Acerca del contenido de seguridad de macOS Ventura 13.7.3
En este documento se describe el contenido de seguridad de macOS Ventura 13.7.3.
Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Encontrarás una lista de las últimas versiones en la página Versiones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
macOS Ventura 13.7.3
Disponible el 27 de enero de 2025
AppleMobileFileIntegrity
Disponible para: macOS Ventura.
Impacto: una app podría acceder a la información confidencial del usuario.
Descripción: se ha solucionado un problema de degradación con restricciones adicionales de firma de código.
CVE-2025-24109: Bohdan Stasiuk (@Bohdan_Stasiuk)
AppleMobileFileIntegrity
Disponible para: macOS Ventura.
Impacto: una app podría ser capaz de acceder a la información sobre los contactos de un usuario.
Descripción: se ha solucionado un problema de lógica mejorando las restricciones.
CVE-2025-24100: Kirin (@Pwnrin)
AppleMobileFileIntegrity
Disponible para: macOS Ventura.
Impacto: una app podría modificar las partes protegidas del sistema de archivos.
Descripción: se ha solucionado un problema de permisos con restricciones adicionales.
CVE-2025-24114: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Disponible para: macOS Ventura.
Impacto: una app podría modificar las partes protegidas del sistema de archivos.
Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.
CVE-2025-24121: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Disponible para: macOS Ventura.
Impacto: una app podría modificar las partes protegidas del sistema de archivos.
Descripción: se ha solucionado un problema de degradación que afectaba a los ordenadores Mac con procesador de Intel con restricciones adicionales de firma de código.
CVE-2025-24122: Mickey Jin (@patch1t)
ARKit
Disponible para: macOS Ventura.
Impacto: el análisis de un archivo podría provocar el cierre inesperado de la app.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu y Xingwei Lin de la Universidad de Zhejiang
Audio
Disponible para: macOS Ventura.
Impacto: el análisis de un archivo podría provocar el cierre inesperado de la app.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2025-24106: Wang Yu de Cyberserval
Contacts
Disponible para: macOS Ventura.
Impacto: una app podría acceder a los contactos
Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.
CVE-2024-44172: Kirin (@Pwnrin)
CoreMedia
Disponible para: macOS Ventura.
Impacto: el análisis de un archivo podría provocar el cierre inesperado de la app.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2025-24123: Desmond trabajando con Trend Micro Zero Day Initiative
CVE-2025-24124: Pwn2car & Rotiple(HyeongSeok Jang) trabajando con Trend Micro Zero Day Initiative
CoreRoutine
Disponible para: macOS Ventura.
Impacto: una app puede ser capaz de determinar la ubicación actual de un usuario
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2025-24102: Kirin (@Pwnrin)
iCloud Photo Library
Disponible para: macOS Ventura.
Impacto: una app podría evitar las preferencias de privacidad.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2025-24174: Arsenii Kostromin (0x3c3e) y Joshua Jones
ImageIO
Disponible para: macOS Ventura.
Impacto: procesar una imagen podría provocar una denegación de servicio.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2025-24086: DongJun Kim (@smlijun) y JongSeong Kim (@nevul37) de Enki WhiteHat, y D4m0n
LaunchServices
Disponible para: macOS Ventura.
Impacto: una app podría acceder a datos confidenciales de los usuarios.
Descripción: se ha solucionado una condición de carrera mediante una validación adicional.
CVE-2025-24094: un investigador anónimo
LaunchServices
Disponible para: macOS Ventura.
Impacto: una app podría leer archivos fuera de su entorno de pruebas.
Descripción: se ha solucionado un problema de gestión de las rutas mejorando la validación.
CVE-2025-24115: un investigador anónimo
LaunchServices
Disponible para: macOS Ventura.
Impacto: una app podría evitar las preferencias de privacidad.
Descripción: se ha solucionado un problema de acceso con restricciones de zona protegida adicionales.
CVE-2025-24116: un investigador anónimo
Login Window
Disponible para: macOS Ventura.
Impacto: una app maliciosa puede crear enlaces simbólicos a regiones protegidas del disco
Descripción: se ha solucionado el problema mejorando la validación de los enlaces simbólicos.
CVE-2025-24136: 云散
PackageKit
Disponible para: macOS Ventura.
Impacto: un atacante local podría aumentar sus privilegios.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2025-24099: Mickey Jin (@patch1t)
Entrada añadida el 29 de enero de 2025
PackageKit
Disponible para: macOS Ventura.
Impacto: una app podría modificar las partes protegidas del sistema de archivos.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2025-24130: Pedro Tôrres (@t0rr3sp3dr0)
Photos Storage
Disponible para: macOS Ventura.
Impacto: eliminar una conversación en Messages podría dejar al descubierto la información de contacto del usuario en el registro del sistema.
Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.
CVE-2025-24146: 神罚(@Pwnrin)
QuartzCore
Disponible para: macOS Ventura.
Impacto: procesar contenido web podría provocar una denegación de servicio.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2024-54497: una persona anónima trabajando con Trend Micro Zero Day Initiative
Sandbox
Disponible para: macOS Ventura.
Impacto: una app podría acceder a los volúmenes extraíbles sin la autorización del usuario.
Descripción: se ha solucionado un problema de permisos con restricciones adicionales.
CVE-2025-24093: Yiğit Can YILMAZ (@yilmazcanyigit)
SceneKit
Disponible para: macOS Ventura.
Impacto: analizar un archivo de audio podría provocar la revelación de información del usuario.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.
CVE-2025-24149: Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative
Security
Disponible para: macOS Ventura.
Impacto: una app podría acceder a la información protegida del usuario.
Descripción: se ha solucionado el problema mejorando la validación de los enlaces simbólicos.
CVE-2025-24103: Zhongquan Li (@Guluisacat)
sips
Disponible para: macOS Ventura.
Impacto: el análisis de un archivo creado con fines malintencionados podría provocar el cierre inesperado de la app
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2025-24139: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative
SMB
Disponible para: macOS Ventura.
Impacto: una app podría provocar el cierre inesperado del sistema o daños en la memoria del kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2025-24151: un investigador anónimo
Spotlight
Disponible para: macOS Ventura.
Impacto: una aplicación maliciosa podría filtrar información confidencial sobre los usuarios.
Descripción: para resolver este problema se ha mejorado la gestión del estado.
CVE-2025-24138: Rodolphe BRUNETTI (@eisw0lf) de Lupus Nova
StorageKit
Disponible para: macOS Ventura.
Impacto: un atacante local podría aumentar sus privilegios.
Descripción: se ha solucionado un problema de permisos mediante la mejora de la validación.
CVE-2025-24176: Yann GASCUEL de Alter Solutions
WebContentFilter
Disponible para: macOS Ventura.
Impacto: un atacante podría provocar la interrupción inesperada del sistema o estropear la memoria del kernel.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la validación de las entradas.
CVE-2025-24154: un investigador anónimo
WindowServer
Disponible para: macOS Ventura.
Impacto: un atacante podría provocar el cierre inesperado de la app
Descripción: este problema se ha solucionado mejorando la gestión de la vida útil de los objetos.
CVE-2025-24120: PixiePoint Security
Xsan
Disponible para: macOS Ventura.
Impacto: una app podría obtener privilegios de alto nivel
Descripción: se ha solucionado un desbordamiento de enteros mejorando la validación de las entradas.
CVE-2025-24156: un investigador anónimo
Otros agradecimientos
sips
Queremos dar las gracias por su ayuda a Hossein Lotfi (@hosselot) de Zero Day Initiative de Trend Micro.
Static Linker
Queremos dar las gracias a Holger Fuhrmannek por su ayuda.
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.