Acerca del contenido de seguridad de macOS Catalina 10.15.1 y las actualizaciones de seguridad 2019-001 y 2019-006
En este documento, se describe el contenido de seguridad de macOS Catalina 10.15.1 y las actualizaciones de seguridad 2019-001 y 2019-006.
Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Las versiones más recientes se pueden encontrar en la página Actualizaciones de seguridad de Apple.
Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que es posible.
Para obtener más información sobre la seguridad, consulta la página de seguridad de los productos Apple.
macOS Catalina 10.15.1, actualizaciones de seguridad 2019-001 y 2019-006
Accounts
Disponible para macOS Mojave 10.14.6, macOS High Sierra 10.13.6 y macOS Catalina 10.15
Impacto: Es posible que un atacante remoto pueda producir una fuga de memoria
Descripción: Se mejoró la validación de entradas para solucionar un problema de lectura fuera de los límites.
CVE-2019-8787: Steffen Klee de Secure Mobile Networking Lab en Technische Universität Darmstadt
Accounts
Disponible para macOS Mojave 10.14.6 y macOS High Sierra 10.13.6
Impacto: Es posible que las transferencias de AirDrop puedan aceptarse de forma inesperada en el modo Todos
Descripción: Se mejoró la validación para solucionar un problema de lógica.
CVE-2019-8796: Allison Husain de UC Berkeley
AirDrop
Disponible para macOS Catalina 10.15
Impacto: Es posible que las transferencias de AirDrop puedan aceptarse de forma inesperada en el modo Todos
Descripción: Se mejoró la validación para solucionar un problema de lógica.
CVE-2019-8796: Allison Husain de UC Berkeley
AMD
Disponible para macOS Mojave 10.14.6 y macOS High Sierra 10.13.6
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel
Descripción: Se mejoró el manejo de la memoria para solucionar un problema que hacía que se dañara.
CVE-2019-8748: Lilang Wu y Moony Li de TrendMicro Mobile Security Research Team
apache_mod_php
Disponible para macOS Mojave 10.14.6 y macOS High Sierra 10.13.6
Impacto: Varios problemas en PHP
Descripción: Se solucionaron varios problemas actualizando PHP a la versión 7.3.8.
CVE-2019-11041
CVE-2019-11042
APFS
Disponible para macOS Mojave 10.14.6, macOS High Sierra 10.13.6 y macOS Catalina 10.15
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel
Descripción: Se mejoró la administración de estados para solucionar un problema de daños en la memoria.
CVE-2019-8824: Mac en colaboración con la iniciativa Zero Day de Trend Micro
App Store
Disponible para macOS Catalina 10.15
Impacto: Es posible que un atacante local pueda iniciar sesión en la cuenta de un usuario que había iniciado sesión previamente sin credenciales válidas
Descripción: Se solucionó un problema de autenticación mejorando la administración de estados.
CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)
AppleGraphicsControl
Disponible para macOS Catalina 10.15
Impacto: Es posible que una app pueda leer la memoria restringida
Descripción: Se solucionó un problema de validación mejorando el saneamiento de entradas.
CVE-2019-8817: Arash Tohidi
AppleGraphicsControl
Disponible para macOS High Sierra 10.13.6 y macOS Mojave 10.14.6
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del sistema
Descripción: Se mejoró el manejo de la memoria para solucionar un problema que hacía que se dañara.
CVE-2019-8716: Zhiyi Zhang de Codesafe Team de Legendsec en Qi’anxin Group, Zhuo Liang de Qihoo 360 Vulcan Team
Associated Domains
Disponible para macOS Catalina 10.15
Impacto: Es posible que un procesamiento de URL incorrecto pueda provocar la exfiltración de datos
Descripción: Existía un problema en el análisis de direcciones URL. Este problema se solucionó mejorando la validación de entradas.
CVE-2019-8788: Juha Lindstedt de Pakastin, Mirko Tanania, Rauli Rikama de Zero Keyboard Ltd
Audio
Disponible para macOS High Sierra 10.13.6 y macOS Mojave 10.14.6
Impacto: Es posible que el procesamiento de un archivo de audio creado con fines malintencionados ocasione la ejecución de código arbitrario
Descripción: Se mejoró la administración de estados para solucionar un problema de daños en la memoria.
CVE-2019-8706: Yu Zhou de Ant-financial Light-Year Security Lab
Audio
Disponible para macOS Mojave 10.14.6, macOS High Sierra 10.13.6 y macOS Catalina 10.15
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del sistema
Descripción: Se mejoró el manejo de la memoria para solucionar un problema que hacía que se dañara.
CVE-2019-8785: Ian Beer de Google Project Zero
CVE-2019-8797: 08Tc3wBB en colaboración con SSD Secure Disclosure
Audio
Disponible para macOS Mojave 10.14.6 y macOS High Sierra 10.13.6
Impacto: Es posible que el procesamiento de un archivo de audio creado con fines malintencionados revele memoria restringida
Descripción: Se mejoró la validación de entradas para solucionar un problema de lectura fuera de los límites.
CVE-2019-8850: Anónimo en colaboración con la iniciativa Zero Day de Trend Micro
Books
Disponible para macOS Catalina 10.15
Impacto: Es posible que el análisis de un archivo de iBooks creado con fines malintencionados ocasione la divulgación de la información del usuario
Descripción: Existía un problema de validación en el manejo de enlaces simbólicos. Para solucionar este problema, se mejoró la validación de enlaces simbólicos.
CVE-2019-8789: Gertjan Franken de imec-DistriNet, KU Leuven
Contacts
Disponible para macOS Catalina 10.15
Impacto: Es posible que el procesamiento de un contacto creado con fines malintencionados pueda provocar una suplantación en la interfaz de usuario
Descripción: Se solucionó un problema de interfaz de usuario incoherente mejorando la administración de estado.
CVE-2017-7152: Oliver Paukstadt de Thinking Objects GmbH (to.com)
CoreAudio
Disponible para macOS Mojave 10.14.6 y macOS High Sierra 10.13.6
Impacto: Es posible que la reproducción de un archivo de audio creado con fines malintencionados pueda ocasionar la ejecución de código arbitrario
Descripción: Se solucionó un problema de daños en la memoria mejorando la validación de entradas.
CVE-2019-8592: riusksk de VulWar Corp en colaboración con la iniciativa Zero Day de Trend Micro
CoreAudio
Disponible para macOS Mojave 10.14.6 y macOS High Sierra 10.13.6
Impacto: Es posible que el procesamiento de una película creada con fines malintencionados pueda ocasionar la divulgación de la memoria de un proceso
Descripción: Se solucionó un problema de daños en la memoria mejorando la validación.
CVE-2019-8705: riusksk de VulWar Corp en colaboración con la iniciativa Zero Day de Trend Micro
CoreMedia
Disponible para macOS Mojave 10.14.6 y macOS High Sierra 10.13.6
Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda ocasionar la ejecución de código arbitrario
Descripción: Se mejoró la administración de estados para solucionar un problema de daños en la memoria.
CVE-2019-8825: Detectado por GWP-ASan en Google Chrome
CUPS
Disponible para macOS High Sierra 10.13.6 y macOS Mojave 10.14.6
Impacto: Es posible que un atacante con una posición de red privilegiada pueda divulgar información confidencial del usuario
Descripción: Se solucionó un problema de validación de entradas mejorando la validación de entradas.
CVE-2019-8736: Pawel Gocyla de ING Tech Poland (ingtechpoland.com)
CUPS
Disponible para macOS High Sierra 10.13.6 y macOS Mojave 10.14.6
Impacto: Es posible que el procesamiento de una cadena creada con fines malintencionados genere daños en la memoria del montón
Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.
CVE-2019-8767: Stephen Zeisberg
CUPS
Disponible para macOS High Sierra 10.13.6 y macOS Mojave 10.14.6
Impacto: Es posible que un atacante con una posición de red privilegiada pueda ejecutar un ataque de denegación de servicio
Descripción: Se solucionó un problema de denegación de servicio mejorando la validación.
CVE-2019-8737: Pawel Gocyla de ING Tech Poland (ingtechpoland.com)
File Quarantine
Disponible para macOS High Sierra 10.13.6 y macOS Mojave 10.14.6
Impacto: Es posible que una app creada con fines malintencionados pueda elevar privilegios
Descripción: Este problema se solucionó mediante la eliminación del código vulnerable.
CVE-2019-8509: CodeColorist de Ant-Financial LightYear Labs
File System Events
Disponible para macOS High Sierra 10.13.6 y macOS Catalina 10.15
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del sistema
Descripción: Se mejoró el manejo de la memoria para solucionar un problema que hacía que se dañara.
CVE-2019-8798: ABC Research s.r.o. en colaboración con la iniciativa Zero Day de Trend Micro
Foundation
Disponible para macOS Mojave 10.14.6 y macOS High Sierra 10.13.6
Impacto: Es posible que un atacante remoto pueda ocasionar el cierre inesperado de una app o la ejecución de código arbitrario
Descripción: Se mejoró la validación de entradas para solucionar un problema de lectura fuera de los límites.
CVE-2019-8746: natashenka y Samuel Groß de Google Project Zero
Graphics
Disponible para macOS High Sierra 10.13.6 y macOS Mojave 10.14.6
Impacto: Es posible que el procesamiento de un sombreado creado con fines malintencionados pueda provocar el cierre inesperado de una app o la ejecución de código arbitrario
Descripción: Se solucionaron varios problemas de daños en la memoria mejorando la validación de entradas.
CVE-2018-12152: Piotr Bania de Cisco Talos
CVE-2018-12153: Piotr Bania de Cisco Talos
CVE-2018-12154: Piotr Bania de Cisco Talos
Graphics Driver
Disponible para macOS Catalina 10.15
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del sistema
Descripción: Se mejoró el manejo de la memoria para solucionar un problema que hacía que se dañara.
CVE-2019-8784: Vasiliy Vasilyev y Ilya Finogeev de Webinar, LLC
Intel Graphics Driver
Disponible para macOS Catalina 10.15
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del sistema
Descripción: Se mejoró el manejo de la memoria para solucionar un problema que hacía que se dañara.
CVE-2019-8807: Yu Wang de Didi Research America
IOGraphics
Disponible para macOS High Sierra 10.13.6 y macOS Mojave 10.14.6
Impacto: Un usuario local puede provocar el cierre inesperado del sistema o leer la memoria del kernel.
Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la comprobación de límites.
CVE-2019-8759: Otro de 360 Nirvan Team
iTunes
Disponible para macOS Catalina 10.15
Impacto: Es posible que la ejecución de un instalador de iTunes en un directorio que no es de confianza pueda provocar la ejecución de código arbitrario
Descripción: Existía un problema de carga de la biblioteca dinámica en la configuración de iTunes. Este problema se solucionó mejorando la búsqueda de rutas.
CVE-2019-8801: Hou JingYi (@hjy79425575) de Qihoo 360 CERT
Kernel
Disponible para macOS Mojave 10.14.6 y macOS High Sierra 10.13.6
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel
Descripción: Se mejoró la administración de estados para solucionar un problema de daños en la memoria.
CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)
Kernel
Disponible para macOS Catalina 10.15
Impacto: Es posible que una app pueda leer la memoria restringida
Descripción: Se solucionó un problema de validación mejorando el saneamiento de entradas.
CVE-2019-8794: 08Tc3wBB en colaboración con SSD Secure Disclosure
Kernel
Disponible para macOS Mojave 10.14.6, macOS High Sierra 10.13.6 y macOS Catalina 10.15
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel
Descripción: Se mejoró el manejo de la memoria para solucionar un problema que hacía que se dañara.
CVE-2019-8717: Jann Horn de Google Project Zero
CVE-2019-8786: Wen Xu de Georgia Tech, pasante de Microsoft Offensive Security Research
Kernel
Disponible para macOS High Sierra 10.13.6 y macOS Mojave 10.14.6
Impacto: Es posible que una app creada con fines malintencionados pueda determinar la distribución de la memoria del kernel
Descripción: Existía un problema de daños en la memoria en el manejo de paquetes IPv6. Este problema se solucionó mejorando la administración de la memoria.
CVE-2019-8744: Zhuo Liang de Qihoo 360 Vulcan Team
Kernel
Disponible para macOS Catalina 10.15
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel
Descripción: Se solucionó un problema de vulnerabilidad de daños en la memoria mejorando el bloqueo.
CVE-2019-8829: Jann Horn de Google Project Zero
libxml2
Disponible para macOS High Sierra 10.13.6 y macOS Mojave 10.14.6
Impacto: Varios problemas en libxml2
Descripción: Se solucionaron varios problemas de daños en la memoria mejorando la validación de entradas.
CVE-2019-8749: Detectado por OSS-Fuzz
CVE-2019-8756: Detectado por OSS-Fuzz
libxslt
Disponible para macOS High Sierra 10.13.6 y macOS Mojave 10.14.6
Impacto: Varios problemas en libxslt
Descripción: Se solucionaron varios problemas de daños en la memoria mejorando la validación de entradas.
CVE-2019-8750: Detectado por OSS-Fuzz
manpages
Disponible para macOS High Sierra 10.13.6 y macOS Catalina 10.15
Impacto: Es posible que una app creada con fines malintencionados pueda obtener privilegios de usuario raíz
Descripción: Se solucionó un problema de validación mejorando la lógica.
CVE-2019-8802: Csaba Fitzl (@theevilbit)
PDFKit
Disponible para macOS Mojave 10.14.6 y macOS High Sierra 10.13.6
Impacto: Es posible que un atacante pueda exfiltrar el contenido de un archivo PDF encriptado
Descripción: Existía un problema en el manejo de enlaces de archivos PDF encriptados. Este problema se solucionó agregando un cuadro de diálogo de confirmación.
CVE-2019-8772: Jens Müller de la Universidad Ruhr de Bochum, Fabian Ising de la Universidad FH Münster de Ciencias Aplicadas, Vladislav Mladenov de la Universidad Ruhr de Bochum, Christian Mainka de la Universidad Ruhr de Bochum, Sebastian Schinzel de la Universidad FH Münster de Ciencias Aplicadas y Jörg Schwenk de la Universidad Ruhr de Bochum
PluginKit
Disponible para macOS High Sierra 10.13.6 y macOS Mojave 10.14.6
Impacto: Es posible que un usuario local pueda comprobar la existencia de archivos arbitrarios
Descripción: Se mejoraron las restricciones para solucionar un problema de lógica.
CVE-2019-8708: Un investigador anónimo
PluginKit
Disponible para macOS High Sierra 10.13.6 y macOS Mojave 10.14.6
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del sistema
Descripción: Se mejoró el manejo de la memoria para solucionar un problema que hacía que se dañara.
CVE-2019-8715: Un investigador anónimo
Screen Sharing Server
Disponible para macOS Catalina 10.15
Impacto: Es posible que un usuario que comparta su pantalla no pueda finalizar el uso compartido de la pantalla
Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.
CVE-2019-8858: Saul van der Bijl de Saul’s Place Counseling B.V.
System Extensions
Disponible para macOS Catalina 10.15
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del sistema
Descripción: Existía un problema de validación en la verificación de autorización. Este problema se solucionó mejorando la validación de la autorización del proceso.
CVE-2019-8805: Scott Knight (@sdotknight) de VMware Carbon Black TAU
UIFoundation
Disponible para macOS Catalina 10.15
Impacto: Es posible que un documento HTML malintencionado pueda mostrar iframes con información confidencial del usuario
Descripción: Existía un problema de origen cruzado con los elementos de iFrame. Este problema se solucionó mejorando el seguimiento de los orígenes de seguridad.
CVE-2019-8754: Renee Trisberg de SpectX
UIFoundation
Disponible para macOS Mojave 10.14.6 y macOS High Sierra 10.13.6
Impacto: Es posible que el procesamiento de un archivo de texto creado con fines malintencionados ocasione la ejecución de código arbitrario
Descripción: Se mejoró la comprobación de límites para solucionar un problema de desbordamiento de búferes.
CVE-2019-8745: riusksk de VulWar Corp en colaboración con la iniciativa Zero Day de Trend Micro
UIFoundation
Disponible para macOS Mojave 10.14.6 y macOS High Sierra 10.13.6
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del sistema
Descripción: Se mejoró el manejo de la memoria para solucionar un problema que hacía que se dañara.
CVE-2019-8831: riusksk de VulWar Corp en colaboración con la iniciativa Zero Day de Trend Micro
UIFoundation
Disponible para macOS Mojave 10.14.6 y macOS High Sierra 10.13.6
Impacto: Es posible que el análisis de un archivo de texto creado con fines malintencionados pueda ocasionar la divulgación de información del usuario
Descripción: Para solucionar este problema, se mejoraron las comprobaciones.
CVE-2019-8761: Renee Trisberg de SpectX
Wi-Fi
Disponible para macOS Catalina 10.15
Impacto: Es posible que un atacante que se encuentre dentro del rango de Wi-Fi pueda ver una cantidad pequeña de tráfico de red
Descripción: Existía un problema lógico en el manejo de las transiciones de estado. Este problema se solucionó mejorando la administración de estado.
CVE-2019-15126: Milos Cermak en ESET
Otros agradecimientos
CFNetwork
Nos gustaría darle las gracias a Lily Chen de Google por su ayuda.
Find My
Nos gustaría darle las gracias a Amr Elseehy por su ayuda.
Kernel
Nos gustaría darles las gracias a Brandon Azad de Google Project Zero, Daniel Roethlisberger de Swisscom CSIRT y Jann Horn de Google Project Zero por su ayuda.
libresolv
Nos gustaría darle las gracias a enh de Google por su ayuda.
Local Authentication
Nos gustaría darle las gracias a Ryan Lopopolo por su ayuda.
mDNSResponder
Nos gustaría darle las gracias a Gregor Lang de e.solutions GmbH por su ayuda.
Postfix
Nos gustaría darle las gracias a Chris Barker de Puppet por su ayuda.
python
Nos gustaría darle las gracias a un investigador anónimo por su ayuda.
VPN
Nos gustaría darle las gracias a Royce Gawron de Second Son Consulting, Inc. por su ayuda.
La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.