Acerca del contenido de seguridad de macOS Mojave 10.14.4, Actualización de seguridad 2019-002 High Sierra, Actualización de seguridad 2019-002 Sierra
En este documento se describe el contenido de seguridad de macOS Mojave 10.14.4, Actualización de seguridad 2019-002 High Sierra, Actualización de seguridad 2019-002 Sierra.
Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
macOS Mojave 10.14.4, Actualización de seguridad 2019-002 High Sierra, Actualización de seguridad 2019-002 Sierra
802.1X
Disponible para: macOS Mojave 10.14.3
Impacto: un atacante con una posición de red privilegiada podría ser capaz de interceptar el tráfico de red
Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.
CVE-2019-6203: Dominic White de SensePost (@singe)
802.1X
Disponible para: macOS High Sierra 10.13.6
Impacto: podría confiarse en un certificado del servidor RADIUS que no sea de confianza
Descripción: existía un problema de validación en la gestión del anclaje de veracidad. Este problema se ha solucionado mejorando la validación de las direcciones.
CVE-2019-8531: un investigador anónimo, equipo de QA de SecureW2
Cuentas
Disponible para: macOS Mojave 10.14.3
Impacto: el procesamiento de un archivo .vcf creado con fines malintencionados podría originar la denegación del servicio
Descripción: se ha solucionado un problema de denegación de servicio mejorando la validación.
CVE-2019-8538: Trevor Spiniolas (@TrevorSpiniolas)
APFS
Disponible para: macOS Mojave 10.14.3
Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel
Descripción: un problema lógico provocaba la corrupción de la memoria. Este problema se ha solucionado mejorando la gestión del estado.
CVE-2019-8534: Mac en colaboración con la Zero Day Initiative de Trend Micro
AppleGraphicsControl
Disponible para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel
Descripción: se ha solucionado un desbordamiento de búfer mejorando la validación del tamaño.
CVE-2019-8555: Zhiyi Zhang del 360 ESG Codesafe Team, Zhuo Liang y shrek_wzw del Qihoo 360 Nirvan Team
BOM
Disponible para: macOS Mojave 10.14.3
Impacto: una aplicación creada con fines malintencionados podría anular las comprobaciones de Gatekeeper
Descripción: este problema se ha solucionado mejorando la gestión de los metadatos de archivo.
CVE-2019-6239: Ian Moorhouse y Michael Trimm
CFString
Disponible para: macOS Mojave 10.14.3
Impacto: procesar una cadena creada con fines malintencionados podría originar la denegación del servicio
Descripción: se ha solucionado un problema de validación mejorando la lógica.
CVE-2019-8516: SWIPS Team de Frifee Inc.
configd
Disponible para: macOS Mojave 10.14.3
Impacto: una aplicación maliciosa podría elevar los privilegios
Descripción: se ha solucionado un problema de inicialización de memoria mejorando la gestión de la memoria.
CVE-2019-8552: Mohamed Ghannam (@_simo36)
Contactos
Disponible para: macOS Mojave 10.14.3
Impacto: una aplicación maliciosa podría elevar los privilegios
Descripción: se ha solucionado un problema de desbordamiento de búfer mejorando la gestión de la memoria.
CVE-2019-8511: un investigador anónimo
CoreCrypto
Disponible para: macOS Mojave 10.14.3
Impacto: una aplicación maliciosa podría elevar los privilegios
Descripción: se ha solucionado un desbordamiento de búfer con la mejora de la comprobación de límites.
CVE-2019-8542: un investigador anónimo
DiskArbitration
Disponible para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impacto: un usuario diferente podría desmontar y volver a montar un volumen cifrado sin que se solicite la contraseña
Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.
CVE-2019-8522: Colin Meginnis (@falc420)
FaceTime
Disponible para: macOS Mojave 10.14.3
Impacto: el vídeo de un usuario podría no pausarse durante una llamada de FaceTime si este sale de la app cuando aún está sonando el tono de llamada
Descripción: existía un problema en la pausa del vídeo de FaceTime. El problema se ha resuelto con una mejora de la lógica.
CVE-2019-8550: Lauren Guzniczak de la Keystone Academy
FaceTime
Disponible para: macOS Mojave 10.14.3
Impacto: un atacante local podría ver contactos en la pantalla bloqueada
Descripción: un problema de la pantalla bloqueada permitía acceder a los contactos en un dispositivo bloqueado. Se ha solucionado este problema mediante la mejora de la gestión del estado.
CVE-2019-8777: Abdullah H. AlJaber (@aljaber) de AJ.SA
Asistente de opinión
Disponible para: macOS Mojave 10.14.3
Impacto: una aplicación creada con fines malintencionados podría ser capaz de obtener privilegios de raíz
Descripción: se ha solucionado una condición de carrera mediante una validación adicional.
CVE-2019-8565: CodeColorist de los Ant-Financial LightYear Labs
Asistente de opinión
Disponible para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impacto: una aplicación creada con fines malintencionados podría ser capaz de sobrescribir archivos arbitrarios
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2019-8521: CodeColorist de los Ant-Financial LightYear Labs
file
Disponible para: macOS Mojave 10.14.3
Impacto: el procesamiento de un archivo creado con fines malintencionados podría provocar que se revelara información del usuario
Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.
CVE-2019-8906: Francisco Alonso
Drivers de gráficos
Disponible para: macOS Mojave 10.14.3
Impacto: una aplicación podría leer la memoria restringida
Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.
CVE-2019-8519: Aleksandr Tarasikov (@astarasikov), Juwei Lin (@panicaII) y Junzhi Lu de la Trend Micro Research en colaboración con la Zero Day Initiative de Trend Micro, Lilang Wu y Moony Li de Trend Micro
iAP
Disponible para: macOS Mojave 10.14.3
Impacto: una aplicación maliciosa podría elevar los privilegios
Descripción: se ha solucionado un desbordamiento de búfer con la mejora de la comprobación de límites.
CVE-2019-8542: un investigador anónimo
IOGraphics
Disponible para: macOS Mojave 10.14.3
Impacto: el Mac podría no bloquearse al desconectarlo de un monitor externo
Descripción: se ha solucionado un problema de gestión de bloqueos mejorando la gestión de bloqueos.
CVE-2019-8533: un investigador anónimo, James Eagan de Télécom ParisTech, R. Scott Kemp de MIT y Romke van Dijk de Z-CERT
IOHIDFamily
Disponible para: macOS Mojave 10.14.3
Impacto: un usuario local podría ser capaz de provocar el cierre inesperado del sistema o leer la memoria del kernel
Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
CVE-2019-8545: Adam Donenfeld (@doadam) del Zimperium zLabs Team
IOKit
Disponible para: macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impacto: un usuario local podría leer la memoria de kernel
Descripción: se ha solucionado un problema de inicialización de memoria mejorando la gestión de la memoria.
CVE-2019-8504: un investigador anónimo
IOKit SCSI
Disponible para: macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel
Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.
CVE-2019-8529: Juwei Lin (@panicaII) de la Trend Micro Research en colaboración con la Zero Day Initiative de Trend Micro
Kernel
Disponible para: macOS Sierra 10.12.6 y macOS High Sierra 10.13.6
Impacto: un usuario local podría leer la memoria de kernel
Descripción: se ha solucionado un problema de inicialización de memoria mejorando la gestión de la memoria.
CVE-2018-4448: Brandon Azad
Kernel
Disponible para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impacto: un atacante remoto puede alterar los datos de tráfico de red
Descripción: existía un problema de corrupción de memoria en la gestión de paquetes IPv6. Este problema se ha solucionado mejorando la gestión de la memoria.
CVE-2019-5608: Apple
Kernel
Disponible para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impacto: un atacante remoto podría ser capaz de provocar el cierre inesperado del sistema o dañar la memoria del kernel
Descripción: se ha solucionado un desbordamiento de búfer mejorando la validación del tamaño.
CVE-2019-8527: Ned Williamson de Google y derrek (@derrekr6)
Kernel
Disponible para: macOS Mojave 10.14.3, macOS High Sierra 10.13.6
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
CVE-2019-8528: Fabiano Anemone (@anoane), Zhao Qixun (@S0rryMybad) del Qihoo 360 Vulcan Team
Kernel
Disponible para: macOS Sierra 10.12.6, macOS Mojave 10.14.3
Impacto: un recurso compartido de red NFS creado con fines malintencionados podía provocar la ejecución de código arbitrario con privilegios de sistema
Descripción: se ha solucionado un desbordamiento de búfer con la mejora de la comprobación de límites.
CVE-2019-8508: Dr. Silvio Cesare de InfoSect
Kernel
Disponible para: macOS Mojave 10.14.3
Impacto: una aplicación podría obtener privilegios de alto nivel
Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.
CVE-2019-8514: Samuel Groß del Google Project Zero
Kernel
Disponible para: macOS Sierra 10.12.6, macOS Mojave 10.14.3
Impacto: una aplicación creada con fines malintencionados podría determinar el diseño de la memoria de kernel
Descripción: se ha solucionado un problema de inicialización de memoria mejorando la gestión de la memoria.
CVE-2019-8540: Weibo Wang (@ma1fan) del Qihoo 360 Nirvan Team
Kernel
Disponible para: macOS Mojave 10.14.3
Impacto: un usuario local podría leer la memoria de kernel
Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.
CVE-2019-7293: Ned Williamson de Google
Kernel
Disponible para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impacto: una aplicación creada con fines malintencionados podría determinar el diseño de la memoria de kernel
Descripción: existía un problema de lectura fuera de los límites que provocaba la divulgación del contenido de la memoria de kernel. Se ha solucionado mejorando la validación de las entradas.
CVE-2019-6207: Weibo Wang del Qihoo 360 Nirvan Team (@ma1fan)
CVE-2019-8510: Stefan Esser de Antid0te UG
Kernel
Disponible para: macOS Mojave 10.14.3
Impacto: un atacante remoto podría filtrar memoria
Descripción: existía un problema de lectura fuera de los límites que provocaba la divulgación del contenido de la memoria de kernel. Se ha solucionado mejorando la validación de las entradas.
CVE-2019-8547: derrek (@derrekr6)
Kernel
Disponible para: macOS Mojave 10.14.3
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel
Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
CVE-2019-8525: Zhuo Liang y shrek_wzw de Qihoo 360 Nirvan Team
libmalloc
Disponible para: macOS Sierra 10.12.6 y macOS High Sierra 10.13.6
Impacto: una aplicación malintencionada podría ser capaz de modificar las partes protegidas del sistema de archivos
Descripción: se ha solucionado un problema de configuración con restricciones adicionales.
CVE-2018-4433: Vitaly Cheptsov
Disponible para: macOS Mojave 10.14.3
Impacto: el procesamiento de un mensaje de correo creado con fines malintencionados podría provocar la suplantación de la firma S/MIME
Descripción: existía un problema en la gestión de los certificados S-MIME. Este problema se ha solucionado mejorando la validación de los certificados S-MIME.
CVE-2019-8642: Maya Sigal y Volker Roth de la Freie Universität Berlin
Disponible para: macOS Mojave 10.14.3
Impacto: un atacante en una posición de red privilegiada podría interceptar el contenido de un correo electrónico cifrado con S/MIME
Descripción: existía un problema en la gestión del correo cifrado. Este problema se ha solucionado mejorando el aislamiento de MIME en Mail.
CVE-2019-8645: Maya Sigal y Volker Roth de la Freie Universität Berlin
Mensajes
Disponible para: macOS Mojave 10.14.3
Impacto: un usuario local podría ser capaz de ver información confidencial de los usuarios
Descripción: se ha solucionado un problema de acceso con restricciones de zona protegida adicionales.
CVE-2019-8546: ChiYuan Chang
Modem CCL
Disponible para: macOS Mojave 10.14.3
Impacto: una aplicación podría obtener privilegios de alto nivel
Descripción: se ha solucionado un problema de validación de las entradas con una mejora de la gestión de la memoria.
CVE-2019-8579: un investigador anónimo
Notas
Disponible para: macOS Mojave 10.14.3
Impacto: un usuario local podría ver las notas bloqueadas de un usuario
Descripción: se ha solucionado un problema de acceso mejorando la gestión de la memoria.
CVE-2019-8537: Greg Walker (gregwalker.us)
PackageKit
Disponible para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impacto: una aplicación maliciosa podría elevar los privilegios
Descripción: se ha solucionado un problema de lógica mejorando la validación.
CVE-2019-8561: Jaron Bradley de Crowdstrike
Perl
Disponible para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impacto: varios problemas en Perl
Descripción: en esta actualización se han solucionado distintos errores en Perl.
CVE-2018-12015: Jakub Wilk
CVE-2018-18311: Jayakrishna Menon
CVE-2018-18313: Eiichi Tsukata
Gestión de la alimentación
Disponible para: macOS Mojave 10.14.3
Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema
Descripción: existían varios problemas de validación de entradas en código MIG generado. Estos problemas se han solucionado mejorando la validación.
CVE-2019-8549: Mohamed Ghannam (@_simo36) de SSD Secure Disclosure (ssd-disclosure.com)
QuartzCore
Disponible para: macOS Mojave 10.14.3
Impacto: el procesamiento de datos malintencionados podría provocar un cierre inesperado de la aplicación
Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la validación de las entradas.
CVE-2019-8507: Kai Lu de los Fortinet’s FortiGuard Labs
Zona protegida
Disponible para: macOS Mojave 10.14.3
Impacto: un proceso aislado podría ser capaz de eludir las restricciones de la zona protegida
Descripción: se ha solucionado un problema de lógica mejorando las restricciones.
CVE-2019-8618: Brandon Azad
Seguridad
Disponible para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impacto: una aplicación podría obtener privilegios de alto nivel
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
CVE-2019-8526: Linus Henze (pinauten.de)
Seguridad
Disponible para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impacto: una aplicación maliciosa podría leer la memoria restringida
Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.
CVE-2019-8520: Antonio Groza, Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido
Seguridad
Disponible para: macOS Mojave 10.14.3
Impacto: podría confiarse en un certificado del servidor RADIUS que no sea de confianza
Descripción: existía un problema de validación en la gestión del anclaje de veracidad. Este problema se ha solucionado mejorando la validación de las direcciones.
CVE-2019-8531: un investigador anónimo, equipo de QA de SecureW2
Seguridad
Disponible para: macOS Mojave 10.14.3
Impacto: podría confiarse en un certificado del servidor RADIUS que no sea de confianza
Descripción: existía un problema de validación en la gestión del anclaje de veracidad. Este problema se ha solucionado mejorando la validación de las direcciones.
CVE-2019-8531: un investigador anónimo, equipo de QA de SecureW2
Siri
Disponible para: macOS Mojave 10.14.3
Impacto: una aplicación creada con fines malintencionados podría ser capaz de iniciar una solicitud de Dictado sin la autorización del usuario
Descripción: existía un problema de API en la gestión de las solicitudes de Dictado. Este problema se ha solucionado mejorando la validación de las direcciones.
CVE-2019-8502: Luke Deshotels de la Universidad Estatal de Carolina del Norte, Jordan Beichler de la Universidad Estatal de Carolina del Norte, William Enck de la Universidad Estatal de Carolina del Norte, Costin Carabaș de la Universidad Politécnica de Bucarest y Răzvan Deaconescu de la Universidad Politécnica de Bucarest
Time Machine
Disponible para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impacto: un usuario local podría ser capaz de ejecutar comandos de shell arbitrarios
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2019-8513: CodeColorist de los Ant-Financial LightYear Labs
Soporte técnico de la Touch Bar
Disponible para: macOS Mojave 10.14.3
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de sistema
Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.
CVE-2019-8569: Viktor Oreshkin (@stek29)
TrueTypeScaler
Disponible para: macOS Mojave 10.14.3
Impacto: procesar un sitio web creado con fines malintencionados podría provocar la revelación de la memoria de procesos
Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.
CVE-2019-8517: riusksk de la VulWar Corp en colaboración con la Zero Day Initiative de Trend Micro
Wi-Fi
Disponible para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impacto: un atacante desde una posición de red con privilegios puede modificar el estado de los controladores
Descripción: se ha solucionado un problema de lógica mejorando la validación.
CVE-2019-8564: Hugues Anguelkov durante unas prácticas en Quarkslab
Wi-Fi
Disponible para: macOS Sierra 10.12.6 y macOS High Sierra 10.13.6
Impacto: un atacante desde una posición de red con privilegios puede modificar el estado de los controladores
Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.
CVE-2019-8612: Milan Stute de Secure Mobile Networking Lab en Technische Universität Darmstadt
Wi-Fi
Disponible para: macOS Mojave 10.14.3
Impacto: un dispositivo podía ser rastreado de forma pasiva por su dirección MAC wifi
Descripción: se ha solucionado un problema de privacidad del usuario eliminando la dirección MAC de transmisión.
CVE-2019-8567: David Kreitschmann y Milan Stute del Secure Mobile Networking Lab en la Universidad Técnica de Darmstadt
xar
Disponible para: macOS Mojave 10.14.3
Impacto: procesar un paquete creado con fines malintencionados podría provocar la ejecución de código arbitrario
Descripción: había un problema de validación en la gestión de los enlaces simbólicos. Se ha resuelto este problema con la mejora de la validación de los enlaces simbólicos.
CVE-2019-6238: Yiğit Can YILMAZ (@yilmazcanyigit)
XPC
Disponible para: macOS Sierra 10.12.6, macOS Mojave 10.14.3
Impacto: una aplicación creada con fines malintencionados podría ser capaz de sobrescribir archivos arbitrarios
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2019-8530: CodeColorist de los Ant-Financial LightYear Labs
Otros agradecimientos
Cuentas
Queremos dar las gracias a Milan Stute de Secure Mobile Networking Lab en la Universidad Técnica de Darmstadt por su ayuda.
Libros
Queremos dar las gracias a Yiğit Can YILMAZ (@yilmazcanyigit) por su ayuda.
Kernel
Queremos dar las gracias por su ayuda a Brandon Azad, Brandon Azad de Google Project Zero, Daniel Roethlisberger de Swisscom CSIRT, Raz Mashat (@RazMashat) de Ilan Ramon High School.
Queremos mostrar nuestro agradecimiento por su ayuda a Craig Young de Tripwire VERT y Hanno Böck.
Time Machine
Queremos mostrar nuestro agradecimiento por su ayuda a CodeColorist de los Ant-Financial LightYear Labs.
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.