Acerca del contenido de seguridad de macOS Sequoia 15.7

Acerca del contenido de seguridad de macOS Sequoia 15.7.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Los lanzamientos recientes aparecen en la página Versiones de seguridad de Apple.

Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.

Para obtener más información sobre los aspectos de seguridad, consulta la página de seguridad de los productos Apple.

macOS Sequoia 15.7

Archive Utility

Disponible para macOS Sequoia

Impacto: Es posible que una app pueda omitir las preferencias de privacidad

Descripción: Para solucionar este problema, se mejoró la validación de enlaces simbólicos.

CVE-2025-43288: Rodolphe BRUNETTI (@eisw0lf) de Lupus Nova

AMD

Disponible para macOS Sequoia

Impacto: Una app podía provocar el cierre inesperado del sistema

Descripción: Se mejoró la comprobación de límites para solucionar un problema de desbordamiento de búferes.

CVE-2025-43312: ABC Research s.r.o.

AppKit

Disponible para macOS Sequoia

Impacto: Una app podía acceder a datos protegidos del usuario

Descripción: Este problema se resolvió al bloquear el inicio de servicios no firmados en las Mac con procesador Intel.

CVE-2025-43321: Mickey Jin (@patch1t)

Apple Online Store Kit

Disponible para macOS Sequoia

Impacto: Una app podía acceder a datos protegidos del usuario

Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.

CVE-2025-31268: Csaba Fitzl (@theevilbit) y Nolan Astrein de Kandji

AppSandbox

Disponible para macOS Sequoia

Impacto: Una app podía acceder a datos protegidos del usuario

Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.

CVE-2025-43285: Zhongquan Li (@Guluisacat), Mickey Jin (@patch1t)

ATS

Disponible para macOS Sequoia

Impacto: Una app podía salir de su zona protegida

Descripción: Este problema se solucionó mediante la eliminación del código vulnerable.

CVE-2025-43330: Bilal Siddiqui

Call History

Disponible para macOS Sequoia

Impacto: Es posible que una app pueda registrar la huella digital del usuario

Descripción: Para solucionar este problema, se mejoró la redacción de información confidencial.

CVE-2025-43357: Rosyna Keller de Totally Not Malicious Software y Guilherme Rambo de Best Buddy Apps (rambo.codes)

CoreAudio

Disponible para macOS Sequoia

Impacto: Es posible que el procesamiento de un archivo de video creado con fines malintencionados pueda provocar el cierre inesperado de la app

Descripción: Se mejoró la validación de entradas para solucionar un problema de escritura fuera de los límites.

CVE-2025-43349: @zlluny, en colaboración con el programa Zero Day Initiative de Trend

CoreMedia

Disponible para macOS Sequoia

Impacto: Una app podía acceder a datos confidenciales del usuario.

Descripción: Se mejoró el manejo de estados para solucionar un problema de condición de carrera.

CVE-2025-43292: Csaba Fitzl (@theevilbit) y Nolan Astrein de Kandji

CoreServices

Disponible para macOS Sequoia

Impacto: Es posible que una app creada con fines malintencionados pueda obtener acceso a información privada

Descripción: Se mejoraron las comprobaciones para solucionar un problema de lógica.

CVE-2025-43305: un investigador anónimo y Mickey Jin (@patch1t)

CoreServices

Disponible para macOS Sequoia

Impacto: Es posible que una app pueda modificar partes protegidas del sistema de archivos

Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.

CVE-2025-43290: Zhongcheng Li de IES Red Team de ByteDance

CoreServices

Disponible para macOS Sequoia

Impacto: Es posible que una app maliciosa pueda acceder a datos confidenciales del usuario

Descripción: Se mejoró la validación para solucionar un problema de lógica.

CVE-2025-43289: Matej Moravec (@MacejkoMoravec), Kirin (@Pwnrin)

Crash Reporter

Disponible para macOS Sequoia

Impacto: Una app podía obtener privilegios de usuario raíz.

Descripción: Se solucionó un problema de condición de carrera mediante validaciones adicionales.

CVE-2025-46284: Un investigador anónimo

dyld

Disponible para macOS Sequoia

Impacto: Es posible que visitar un sitio web pueda provocar una denegación de servicio de app

Descripción: Para solucionar un problema de denegación de servicio, se mejoró la validación de entradas.

CVE-2025-43464: Duy Trần (@khanhduytran0), @EthanArbuckle

FaceTime

Disponible para macOS Sequoia

Impacto: Es posible que las llamadas entrantes de FaceTime puedan aparecer o ser aceptadas en un dispositivo macOS bloqueado, incluso con las notificaciones desactivadas en la pantalla de bloqueo

Descripción: Para solucionar este problema, se mejoró la administración del estado.

CVE-2025-31271: Shantanu Thakur

GPU Drivers

Disponible para macOS Sequoia

Impacto: Una app podía acceder a datos confidenciales del usuario.

Descripción: Para solucionar un problema de lectura fuera de los límites, se mejoró la comprobación de límites.

CVE-2025-43326: Wang Yu de Cyberserval

IOHIDFamily

Disponible para macOS Sequoia

Impacto: Una app podía provocar el cierre inesperado del sistema

Descripción: Para solucionar un problema de escritura fuera de los límites, se mejoró la comprobación de límites.

CVE-2025-43302: Keisuke Hosoda

IOKit

Disponible para macOS Sequoia

Impacto: Una app podía acceder a datos confidenciales del usuario.

Descripción: Se mejoró la administración de estados para solucionar un problema de autorización.

CVE-2025-31255: Csaba Fitzl (@theevilbit) de Kandji

Kernel

Disponible para macOS Sequoia

Impacto: Un socket de servidor UDP vinculado con una interfaz local podía vincularse con todas las interfaces

Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.

CVE-2025-43359: Viktor Oreshkin

Kernel

Disponible para macOS Sequoia

Impacto: Una app podía acceder a datos confidenciales del usuario.

Descripción: Se mejoraron las comprobaciones para solucionar un problema de corrección.

CVE-2025-43345: Mickey Jin (@patch1t)

libc

Disponible para macOS Sequoia

Impacto: Una app podía provocar una denegación de servicio.

Descripción: Para solucionar un problema de denegación de servicio, se mejoró la validación.

CVE-2025-43299: Nathaniel Oh (@calysteon)

CVE-2025-43295: Nathaniel Oh (@calysteon)

Libinfo

Disponible para macOS Sequoia

Impacto: Es posible que el procesamiento de una cadena creada con fines malintencionados genere daños en la memoria del montón

Descripción: Para solucionar este problema, se mejoró la comprobación de los límites.

CVE-2025-43353: Nathaniel Oh (@calysteon)

MediaLibrary

Disponible para macOS Sequoia

Impacto: Una app podía acceder a datos protegidos del usuario

Descripción: Este problema se solucionó mediante la eliminación del código vulnerable.

CVE-2025-43319: Hikerell (Loadshine Lab)

MigrationKit

Disponible para macOS Sequoia

Impacto: Es posible que una app pueda acceder a información confidencial del usuario

Descripción: Este problema se solucionó mediante la eliminación del código vulnerable.

CVE-2025-43315: Rodolphe Brunetti (@eisw0lf) de Lupus Nova

MobileStorageMounter

Disponible para macOS Sequoia

Impacto: Una app podía provocar una denegación de servicio.

Descripción: se mejoró el manejo de la memoria para solucionar un problema de confusión de tipo.

CVE-2025-43355: Dawuge de Shuffle Team

NetFSFramework

Disponible para macOS Sequoia

Impacto: Una app podía salir de su zona protegida

Descripción: Se solucionó un problema de condición de carrera mediante validaciones adicionales.

CVE-2025-43364: Csaba Fitzl (@theevilbit) de Kandji

Notification Center

Disponible para macOS Sequoia

Impacto: Una app podía acceder a la información de contacto relativa a las notificaciones en el Centro de notificaciones

Descripción: Para solucionar un problema de privacidad, se mejoró la redacción de datos privados para las entradas de registro.

CVE-2025-43301: LFY@secsys de Fudan University

PackageKit

Disponible para macOS Sequoia

Impacto: Una app podía obtener privilegios de usuario raíz.

Descripción: Se mejoró la validación de rutas para solucionar un problema de análisis sintáctico en el manejo de rutas de directorios.

CVE-2025-43298: Un investigador anónimo

Perl

Disponible para macOS Sequoia

Impacto: Varios problemas en Perl.

Descripción: Esta es una vulnerabilidad en código abierto y el software de Apple está entre los proyectos afectados. Un proveedor independiente asignó el ID CVE. Obtén más información sobre el problema y el ID CVE en cve.org.

CVE-2025-40909

Phone

Disponible para macOS Sequoia

Impacto: Una app podía acceder a datos confidenciales del usuario.

Descripción: Para solucionar un problema de inicio de sesión, se mejoró la redacción de datos.

CVE-2025-43508: Wojciech Regula de SecuRing (wojciechregula.blog)

Ruby

Disponible para macOS Sequoia

Impacto: Es posible que el procesamiento de un archivo pueda ocasionar una denegación de servicio o revelar el contenido de la memoria.

Descripción: Esta es una vulnerabilidad en código abierto y el software de Apple está entre los proyectos afectados. Un proveedor independiente asignó el ID CVE. Obtén más información sobre el problema y el ID CVE en cve.org.

CVE-2024-27280

Screenshots

Disponible para macOS Sequoia

Impacto: Una app podía tomar una captura de pantalla de una app durante el ingreso o la salida al modo de pantalla completa

Descripción: Se mejoraron las comprobaciones para solucionar un problema de privacidad.

CVE-2025-31259: Un investigador anónimo

Security Initialization

Disponible para macOS Sequoia

Impacto: Una app podía salir de su zona protegida

Descripción: Se solucionó un problema de omisión de cuarentena de archivos con comprobaciones adicionales.

CVE-2025-43332: Un investigador anónimo

SharedFileList

Disponible para macOS Sequoia

Impacto: Una app podía acceder a datos confidenciales del usuario.

Descripción: Se mejoró la validación de entradas para solucionar el problema.

CVE-2025-43293: Un investigador anónimo

SharedFileList

Disponible para macOS Sequoia

Impacto: Es posible que una app pueda modificar partes protegidas del sistema de archivos

Descripción: Un problema de permisos se solucionó mediante la eliminación del código vulnerable.

CVE-2025-43291: Ye Zhang de Baidu Security

SharedFileList

Disponible para macOS Sequoia

Impacto: Una app podía salir de su zona protegida

Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.

CVE-2025-43286: pattern-f (@pattern_F_), @zlluny

Shortcuts

Disponible para macOS Sequoia

Impacto: Un atajo podía eludir las restricciones de la zona protegida

Descripción: Se solucionó un problema de permisos mediante restricciones adicionales de la zona protegida.

CVE-2025-43358: 정답이 아닌 해답

Spell Check

Disponible para macOS Sequoia

Impacto: Una app podía acceder a datos confidenciales del usuario.

Descripción: Se mejoró la validación de rutas para solucionar un problema de análisis sintáctico en el manejo de rutas de directorios.

CVE-2025-43190: Noah Gregory (wts.dev)

Spotlight

Disponible para macOS Sequoia

Impacto: Una app podía acceder a datos confidenciales del usuario.

Descripción: Se mejoraron las comprobaciones para solucionar un problema de lógica.

CVE-2025-24197: Rodolphe Brunetti (@eisw0lf) de Lupus Nova

StorageKit

Disponible para macOS Sequoia

Impacto: Una app podía acceder a datos confidenciales del usuario.

Descripción: Se mejoró la validación de rutas para solucionar un problema de análisis sintáctico en el manejo de rutas de directorios.

CVE-2025-43314: Mickey Jin (@patch1t)

StorageKit

Disponible para macOS Sequoia

Impacto: Una app podía obtener privilegios de usuario raíz.

Descripción: Se mejoró el manejo de estados para solucionar un problema de condición de carrera.

CVE-2025-43304: Mickey Jin (@patch1t)

StorageKit

Disponible para macOS Sequoia

Impacto: Es posible que una app creada con fines malintencionados pueda obtener privilegios de root

Descripción: Se mejoraron las comprobaciones para solucionar un problema de lógica.

CVE-2025-43306: Mickey Jin (@patch1t)

Touch Bar

Disponible para macOS Sequoia

Impacto: Una app podía acceder a datos protegidos del usuario

Descripción: Se agregaron más comprobaciones de titularidad para solucionar este problema.

CVE-2025-43311: Un investigador anónimo, Justin Elliot Fu

Touch Bar Controls

Disponible para macOS Sequoia

Impacto: Una app podía acceder a datos confidenciales del usuario.

Descripción: Se agregaron más comprobaciones de titularidad para solucionar este problema.

CVE-2025-43308: Un investigador anónimo

WindowServer

Disponible para macOS Sequoia

Impacto: Es posible que una app pueda engañar a un usuario para que copie datos confidenciales en el pasteboard

Descripción: Se solucionó un problema de configuración mediante restricciones adicionales.

CVE-2025-43310: Un investigador anónimo

Otros agradecimientos

Airport

Nos gustaría darle las gracias a Csaba Fitzl (@theevilbit) de Kandji por su ayuda.

ImageIO

Nos gustaría darles las gracias a DongJun Kim (@smlijun) y JongSeong Kim (@nevul37) de Enki WhiteHat por su ayuda.

libpthread

Nos gustaría darle las gracias a Nathaniel Oh (@calysteon) por su ayuda.

libxml2

Nos gustaría darle las gracias a Nathaniel Oh (@calysteon) por su ayuda.

SharedFileList

Nos gustaría darle las gracias a Ye Zhang de Baidu Security por su ayuda.

Wi-Fi

Nos gustaría darles las gracias a Csaba Fitzl (@theevilbit) de Kandji, Noah Gregory (wts.dev), Wojciech Regula de SecuRing (wojciechregula.blog) y un investigador anónimo por su ayuda.

WindowServer

Nos gustaría darle las gracias a un investigador anónimo por su ayuda.