOS Sonoma

Impacto: Es posible que una app pueda acceder a datos protegidos del usuario

Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.

CVE-2025-31268: Csaba Fitzl (@theevilbit) y Nolan Astrein de Kandji

AppSandbox

Disponible para macOS Sonoma

Impacto: Es posible que una app pueda acceder a datos protegidos del usuario

Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.

CVE-2025-43285: Zhongquan Li (@Guluisacat), Mickey Jin (@patch1t)

CoreAudio

Disponible para macOS Sonoma

Impacto: Es posible que el procesamiento de un archivo de video creado con fines malintencionados pueda provocar el cierre inesperado de la app

Descripción: Se mejoró la validación de entradas para solucionar un problema de escritura fuera de los límites.

CVE-2025-43349@zlluny, en colaboración con el programa Zero Day Initiative de Trend

CoreAudio

Disponible para macOS Sonoma

Impacto: El procesamiento de un archivo de audio creado con fines malintencionados podía generar daños en la memoria.

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2025-43277: Grupo de análisis de amenazas de Google

CoreMedia

Disponible para macOS Sonoma

Impacto: Un proceso aislado podía eludir las restricciones de la zona protegida.

Descripción: Se solucionó un problema de permisos mediante restricciones adicionales de la zona protegida.

CVE-2025-43273: Seo Hyun-gyu (@wh1te4ever), Minghao Lin (@Y1nKoc), 风 (binaryfmyy), BochengXiang(@Crispr), YingQi Shi (@Mas0nShi) y Dora Orak

CoreServices

Disponible para macOS Sonoma

Impacto: Es posible que una app creada con fines malintencionados pueda obtener acceso a información privada

Descripción: Se mejoraron las comprobaciones para solucionar un problema de lógica.

CVE-2025-43305: un investigador anónimo y Mickey Jin (@patch1t)

GPU Drivers

Disponible para macOS Sonoma

Impacto: Una app podía acceder a datos confidenciales del usuario

Descripción: Para solucionar un problema de lectura fuera de los límites, se mejoró la comprobación de límites.

CVE-2025-43326: Wang Yu de Cyberserval

IOHIDFamily

Disponible para macOS Sonoma

Impacto: Una app podía provocar el cierre inesperado del sistema

Descripción: Para solucionar un problema de escritura fuera de los límites, se mejoró la comprobación de límites.

CVE-2025-43302: Keisuke Hosoda

IOKit

Disponible para macOS Sonoma

Impacto: Una app podía acceder a datos confidenciales del usuario

Descripción: Se mejoró la administración de estados para solucionar un problema de autorización.

CVE-2025-31255: Csaba Fitzl (@theevilbit) de Kandji

Kernel

Disponible para macOS Sonoma

Impacto: Un socket de servidor UDP vinculado con una interfaz local podía vincularse con todas las interfaces.

Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.

CVE-2025-43359: Viktor Oreshkin

LaunchServices

Disponible para macOS Sonoma

Impacto: Es posible que una app pueda acceder a información confidencial del usuario

Descripción: Se mejoraron las comprobaciones para solucionar un problema de lógica.

CVE-2025-43231: Mickey Jin (@patch1t), Kirin@Pwnrin y LFY@secsys de Fudan University, un investigador anónimo

libc

Disponible para macOS Sonoma

Impacto: Es posible que una app pueda provocar una denegación de servicio

Descripción: Para solucionar un problema de denegación de servicio, se mejoró la validación.

CVE-2025-43299: Nathaniel Oh (@calysteon)

CVE-2025-43295: Nathaniel Oh (@calysteon)

Libinfo

Disponible para macOS Sonoma

Impacto: Es posible que el procesamiento de una cadena creada con fines malintencionados genere daños en la memoria del montón

Descripción: Para solucionar este problema, se mejoró la comprobación de los límites.

CVE-2025-43353: Nathaniel Oh (@calysteon)

MediaLibrary

Disponible para macOS Sonoma

Impacto: Es posible que una app pueda acceder a datos protegidos del usuario

Descripción: Este problema se solucionó mediante la eliminación del código vulnerable.

CVE-2025-43319: Hikerell (Loadshine Lab)

MigrationKit

Disponible para macOS Sonoma

Impacto: Es posible que una app pueda acceder a información confidencial del usuario

Descripción: Este problema se solucionó mediante la eliminación del código vulnerable.

CVE-2025-43315: Rodolphe Brunetti (@eisw0lf) de Lupus Nova

MobileStorageMounter

Disponible para macOS Sonoma

Impacto: Es posible que una app pueda provocar una denegación de servicio

Descripción: se mejoró el manejo de la memoria para solucionar un problema de confusión de tipo.

CVE-2025-43355: Dawuge de Shuffle Team

Notification Center

Disponible para macOS Sonoma

Impacto: Una app podía acceder a la información de contacto relativa a las notificaciones en el Centro de notificaciones.

Descripción: Para solucionar un problema de privacidad, se mejoró la redacción de datos privados para las entradas de registro.

CVE-2025-43301: LFY@secsys de Fudan University

PackageKit

Disponible para macOS Sonoma

Impacto: Una app podía obtener privilegios de usuario raíz

Descripción: Se mejoró la validación de rutas para solucionar un problema de análisis sintáctico en el manejo de rutas de directorios.

CVE-2025-43298: Un investigador anónimo

Perl

Disponible para macOS Sonoma

Impacto: Varios problemas en Perl.

Descripción: Esta es una vulnerabilidad en código abierto y el software de Apple está entre los proyectos afectados. Un proveedor independiente asignó el ID CVE. Obtén más información sobre el problema y el ID CVE en cve.org.

CVE-2025-40909

Printing

Disponible para macOS Sonoma

Impacto: Es posible que una app pueda acceder a datos protegidos del usuario

Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.

CVE-2025-31269: Zhongcheng Li de IES Red Team de ByteDance

Ruby

Disponible para macOS Sonoma

Impacto: Es posible que el procesamiento de un archivo pueda ocasionar una denegación de servicio o revelar el contenido de la memoria.

Descripción: Esta es una vulnerabilidad en código abierto y el software de Apple está entre los proyectos afectados. Un proveedor independiente asignó el ID CVE. Obtén más información sobre el problema y el ID CVE en cve.org.

CVE-2024-27280

Screenshots

Disponible para macOS Sonoma

Impacto: Una app podía tomar una captura de pantalla de una app durante el ingreso o la salida al modo de pantalla completa.

Descripción: Se mejoraron las comprobaciones para solucionar un problema de privacidad.

CVE-2025-31259: Un investigador anónimo

Security Initialization

Disponible para macOS Sonoma

Impacto: Una app podía salir de su zona protegida

Descripción: Se solucionó un problema de omisión de cuarentena de archivos con comprobaciones adicionales.

CVE-2025-43332: Un investigador anónimo

SharedFileList

Disponible para macOS Sonoma

Impacto: Una app podía acceder a datos confidenciales del usuario

Descripción: Se mejoró la validación de entradas para solucionar el problema.

CVE-2025-43293: Un investigador anónimo

SharedFileList

Disponible para macOS Sonoma

Impacto: Es posible que una app pueda modificar partes protegidas del sistema de archivos

Descripción: Un problema de permisos se solucionó mediante la eliminación del código vulnerable.

CVE-2025-43291: Ye Zhang de Baidu Security

SharedFileList

Disponible para macOS Sonoma

Impacto: Una app podía salir de su zona protegida

Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.

CVE-2025-43286: pattern-f (@pattern_F_), @zlluny

Shortcuts

Disponible para macOS Sonoma

Impacto: Un atajo podía eludir las restricciones de la zona protegida.

Descripción: Se solucionó un problema de permisos mediante restricciones adicionales de la zona protegida.

CVE-2025-43358: 정답이 아닌 해답

Siri

Disponible para macOS Sonoma

Impacto: Es posible que una app pueda acceder a datos protegidos del usuario

Descripción: Para solucionar un problema de privacidad, se trasladaron datos confidenciales.

CVE-2025-43367: Kirin (@Pwnrin), Cristian Dinca del Colegio Nacional de Informática Tudor Vianu de Rumania

Spell Check

Disponible para macOS Sonoma

Impacto: Una app podía acceder a datos confidenciales del usuario

Descripción: Se mejoró la validación de rutas para solucionar un problema de análisis sintáctico en el manejo de rutas de directorios.

CVE-2025-43190: Noah Gregory (wts.dev)

Spotlight

Disponible para macOS Sonoma

Impacto: Una app podía acceder a datos confidenciales del usuario

Descripción: Se mejoraron las comprobaciones para solucionar un problema de lógica.

CVE-2025-24197: Rodolphe Brunetti (@eisw0lf) de Lupus Nova

Storage

Disponible para macOS Sonoma

Impacto: Una app podía obtener privilegios de usuario raíz

Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.

CVE-2025-43341: Un investigador anónimo

StorageKit

Disponible para macOS Sonoma

Impacto: Una app podía acceder a datos confidenciales del usuario

Descripción: Se mejoró la validación de rutas para solucionar un problema de análisis sintáctico en el manejo de rutas de directorios.

CVE-2025-43314: Mickey Jin (@patch1t)

StorageKit

Disponible para macOS Sonoma

Impacto: Una app podía obtener privilegios de usuario raíz

Descripción: Se mejoró el manejo de estados para solucionar un problema de condición de carrera.

CVE-2025-43304: Mickey Jin (@patch1t)

Touch Bar

Disponible para macOS Sonoma

Impacto: Es posible que una app pueda acceder a datos protegidos del usuario

Descripción: Se agregaron más comprobaciones de titularidad para solucionar este problema.

CVE-2025-43311: Un investigador anónimo, Justin Elliot Fu

Touch Bar Controls

Disponible para macOS Sonoma

Impacto: Una app podía acceder a datos confidenciales del usuario

Descripción: Se agregaron más comprobaciones de titularidad para solucionar este problema.

CVE-2025-43308: Un investigador anónimo

WindowServer

Disponible para macOS Sonoma

Impacto: Es posible que una app pueda engañar a un usuario para que copie datos confidenciales en el pasteboard

Descripción: Se solucionó un problema de configuración mediante restricciones adicionales.

CVE-2025-43310: Un investigador anónimo

Otros agradecimientos

Airport

Nos gustaría darle las gracias a Csaba Fitzl (@theevilbit) de Kandji por su ayuda.

libpthread

Nos gustaría darle las gracias a Nathaniel Oh (@calysteon) por su ayuda.

libxml2

Nos gustaría darles las gracias a Nathaniel Oh (@calysteon) y Sergei Glazunov de Google Project Zero por su ayuda.

SharedFileList

Nos gustaría darle las gracias a Ye Zhang de Baidu Security por su ayuda.

Wi-Fi

Nos gustaría darles las gracias a Csaba Fitzl (@theevilbit) de Kandji, Noah Gregory (wts.dev), Wojciech Regula de SecuRing (wojciechregula.blog) y un investigador anónimo por su ayuda.