macOS Ventura 13.0.1 se une a las actualizaciones de iOS y iPadOS 16.1.1 además de los últimos firmware de los AirPods.
Esta actualización incluye correcciones de errores y actualizaciones de seguridad y se recomienda para todos los usuarios.
Novedades en macOS Ventura 13.0.1
Esta actualización, así como en las ya mencionadas de iOS y iPadOS 16.1.1, contiene corrección de errores y actualizaciones de seguridad y se recomienda a todos los usuarios.
En un documento interno, dichos errores de seguridad solucionados están dirigidos a la librería libxml2 con dos fallos detectados: CVE-2022-40303 y CVE-2022-40304:
- El fallo CVE-2022-40303 es un desbordamiento de enteros que se solucionó mejorando la validación de entrada. El problema fue descubierto por Maddie Stone de Google Project Zero.
- El fallo CVE-2022-40304 fue descubierto por Ned Williamson y Nathan Wachholz de Google Project Zero, Apple lo abordó con comprobaciones mejoradas.
Cuando se detecta un ciclo de referencia de entidad, el contenido de la entidad se borra estableciendo su primer byte en cero. Pero el contenido de la entidad podría asignarse desde un dictado. En este caso, la entrada dict se corrompe, lo que lleva a todo tipo de errores lógicos, incluidos los errores de memoria como los double-frees
La buena noticia es que Apple no tiene conocimiento de ataques en la naturaleza que exploten las dos fallos, a pesar de que un código de prueba de concepto (PoC) para el CVE-2022-40303 está disponible en línea.