Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Las versiones más recientes se pueden encontrar en la página Actualizaciones de seguridad de Apple.
Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que es posible.
Para obtener más información sobre la seguridad, consulta la página de seguridad de los productos Apple.
macOS Catalina 10.15.1, actualizaciones de seguridad 2019-001 y 2019-006
Publicado el 29 de octubre de 2019
Cuentas
Disponible para macOS Mojave 10.14.6, macOS High Sierra 10.13.6 y macOS Catalina 10.15
Impacto: Es posible que un atacante remoto pueda producir una fuga de memoria
Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la validación de entradas.
CVE-2019-8787: Steffen Klee de Secure Mobile Networking Lab en Technische Universität Darmstadt
Entrada actualizada el 11 de febrero de 2020
Cuentas
Disponible para macOS Mojave 10.14.6 y macOS High Sierra 10.13.6
Impacto: Las transferencias de AirDrop podían aceptarse de forma inesperada en el modo Todos.
Descripción: Se solucionó un problema de lógica mejorando la validación.
CVE-2019-8796: Allison Husain de UC Berkeley
Entrada agregada el 4 de abril de 2020
AirDrop
Disponible para macOS Catalina 10.15
Impacto: Las transferencias de AirDrop podían aceptarse de forma inesperada en el modo Todos.
Descripción: Se solucionó un problema de lógica mejorando la validación.
CVE-2019-8796: Allison Husain de UC Berkeley
Entrada agregada el 4 de abril de 2020
AMD
Disponible para macOS Mojave 10.14.6 y macOS High Sierra 10.13.6
Impacto: Una app podía ejecutar código arbitrario con privilegios del kernel
Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.
CVE-2019-8748: Lilang Wu y Moony Li de TrendMicro Mobile Security Research Team
Entrada agregada el 11 de febrero de 2020
apache_mod_php
Disponible para macOS Mojave 10.14.6 y macOS High Sierra 10.13.6
Impacto: Varios problemas en PHP.
Descripción: Se solucionaron varios problemas actualizando PHP a la versión 7.3.8.
CVE-2019-11041
CVE-2019-11042
Entrada agregada el 11 de febrero de 2020
APFS
Disponible para macOS Mojave 10.14.6, macOS High Sierra 10.13.6 y macOS Catalina 10.15
Impacto: Una app podía ejecutar código arbitrario con privilegios del kernel
Descripción: Se mejoró la administración de estados para solucionar un problema de daños en la memoria.
CVE-2019-8824: Mac en colaboración con la iniciativa Zero Day de Trend Micro
Entrada agregada el 11 de febrero de 2020
App Store
Disponible para macOS Catalina 10.15
Impacto: Un atacante local podía iniciar sesión en la cuenta de un usuario que había iniciado sesión previamente sin credenciales válidas.
Descripción: Se solucionó un problema de autenticación mejorando la administración de estados.
CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)
AppleGraphicsControl
Disponible para macOS Catalina 10.15
Impacto: Es posible que una app pueda leer la memoria restringida
Descripción: Se solucionó un problema de validación mejorando el saneamiento de entradas.
CVE-2019-8817: Arash Tohidi
AppleGraphicsControl
Disponible para macOS High Sierra 10.13.6 y macOS Mojave 10.14.6
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del sistema
Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.
CVE-2019-8716: Zhiyi Zhang de Codesafe Team de Legendsec en Qi’anxin Group, Zhuo Liang de Qihoo 360 Vulcan Team
Dominios asociados
Disponible para macOS Catalina 10.15
Impacto: Un procesamiento de URL incorrecto podía provocar la exfiltración de datos.
Descripción: Existía un problema en el análisis de direcciones URL. Este problema se solucionó mejorando la validación de entradas.
CVE-2019-8788: Juha Lindstedt de Pakastin, Mirko Tanania, Rauli Rikama de Zero Keyboard Ltd
Audio
Disponible para macOS High Sierra 10.13.6 y macOS Mojave 10.14.6
Impacto: Es posible que el procesamiento de un archivo de audio creado con fines malintencionados ocasione la ejecución de código arbitrario
Descripción: Se solucionó un problema de daños en la memoria mejorando la administración de estados.
CVE-2019-8706: Yu Zhou de Ant-financial Light-Year Security Lab
Audio
Disponible para macOS Mojave 10.14.6, macOS High Sierra 10.13.6 y macOS Catalina 10.15
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del sistema
Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.
CVE-2019-8785: Ian Beer de Google Project Zero
CVE-2019-8797: 08Tc3wBB en colaboración con SSD Secure Disclosure
Entrada actualizada el 11 de febrero de 2020
Audio
Disponible para macOS Mojave 10.14.6 y macOS High Sierra 10.13.6
Impacto: Es posible que el procesamiento de un archivo de audio creado con fines malintencionados revele memoria restringida
Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la validación de entradas.
CVE-2019-8850: Anónimo en colaboración con la iniciativa Zero Day de Trend Micro
Entrada actualizada el 18 de diciembre de 2019
Libros
Disponible para macOS Catalina 10.15
Impacto: Es posible que el análisis de un archivo de iBooks creado con fines malintencionados ocasione la divulgación de la información del usuario
Descripción: Existía un problema de validación en el manejo de enlaces simbólicos. Para solucionar este problema, se mejoró la validación de enlaces simbólicos.
CVE-2019-8789: Gertjan Franken de imec-DistriNet, KU Leuven
Contactos
Disponible para macOS Catalina 10.15
Impacto: El procesamiento de un contacto creado con fines malintencionados podía provocar una suplantación en la interfaz de usuario.
Descripción: Se solucionó un problema de interfaz de usuario incoherente mejorando la administración de estado.
CVE-2017-7152: Oliver Paukstadt de Thinking Objects GmbH (to.com)
CoreAudio
Disponible para macOS Mojave 10.14.6 y macOS High Sierra 10.13.6
Impacto: La reproducción de un archivo de audio creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: Se solucionó un problema de daños en la memoria mejorando la validación de entradas.
CVE-2019-8592: riusksk de VulWar Corp en colaboración con la iniciativa Zero Day de Trend Micro
Entrada agregada el 6 de noviembre de 2019
CoreAudio
Disponible para macOS Mojave 10.14.6 y macOS High Sierra 10.13.6
Impacto: Es posible que el procesamiento de un video creado con fines malintencionados ocasione la divulgación de la memoria de procesos.
Descripción: Se solucionó un problema de daños en la memoria mejorando la validación.
CVE-2019-8705: riusksk de VulWar Corp en colaboración con la iniciativa Zero Day de Trend Micro
Entrada agregada el 11 de febrero de 2020
CoreMedia
Disponible para macOS Mojave 10.14.6 y macOS High Sierra 10.13.6
Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda ocasionar la ejecución de código arbitrario
Descripción: Se solucionó un problema de daños en la memoria mejorando la administración de estados.
CVE-2019-8825: Detectado por GWP-ASan en Google Chrome
Entrada agregada el 11 de febrero de 2020
CUPS
Disponible para macOS High Sierra 10.13.6 y macOS Mojave 10.14.6
Impacto: Un atacante con una posición de red privilegiada podía divulgar información confidencial del usuario.
Descripción: Se solucionó un problema de validación de entradas mejorando la validación de entradas.
CVE-2019-8736: Pawel Gocyla de ING Tech Poland (ingtechpoland.com)
CUPS
Disponible para macOS High Sierra 10.13.6 y macOS Mojave 10.14.6
Impacto: Es posible que el procesamiento de una cadena creada con fines malintencionados genere daños en la memoria del montón
Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.
CVE-2019-8767: Stephen Zeisberg
CUPS
Disponible para macOS High Sierra 10.13.6 y macOS Mojave 10.14.6
Impacto: Es posible que un atacante con una posición de red privilegiada pueda ejecutar un ataque de denegación de servicio
Descripción: Se solucionó un problema de denegación de servicio mejorando la validación.
CVE-2019-8737: Pawel Gocyla de ING Tech Poland (ingtechpoland.com)
Cuarentena de archivos
Disponible para macOS High Sierra 10.13.6 y macOS Mojave 10.14.6
Impacto: Es posible que una app creada con fines malintencionados pueda elevar privilegios
Descripción: Este problema se solucionó eliminando el código vulnerable.
CVE-2019-8509: CodeColorist de Ant-Financial LightYear Labs
Problemas del sistema de archivos
Disponible para macOS High Sierra 10.13.6 y macOS Catalina 10.15
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del sistema
Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.
CVE-2019-8798: ABC Research s.r.o. en colaboración con la iniciativa Zero Day de Trend Micro
Foundation
Disponible para macOS Mojave 10.14.6 y macOS High Sierra 10.13.6
Impacto: Un atacante remoto podía ocasionar el cierre inesperado de una app o la ejecución de código arbitrario
Descripción: Se mejoró la validación de entradas para solucionar un problema de lectura fuera de los límites.
CVE-2019-8746: Natalie Silvanovich y Samuel Groß de Google Project Zero
Entrada agregada el 11 de febrero de 2020
Gráficos
Disponible para macOS High Sierra 10.13.6 y macOS Mojave 10.14.6
Impacto: El procesamiento de un sombreado creado con fines malintencionados podía provocar el cierre inesperado de una app o la ejecución de código arbitrario.
Descripción: Se solucionaron varios problemas de daños en la memoria mejorando la validación de entradas.
CVE-2018-12152: Piotr Bania de Cisco Talos
CVE-2018-12153: Piotr Bania de Cisco Talos
CVE-2018-12154: Piotr Bania de Cisco Talos
Driver de gráficos
Disponible para macOS Catalina 10.15
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del sistema
Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.
CVE-2019-8784: Vasiliy Vasilyev y Ilya Finogeev de Webinar, LLC
Controlador de gráficos Intel
Disponible para macOS Catalina 10.15
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del sistema
Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.
CVE-2019-8807: Yu Wang de Didi Research America
IOGraphics
Disponible para macOS High Sierra 10.13.6 y macOS Mojave 10.14.6
Impacto: Es posible que un usuario local pueda provocar el cierre inesperado del sistema o leer la memoria del kernel
Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la comprobación de límites.
CVE-2019-8759: Otro de 360 Nirvan Team
iTunes
Disponible para macOS Catalina 10.15
Impacto: La ejecución de un instalador de iTunes en un directorio que no era de confianza podía provocar la ejecución de código arbitrario.
Descripción: Existía un problema de carga de la biblioteca dinámica en la configuración de iTunes. Este problema se solucionó mejorando la búsqueda de rutas.
CVE-2019-8801: Hou JingYi (@hjy79425575) de Qihoo 360 CERT
Kernel
Disponible para macOS Mojave 10.14.6 y macOS High Sierra 10.13.6
Impacto: Una app podía ejecutar código arbitrario con privilegios del kernel
Descripción: Se mejoró la administración de estados para solucionar un problema de daños en la memoria.
CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)
Entrada agregada el 11 de febrero de 2020
Kernel
Disponible para macOS Catalina 10.15
Impacto: Es posible que una app pueda leer la memoria restringida
Descripción: Se solucionó un problema de validación mejorando el saneamiento de entradas.
CVE-2019-8794: 08Tc3wBB en colaboración con SSD Secure Disclosure
Kernel
Disponible para macOS Mojave 10.14.6, macOS High Sierra 10.13.6 y macOS Catalina 10.15
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel
Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.
CVE-2019-8717: Jann Horn de Google Project Zero
CVE-2019-8786: Wen Xu de Georgia Tech, pasante de Microsoft Offensive Security Research
Entrada actualizada el 18 de noviembre de 2019 y nuevamente actualizada el 11 de febrero de 2020
Kernel
Disponible para macOS High Sierra 10.13.6 y macOS Mojave 10.14.6
Impacto: Es posible que una app creada con fines malintencionados pueda determinar la distribución de la memoria del kernel
Descripción: Existía un problema de daños en la memoria en el manejo de paquetes IPv6. Este problema se solucionó mejorando la administración de la memoria.
CVE-2019-8744: Zhuo Liang de Qihoo 360 Vulcan Team
Kernel
Disponible para macOS Catalina 10.15
Impacto: Una aplicación podía ejecutar código arbitrario con privilegios del kernel.
Descripción: Se solucionó un problema de vulnerabilidad de daños en la memoria mejorando el bloqueo.
CVE-2019-8829: Jann Horn de Google Project Zero
Entrada agregada el 6 de noviembre de 2019
libxml2
Disponible para macOS High Sierra 10.13.6 y macOS Mojave 10.14.6
Impacto: Varios problemas en libxml2.
Descripción: Se solucionaron varios problemas de daños en la memoria mejorando la validación de entradas.
CVE-2019-8749: Detectado por OSS-Fuzz
CVE-2019-8756: Detectado por OSS-Fuzz
libxslt
Disponible para macOS High Sierra 10.13.6 y macOS Mojave 10.14.6
Impacto: Varios problemas en libxslt.
Descripción: Se solucionaron varios problemas de daños en la memoria mejorando la validación de entradas.
CVE-2019-8750: Detectado por OSS-Fuzz
manpages
Disponible para macOS High Sierra 10.13.6 y macOS Catalina 10.15
Impacto: Es posible que una app creada con fines malintencionados pueda obtener privilegios de usuario raíz
Descripción: Se solucionó un problema de validación mejorando la lógica.
CVE-2019-8802: Csaba Fitzl (@theevilbit)
PDFKit
Disponible para macOS Mojave 10.14.6 y macOS High Sierra 10.13.6
Impacto: Un atacante podía exfiltrar el contenido de un archivo PDF encriptado.
Descripción: Existía un problema en el manejo de enlaces de archivos PDF encriptados. Este problema se solucionó agregando un cuadro de diálogo de confirmación.
CVE-2019-8772: Jens Müller de la Universidad Ruhr de Bochum, Fabian Ising de la Universidad FH Münster de Ciencias Aplicadas, Vladislav Mladenov de la Universidad Ruhr de Bochum, Christian Mainka de la Universidad Ruhr de Bochum, Sebastian Schinzel de la Universidad FH Münster de Ciencias Aplicadas y Jörg Schwenk de la Universidad Ruhr de Bochum
Entrada agregada el 11 de febrero de 2020
PluginKit
Disponible para macOS High Sierra 10.13.6 y macOS Mojave 10.14.6
Impacto: Un usuario local podía comprobar la existencia de archivos arbitrarios.
Descripción: Se solucionó un problema de lógica mejorando las restricciones.
CVE-2019-8708: Un investigador anónimo
PluginKit
Disponible para macOS High Sierra 10.13.6 y macOS Mojave 10.14.6
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del sistema
Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.
CVE-2019-8715: Un investigador anónimo
Servidor de Compartir pantalla
Disponible para macOS Catalina 10.15
Impacto: Un usuario que compartía su pantalla podía no finalizar el uso compartido de la pantalla.
Descripción: Se solucionó un problema de lógica mejorando la administración de estado.
CVE-2019-8858: Saul van der Bijl de Saul’s Place Counseling B.V.
Entrada agregada el 18 de diciembre de 2019
Extensiones del sistema
Disponible para macOS Catalina 10.15
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del sistema
Descripción: Existía un problema de validación en la verificación de autorización. Este problema se solucionó mejorando la validación de la autorización del proceso.
CVE-2019-8805: Scott Knight (@sdotknight) de VMware Carbon Black TAU
UIFoundation
Disponible para macOS Catalina 10.15
Impacto: Un documento HTML malicioso podía mostrar iframes con información confidencial del usuario.
Descripción: Existía un problema de origen cruzado con los elementos de iFrame. Este problema se solucionó mejorando el seguimiento de los orígenes de seguridad.
CVE-2019-8754: Renee Trisberg de SpectX
Entrada agregada el 24 de febrero de 2020
UIFoundation
Disponible para macOS Mojave 10.14.6 y macOS High Sierra 10.13.6
Impacto: Es posible que el procesamiento de un archivo de texto creado con fines malintencionados ocasione la ejecución de código arbitrario
Descripción: Se solucionó un problema de desbordamiento de búferes mejorando la comprobación de límites.
CVE-2019-8745: riusksk de VulWar Corp en colaboración con la iniciativa Zero Day de Trend Micro
Entrada agregada el 11 de febrero de 2020
UIFoundation
Disponible para macOS Mojave 10.14.6 y macOS High Sierra 10.13.6
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del sistema
Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.
CVE-2019-8831: riusksk de VulWar Corp en colaboración con la iniciativa Zero Day de Trend Micro
Entrada agregada el 11 de febrero de 2020
UIFoundation
Disponible para macOS Mojave 10.14.6 y macOS High Sierra 10.13.6
Impacto: El análisis de un archivo de texto creado con fines malintencionados podía ocasionar la divulgación de información del usuario.
Descripción: Este problema se solucionó mejorando las comprobaciones.
CVE-2019-8761: Paulos Yibelo de Limehats y Renee Trisberg de SpectX
Entrada actualizada el 10 de agosto de 2020
Wi-Fi
Disponible para macOS Catalina 10.15
Impacto: Un atacante en el rango de Wi-Fi podía ver una cantidad pequeña de tráfico de red.
Descripción: Existía un problema lógico en el manejo de las transiciones de estado. Este problema se solucionó mejorando la administración de estado.
CVE-2019-15126: Milos Cermak en ESET
Entrada agregada el 11 de febrero de 2020
Otros agradecimientos
CFNetwork
Nos gustaría darle las gracias a Lily Chen de Google por su ayuda.
Encontrar
Nos gustaría darle las gracias a Amr Elseehy por su ayuda.
Entrada agregada el 28 de julio de 2020
Kernel
Nos gustaría darles las gracias a Brandon Azad de Google Project Zero, Daniel Roethlisberger de Swisscom CSIRT y Jann Horn de Google Project Zero por su ayuda.
Entrada actualizada el 6 de noviembre de 2019
libresolv
Nos gustaría darle las gracias a enh de Google por su ayuda.
Autenticación local
Nos gustaría darle las gracias a Ryan Lopopolo por su ayuda.
Entrada agregada el 11 de febrero de 2020
mDNSResponder
Nos gustaría darle las gracias a Gregor Lang de e.solutions GmbH por su ayuda.
Entrada agregada el 11 de febrero de 2020
Postfix
Nos gustaría darle las gracias a Chris Barker de Puppet por su ayuda.
python
Nos gustaría darle las gracias a un investigador anónimo por su ayuda.
VPN
Nos gustaría darle las gracias a Royce Gawron de Second Son Consulting, Inc. por su ayuda.