Junto con iOS 17.2 que llega hoy, Apple ha lanzado macOS 14.2. Sucede que la nueva versión para Mac viene con el doble de correcciones de seguridad de iOS. Aquí están los 20 defectos corregidos con la última actualización.
La página de actualizaciones de seguridad de Apple compartió todos los detalles de las correcciones de vulnerabilidad que vienen con macOS Sonoma 14.2. Ninguno de los 20 defectos corregidos en macOS 14.2 se ha explotado activamente.
Pero la actualización sigue siendo importante de instalar, ya que soluciona problemas como:
- Problema de Bluetooth en el que “Un atacante en una posición de red privilegiada puede ser capaz de inyectar pulsaciones de teclado falsificando un teclado”
- Encuentra mi error donde una “aplicación puede ser capaz de leer información confidencial de ubicación”
- Defecto del núcleo en el que una “aplicación puede salir de su sandbox”
- Error de reproducción de CoreMedia en el que una “aplicación puede ser capaz de acceder a datos sensibles del usuario”
- Fallo de WebKit donde “El procesamiento de contenido web puede conducir a la ejecución de código arbitrario”
Un parche de seguridad similar viene con macOS Ventura 13.6.3 y Monterey 12.7.2. Comprueba la configuración del sistema de tu Mac ahora para ver si la actualización está disponible.
Aquí están las notas de la versión de seguridad completa para macOS 14.2:
Accesibilidad
Disponible para: macOS Sonoma
Impacto: Los campos de texto seguros se pueden mostrar a través del teclado de accesibilidad cuando se utiliza un teclado físico
Descripción: Este problema se solucionó con una mejor gestión del estado.
CVE-2023-42874: Don Clarke
Cuentas
Disponible para: macOS Sonoma
Impacto: Una aplicación puede ser capaz de acceder a datos confidenciales del usuario
Descripción: Se solucionó un problema de privacidad con una mejor redacción de datos privados para las entradas de registro.
CVE-2023-42919: Kirin (@Pwnrin)
AppleEvents
Disponible para: macOS Sonoma
Impacto: Una aplicación puede acceder a la información sobre los contactos de un usuario
Descripción: Este problema se solucionó con una mejor redacción de la información confidencial.
CVE-2023-42894: Noah Roskin-Frazee y el Prof. J. (ZeroClicks.ai Lab)
AppleGraphicsControl
Disponible para: macOS Sonoma
Impacto: El procesamiento de un archivo creado de forma maliciosa puede provocar la terminación inesperada de la aplicación o la ejecución de código arbitrario
Descripción: Se solucionaron varios problemas de corrupción de memoria con una mejor validación de la entrada.
CVE-2023-42901: Ivan Fratric de Google Project Zero
CVE-2023-42902: Ivan Fratric de Google Project Zero, y Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative
CVE-2023-42912: Ivan Fratric de Google Project Zero
CVE-2023-42903: Ivan Fratric de Google Project Zero
CVE-2023-42904: Ivan Fratric de Google Project Zero
CVE-2023-42905: Ivan Fratric de Google Project Zero
CVE-2023-42906: Ivan Fratric de Google Project Zero
CVE-2023-42907: Ivan Fratric de Google Project Zero
CVE-2023-42908: Ivan Fratric de Google Project Zero
CVE-2023-42909: Ivan Fratric de Google Project Zero
CVE-2023-42910: Ivan Fratric de Google Project Zero
CVE-2023-42911: Ivan Fratric de Google Project Zero
CVE-2023-42926: Ivan Fratric de Google Project Zero
AppleVA
Disponible para: macOS Sonoma
Impacto: El procesamiento de una imagen puede llevar a la ejecución de código arbitrario
Descripción: El problema se solucionó mejorando el manejo de la memoria.
CVE-2023-42882: Ivan Fratric de Google Project Zero
Utilidad de archivos
Disponible para: macOS Sonoma
Impacto: Una aplicación puede ser capaz de acceder a datos confidenciales del usuario
Descripción: Se solucionó un problema lógico con comprobaciones mejoradas.
CVE-2023-42924: Mickey Jin (@patch1t)
AVEVideoEncoder
Disponible para: macOS Sonoma
Impacto: Una aplicación puede ser capaz de revelar la memoria del núcleo
Descripción: Este problema se solucionó con una mejor redacción de la información confidencial.
CVE-2023-42884: un investigador anónimo
Bluetooth
Disponible para: macOS Sonoma
Impacto: Un atacante en una posición de red privilegiada puede ser capaz de inyectar pulsaciones de teclado falsificando un teclado
Descripción: El problema se solucionó con controles mejorados.
CVE-2023-45866: Marc Newlin de SkySafe
Reproducción de CoreMedia
Disponible para: macOS Sonoma
Impacto: Una aplicación puede ser capaz de acceder a datos sensibles al usuario
Descripción: El problema se solucionó con controles mejorados.
CVE-2023-42900: Mickey Jin (@patch1t)
Servicios básicos
Disponible para: macOS Sonoma
Impacto: Un usuario puede ser capaz de causar la terminación inesperada de la aplicación o la ejecución arbitraria de código
Descripción: Se abordó una lectura fuera de los límites con una comprobación de límites mejorada.
CVE-2023-42886: Koh M. Nakagawa (@tsunek0h)
Kit de extensión
Disponible para: macOS Sonoma
Impacto: Una aplicación puede ser capaz de acceder a datos confidenciales del usuario
Descripción: Se solucionó un problema de privacidad con una mejor redacción de datos privados para las entradas de registro.
CVE-2023-42927: Noah Roskin-Frazee y el Prof. J. (ZeroClicks.ai Lab)
Encuentra mi
Disponible para: macOS Sonoma
Impacto: Una aplicación puede ser capaz de leer información de ubicación confidencial
Descripción: Este problema se solucionó con una mejor redacción de la información confidencial.
CVE-2023-42922: Wojciech Regula de SecuRing (wojciechregula.blog)
ImageIO
Disponible para: macOS Sonoma
Impacto: El procesamiento de una imagen puede llevar a la ejecución de código arbitrario
Descripción: El problema se solucionó mejorando el manejo de la memoria.
CVE-2023-42898: Junsung Lee
CVE-2023-42899: Meysam Firouzi @R00tkitSMM y Junsung Lee
IOKit
Disponible para: macOS Sonoma
Impacto: Una aplicación puede ser capaz de monitorear las pulsaciones de teclas sin el permiso del usuario
Descripción: Se solucionó un problema de autenticación con una mejor gestión del estado.
CVE-2023-42891: un investigador anónimo
grano
Disponible para: macOS Sonoma
Impacto: Una aplicación puede salir de su caja de arena
Descripción: El problema se solucionó mejorando el manejo de la memoria.
CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) de Synacktiv (@Synacktiv)
ncurses
Disponible para: macOS Sonoma
Impacto: Un usuario remoto puede causar un cierre inesperado de la aplicación o la ejecución de código arbitrario
Descripción: Este problema se solucionó con comprobaciones mejoradas.
CVE-2020-19185
CVE-2020-19186
CVE-2020-19187
CVE-2020-19188
CVE-2020-19189
CVE-2020-19190
Lista de archivos compartidos
Disponible para: macOS Sonoma
Impacto: Una aplicación puede ser capaz de acceder a datos confidenciales del usuario
Descripción: El problema se solucionó con controles mejorados.
CVE-2023-42842: un investigador anónimo
TCC
Disponible para: macOS Sonoma
Impacto: Una aplicación puede poder acceder a los datos protegidos del usuario
Descripción: Se solucionó un problema lógico con comprobaciones mejoradas.
CVE-2023-42932: Zhongquan Li (@Guluisacat)
energía
Disponible para: macOS Sonoma
Impacto: La apertura de un archivo creado de forma maliciosa puede provocar la terminación inesperada de la aplicación o la ejecución arbitraria de código
Descripción: Este problema se solucionó mediante la actualización a la versión 9.0.1969 de Vim.
CVE-2023-5344
WebKit
Disponible para: macOS Sonoma
Impacto: El procesamiento de contenido web puede conducir a la ejecución de código arbitrario
Descripción: El problema se solucionó mejorando el manejo de la memoria.
WebKit Bugzilla: 259830
CVE-2023-42890: Pwn2car
WebKit
Disponible para: macOS Sonoma
Impacto: El procesamiento de una imagen puede llevar a una denegación de servicio
Descripción: El problema se solucionó mejorando el manejo de la memoria.
Reconocimientos adicionales
Memoji
Nos gustaría dar las gracias a Jerry Tenenbaum por su ayuda.
Wifi
Nos gustaría dar las gracias a Noah Roskin-Frazee y al profesor J. (ZeroClicks.ai Lab) por su ayuda.
