Acerca del contenido de seguridad de macOS Ventura 13.7

En este documento se describe el contenido de seguridad de macOS Ventura 13.7.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Encontrarás una lista de las últimas versiones en la página Versiones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

macOS Ventura 13.7

Accounts

Disponible para: macOS Ventura.

Impacto: una app podría filtrar información confidencial del usuario.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2024-44129

App Intents

Disponible para: macOS Ventura.

Impacto: una app puede acceder a datos confidenciales registrados cuando un atajo no inicia otra app

Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.

CVE-2024-44182: Kirin (@Pwnrin)

AppKit

Disponible para: macOS Ventura.

Impacto: una app sin privilegios podía ser capaz de registrar pulsaciones de teclas en otras apps, incluidas las que utilizan el modo de entrada seguro.

Descripción: se ha solucionado un problema de lógica mejorando las restricciones.

CVE-2024-27886: Stephan Casas y un investigador anónimo

AppleMobileFileIntegrity

Disponible para: macOS Ventura.

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: el problema se ha solucionado con restricciones adicionales de firma de código.

CVE-2024-40847: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Disponible para: macOS Ventura.

Impacto: una app podría evitar las preferencias de privacidad.

Descripción: se ha solucionado un problema de degradación con restricciones adicionales de firma de código.

CVE-2024-40814: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Disponible para: macOS Ventura.

Impacto: una app podría evitar las preferencias de privacidad.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2024-44164: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Disponible para: macOS Ventura.

Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.

Descripción: se ha solucionado un problema de inyección de biblioteca con restricciones adicionales.

CVE-2024-44168: Claudio Bozzato y Francesco Benvenuto de Cisco Talos

AppleMobileFileIntegrity

Disponible para: macOS Ventura.

Impacto: un atacante podría leer información confidencial

Descripción: se ha solucionado un problema de degradación con restricciones adicionales de firma de código.

CVE-2024-40848: Mickey Jin (@patch1t)

Automator

Disponible para: macOS Ventura.

Impacto: un flujo de trabajo de acción rápida de Automator puede evitar Gatekeeper

Descripción: este problema se ha solucionado añadiendo una solicitud adicional de consentimiento del usuario.

CVE-2024-44128: Anton Boegler

bless

Disponible para: macOS Ventura.

Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.

Descripción: se ha solucionado un problema de permisos con restricciones adicionales.

CVE-2024-44151: Mickey Jin (@patch1t)

Compression

Disponible para: macOS Ventura.

Impacto: desempaquetar un archivo creado con fines malintencionados podría permitir a un atacante escribir archivos arbitrarios.

Descripción: se ha solucionado una condición de carrera con una mejora del bloqueo.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Dock

Disponible para: macOS Ventura.

Impacto: una app podría acceder a datos confidenciales de los usuarios.

Descripción: se ha solucionado un problema de privacidad eliminando datos confidenciales.

CVE-2024-44177: investigador anónimo

Game Center

Disponible para: macOS Ventura.

Impacto: una app podría acceder a datos confidenciales de los usuarios.

Descripción: se ha solucionado un problema de acceso a archivos mediante la mejora de la validación de las entradas.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Disponible para: macOS Ventura.

Impacto: procesar una imagen podría provocar una denegación de servicio.

Descripción: se ha solucionado un problema de acceso fuera de los límites al mejorar la comprobación de los límites.

CVE-2024-44176: dw0r de ZeroPointer Lab en colaboración con Trend Micro Zero Day Initiative y un investigador anónimo

Intel Graphics Driver

Disponible para: macOS Ventura.

Impacto: el procesamiento de una textura creada con fines malintencionados podría provocar el cierre inesperado de la app

Descripción: se ha solucionado un problema de desbordamiento de búfer mejorando la gestión de la memoria.

CVE-2024-44160: Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative

Intel Graphics Driver

Disponible para: macOS Ventura.

Impacto: el procesamiento de una textura creada con fines malintencionados podría provocar el cierre inesperado de la app

Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.

CVE-2024-44161: Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative

IOSurfaceAccelerator

Disponible para: macOS Ventura.

Impacto: una aplicación puede provocar una terminación inesperada del sistema

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2024-44169: Antonio Zekić

Kernel

Disponible para: macOS Ventura.

Impacto: el tráfico de red puede filtrarse fuera de un túnel VPN

Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.

CVE-2024-44165: Andrew Lytvynov

Mail Accounts

Disponible para: macOS Ventura.

Impacto: una app podría ser capaz de acceder a la información sobre los contactos de un usuario.

Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

Maps

Disponible para: macOS Ventura.

Impacto: es posible que una app pueda leer información de ubicación confidencial.

Descripción: se ha corregido un problema con una gestión mejorada de los archivos temporales.

CVE-2024-44181: Kirin (@Pwnrin) y LFY (@secsys) de Fudan University

mDNSResponder

Disponible para: macOS Ventura.

Impacto: una aplicación podría provocar una denegación de servicio.

Descripción: se ha solucionado un error de lógica con la mejora de la gestión de errores.

CVE-2024-44183: Olivier Levon

Notes

Disponible para: macOS Ventura.

Impacto: una app podría sobrescribir archivos arbitrarios.

Descripción: el problema se ha solucionado eliminando el código vulnerable.

CVE-2024-44167: ajajfxhj

PackageKit

Disponible para: macOS Ventura.

Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.

Descripción: se ha solucionado el problema mejorando la validación de los enlaces simbólicos.

CVE-2024-44178: Mickey Jin (@patch1t)

Safari

Disponible para: macOS Ventura.

Impacto: visitar un sitio web creado con fines malintencionados podría provocar la suplantación de la interfaz del usuario.

Descripción: para resolver este problema se ha mejorado la gestión del estado.

CVE-2024-40797: Rifa'i Rejal Maynando

Sandbox

Disponible para: macOS Ventura.

Impacto: una aplicación maliciosa podría tener acceso a información privada.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2024-44163: Zhongquan Li (@Guluisacat)

Shortcuts

Disponible para: macOS Ventura.

Impacto: un acceso directo puede dar salida a datos sensibles del usuario sin consentimiento.

Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.

CVE-2024-44158: Kirin (@Pwnrin)

Shortcuts

Disponible para: macOS Ventura.

Impacto: una app puede ser capaz de observar los datos mostrados al usuario por Atajos

Descripción: se ha corregido un problema de privacidad con una gestión mejorada de los archivos temporales.

CVE-2024-40844: Kirin (@Pwnrin) y luckyu (@uuulucky) de NorthSea

System Settings

Disponible para: macOS Ventura.

Impacto: una app podría acceder a datos confidenciales de los usuarios.

Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.

CVE-2024-44166: Kirin (@Pwnrin) y LFY (@secsys) de Fudan University

System Settings

Disponible para: macOS Ventura.

Impacto: una app podría leer archivos arbitrarios.

Descripción: se ha solucionado un problema de gestión de las rutas mejorando la validación.

CVE-2024-44190: Rodolphe BRUNETTI (@eisw0lf)

Transparency

Disponible para: macOS Ventura.

Impacto: una app podría acceder a datos confidenciales de los usuarios.

Descripción: se ha solucionado un problema de permisos con restricciones adicionales.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

Otros agradecimientos

Airport

Queremos dar las gracias por su ayuda a David Dudok de Wit.