Acerca del contenido de seguridad de macOS High Sierra 10.13.2 y las actualizaciones de seguridad 2017-002 de Sierra y 2017-005 de El Capitan

En este documento, se describen el contenido de seguridad de macOS High Sierra 10.13.2 y las actualizaciones de seguridad 2017-002 de Sierra y 2017-005 de El Capitan.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Las versiones más recientes se pueden encontrar en la página Actualizaciones de seguridad de Apple.

Para obtener más información sobre la seguridad, consulta la página de seguridad de los productos Apple. Puedes encriptar las comunicaciones con Apple mediante la clave PGP de seguridad de los productos Apple.

Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.

macOS High Sierra 10.13.2 y actualizaciones de seguridad 2017-002 de Sierra y 2017-005 de El Capitan

Publicado el 6 de diciembre de 2017

APFS

Disponible para macOS High Sierra 10.13.1

Impacto: Las claves de encriptación de APFS podían no eliminarse de forma segura después de la hibernación.

Descripción: Existía un problema de lógica en APFS cuando se eliminaban claves durante la hibernación. Este problema se solucionó mejorando la administración de estado.

CVE-2017-13887: David Ryskalczyk

Entrada agregada el 21 de junio de 2018

Apache

Disponible para OS X El Capitan 10.11.6, macOS Sierra 10.12.6 y macOS High Sierra 10.13.1

Impacto: El procesamiento de una configuración de Apache creada con fines malintencionados puede ocasionar la divulgación de la memoria de un proceso.

Descripción: Se solucionaron varios problemas realizando una actualización a la versión 2.4.28.

CVE-2017-9798

Sesión de CFNetwork

Disponible para OS X El Capitan 10.11.6, macOS Sierra 10.12.6 y macOS High Sierra 10.13.1

Impacto: Una app podía ejecutar código arbitrario con privilegios del sistema.

Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.

CVE-2017-7172: Richard Zhu (fluorescence) en colaboración con la iniciativa Zero Day de Trend Micro

Entrada agregada el 22 de enero de 2018

CoreAnimation

Disponible para macOS High Sierra 10.13.1

Impacto: Una aplicación podía ejecutar código arbitrario con privilegios elevados.

Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.

CVE-2017-7171: 360 Security en colaboración con la iniciativa Zero Day de Trend Micro; Tencent Keen Security Lab (@keen_lab) en colaboración con la iniciativa Zero Day de Trend Micro

Entrada agregada el 22 de enero de 2018

curl

Disponible para OS X El Capitan 10.11.6, macOS Sierra 10.12.6 y macOS High Sierra 10.13.1

Impacto: Los servidores FTP maliciosos pueden ser la causa de que el cliente lea la memoria fuera de los límites.

Descripción: Existía un problema de lectura fuera de los límites en el análisis de respuesta FTP PWD. Para resolver este problema, se mejoró la comprobación de los límites.

CVE-2017-1000254: Max Dymond

Utilidad de Directorios

Disponible para macOS Sierra 10.12.6 y macOS High Sierra 10.13.1

Sin impacto para macOS Sierra 10.12.6 y anteriores 

Impacto: Un atacante podía omitir la autenticación de administrador sin proporcionar la contraseña de administrador.

Descripción: Existía un error lógico en la validación de credenciales. Esto se solucionó mejorando la validación de credenciales.

CVE-2017-13872

ICU

Disponible para OS X El Capitan 10.11.6, macOS Sierra 10.12.6 y macOS High Sierra 10.13.1

Impacto: Una app podía leer la memoria restringida.

Descripción: Se solucionó un problema de desbordamiento de enteros mejorando la validación de entradas.

CVE-2017-15422: Yuan Deng de Ant-financial Light-Year Security Lab

Entrada agregada el 14 de marzo de 2018

Controlador de gráficos Intel

Disponible para macOS High Sierra 10.13.1

Impacto: Una aplicación podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.

CVE-2017-13883: Yu Wang de Didi Research America

CVE-2017-7163: Yu Wang de Didi Research America

CVE-2017-7155: Yu Wang de Didi Research America

Entrada actualizada el 21 de diciembre de 2017 

Controlador de gráficos Intel

Disponible para macOS High Sierra 10.13.1

Impacto: Un usuario local podía provocar el cierre inesperado del sistema o leer la memoria del kernel.

Descripción: Existía un problema de lectura fuera de los límites que ocasionó la divulgación de contenido de la memoria del kernel. Este problema se solucionó mejorando la validación de entradas.

CVE-2017-13878: Ian Beer de Google Project Zero

Controlador de gráficos Intel

Disponible para macOS High Sierra 10.13.1

Impacto: Una app podía ejecutar código arbitrario con privilegios del sistema.

Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la comprobación de límites.

CVE-2017-13875: Ian Beer de Google Project Zero

IOAcceleratorFamily

Disponible para OS X El Capitan 10.11.6, macOS Sierra 10.12.6 y macOS High Sierra 10.13.1

Impacto: Una app podía ejecutar código arbitrario con privilegios del sistema.

Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.

CVE-2017-7159: Detectado por IMF, desarrollada por HyungSeok Han (daramg.gift) de SoftSec, KAIST (softsec.kaist.ac.kr)

Entrada actualizada el 21 de diciembre de 2017 

IOKit

Disponible para macOS High Sierra 10.13.1

Impacto: Una app podía ejecutar código arbitrario con privilegios del sistema.

Descripción: Existía un problema de validación de entradas en el kernel. Este problema se solucionó mejorando la validación de entradas.

CVE-2017-13848: Alex Plaskett de MWR InfoSecurity

CVE-2017-13858: Un investigador anónimo

IOKit

Disponible para OS X El Capitan 10.11.6, macOS Sierra 10.12.6 y macOS High Sierra 10.13.1

Impacto: Una app podía ejecutar código arbitrario con privilegios del sistema.

Descripción: Se solucionaron varios problemas de daños en la memoria mejorando la administración de estado.

CVE-2017-13847: Ian Beer de Google Project Zero

IOKit

Disponible para OS X El Capitan 10.11.6, macOS Sierra 10.12.6 y macOS High Sierra 10.13.1

Impacto: Una aplicación podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.

CVE-2017-7162: Tencent Keen Security Lab (@keen_lab) en colaboración con la iniciativa Zero Day de Trend Micro

Entrada actualizada el 10 de enero de 2018

Kernel

Disponible para OS X El Capitan 10.11.6, macOS Sierra 10.12.6 y macOS High Sierra 10.13.1

Impacto: Una aplicación podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.

CVE-2017-13904: Kevin Backhouse de Semmle Ltd.

Entrada agregada el 14 de febrero de 2018

Kernel

Disponible para macOS High Sierra 10.13.1

Impacto: Una aplicación podía leer la memoria del kernel (Meltdown).

Descripción: Es posible que los sistemas con microprocesadores que utilizan la ejecución especulativa y la predicción de bifurcación indirecta permitan una divulgación no autorizada de información a un atacante con acceso de usuario local por medio de un análisis de canal lateral de la memoria caché de datos.

CVE-2017-5754: Jann Horn de Google Project Zero; Moritz Lipp de la Universidad Tecnológica de Graz; Michael Schwarz de la Universidad Tecnológica de Graz; Daniel Gruss de la Universidad Tecnológica de Graz; Thomas Prescher de Cyberus Technology GmbH; Werner Haas de Cyberus Technology GmbH; Stefan Mangard de la Universidad Tecnológica de Graz; Paul Kocher; Daniel Genkin de la Universidad de Pensilvania y la Universidad de Maryland; Yuval Yarom de la Universidad de Adelaida y Data61; Mike Hamburg de Rambus (Cryptography Research Division)

Entrada actualizada el 5 de enero de 2018

Kernel

Disponible para OS X El Capitan 10.11.6, macOS Sierra 10.12.6 y macOS High Sierra 10.13.1

Impacto: Una aplicación podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.

CVE-2017-13862: Apple

CVE-2017-13867: Ian Beer de Google Project Zero

Entrada actualizada el 21 de diciembre de 2017 

Kernel

Disponible para OS X El Capitan 10.11.6, macOS Sierra 10.12.6 y macOS High Sierra 10.13.1

Impacto: Una app podía leer la memoria restringida.

Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la comprobación de límites.

CVE-2017-7173: Brandon Azad

Entrada actualizada el 11 de enero de 2018

Kernel

Disponible para macOS High Sierra 10.13.1

Impacto: Una aplicación podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.

CVE-2017-13876: Ian Beer de Google Project Zero

Kernel

Disponible para OS X El Capitan 10.11.6, macOS Sierra 10.12.6 y macOS High Sierra 10.13.1

Impacto: Una app podía leer la memoria restringida.

Descripción: Se solucionó un problema de confusión de tipo mejorando el manejo de la memoria.

CVE-2017-13855: Jann Horn de Google Project Zero

Kernel

Disponible para macOS High Sierra 10.13.1

Impacto: Una app podía leer la memoria restringida.

Descripción: Se solucionó un problema de validación mejorando el saneamiento de entradas.

CVE-2017-13865: Ian Beer de Google Project Zero

Kernel

Disponible para OS X El Capitan 10.11.6, macOS Sierra 10.12.6 y macOS High Sierra 10.13.1

Impacto: Una app podía leer la memoria restringida.

Descripción: Se solucionó un problema de validación mejorando el saneamiento de entradas.

CVE-2017-13868: Brandon Azad

CVE-2017-13869: Jann Horn de Google Project Zero

Kernel

Disponible para OS X El Capitan 10.11.6, macOS Sierra 10.12.6 y macOS High Sierra 10.13.1

Impacto: Un usuario local podía provocar el cierre inesperado del sistema o leer la memoria del kernel.

Descripción: Existía un problema de validación de entradas en el kernel. Este problema se solucionó mejorando la validación de entradas.

CVE-2017-7154: Jann Horn de Google Project Zero

Entrada agregada el 21 de diciembre de 2017

Mail

Disponible para macOS High Sierra 10.13.1

Impacto: Puede enviarse accidentalmente un correo electrónico S/MIME cifrado si el receptor no tiene instalado el certificado S/MIME.

Descripción: Se solucionó un problema de interfaz de usuario inconsistente mejorando la administración de estado.

CVE-2017-13871: Lukas Pitschl de GPGTools

Entrada actualizada el 21 de diciembre de 2017

Borradores de correos electrónicos

Disponible para macOS High Sierra 10.13.1

Impacto: Un atacante con una posición de red privilegiada podía interceptar correos electrónicos.

Descripción: Existía un problema de encriptación con las credenciales de S/MIME. Este problema se solucionó mediante comprobaciones adicionales y el control del usuario.

CVE-2017-13860: Michael Weishaar de INNEO Solutions GmbH

Entrada actualizada el 10 de enero de 2018

OpenSSL

Disponible para OS X El Capitan 10.11.6, macOS Sierra 10.12.6 y macOS High Sierra 10.13.1

Impacto: Una app podía leer la memoria restringida.

Descripción: Existía un problema de lectura fuera del límite en el análisis X.509 IPAddressFamily. Para resolver este problema, se mejoró la comprobación de los límites.

CVE-2017-3735: Detectado por OSS-Fuzz

Servidor de Compartir pantalla

Disponible para macOS Sierra 10.12.6 y macOS High Sierra 10.13.1

Impacto: Un usuario con acceso a la función Compartir pantalla puede acceder a cualquier archivo legible por la raíz.

Descripción: Existía un problema de permisos en el manejo de la función Compartir pantalla. Se solucionó el problema mejorando la administración de permisos.

CVE-2017-7158: Trevor Jacques de Toronto

Entrada actualizada el 21 de diciembre de 2017

SIP

Disponible para macOS High Sierra 10.13.1

Impacto: Una app podía ejecutar códigos arbitrarios con privilegios del kernel.

Descripción: Se solucionó un problema de configuración mediante restricciones adicionales.

CVE-2017-13911: Un investigador anónimo

Entrada actualizada el 8 de agosto de 2018

Wi-Fi

Disponible para macOS High Sierra 10.13.1

Impacto: Un usuario sin privilegios podía cambiar los parámetros del sistema Wi-Fi, lo cual podía provocar una denegación de servicio.

Descripción: Existía un problema de acceso con la configuración privilegiada del sistema Wi-Fi. Este problema se solucionó mediante restricciones adicionales.

CVE-2017-13886: David Kreitschmann y Matthias Schulz de Secure Mobile Networking Lab en TU Darmstadt

Entrada agregada el 2 de mayo de 2018

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados o probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o productos de otros fabricantes. Apple no ofrece ninguna representación con relación a la precisión o fiabilidad de los sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Comunícate con el proveedor para obtener información adicional. Otros nombres de compañías y productos mencionados pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: