Acerca del contenido de seguridad de macOS High Sierra 10.13.5, Actualización de seguridad 2018-003 Sierra, Actualización de seguridad 2018-003 El Capitan
En este documento se describe el contenido de seguridad de macOS High Sierra 10.13.5, Actualización de seguridad 2018-003 Sierra, Actualización de seguridad 2018-003 El Capitan.
Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple. Las comunicaciones con Apple se pueden cifrar mediante la clave PGP de seguridad de los productos Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.
macOS High Sierra 10.13.5, Actualización de seguridad 2018-003 Sierra, Actualización de seguridad 2018-003 El Capitan
Estructura de accesibilidad
Disponible para: macOS High Sierra 10.13.4
Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema
Descripción: había un problema de divulgación de información en Estructura de accesibilidad. Este problema se ha solucionado mejorando la gestión de la memoria.
CVE-2018-4196: Alex Plaskett, Georgi Geshev y Fabian Beterke de MWR Labs en colaboración con la Zero Day Initiative de Trend Micro y WanderingGlitch, de la Zero Day Initiative de Trend Micro
AMD
Disponible para: macOS High Sierra 10.13.4
Impacto: un usuario local podría leer la memoria de kernel
Descripción: existía un problema de lectura fuera de los límites que provocaba la divulgación del contenido de la memoria de kernel. Se ha solucionado mejorando la validación de las entradas.
CVE-2018-4253: shrek_wzw de Qihoo 360 Nirvan Team
AMD
Disponible para: macOS High Sierra 10.13.4
Impacto: un usuario local podría leer la memoria de kernel
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2018-4256: shrek_wzw de Qihoo 360 Nirvan Team
AMD
Disponible para: macOS High Sierra 10.13.4
Impacto: un usuario local podría leer la memoria de kernel
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2018-4255: shrek_wzw de Qihoo 360 Nirvan Team
AMD
Disponible para: macOS High Sierra 10.13.4
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel
Descripción: existía un problema de validación de las entradas en el kernel. Se ha solucionado el problema mejorando la validación de las entradas.
CVE-2018-4254: investigador anónimo
AMD
Disponible para: macOS High Sierra 10.13.4
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel
Descripción: existía un problema de validación de las entradas en el kernel. Se ha solucionado el problema mejorando la validación de las entradas.
CVE-2018-4254: shrek_wzw de Qihoo 360 Nirvan Team
AppleGraphicsControl
Disponible para: macOS High Sierra 10.13.4
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel
Descripción: se ha solucionado un desbordamiento de búfer con la mejora de la comprobación de límites.
CVE-2018-4258: shrek_wzw de Qihoo 360 Nirvan Team
AppleGraphicsPowerManagement
Disponible para: macOS High Sierra 10.13.4
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel
Descripción: se ha solucionado un desbordamiento de búfer mejorando la validación del tamaño.
CVE-2018-4257: shrek_wzw de Qihoo 360 Nirvan Team
apache_mod_php
Disponible para: macOS High Sierra 10.13.4
Impacto: en esta actualización se han solucionado errores en php
Descripción: se ha solucionado este problema actualizando a la versión 7.1.16 de php.
CVE-2018-7584: Wei Lei y Liu Yang de la Universidad Tecnológica de Nanyang
ATS
Disponible para: macOS High Sierra 10.13.4
Impacto: una aplicación maliciosa podría elevar los privilegios
Descripción: se ha solucionado un problema de confusión de tipo mejorando la gestión de la memoria.
CVE-2018-4219: Mohamed Ghannam (@_simo36)
Bluetooth
Disponible para: MacBook Pro (Retina, 15 pulgadas, mediados de 2015), MacBook Pro (Retina, 15 pulgadas, 2015), MacBook Pro (Retina, 13 pulgadas, principios de 2015), MacBook Pro (15 pulgadas, 2017), MacBook Pro (15 pulgadas, 2016), MacBook Pro (13 pulgadas, finales de 2016, dos puertos Thunderbolt 3), MacBook Pro (13 pulgadas, finales de 2016, cuatro puertos Thunderbolt 3), MacBook Pro (13 pulgadas, 2017, cuatro puertos Thunderbolt 3), MacBook (Retina, 12 pulgadas, principios de 2016), MacBook (Retina, 12 pulgadas, principios de 2015), MacBook (Retina, 12 pulgadas, 2017), iMac Pro, iMac (Retina 5K, 27 pulgadas, finales de 2015), iMac (Retina 5K, 27 pulgadas, 2017), iMac (Retina 4K, 21,5 pulgadas, finales de 2015), iMac (Retina 4K, 21,5 pulgadas, 2017), iMac (21,5 pulgadas, finales de 2015) y iMac (21,5 pulgadas, 2017)
Impacto: un atacante en una posición de red privilegiada podría interceptar el tráfico de Bluetooth
Descripción: había un problema de validación en el Bluetooth. Se ha solucionado el problema mejorando la validación de las entradas.
CVE-2018-5383: Lior Neumann y Eli Biham
Bluetooth
Disponible para: OS X El Capitan 10.11.6, macOS Sierra 10.12.6
Impacto: una aplicación creada con fines malintencionados podría determinar el diseño de la memoria de kernel.
Descripción: había un problema de divulgación de información en las propiedades del dispositivo. Se ha solucionado este problema mediante la mejora de la gestión del objeto.
CVE-2018-4171: shrek_wzw de Qihoo 360 Nirvan Team
CoreGraphics
Disponible para: macOS High Sierra 10.13.4
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de un código arbitrario
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2018-4194: Jihui Lu de Tencent KeenLab, Yu Zhou de Ant-financial Light-Year Security Lab
CUPS
Disponible para: macOS High Sierra 10.13.4
Impacto: un proceso local podría modificar otros procesos sin comprobaciones de autorización
Descripción: existía un problema en CUPS. Se ha solucionado este problema mejorando las restricciones de acceso.
CVE-2018-4180: Dan Bastone de Gotham Digital Science
CUPS
Disponible para: macOS High Sierra 10.13.4
Impacto: un usuario local podría leer archivos arbitrarios como root
Descripción: existía un problema en CUPS. Se ha solucionado este problema mejorando las restricciones de acceso.
CVE-2018-4181: Eric Rafaloff y John Dunlap de Gotham Digital Science
CUPS
Disponible para: macOS High Sierra 10.13.4
Impacto: un proceso aislado podría ser capaz de eludir las restricciones de la zona protegida
Descripción: se ha solucionado un problema de acceso mediante restricciones de zona protegida adicionales en CUPS.
CVE-2018-4182: Dan Bastone de Gotham Digital Science
CUPS
Disponible para: macOS High Sierra 10.13.4
Impacto: un proceso aislado podría ser capaz de eludir las restricciones de la zona protegida
Descripción: se ha solucionado un problema de acceso con restricciones de zona protegida adicionales.
CVE-2018-4183: Dan Bastone y Eric Rafaloff de Gotham Digital Science
EFI
Disponible para: macOS High Sierra 10.13.4
Impacto: un atacante con acceso físico a un dispositivo podría elevar los privilegios
Descripción: se ha solucionado un problema de validación mejorando la lógica.
CVE-2018-4478: investigador anónimo, investigador anónimo, Ben Erickson de Trusted Computer Consulting, LLC
Firmware
Disponible para: macOS High Sierra 10.13.4
Impacto: una aplicación malintencionada con privilegios de raíz podría modificar la región de la memoria flash EFI
Descripción: se ha solucionado un problema de configuración del dispositivo con una configuración actualizada.
CVE-2018-4251: Maxim Goryachy y Mark Ermolov
FontParser
Disponible para: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.4
Impacto: el procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar la ejecución de un código arbitrario
Descripción: se ha solucionado un problema de memoria mejorando la validación.
CVE-2018-4211: Proteas de Qihoo 360 Nirvan Team
Grand Central Dispatch
Disponible para: macOS High Sierra 10.13.4
Impacto: un proceso aislado podría ser capaz de eludir las restricciones de la zona protegida
Descripción: había un problema con el análisis de los plists de autorización. Se ha solucionado el problema mejorando la validación de las entradas.
CVE-2018-4229: Jakob Rieck (@0xdead10cc) de seguridad en Distributed Systems Group, Universidad de Hamburgo
Drivers de gráficos
Disponible para: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.4
Impacto: una aplicación podría leer la memoria restringida
Descripción: se ha solucionado un problema de validación mejorando el saneamiento de entrada.
CVE-2018-4159: Axis y pjf de IceSword Lab de Qihoo 360
Hypervisor
Disponible para: macOS High Sierra 10.13.4
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel
Descripción: se trató una vulnerabilidad de corrupción de la memoria mejorando el bloqueo.
CVE-2018-4242: Zhuo Liang de Qihoo 360 Nirvan Team
iBooks
Disponible para: macOS High Sierra 10.13.4
Impacto: un atacante que se encuentre en una posición de red con privilegios podría suplantar peticiones de contraseña en iBooks
Descripción: se ha solucionado un problema de validación de las entradas mejorando dicha validación.
CVE-2018-4202: Jerry Decime
Servicios de identificación
Disponible para: macOS High Sierra 10.13.4
Impacto: una aplicación creada con fines malintencionados podría ser capaz de acceder a los ID de Apple de los usuarios locales
Descripción: un problema de privacidad en la gestión de los registros de Open Directory se solucionó con una indexación mejorada.
CVE-2018-4217: Jacob Greenfield de la Commonwealth School
Driver de gráficos Intel
Disponible para: macOS High Sierra 10.13.4
Impacto: una aplicación podría leer la memoria restringida
Descripción: se ha solucionado un problema de validación mejorando el saneamiento de entrada.
CVE-2018-4141: investigador anónimo, Zhao Qixun (@S0rryMybad) de Qihoo 360 Vulcan Team
IOFireWireAVC
Disponible para: macOS High Sierra 10.13.4
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel
Descripción: se ha solucionado una condición de carrera con una mejora del bloqueo.
CVE-2018-4228: Benjamin Gnahm (@mitp0sh) de Mentor Graphics
IOGraphics
Disponible para: macOS High Sierra 10.13.4
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel
Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.
CVE-2018-4236: Zhao Qixun(@S0rryMybad) de Qihoo 360 Vulcan Team
IOHIDFamily
Disponible para: macOS High Sierra 10.13.4
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel
Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.
CVE-2018-4234: Proteas de Qihoo 360 Nirvan Team
Kernel
Disponible para: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.4
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel
Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.
CVE-2018-4249: Kevin Backhouse de Semmle Ltd.
Kernel
Disponible para: OS X El Capitan 10.11.6, macOS Sierra 10.12.6
Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel
Descripción: en determinados casos, es posible que algunos sistemas operativos no esperen o no procesen correctamente una excepción de limpieza de arquitectura Intel después de ciertas instrucciones. Según parece, el problema proviene de un efecto secundario no documentado de las instrucciones. Un atacante podría usar esta excepción de gestión para acceder a Ring 0 y la memoria confidencial o para controlar procesos del sistema operativo.
CVE-2018-8897: Andy Lutomirski, Nick Peterson (linkedin.com/in/everdox) de Everdox Tech LLC
Kernel
Disponible para: macOS High Sierra 10.13.4
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel
Descripción: se ha solucionado un desbordamiento de búfer con la mejora de la comprobación de límites.
CVE-2018-4241: Ian Beer de Google Project Zero
CVE-2018-4243: Ian Beer de Google Project Zero
libxpc
Disponible para: macOS High Sierra 10.13.4
Impacto: una aplicación podría obtener privilegios de alto nivel
Descripción: se ha solucionado un problema de lógica mejorando la validación.
CVE-2018-4237: Samuel Groß (@5aelo) en colaboración con la Zero Day Initiative de Trend Micro
libxpc
Disponible para: macOS High Sierra 10.13.4
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de sistema
Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.
CVE-2018-4404: Samuel Groß (@5aelo) en colaboración con la Zero Day Initiative de Trend Micro
Disponible para: macOS High Sierra 10.13.4
Impacto: un atacante podría filtrar el contenido del correo electrónico cifrado con S/MIME
Descripción: existía un problema en la gestión del correo cifrado. Este problema se ha solucionado mejorando el aislamiento de MIME en Mail.
CVE-2018-4227: Damian Poddebniak de la Universidad de Ciencias Aplicadas de Münster, Christian Dresen de la Universidad de Ciencias Aplicadas de Münster, Jens Müller de la Universidad Ruhr de Bochum, Fabian Ising de la Universidad de Ciencias Aplicadas de Münster, Sebastian Schinzel de la Universidad de Ciencias Aplicadas de Münster, Simon Friedberger de KU Leuven, Juraj Somorovsky de la Universidad Ruhr de Bochum, Jörg Schwenk de la Universidad Ruhr de Bochum
Mensajes
Disponible para: macOS High Sierra 10.13.4
Impacto: un usuario local podría llevar a cabo ataques de suplantación
Descripción: se ha solucionado un problema de inyección con la mejora de la validación de las entradas.
CVE-2018-4235: Anurodh Pokharel de Salesforce.com
Mensajes
Disponible para: macOS High Sierra 10.13.4
Impacto: el procesamiento de un mensaje creado con fines malintencionados podría originar la denegación del servicio
Descripción: este problema se ha solucionado mejorando la validación de los mensajes.
CVE-2018-4240: Sriram (@Sri_Hxor) de Primefort Pvt. Ltd.
Controladores de tarjetas gráficas NVIDIA
Disponible para: macOS High Sierra 10.13.4
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel
Descripción: se ha solucionado una condición de carrera con una mejora del bloqueo.
CVE-2018-4230: Ian Beer de Google Project Zero
Seguridad
Disponible para: macOS High Sierra 10.13.4
Impacto: los sitios web maliciosos podrían realizar un seguimiento de los usuarios utilizando certificados de cliente
Descripción: existía un problema en la gestión de los certificados S-MIME. Este problema se ha solucionado mejorando la validación de los certificados S-MIME.
CVE-2018-4221: Damian Poddebniak de la Universidad de Ciencias Aplicadas de Münster, Christian Dresen de la Universidad de Ciencias Aplicadas de Münster, Jens Müller de la Universidad Ruhr de Bochum, Fabian Ising de la Universidad de Ciencias Aplicadas de Münster, Sebastian Schinzel de la Universidad de Ciencias Aplicadas de Münster, Simon Friedberger de KU Leuven, Juraj Somorovsky de la Universidad Ruhr de Bochum, Jörg Schwenk de la Universidad Ruhr de Bochum
Seguridad
Disponible para: macOS High Sierra 10.13.4
Impacto: un usuario local podría leer un identificador de cuenta persistente
Descripción: se ha solucionado el problema de autorización mejorando la gestión del estado.
CVE-2018-4223: Abraham Masri (@cheesecakeufo)
Seguridad
Disponible para: macOS High Sierra 10.13.4
Impacto: un usuario local podría leer un identificador del dispositivo persistente
Descripción: se ha solucionado el problema de autorización mejorando la gestión del estado.
CVE-2018-4224: Abraham Masri (@cheesecakeufo)
Seguridad
Disponible para: macOS High Sierra 10.13.4
Impacto: un usuario local podría modificar el estado de Llavero
Descripción: se ha solucionado el problema de autorización mejorando la gestión del estado.
CVE-2018-4225: Abraham Masri (@cheesecakeufo)
Seguridad
Disponible para: macOS High Sierra 10.13.4
Impacto: un usuario local podría ser capaz de ver información confidencial de los usuarios
Descripción: se ha solucionado el problema de autorización mejorando la gestión del estado.
CVE-2018-4226: Abraham Masri (@cheesecakeufo)
Habla
Disponible para: macOS High Sierra 10.13.4
Impacto: un proceso aislado podría ser capaz de eludir las restricciones de la zona protegida
Descripción: había un problema de zona protegida en la gestión del acceso al micrófono. Se ha solucionado el problema mejorando la gestión del acceso al micrófono.
CVE-2018-4184: Jakob Rieck (@0xdead10cc) de seguridad en Distributed Systems Group, Universidad de Hamburgo
UIKit
Disponible para: macOS High Sierra 10.13.4
Impacto: el procesamiento de un archivo de texto creado con fines malintencionados podría originar la denegación del servicio
Descripción: había un problema de validación en la gestión del texto. Este problema se ha solucionado mejorando la validación del texto.
CVE-2018-4198: Hunter Byrnes
Windows Server
Disponible para: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.4
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de sistema
Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.
CVE-2018-4193: Markus Gaasedelen, Amy Burnett y Patrick Biernat de Ret2 Systems, Inc en colaboración con Zero Day Initiative de Trend Micro, Richard Zhu (fluorescence) en colaboración con Zero Day Initiative de Trend Micro
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.