Noticias

Actualización de seguridad mensual de Apple - Diciembre 2024

Fecha de publicación: 

Durante el mes de diciembre, Apple ha publicado actualizaciones de seguridad para los sistemas operativos visionOS, iOS y iPadOS, macOS Sequoia, Ventura y Sonoma, watchOS, tvOS y el navegador Safari, para los que se tratan 46 vulnerabilidades entre las que se encuentran 5 de severidad crítica.

Recursos afectados

  • Safari 18.2
  • iOS 18.2 y iPadOS 18.2
  • iPadOS 17.7.3
  • macOS Sequoia 15.2
  • macOS Sonoma 14.7.2
  • macOS Ventura 13.7.2
  • watchOS 11.2
  • tvOS 18.2
  • visionOS 2.2

Análisis técnico

  • CVE-2023-32874: En la pila IMS del módem, existe una posible escritura fuera de los límites debido a la falta de una verificación de límites adecuada. Esto podría permitir la ejecución remota de código sin necesidad de privilegios adicionales. Además, no se requiere interacción del usuario para que la vulnerabilidad sea explotada.
  • CWE-787
  • CVSS: 9.8 crítica
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Explotación: No detectada
  • CVE-2023-33025: Corrupción de memoria en el módem de datos al procesar un cuerpo SDP no estándar durante una llamada VOLTE.
  • CWE-120
  • CVSS: 9.8 crítica
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Explotación: No detectada
  • CVE-2023-21651: Corrupción de memoria en el núcleo debido a una conversión o casting incorrecto de tipos en la función secure_io_read/write en TEE (Trusted Execution Environment).
  • CWE-704
  • CVSS: 9.3 crítica
  • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Explotación: No detectada
  • CVE-2023-33030: Corrupción de memoria en HLOS (High-Level Operating System) al ejecutar un caso de uso de PlayReady.
  • CWE-120
  • CVSS: 9.3 crítica
  • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Explotación: No detectada
  • CVE-2023-33032: Corrupción de memoria en el sistema operativo seguro TZ (Trusted Zone) al solicitar una asignación de memoria desde la región TA (Trusted Application).
  • CWE-190
  • CWE CWE-190
  • CVSS: 9.3 crítica
  • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Explotación: No detectada

Mitigación / Solución

Se recomienda a los usuarios a que actualicen sus dispositivos a las versiones corregidas.

Referencias adicionales