Acerca del contenido de seguridad de macOS Monterey 12.7.2

En este documento se describe el contenido de seguridad de macOS Monterey 12.7.2.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

macOS Monterey 12.7.2

Accounts

Disponible para: macOS Monterey

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.

CVE-2023-42919: Kirin (@Pwnrin)

AppleEvents

Disponible para: macOS Monterey

Impacto: una app podría ser capaz de acceder a la información sobre los contactos de un usuario.

Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.

CVE-2023-42894: Noah Roskin-Frazee y Prof. J. (ZeroClicks.ai Lab)

Assets

Disponible para: macOS Monterey

Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.

Descripción: se ha corregido un problema con una gestión mejorada de los archivos temporales.

CVE-2023-42896: Mickey Jin (@patch1t)

CoreServices

Disponible para: macOS Monterey

Impacto: un usuario podría provocar el cierre inesperado de una app o la ejecución de código arbitrario.

Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.

CVE-2023-42886: Koh M. Nakagawa (@tsunek0h)

DiskArbitration

Disponible para: macOS Monterey

Impacto: un proceso podría adquirir privilegios de administrador sin la autenticación pertinente.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2023-42931: Yann GASCUEL de Alter Solutions

Emoji

Disponible para: macOS Monterey

Impacto: un atacante podría ejecutar código arbitrario como código raíz desde la pantalla de bloqueo.

Descripción: este problema se ha solucionado restringiendo las opciones que se ofrecen en un dispositivo bloqueado.

CVE-2023-41989: Jewel Lambert

FileURL

Disponible para: macOS Monterey

Impacto: un atacante local podría aumentar sus privilegios.

Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.

CVE-2023-42892: Anthony Cruz de App Tyrant Corp

Find My

Disponible para: macOS Monterey

Impacto: es posible que una app pueda leer información de ubicación confidencial.

Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.

CVE-2023-42922: Wojciech Regula de SecuRing (wojciechregula.blog)

Find My

Disponible para: macOS Monterey

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se ha corregido un problema de privacidad con una gestión mejorada de los archivos.

CVE-2023-42834: Csaba Fitzl (@theevilbit) de Offensive Security

ImageIO

Disponible para: macOS Monterey

Impacto: procesar una imagen podría provocar la ejecución de código arbitrario.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2023-42899: Meysam Firouzi @R00tkitSMM y Junsung Lee

IOKit

Disponible para: macOS Monterey

Impacto: una aplicación podría ser capaz de monitorear las pulsaciones de teclas sin el permiso del usuario.

Descripción: se ha solucionado el problema de autenticación mejorando la gestión del estado.

CVE-2023-42891: investigador anónimo

IOUSBDeviceFamily

Disponible para: macOS Monterey

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado un problema de condición de carrera mediante la mejora de la gestión del estado.

CVE-2023-42974: Pan ZhenPeng (@Peterpan0927) de STAR Labs SG Pte. Ltd.

Kernel

Disponible para: macOS Monterey

Impacto: una app podría salir de su zona protegida.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) de Synacktiv (@Synacktiv)

Libsystem

Disponible para: macOS Monterey

Impacto: una app podría acceder a la información protegida del usuario.

Descripción: se ha solucionado un problema de permisos eliminando código vulnerable y añadiendo comprobaciones adicionales.

CVE-2023-42893

Model I/O

Disponible para: macOS Monterey

Impacto: procesar una imagen podría provocar una denegación de servicio.

Descripción: el problema se ha solucionado eliminando el código vulnerable.

CVE-2023-3618

ncurses

Disponible para: macOS Monterey

Impacto: un usuario remoto podría provocar el cierre inesperado de una app o la ejecución arbitraria de código.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2020-19185

CVE-2020-19186

CVE-2020-19187

CVE-2020-19188

CVE-2020-19189

CVE-2020-19190

quarantine

Disponible para: macOS Monterey

Impacto: una app podría ser capaz de ejecutar código arbitrario fuera de su entorno aislado o con determinados privilegios elevados.

Descripción: se ha solucionado un problema de acceso mediante la mejora de la zona restringida.

CVE-2023-42838: Yiğit Can YILMAZ (@yilmazcanyigit), y Csaba Fitzl (@theevilbit) de Offensive Security

Sandbox

Disponible para: macOS Monterey

Impacto: un atacante podría acceder a volúmenes de red conectados en el directorio de inicio.

Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.

CVE-2023-42836: Yiğit Can YILMAZ (@yilmazcanyigit)

Sandbox

Disponible para: macOS Monterey

Impacto: una app podría acceder a datos confidenciales de los usuarios.

Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.

CVE-2023-42936: Csaba Fitzl (@theevilbit) de OffSec

Shell

Disponible para: macOS Monterey

Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2023-42930: Arsenii Kostromin (0x3c3e)

TCC

Disponible para: macOS Monterey

Impacto: una app podría acceder a la información protegida del usuario.

Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.

CVE-2023-42932: Zhongquan Li (@Guluisacat)

TCC

Disponible para: macOS Monterey

Impacto: una app podría salir de su zona protegida.

Descripción: se ha solucionado un problema de gestión de las rutas mejorando la validación.

CVE-2023-42947: Zhongquan Li (@Guluisacat) de Dawn Security Lab de JingDong

Vim

Disponible para: macOS Monterey

Impacto: abrir un archivo creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

Descripción: este problema se ha solucionado al actualizar a la versión 9.0.1969 de Vim.

CVE-2023-5344

Otros agradecimientos

Preview

Queremos dar las gracias a Akshay Nagpal por su ayuda.