Acerca del contenido de seguridad de macOS Monterey 12.2
En este documento se describe el contenido de seguridad de macOS Monterey 12.2.
Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
macOS Monterey 12.2
AMD Kernel
Disponible para: macOS Monterey
Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.
CVE-2022-22586: un investigador anónimo
ColorSync
Disponible para: macOS Monterey
Impacto: procesar un archivo creado con fines malintencionados podría provocar la ejecución de código arbitrario.
Descripción: se ha solucionado un problema de memoria mejorando la validación.
CVE-2022-22584: Mickey Jin (@patch1t) de Trend Micro
Crash Reporter
Disponible para: macOS Monterey
Impacto: una aplicación creada con fines malintencionados podría ser capaz de obtener privilegios de raíz
Descripción: se ha solucionado un problema de lógica mejorando la validación.
CVE-2022-22578: Zhipeng Huo (@R3dF09) y Yuebin Sun (@yuebinsun2020) de Tencent Security Xuanwu Lab (xlab.tencent.com)
iCloud
Disponible para: macOS Monterey
Impacto: una aplicación podría tener acceso a archivos del usuario.
Descripción: había un problema en la lógica de la validación de las rutas de los enlaces simbólicos. Este problema se ha solucionado mejorando el saneamiento de las rutas.
CVE-2022-22585: Zhipeng Huo (@R3dF09) de Tencent Security Xuanwu Lab (https://xlab.tencent.com)
Intel Graphics Driver
Disponible para: macOS Monterey
Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.
CVE-2022-22591: Antonio Zekic (@antoniozekic) de Diverto
IOMobileFrameBuffer
Disponible para: macOS Monterey
Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel. Apple tiene conocimiento de que este problema se ha explotado activamente.
Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.
CVE-2022-22587: un investigador anónimo, Meysam Firouzi (@R00tkitSMM) de MBition - Mercedes-Benz Innovation Lab y Siddharth Aeri (@b1n4r1b01)
Kernel
Disponible para: macOS Monterey
Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de desbordamiento de búfer mejorando la gestión de la memoria.
CVE-2022-22593: Peter Nguyễn Vũ Hoàng de STAR Labs
Model I/O
Disponible para: macOS Monterey
Impacto: el procesamiento de un archivo STL diseñado con fines malintencionados podría provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de divulgación de información mejorando la gestión del estado.
CVE-2022-22579: Mickey Jin (@patch1t) de Trend Micro
PackageKit
Disponible para: macOS Monterey
Impacto: una aplicación malintencionada podría ser capaz de modificar las partes protegidas del sistema de archivos
Descripción: el problema se ha solucionado eliminando el código vulnerable.
CVE-2022-22646: Mickey Jin (@patch1t), Mickey Jin (@patch1t) de Trend Micro
PackageKit
Disponible para: macOS Monterey
Impacto: una aplicación podría eliminar archivos para los que no tiene permiso.
Descripción: se ha solucionado un problema de validación del controlador de eventos en la API de servicios XPC quitando el servicio.
CVE-2022-22676: Mickey Jin (@patch1t) de Trend Micro
PackageKit
Disponible para: macOS Monterey
Impacto: una aplicación podría tener acceso a archivos restringidos
Descripción: se ha solucionado un problema de permisos mediante la mejora de la validación.
CVE-2022-22583: Ron Hass (@ronhass7) de Perception Point, Mickey Jin (@patch1t)
WebKit
Disponible para: macOS Monterey
Impacto: el procesamiento de un mensaje de correo electrónico creado con fines malintencionados podría provocar la ejecución de JavaScript arbitrario.
Descripción: se ha solucionado un problema de validación mejorando el saneamiento de entrada.
CVE-2022-22589: Heige de KnownSec 404 Team (knownsec.com) y Bo Qu de Palo Alto Networks (paloaltonetworks.com)
WebKit
Disponible para: macOS Monterey
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
CVE-2022-22590: Toan Pham de Team Orca en Sea Security (security.sea.com)
WebKit
Disponible para: macOS Monterey
Impacto: el procesamiento de contenido web creado con fines malintencionados podría impedir que se aplique la política de seguridad de contenido.
Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.
CVE-2022-22592: Prakash (@1lastBr3ath)
WebKit Storage
Disponible para: macOS Monterey
Impacto: un sitio web podría rastrear información confidencial sobre los usuarios.
Descripción: se ha solucionado un problema entre orígenes en la API IndexDB mejorando la validación de las entradas.
CVE-2022-22594: Martin Bajanik de FingerprintJS
Otros agradecimientos
Kernel
Queremos dar las gracias por su ayuda a Tao Huang como investigador independiente.
Metal
Queremos dar las gracias a Tao Huang por su ayuda.
PackageKit
Queremos dar las gracias a Mickey Jin (@patch1t) de Trend Micro por su ayuda.
WebKit
Queremos dar las gracias por su ayuda a Prakash (@1lastBr3ath) y bo13oy de Cyber Kunlun Lab.
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.