Acerca del contenido de seguridad de la actualización de seguridad 2022-005 de Catalina

En este documento, se describe el contenido de seguridad de la actualización de seguridad 2022-005 de Catalina.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Las versiones más recientes se pueden encontrar en la página Actualizaciones de seguridad de Apple.

Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que es posible.

Para obtener más información sobre la seguridad, consulta la página de seguridad de los productos Apple.

Actualización de seguridad 2022-005 de Catalina

Publicado el 20 de julio de 2022

APFS

Disponible para macOS Catalina

Impacto: Una app con privilegios de usuario raíz podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Este problema se solucionó mejorando el manejo de la memoria.

CVE-2022-32832: Tommy Muir (@Muirey03)

AppleMobileFileIntegrity

Disponible para macOS Catalina

Impacto: Una app podía obtener privilegios de usuario raíz.

Descripción: Se mejoró la administración de estados para solucionar un problema de autorización.

CVE-2022-32826: Mickey Jin (@patch1t) de Trend Micro

AppleScript

Disponible para macOS Catalina

Impacto: El procesamiento de un archivo binario de AppleScript creado con fines malintencionados podía ocasionar el cierre inesperado o la divulgación de la memoria de un proceso.

Descripción: Para solucionar este problema, se mejoraron las comprobaciones.

CVE-2022-32797: Mickey Jin (@patch1t), Ye Zhang (@co0py_Cat) de Baidu Security, Mickey Jin (@patch1t) de Trend Micro

AppleScript

Disponible para macOS Catalina

Impacto: El procesamiento de un archivo binario de AppleScript creado con fines malintencionados podía ocasionar el cierre inesperado o la divulgación de la memoria de un proceso.

Descripción: Se mejoró la validación de entradas para solucionar un problema de lectura fuera de los límites.

CVE-2022-32853: Ye Zhang (@co0py_Cat) de Baidu Security

CVE-2022-32851: Ye Zhang (@co0py_Cat) de Baidu Security

AppleScript

Disponible para macOS Catalina

Impacto: El procesamiento de un archivo binario de AppleScript creado con fines malintencionados podía ocasionar el cierre inesperado o la divulgación de la memoria de un proceso.

Descripción: Se mejoró la comprobación de límites para solucionar un problema de lectura fuera de los límites.

CVE-2022-32831: Ye Zhang (@co0py_Cat) de Baidu Security

Archive Utility

Disponible para macOS Catalina

Impacto: Un archivo podía omitir Gatekeeper.

Descripción: Se mejoraron las comprobaciones para solucionar un problema de lógica.

CVE-2022-32910: Ferdous Saljooki (@malwarezoo) de Jamf Software

Entrada agregada el 4 de octubre de 2022

Audio

Disponible para macOS Catalina

Impacto: Una app podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se mejoró la validación de entradas para solucionar un problema de escritura fuera de los límites.

CVE-2022-32820: Un investigador anónimo

Calendar

Disponible para macOS Catalina

Impacto: Una app podía acceder a información confidencial del usuario.

Descripción: Para solucionar el problema, se mejoró el manejo de las cachés.

CVE-2022-32805: Csaba Fitzl (@theevilbit) de Offensive Security

Calendar

Disponible para macOS Catalina

Impacto: Una app podía acceder a información confidencial del usuario.

Descripción: Se solucionó un problema de divulgación de información eliminando el código vulnerable.

CVE-2022-32849: Joshua Jones

CoreText

Disponible para macOS Catalina

Impacto: Un usuario remoto podía provocar el cierre inesperado de una app o la ejecución de código arbitrario.

Descripción: Para solucionar este problema, se mejoró la comprobación de los límites.

CVE-2022-32839: STAR Labs (@starlabs_sg)

FaceTime

Disponible para macOS Catalina

Impacto: Una app con privilegios de usuario raíz podía acceder a información privada.

Descripción: Para solucionar este problema, se activó la función Hardened Runtime.

CVE-2022-32781: Wojciech Reguła (@_r3ggi) de SecuRing

File System Events

Disponible para macOS Catalina

Impacto: Una app podía obtener privilegios de usuario raíz.

Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.

CVE-2022-32819: Joshua Mason de Mandiant

ICU

Disponible para macOS Catalina

Impacto: El procesamiento de contenido web creado con fines malintencionados podía provocar la ejecución de código arbitrario.

Descripción: Se mejoró la comprobación de límites para solucionar un problema de escritura fuera de los límites.

CVE-2022-32787: Dohyun Lee (@l33d0hyun) de SSD Secure Disclosure Labs y DNSLab, Universidad de Corea

ImageIO

Disponible para macOS Catalina

Impacto: El procesamiento de una imagen podía provocar una denegación de servicio.

Descripción: Se solucionó un problema de falta de referencia de puntero nulo mejorando la validación.

CVE-2022-32785: Yiğit Can YILMAZ (@yilmazcanyigit)

Intel Graphics Driver

Disponible para macOS Catalina

Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel

Descripción: Este problema se solucionó mejorando el manejo de la memoria.

CVE-2022-32812: Yinyi Wu (@3ndy1), ABC Research s.r.o.

Intel Graphics Driver

Disponible para macOS Catalina

Impacto: Una app podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de vulnerabilidad de daños en la memoria mejorando el bloqueo.

CVE-2022-32811: ABC Research s.r.o

Kernel

Disponible para macOS Catalina

Impacto: Una app con privilegios de usuario raíz podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2022-32815: Xinru Chi de Pangu Lab

CVE-2022-32813: Xinru Chi de Pangu Lab

LaunchServices

Disponible para macOS Catalina

Impacto: Es posible que una app pueda omitir ciertas preferencias de privacidad.

Descripción: Se mejoraron las restricciones para solucionar un problema de lógica.

CVE-2021-30946: @gorelics y Ron Masas de BreakPoint.sh

Entrada agregada el 6 de junio de 2023

libxml2

Disponible para macOS Catalina

Impacto: Una app podía divulgar información confidencial del usuario.

Descripción: Se mejoró el manejo de la memoria para solucionar un problema en su inicialización.

CVE-2022-32823

PackageKit

Disponible para macOS Catalina

Impacto: Una app podía modificar partes protegidas del sistema de archivos.

Descripción: Se mejoró la validación para solucionar un problema en el manejo de variables del entorno.

CVE-2022-32786: Mickey Jin (@patch1t)

PackageKit

Disponible para macOS Catalina

Impacto: Una app podía modificar partes protegidas del sistema de archivos.

Descripción: Para solucionar este problema, se mejoraron las comprobaciones.

CVE-2022-32800: Mickey Jin (@patch1t)

PluginKit

Disponible para macOS Catalina

Impacto: Una app podía leer archivos arbitrarios.

Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.

CVE-2022-32838: Mickey Jin (@patch1t) de Trend Micro

PS Normalizer

Disponible para macOS Catalina

Impacto: El procesamiento de un archivo de Postscript creado con fines malintencionados podía ocasionar el cierre inesperado de una app o la divulgación de la memoria de un proceso.

Descripción: Se mejoró la comprobación de límites para solucionar un problema de escritura fuera de los límites.

CVE-2022-32843: Kai Lu del ThreatLabz de Zscaler

SMB

Disponible para macOS Catalina

Impacto: Una app podía obtener privilegios elevados.

Descripción: Se mejoró la validación de entradas para solucionar un problema de lectura fuera de los límites.

CVE-2022-32842: Sreejith Krishnan R (@skr0x1c0)

SMB

Disponible para macOS Catalina

Impacto: Un usuario con una posición de red privilegiada podía divulgar información confidencial.

Descripción: Se mejoró la comprobación de límites para solucionar un problema de lectura fuera de los límites.

CVE-2022-32799: Sreejith Krishnan R (@skr0x1c0)

Software Update

Disponible para macOS Catalina

Impacto: Un usuario con una posición de red privilegiada podía dar seguimiento a la actividad de un usuario.

Descripción: Este problema se solucionó usando HTTPS al enviar información a través de la red.

CVE-2022-32857: Jeffrey Paul (sneak.berlin)

Spindump

Disponible para macOS Catalina

Impacto: Una app podía sobrescribir archivos arbitrarios.

Descripción: Para solucionar este problema, se mejoró el manejo de archivos.

CVE-2022-32807: Zhipeng Huo (@R3dF09) de Tencent Security Xuanwu Lab

Spotlight

Disponible para macOS Catalina

Impacto: Una app podía obtener privilegios elevados.

Descripción: Se mejoró la validación de enlaces simbólicos para solucionar un problema de validación en el manejo de enlaces simbólicos.

CVE-2022-26704: Joshua Mason de Mandiant

TCC

Disponible para macOS Catalina

Impacto: Una app podía acceder a información confidencial del usuario.

Descripción: Se mejoró la zona protegida para solucionar un problema de acceso.

CVE-2022-32834: Xuxiang Yang (@another1024) de Tencent Security Xuanwu Lab (xlab.tencent.com), Gordon Long, Thijs Alkemade (@xnyhps) de Computest Sector 7, Adam Chester de TrustedSec, Yuebin Sun (@yuebinsun2020) de Tencent Security Xuanwu Lab (xlab.tencent.com), Zhipeng Huo (@R3dF09) de Tencent Security Xuanwu Lab (xlab.tencent.com)

Entrada actualizada el 16 de septiembre de 2022 y actualizada el 6 de junio de 2023

Vim

Disponible para macOS Catalina

Impacto: Varios problemas en Vim

Descripción: Se solucionaron varios problemas con la actualización de Vim.

CVE-2021-4136

CVE-2021-4166

CVE-2021-4173

CVE-2021-4187

CVE-2021-4192

CVE-2021-4193

CVE-2021-46059

CVE-2022-0128

Wi-Fi

Disponible para macOS Catalina

Impacto: Una app podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se mejoró la validación de entradas para solucionar un problema de escritura fuera de los límites.

CVE-2022-32860: Wang Yu de Cyberserval

Entrada agregada el 6 de junio de 2023

Wi-Fi

Disponible para macOS Catalina

Impacto: Una app podía provocar el cierre inesperado del sistema o escribir la memoria del kernel.

Descripción: Para solucionar este problema, se mejoraron las comprobaciones.

CVE-2022-32837: Wang Yu de Cyberserval

Entrada agregada el 16 de septiembre de 2022

Wi-Fi

Disponible para macOS Catalina

Impacto: Un usuario remoto podía provocar el cierre inesperado del sistema o daños en la memoria del kernel.

Descripción: Para solucionar este problema, se mejoraron las comprobaciones.

CVE-2022-32847: Wang Yu de Cyberserval

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.

Fecha de publicación: