Acerca del contenido de seguridad de la actualización de seguridad 2022-004 Catalina
En este documento se describe el contenido de seguridad de la actualización de seguridad 2022-004 Catalina.
Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
Actualización de seguridad 2022-004 Catalina
apache
Disponible para: macOS Catalina
Impacto: varios problemas en Apache.
Descripción: se han solucionado varios problemas al actualizar a la versión 2.4.53.
CVE-2021-44224
CVE-2021-44790
CVE-2022-22719
CVE-2022-22720
CVE-2022-22721
AppKit
Disponible para: macOS Catalina
Impacto: una aplicación creada con fines malintencionados podría ser capaz de obtener privilegios de raíz
Descripción: se ha solucionado un problema de lógica mejorando la validación.
CVE-2022-22665: Lockheed Martin, del equipo Red
AppleEvents
Disponible para: macOS Catalina
Impacto: un usuario remoto podría hacer que una app se cierre de forma inesperada o se ejecute código arbitrario.
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
CVE-2022-22630: Jeremy Brown, en colaboración con Zero Day Initiative de Trend Micro
AppleGraphicsControl
Disponible para: macOS Catalina
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.
CVE-2022-26751: Michael DePlante (@izobashi), de la Zero Day Initiative de Trend Micro
AppleScript
Disponible para: macOS Catalina
Impacto: el procesamiento de un binario AppleScript creado con fines maliciosos podría provocar el cierre inesperado de la aplicación o la divulgación de la memoria del proceso.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2022-26697: Qi Sun y Robert Ai, de Trend Micro
AppleScript
Disponible para: macOS Catalina
Impacto: el procesamiento de un binario AppleScript creado con fines maliciosos podría provocar el cierre inesperado de la aplicación o la divulgación de la memoria del proceso.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.
CVE-2022-26698: Qi Sun, de Trend Micro
CoreTypes
Disponible para: macOS Catalina
Impacto: una aplicación creada con fines malintencionados podría anular las comprobaciones de Gatekeeper
Descripción: este problema se ha solucionado mejorando las comprobaciones para evitar acciones no autorizadas.
CVE-2022-22663: Arsenii Kostromin (0x3c3e)
CVMS
Disponible para: macOS Catalina
Impacto: una aplicación creada con fines malintencionados podría ser capaz de obtener privilegios de raíz
Descripción: se ha solucionado un problema de inicialización de memoria.
CVE-2022-26721: Yonghwi Jin (@jinmo123), de Theori
CVE-2022-26722: Yonghwi Jin (@jinmo123), de Theori
DriverKit
Disponible para: macOS Catalina
Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema.
Descripción: se ha solucionado un problema de acceso fuera de los límites al mejorar la comprobación de los límites.
CVE-2022-26763: Linus Henze de Pinauten GmbH (pinauten.de)
Graphics Drivers
Disponible para: macOS Catalina
Impacto: un usuario local podría leer la memoria de kernel
Descripción: existía un problema de lectura fuera de los límites que provocaba la divulgación del contenido de la memoria de kernel. Se ha solucionado mejorando la validación de las entradas.
CVE-2022-22674: investigador anónimo
Intel Graphics Driver
Disponible para: macOS Catalina
Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.
CVE-2022-26720: Liu Long, de Ant Security Light-Year Lab
Intel Graphics Driver
Disponible para: macOS Catalina
Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de lectura fuera de los límites al mejorar la validación de las entradas.
CVE-2022-26770: Liu Long, de Ant Security Light-Year Lab
Intel Graphics Driver
Disponible para: macOS Catalina
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de escritura fuera de los límites al mejorar la validación de las entradas.
CVE-2022-26756: Jack Dates de RET2 Systems, Inc
Intel Graphics Driver
Disponible para: macOS Catalina
Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.
CVE-2022-26769: Antonio Zekic (@antoniozekic)
Intel Graphics Driver
Disponible para: macOS Catalina
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de escritura fuera de los límites al mejorar la validación de las entradas.
CVE-2022-26748: Jeonghoon Shin, de Theori, en colaboración con Zero Day Initiative de Trend Micro
Kernel
Disponible para: macOS Catalina
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de memoria mejorando la validación.
CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14), de STAR Labs (@starlabs_sg)
Kernel
Disponible para: macOS Catalina
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
CVE-2022-26757: Ned Williamson, de Google Project Zero
libresolv
Disponible para: macOS Catalina
Impacto: un usuario remoto podría causar una denegación de servicio.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2022-32790: Max Shavrick (@_mxms) de Google Security Team
libresolv
Disponible para: macOS Catalina
Impacto: un atacante podría ser capaz de provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.
Descripción: se ha solucionado un desbordamiento de enteros mediante la mejora de la validación de las entradas.
CVE-2022-26775: Max Shavrick (@_mxms), del equipo de seguridad de Google
LibreSSL
Disponible para: macOS Catalina
Impacto: el procesamiento de un certificado creado con fines malintencionados podría originar la denegación del servicio.
Descripción: se ha solucionado un problema de denegación de servicio mejorando la validación de entrada.
CVE-2022-0778
libxml2
Disponible para: macOS Catalina
Impacto: un atacante remoto podría ser capaz de provocar el cierre inesperado de una aplicación o la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
CVE-2022-23308
OpenSSL
Disponible para: macOS Catalina
Impacto: el procesamiento de un certificado creado con fines malintencionados podría originar una denegación del servicio.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2022-0778
PackageKit
Disponible para: macOS Catalina
Impacto: una app podría obtener privilegios de alto nivel.
Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.
CVE-2022-32794: Mickey Jin (@patch1t)
PackageKit
Disponible para: macOS Catalina
Impacto: una aplicación malintencionada podría ser capaz de modificar las partes protegidas del sistema de archivos
Descripción: este problema se ha solucionado mejorando las certificaciones.
CVE-2022-26727: Mickey Jin (@patch1t)
Printing
Disponible para: macOS Catalina
Impacto: una aplicación maliciosa podría sortear las preferencias de privacidad.
Descripción: el problema se ha solucionado eliminando el código vulnerable.
CVE-2022-26746: @gorelics
Security
Disponible para: macOS Catalina
Impacto: una app creada con fines malintencionados podría evitar la validación de las firmas.
Descripción: se ha solucionado un problema de certificados al mejorar las comprobaciones.
CVE-2022-26766: Linus Henze, de Pinauten GmbH (pinauten.de)
SMB
Disponible para: macOS Catalina
Impacto: una aplicación podría obtener privilegios de alto nivel.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.
CVE-2022-26715: Peter Nguyễn Vũ Hoàng de STAR Labs
SoftwareUpdate
Disponible para: macOS Catalina
Impacto: una aplicación maliciosa podría tener acceso a archivos restringidos.
Descripción: este problema se ha solucionado mejorando las certificaciones.
CVE-2022-26728: Mickey Jin (@patch1t)
TCC
Disponible para: macOS Catalina
Impacto: una app podría capturar la pantalla de un usuario.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2022-26726: Antonio Cheong Yu Xuan de YCISCQ
Tcl
Disponible para: macOS Catalina
Impacto: una aplicación maliciosa podría salir de su zona restringida.
Descripción: este problema se ha solucionado mejorando el saneamiento del entorno.
CVE-2022-26755: Arsenii Kostromin (0x3c3e)
WebKit
Disponible para: macOS Catalina
Impacto: el procesamiento de un mensaje de correo electrónico creado con fines malintencionados podría provocar la ejecución de JavaScript arbitrario.
Descripción: se ha solucionado un problema de validación mejorando el saneamiento de entrada.
CVE-2022-22589: Heige de KnownSec 404 Team (knownsec.com) y Bo Qu de Palo Alto Networks (paloaltonetworks.com)
Wi-Fi
Disponible para: macOS Catalina
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.
CVE-2022-26761: Wang Yu de Cyberserval
zip
Disponible para: macOS Catalina
Impacto: el procesamiento de un archivo . creado con fines malintencionados podría originar la denegación del servicio
Descripción: se ha solucionado un problema de denegación de servicio mediante la mejora de la gestión del estado.
CVE-2022-0530
zlib
Disponible para: macOS Catalina
Impacto: un atacante podría ser capaz de provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.
Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.
CVE-2018-25032: Tavis Ormandy
zsh
Disponible para: macOS Catalina
Impacto: un atacante remoto podría provocar la ejecución de código arbitrario.
Descripción: este problema se ha solucionado al actualizar a la versión 5.8.1 de zsh.
CVE-2021-45444
Otros agradecimientos
PackageKit
Queremos dar las gracias a Mickey Jin (@patch1t) de Trend Micro por su ayuda.
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.