Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Las versiones más recientes se pueden encontrar en la página Actualizaciones de seguridad de Apple.
Para obtener más información sobre la seguridad, consulta la página de seguridad de los productos Apple. Puedes encriptar las comunicaciones con Apple mediante la clave PGP de seguridad de los productos Apple.
Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.
macOS High Sierra 10.13.2 y actualizaciones de seguridad 2017-002 de Sierra y 2017-005 de El Capitan
Publicado el 6 de diciembre de 2017
APFS
Disponible para macOS High Sierra 10.13.1
Impacto: Las claves de encriptación de APFS podían no eliminarse de forma segura después de la hibernación.
Descripción: Existía un problema de lógica en APFS cuando se eliminaban claves durante la hibernación. Este problema se solucionó mejorando la administración de estado.
CVE-2017-13887: David Ryskalczyk
Entrada agregada el 21 de junio de 2018
Apache
Disponible para OS X El Capitan 10.11.6, macOS Sierra 10.12.6 y macOS High Sierra 10.13.1
Impacto: El procesamiento de una configuración de Apache creada con fines malintencionados puede ocasionar la divulgación de la memoria de un proceso.
Descripción: Se solucionaron varios problemas realizando una actualización a la versión 2.4.28.
CVE-2017-9798: Hanno Böck
Entrada actualizada el 18 de diciembre de 2018
Desbloqueo automático
Disponible para macOS High Sierra 10.13.1
Impacto: Una app podía obtener privilegios elevados.
Descripción: Se solucionó un problema de condición de carrera mediante validaciones adicionales.
CVE-2017-13905: Samuel Groß (@5aelo)
Entrada agregada el 18 de octubre de 2018
Sesión de CFNetwork
Disponible para OS X El Capitan 10.11.6, macOS Sierra 10.12.6 y macOS High Sierra 10.13.1
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del sistema
Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.
CVE-2017-7172: Richard Zhu (fluorescence) en colaboración con la iniciativa Zero Day de Trend Micro
Entrada agregada el 22 de enero de 2018
Contactos
Disponible para macOS High Sierra 10.13.1
Impacto: Compartir información de contacto podía hacer que se compartan datos de forma inesperada.
Descripción: Existía un problema en el manejo del uso compartido de contactos. Este problema se solucionó mejorando el manejo de la información de usuarios.
CVE-2017-13892: Ryan Manly de Glenbrook High School District 225
Entrada agregada el 18 de octubre de 2018
CoreAnimation
Disponible para macOS High Sierra 10.13.1
Impacto: Una app podía ejecutar código arbitrario con privilegios elevados.
Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.
CVE-2017-7171: 360 Security en colaboración con la iniciativa Zero Day de Trend Micro; Tencent Keen Security Lab (@keen_lab) en colaboración con la iniciativa Zero Day de Trend Micro
Entrada agregada el 22 de enero de 2018
CoreFoundation
Disponible para macOS High Sierra 10.13.1
Impacto: Una app podía obtener privilegios elevados.
Descripción: Se solucionó un problema de condición de carrera mediante validaciones adicionales.
CVE-2017-7151: Samuel Groß (@5aelo)
Entrada agregada el 18 de octubre de 2018
curl
Disponible para OS X El Capitan 10.11.6, macOS Sierra 10.12.6 y macOS High Sierra 10.13.1
Impacto: Los servidores FTP maliciosos pueden ser la causa de que el cliente lea la memoria fuera de los límites.
Descripción: Existía un problema de lectura fuera de los límites en el análisis de respuesta FTP PWD. Para resolver este problema, se mejoró la comprobación de los límites.
CVE-2017-1000254: Max Dymond
Utilidad de Directorios
Disponible para macOS Sierra 10.12.6 y macOS High Sierra 10.13.1
Sin impacto para macOS Sierra 10.12.6 y anteriores
Impacto: Un atacante podía omitir la autenticación de administrador sin proporcionar la contraseña de administrador.
Descripción: Existía un error lógico en la validación de credenciales. Esto se solucionó mejorando la validación de credenciales.
CVE-2017-13872
ICU
Disponible para OS X El Capitan 10.11.6, macOS Sierra 10.12.6 y macOS High Sierra 10.13.1
Impacto: Una app podía leer la memoria restringida.
Descripción: Se solucionó un problema de desbordamiento de enteros mejorando la validación de entradas.
CVE-2017-15422: Yuan Deng de Ant-financial Light-Year Security Lab
Entrada agregada el 14 de marzo de 2018
Controlador de gráficos Intel
Disponible para macOS High Sierra 10.13.1
Impacto: Una app podía ejecutar código arbitrario con privilegios del kernel.
Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.
CVE-2017-13883: Yu Wang de Didi Research America
CVE-2017-7163: Yu Wang de Didi Research America
CVE-2017-7155: Yu Wang de Didi Research America
Entrada actualizada el 21 de diciembre de 2017
Controlador de gráficos Intel
Disponible para macOS High Sierra 10.13.1
Impacto: Un usuario local podía provocar el cierre inesperado del sistema o leer la memoria del kernel.
Descripción: Existía un problema de lectura fuera de los límites que ocasionó la divulgación de contenido de la memoria del kernel. Este problema se solucionó mejorando la validación de entradas.
CVE-2017-13878: Ian Beer de Google Project Zero
Controlador de gráficos Intel
Disponible para macOS High Sierra 10.13.1
Impacto: Una app podía ejecutar código arbitrario con privilegios del sistema.
Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la comprobación de límites.
CVE-2017-13875: Ian Beer de Google Project Zero
IOAcceleratorFamily
Disponible para OS X El Capitan 10.11.6, macOS Sierra 10.12.6 y macOS High Sierra 10.13.1
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del sistema
Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.
CVE-2017-7159: Detectado por IMF, desarrollada por HyungSeok Han (daramg.gift) de SoftSec, KAIST (softsec.kaist.ac.kr)
Entrada actualizada el 21 de diciembre de 2017
IOKit
Disponible para macOS High Sierra 10.13.1
Impacto: Una app podía ejecutar código arbitrario con privilegios del sistema.
Descripción: Existía un problema de validación de entradas en el kernel. Este problema se solucionó mejorando la validación de entradas.
CVE-2017-13848: Alex Plaskett de MWR InfoSecurity
CVE-2017-13858: Un investigador anónimo
IOKit
Disponible para OS X El Capitan 10.11.6, macOS Sierra 10.12.6 y macOS High Sierra 10.13.1
Impacto: Una app podía ejecutar código arbitrario con privilegios del sistema.
Descripción: Se solucionaron varios problemas de daños en la memoria mejorando la administración de estado.
CVE-2017-13847: Ian Beer de Google Project Zero
IOKit
Disponible para OS X El Capitan 10.11.6, macOS Sierra 10.12.6 y macOS High Sierra 10.13.1
Impacto: Una app podía ejecutar código arbitrario con privilegios del kernel.
Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.
CVE-2017-7162: Tencent Keen Security Lab (@keen_lab) en colaboración con la iniciativa Zero Day de Trend Micro
Entrada actualizada el 10 de enero de 2018
Kernel
Disponible para OS X El Capitan 10.11.6, macOS Sierra 10.12.6 y macOS High Sierra 10.13.1
Impacto: Una app podía ejecutar código arbitrario con privilegios del kernel.
Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.
CVE-2017-13904: Kevin Backhouse de Semmle Ltd.
Entrada agregada el 14 de febrero de 2018
Kernel
Disponible para macOS High Sierra 10.13.1
Impacto: Una app podía leer la memoria del kernel (Meltdown).
Descripción: Es posible que los sistemas con microprocesadores que utilizan la ejecución especulativa y la predicción de bifurcación indirecta permitan una divulgación no autorizada de información a un atacante con acceso de usuario local por medio de un análisis de canal lateral de la memoria caché de datos.
CVE-2017-5754: Jann Horn de Google Project Zero; Moritz Lipp de la Universidad Tecnológica de Graz; Michael Schwarz de la Universidad Tecnológica de Graz; Daniel Gruss de la Universidad Tecnológica de Graz; Thomas Prescher de Cyberus Technology GmbH; Werner Haas de Cyberus Technology GmbH; Stefan Mangard de la Universidad Tecnológica de Graz; Paul Kocher; Daniel Genkin de la Universidad de Pensilvania y la Universidad de Maryland; Yuval Yarom de la Universidad de Adelaida y Data61; Mike Hamburg de Rambus (Cryptography Research Division)
Entrada actualizada el 5 de enero de 2018
Kernel
Disponible para OS X El Capitan 10.11.6, macOS Sierra 10.12.6 y macOS High Sierra 10.13.1
Impacto: Una app podía ejecutar código arbitrario con privilegios del kernel.
Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.
CVE-2017-13862: Apple
CVE-2017-13867: Ian Beer de Google Project Zero
Entrada actualizada el 21 de diciembre de 2017
Kernel
Disponible para OS X El Capitan 10.11.6, macOS Sierra 10.12.6 y macOS High Sierra 10.13.1
Impacto: Una app podía leer la memoria restringida.
Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la comprobación de límites.
CVE-2017-7173: Brandon Azad
Entrada actualizada el 11 de enero de 2018
Kernel
Disponible para macOS High Sierra 10.13.1
Impacto: Una app podía ejecutar código arbitrario con privilegios del kernel.
Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.
CVE-2017-13876: Ian Beer de Google Project Zero
Kernel
Disponible para OS X El Capitan 10.11.6, macOS Sierra 10.12.6 y macOS High Sierra 10.13.1
Impacto: Una app podía leer la memoria restringida.
Descripción: Se solucionó un problema de confusión de tipo mejorando el manejo de la memoria.
CVE-2017-13855: Jann Horn de Google Project Zero
Kernel
Disponible para macOS High Sierra 10.13.1
Impacto: Es posible que una app pueda leer la memoria restringida
Descripción: Se solucionó un problema de validación mejorando el saneamiento de entradas.
CVE-2017-13865: Ian Beer de Google Project Zero
Kernel
Disponible para OS X El Capitan 10.11.6, macOS Sierra 10.12.6 y macOS High Sierra 10.13.1
Impacto: Es posible que una app pueda leer la memoria restringida
Descripción: Se solucionó un problema de validación mejorando el saneamiento de entradas.
CVE-2017-13868: Brandon Azad
CVE-2017-13869: Jann Horn de Google Project Zero
Kernel
Disponible para OS X El Capitan 10.11.6, macOS Sierra 10.12.6 y macOS High Sierra 10.13.1
Impacto: Un usuario local podía provocar el cierre inesperado del sistema o leer la memoria del kernel.
Descripción: Existía un problema de validación de entradas en el kernel. Este problema se solucionó mejorando la validación de entradas.
CVE-2017-7154: Jann Horn de Google Project Zero
Entrada agregada el 21 de diciembre de 2017
Disponible para macOS High Sierra 10.13.1
Impacto: Puede enviarse accidentalmente un correo electrónico S/MIME cifrado si el receptor no tiene instalado el certificado S/MIME.
Descripción: Se solucionó un problema de interfaz de usuario inconsistente mejorando la administración de estado.
CVE-2017-13871: Lukas Pitschl de GPGTools
Entrada actualizada el 21 de diciembre de 2017
Borradores de correos electrónicos
Disponible para macOS High Sierra 10.13.1
Impacto: Un atacante con una posición de red privilegiada podía interceptar correos electrónicos.
Descripción: Existía un problema de encriptación con las credenciales de S/MIME. Este problema se solucionó mediante comprobaciones adicionales y el control del usuario.
CVE-2017-13860: Michael Weishaar de INNEO Solutions GmbH
Entrada actualizada el 10 de enero de 2018
OpenSSL
Disponible para OS X El Capitan 10.11.6, macOS Sierra 10.12.6 y macOS High Sierra 10.13.1
Impacto: Una app podía leer la memoria restringida.
Descripción: Existía un problema de lectura fuera del límite en el análisis X.509 IPAddressFamily. Para resolver este problema, se mejoró la comprobación de los límites.
CVE-2017-3735: Detectado por OSS-Fuzz
Perl
Disponible para macOS Sierra 10.12.6
Impacto: Estos errores podían permitir que atacantes remotos provoquen una denegación de servicio.
Descripción: Se abordó el CVE-2017-12837 público actualizando la función en Perl 5.18.
CVE-2017-12837: Jakub Wilk
Entrada agregada el 18 de octubre de 2018
Servidor de Compartir pantalla
Disponible para macOS Sierra 10.12.6 y macOS High Sierra 10.13.1
Impacto: Un usuario con acceso a la función Compartir pantalla puede acceder a cualquier archivo legible por la raíz.
Descripción: Existía un problema de permisos en el manejo de la función Compartir pantalla. Se solucionó el problema mejorando la administración de permisos.
CVE-2017-7158: Trevor Jacques de Toronto
Entrada actualizada el 21 de diciembre de 2017
SIP
Disponible para macOS High Sierra 10.13.1
Impacto: Una app podía ejecutar código arbitrario con privilegios del kernel.
Descripción: Se solucionó un problema de configuración mediante restricciones adicionales.
CVE-2017-13911: Timothy Perfitt de Twocanoes Software
Entrada actualizada el 8 de agosto de 2018, actualizada el 25 de septiembre de 2018
Wi-Fi
Disponible para macOS High Sierra 10.13.1
Impacto: Un usuario sin privilegios podía cambiar los parámetros del sistema de Wi-Fi y, por lo tanto, ocasionar una denegación de servicio.
Descripción: Existía un problema de acceso con la configuración privilegiada del sistema de Wi-Fi. Este problema se solucionó mediante restricciones adicionales.
CVE-2017-13886: David Kreitschmann y Matthias Schulz de Secure Mobile Networking Lab en TU Darmstadt
Entrada agregada el 2 de mayo de 2018
Otros agradecimientos
Nos gustaría darle las gracias a Jon Bottarini de HackerOne por su ayuda.
Entrada agregada el 6 de febrero de 2020