Acerca del contenido de seguridad de macOS Monterey 12.6.3

En este documento se describe el contenido de seguridad de macOS Monterey 12.6.3.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

macOS Monterey 12.6.3

AppleMobileFileIntegrity

Disponible para: macOS Monterey

Impacto: una app podría acceder a datos confidenciales de los usuarios.

Descripción: este problema se ha solucionado habilitando el tiempo de ejecución reforzado.

CVE-2023-23499: Wojciech Reguła (@_r3ggi) de SecuRing (wojciechregula.blog)

curl

Disponible para: macOS Monterey

Impacto: varios problemas en curl

Descripción: se han solucionado varios problemas en curl actualizando a la versión 7.86.0.

CVE-2022-42915

CVE-2022-42916

CVE-2022-32221

CVE-2022-35260

curl

Disponible para: macOS Monterey

Impacto: varios problemas en curl

Descripción: se han solucionado varios problemas en curl actualizando a la versión 7.85.0.

CVE-2022-35252

dcerpc

Disponible para: macOS Monterey

Impacto: un recurso compartido de red Samba creado con fines malintencionados podía provocar la ejecución de código arbitrario

Descripción: se ha solucionado un problema de desbordamiento de búfer mejorando la gestión de la memoria.

CVE-2023-23513: Dimitrios Tatsis y Aleksandar Nikolic de Cisco Talos

DiskArbitration

Disponible para: macOS Monterey

Impacto: un usuario diferente podría desmontar y volver a montar un volumen cifrado sin que se solicite la contraseña

Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.

CVE-2023-23493: Oliver Norpoth (@norpoth) de KLIXX GmbH (klixx.com)

DriverKit

Disponible para: macOS Monterey

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado un problema de confusión de tipo mediante la mejora de las comprobaciones.

CVE-2022-32915: Tommy Muir (@Muirey03)

Intel Graphics Driver

Disponible para: macOS Monterey

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: el problema se ha solucionado mediante la mejora de la comprobación de límites.

CVE-2023-23507: investigador anónimo

Kernel

Disponible para: macOS Monterey

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2023-23516: Jordy Zomer (@pwningsystems)

Kernel

Disponible para: macOS Monterey

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2023-23504: Adam Doupé de ASU SEFCOM

Kernel

Disponible para: macOS Monterey

Impacto: una app podría ser capaz de determinar el diseño de la memoria de kernel.

Descripción: se ha solucionado un problema de divulgación de información eliminando el código vulnerable.

CVE-2023-23502: Pan ZhenPeng (@Peterpan0927) de STAR Labs SG Pte. Ltd. (@starlabs_sg)

Mail

Disponible para: macOS Monterey

Impacto: una app podría ser capaz de acceder a los adjuntos de la carpeta de correo a través de un directorio temporal usado durante la compresión.

Descripción: se ha solucionado un problema de acceso mejorando las restricciones de acceso.

CVE-2022-42834: Wojciech Reguła (@_r3ggi) de SecuRing

PackageKit

Disponible para: macOS Monterey

Impacto: una app podría obtener privilegios de raíz.

Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.

CVE-2023-23497: Mickey Jin (@patch1t)

Screen Time

Disponible para: macOS Monterey

Impacto: una app podría ser capaz de acceder a la información sobre los contactos de un usuario.

Descripción: el problema se ha solucionado mediante la mejora de la redacción de datos privados para las entradas de registro.

CVE-2023-23505: Wojciech Regula de SecuRing (wojciechregula.blog) y Csaba Fitzl (@theevilbit) de Offensive Security

TCC

Disponible para: macOS Monterey

Impacto: una app podría acceder a datos confidenciales de los usuarios.

Descripción: el problema se ha solucionado eliminando el código vulnerable.

CVE-2023-27931: Mickey Jin (@patch1t)

Weather

Disponible para: macOS Monterey

Impacto: una app creada podría evitar las preferencias de privacidad.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2023-23511: Wojciech Regula de SecuRing (wojciechregula.blog), un investigador anónimo

WebKit

Disponible para: macOS Monterey

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2023-23518: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) del equipo ApplePIE

CVE-2023-23517: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) del equipo ApplePIE

Windows Installer

Disponible para: macOS Monterey

Impacto: una app creada podría evitar las preferencias de privacidad.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2023-23508: Mickey Jin (@patch1t)

Otros agradecimientos

Kernel

Nos gustaría dar las gracias a Nick Stenning de Replicate por su ayuda.