Acerca del contenido de seguridad de macOS Mojave 10.14.2, Actualización de seguridad 2018-003 High Sierra y Actualización de seguridad 2018-006 Sierra
Este documento describe el contenido de seguridad de macOS Mojave 10.14.2, Actualización de seguridad 2018-003 High Sierra y Actualización de seguridad 2018-006 Sierra.
Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple. Las comunicaciones con Apple se pueden cifrar mediante la clave PGP de seguridad de los productos Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.
macOS Mojave 10.14.2, Actualización de seguridad 2018-003 High Sierra, Actualización de seguridad 2018-006 Sierra
AirPort
Disponible para: macOS Mojave 10.14.1
Impacto: una aplicación maliciosa podría elevar los privilegios
Descripción: se ha solucionado un problema de confusión de tipo mejorando la gestión de la memoria.
CVE-2018-4303: Mohamed Ghannam (@_simo36)
AMD
Disponible para: macOS Sierra 10.12.6, macOS Mojave 10.14.1, macOS High Sierra 10.13.6
Impacto: una aplicación podría leer la memoria restringida
Descripción: se ha solucionado un problema de validación mejorando el saneamiento de entrada.
CVE-2018-4462: cocoahuke, Lilang Wu y Moony Li del TrendMicro Mobile Security Research Team en colaboración con la Zero Day Initiative de Trend Micro
Núcleo de carbono
Disponible para: macOS Mojave 10.14.1
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de sistema
Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.
CVE-2018-4463: Maksymilian Arciemowicz (cxsecurity.com)
Imágenes de disco
Disponible para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 y macOS Mojave 10.14.1
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel
Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.
CVE-2018-4465: Pangu Team
Hypervisor
Disponible para: macOS Mojave 10.14.1
Impacto: una aplicación maliciosa podría elevar los privilegios
Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
CVE-2018-4467: Martim Carbone, David Vernet, Sam Scalise y Fred Jacobs de Virtual Machine Monitor Group de VMware, Inc.
Driver de gráficos Intel
Disponible para: macOS Mojave 10.14.1
Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema
Descripción: se ha solucionado un problema de consumo de memoria mejorando la gestión de la memoria.
CVE-2018-4452: Liu Long de Qihoo 360 Vulcan Team
Driver de gráficos Intel
Disponible para: macOS Mojave 10.14.1
Impacto: un usuario local podría ser capaz de provocar el cierre inesperado del sistema o leer la memoria del kernel
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2018-4434: Zhuo Liang de Qihoo 360 Nirvan Team
Driver de gráficos Intel
Disponible para: macOS Sierra 10.12.6
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de sistema
Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.
CVE-2018-4456: Tyler Bohan de Cisco Talos
Driver de gráficos Intel
Disponible para: macOS Sierra 10.12.6 y macOS High Sierra 10.13.6
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel
Descripción: se ha solucionado un problema de inicialización de memoria mejorando la gestión de la memoria.
CVE-2018-4421: Tyler Bohan de Cisco Talos
IOHIDFamily
Disponible para: macOS Sierra 10.12.6 y macOS High Sierra 10.13.6
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel
Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.
CVE-2018-4427: Pangu Team
Kernel
Disponible para: macOS Mojave 10.14.1, macOS High Sierra 10.13.6
Impacto: un usuario local podría leer la memoria de kernel
Descripción: se ha solucionado un problema de inicialización de memoria mejorando la gestión de la memoria.
CVE-2018-4431: un investigador de seguridad independiente ha informado acerca de esta vulnerabilidad al programa Secure Disclosure de SecuriTeam de Beyond Security
CVE-2018-4448: Brandon Azad
Kernel
Disponible para: macOS Mojave 10.14.1
Impacto: un atacante en una posición privilegiada podría realizar un ataque de denegación de servicio
Descripción: se ha solucionado un problema de denegación de servicio eliminando el código vulnerable.
CVE-2018-4460: Kevin Backhouse del Semmle Security Research Team
Kernel
Disponible para: macOS High Sierra 10.13.6 y macOS Mojave 10.14.1
Impacto: un usuario local podría leer la memoria de kernel
Descripción: se ha solucionado un problema de inicialización de memoria mejorando la gestión de la memoria.
CVE-2018-4431: un investigador de seguridad independiente ha informado acerca de esta vulnerabilidad al programa Secure Disclosure de SecuriTeam de Beyond Security
Kernel
Disponible para: macOS Sierra 10.12.6, macOS Mojave 10.14.1, macOS High Sierra 10.13.6
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel
Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
CVE-2018-4447: Juwei Lin(@panicaII) y Zhengyu Dong del TrendMicro Mobile Security Team en colaboración con la Zero Day Initiative de Trend Micro
Kernel
Disponible para: macOS Sierra 10.12.6, macOS Mojave 10.14.1, macOS High Sierra 10.13.6
Impacto: una aplicación maliciosa podría elevar los privilegios
Descripción: se ha solucionado un problema de lógica mejorando las restricciones.
CVE-2018-4435: Jann Horn de Google Project Zero, Juwei Lin(@panicaII) y Junzhi Lu del TrendMicro Mobile Security Team en colaboración con la Zero Day Initiative de Trend Micro
Kernel
Disponible para: macOS Mojave 10.14.1
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel
Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.
CVE-2018-4461: Ian Beer de Google Project Zero
WindowServer
Disponible para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 y macOS Mojave 10.14.1
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de sistema
Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.
CVE-2018-4449: Hanqing Zhao, Yufeng Ruan y Kun Yang de Chaitin Security Research Lab
CVE-2018-4450: Hanqing Zhao, Yufeng Ruan y Kun Yang de Chaitin Security Research Lab
Otros agradecimientos
LibreSSL
Nos gustaría expresar nuestro agradecimiento a Keegan Ryan de NCC Group por su ayuda.
NetAuth
Nos gustaría expresar nuestro agradecimiento a Vladimir Ivanov de Digital Security por su ayuda.
Protocolo SCEP (Simple Certificate Enrollment Protocol)
Nos gustaría mostrar nuestro agradecimiento a Tim Cappalli de Aruba y a una empresa de Hewlett Packard Enterprise por su ayuda.
Time Machine
Queremos mostrar nuestro agradecimiento por su ayuda a Matthew Thomas de Verisign.
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.