Acerca del contenido de seguridad de macOS Monterey 12.6.6
En este documento se describe el contenido de seguridad de macOS Monterey 12.6.6.
Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
macOS Monterey 12.6.6
Publicado el 18 de mayo de 2023
Accessibility
Disponible para: macOS Monterey
Impacto: una app podría evitar las preferencias de privacidad.
Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.
CVE-2023-32388: Kirin (@Pwnrin)
AppleEvents
Disponible para: macOS Monterey
Impacto: una app podría evitar las preferencias de privacidad.
Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.
CVE-2023-28191: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Disponible para: macOS Monterey
Impacto: una app podría evitar las preferencias de privacidad.
Descripción: este problema se ha solucionado mejorando las certificaciones.
CVE-2023-32411: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Disponible para: macOS Monterey
Impacto: una app podría insertar código en binarios sensibles incluidos con Xcode
Descripción: este problema se ha solucionado imponiendo un tiempo de ejecución reforzado en los binarios afectados a nivel del sistema.
CVE-2023-32383: James Duffy (mangoSecure)
Contacts
Disponible para: macOS Monterey
Impacto: una app podría ser capaz de observar los datos de usuario sin proteger.
Descripción: se ha corregido un problema de privacidad con una gestión mejorada de los archivos temporales.
CVE-2023-32386: Kirin (@Pwnrin)
CUPS
Disponible para: macOS Monterey
Impacto: un usuario no autentificado podría acceder a documentos recientemente impresos.
Descripción: se ha solucionado el problema de autenticación mejorando la gestión del estado.
CVE-2023-32360: Gerhard Muth
dcerpc
Disponible para: macOS Monterey
Impacto: un atacante remoto podría ser capaz de provocar el cierre inesperado de una app o la ejecución de código arbitrario.
Descripción: se ha solucionado un problema de vulnerabilidad “use-after-free” mejorando la gestión de la memoria.
CVE-2023-32387: Dimitrios Tatsis de Cisco Talos
Dev Tools
Disponible para: macOS Monterey
Impacto: una app aislada puede recopilar registros del sistema.
Descripción: este problema se ha solucionado mejorando las certificaciones.
CVE-2023-27945: Mickey Jin (@patch1t)
GeoServices
Disponible para: macOS Monterey
Impacto: es posible que una app pueda leer información de ubicación confidencial.
Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.
CVE-2023-32392: Adam M.
Entrada actualizada el 21 de diciembre de 2023
ImageIO
Disponible para: macOS Monterey
Impacto: procesar una imagen creada con fines malintencionados podría provocar la revelación de la memoria de procesos.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-23535: ryuzaki
ImageIO
Disponible para: macOS Monterey
Impacto: procesar una imagen podría provocar la ejecución de código arbitrario.
Descripción: se ha solucionado un desbordamiento de búfer mejorando la comprobación de límites.
CVE-2023-32384: Meysam Firouzi @R00tkitsmm en colaboración con Trend Micro Zero Day Initiative
IOSurface
Disponible para: macOS Monterey
Impacto: una app podría filtrar información confidencial sobre el estado del kernel.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2023-32410: hou xuewei (@p1ay8y3ar) vmk msu
Kernel
Disponible para: macOS Monterey
Impacto: una app en la zona protegida podría ser capaz de observar las conexiones de red de todo el sistema.
Descripción: se ha solucionado el problema con comprobaciones de permisos adicionales.
CVE-2023-27940: James Duffy (mangoSecure)
Kernel
Disponible para: macOS Monterey
Impacto: una app podría obtener privilegios de raíz.
Descripción: se ha solucionado un problema de condición de carrera mediante la mejora de la gestión del estado.
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) de Synacktiv (@Synacktiv) en colaboración con Trend Micro Zero Day Initiative
Kernel
Disponible para: macOS Monterey
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.
CVE-2023-32398: Adam Doupé de ASU SEFCOM
LaunchServices
Disponible para: macOS Monterey
Impacto: una app podría omitir las comprobaciones de Gatekeeper.
Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.
CVE-2023-32352: Wojciech Reguła (@_r3ggi) de SecuRing (wojciechregula.blog)
libxpc
Disponible para: macOS Monterey
Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.
Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.
CVE-2023-32369: Jonathan Bar Or de Microsoft, Anurag Bohra de Microsoft y Michael Pearse de Microsoft
libxpc
Disponible para: macOS Monterey
Impacto: una app podría obtener privilegios de raíz.
Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.
CVE-2023-32405: Thijs Alkemade (@xnyhps) de Computest Sector 7
MallocStackLogging
Disponible para: macOS Monterey
Impacto: una app podría obtener privilegios de raíz.
Descripción: este problema se ha solucionado mejorando la gestión de archivos.
CVE-2023-32428: Gergely Kalman (@gergely_kalman)
Entrada añadida el 21 de diciembre de 2023
Metal
Disponible para: macOS Monterey
Impacto: una app podría evitar las preferencias de privacidad.
Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
Model I/O
Disponible para: macOS Monterey
Impacto: procesar un modelo 3D podría provocar la revelación de la memoria de procesos.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2023-32375: Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative
CVE-2023-32382: Mickey Jin (@patch1t)
CVE-2023-32368: Mickey Jin (@patch1t)
Model I/O
Disponible para: macOS Monterey
Impacto: procesar un modelo 3D podría provocar la ejecución de código arbitrario.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.
CVE-2023-32380: Mickey Jin (@patch1t)
NetworkExtension
Disponible para: macOS Monterey
Impacto: es posible que una app pueda leer información de ubicación confidencial.
Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.
CVE-2023-32403: Adam M.
Entrada actualizada el 21 de diciembre de 2023
PackageKit
Disponible para: macOS Monterey
Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.
Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.
CVE-2023-32355: Mickey Jin (@patch1t)
Perl
Disponible para: macOS Monterey
Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.
Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.
CVE-2023-32395: Arsenii Kostromin (0x3c3e)
Quick Look
Disponible para: macOS Monterey
Impacto: analizar un documento de Office podría provocar el cierre inesperado de una aplicación o la ejecución de un código arbitrario
Descripción: se ha solucionado un desbordamiento de búfer mejorando la comprobación de límites.
CVE-2023-32401: Holger Fuhrmannek de Deutsche Telekom Security GmbH en nombre de BSI (Oficina federal alemana de seguridad de la información)
Entrada añadida el 21 de diciembre de 2023
Sandbox
Disponible para: macOS Monterey
Impacto: una app podría conservar el acceso a los archivos de configuración del sistema incluso después de que se le haya revocado el permiso.
Descripción: se ha solucionado el problema de autorización mejorando la gestión del estado.
CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Jeff Johnson, Koh M. Nakagawa de FFRI Security, Inc., Kirin (@Pwnrin) y Csaba Fitzl (@theevilbit) de Offensive Security
Shell
Disponible para: macOS Monterey
Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.
Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.
CVE-2023-32397: Arsenii Kostromin (0x3c3e)
Telephony
Disponible para: macOS Monterey
Impacto: un atacante remoto podría ser capaz de provocar el cierre inesperado de una app o la ejecución de código arbitrario.
Descripción: se ha solucionado un problema de vulnerabilidad “use-after-free” mejorando la gestión de la memoria.
CVE-2023-32412: Ivan Fratric de Google Project Zero
TV App
Disponible para: macOS Monterey
Impacto: es posible que una app pueda leer información de ubicación confidencial.
Descripción: el problema se ha solucionado mediante la mejora de la gestión de las cachés.
CVE-2023-32408: Adam M.
Otros agradecimientos
libxml2
Queremos dar las gracias a OSS-Fuzz y Ned Williamson de Google Project Zero por su ayuda.
Reminders
Queremos dar las gracias a Kirin (@Pwnrin) por su ayuda.
Security
Queremos dar las gracias a James Duffy (mangoSecure) por su ayuda.
Wi-Fi
Queremos dar las gracias a Adam M. por su ayuda.
Entrada actualizada el 21 de diciembre de 2023
Wi-Fi Connectivity
Queremos dar las gracias a Adam M. por su ayuda.
Entrada actualizada el 21 de diciembre de 2023
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.