Acerca del contenido de seguridad de macOS Mojave 10.14.2, Actualización de seguridad 2018-003 High Sierra y Actualización de seguridad 2018-006 Sierra

Este documento describe el contenido de seguridad de macOS Mojave 10.14.2, Actualización de seguridad 2018-003 High Sierra y Actualización de seguridad 2018-006 Sierra.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple. Las comunicaciones con Apple se pueden cifrar mediante la clave PGP de seguridad de los productos Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.

macOS Mojave 10.14.2, Actualización de seguridad 2018-003 High Sierra, Actualización de seguridad 2018-006 Sierra

Publicado el 5 de diciembre de 2018

AirPort

Disponible para: macOS Mojave 10.14.1

Impacto: una aplicación maliciosa podría elevar los privilegios

Descripción: se ha solucionado un problema de confusión de tipo mejorando la gestión de la memoria.

CVE-2018-4303: Mohamed Ghannam (@_simo36)

Entrada actualizada el 21 de diciembre de 2018

AMD

Disponible para: macOS Sierra 10.12.6, macOS Mojave 10.14.1, macOS High Sierra 10.13.6

Impacto: una aplicación podría leer la memoria restringida

Descripción: se ha solucionado un problema de validación mejorando el saneamiento de entrada.

CVE-2018-4462: cocoahuke, Lilang Wu y Moony Li del TrendMicro Mobile Security Research Team en colaboración con la Zero Day Initiative de Trend Micro

Entrada actualizada el 21 de diciembre de 2018

Núcleo de carbono

Disponible para: macOS Mojave 10.14.1

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de sistema

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2018-4463: Maksymilian Arciemowicz (cxsecurity.com)

Imágenes de disco

Disponible para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 y macOS Mojave 10.14.1

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2018-4465: Pangu Team

Hypervisor

Disponible para: macOS Mojave 10.14.1

Impacto: una aplicación maliciosa podría elevar los privilegios

Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.

CVE-2018-4467: Martim Carbone, David Vernet, Sam Scalise y Fred Jacobs de Virtual Machine Monitor Group de VMware, Inc.

Entrada añadida el 22 de enero de 2019

Driver de gráficos Intel

Disponible para: macOS Mojave 10.14.1

Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema

Descripción: se ha solucionado un problema de consumo de memoria mejorando la gestión de la memoria.

CVE-2018-4452: Liu Long de Qihoo 360 Vulcan Team

Entrada añadida el 22 de enero de 2019

Driver de gráficos Intel

Disponible para: macOS Mojave 10.14.1

Impacto: un usuario local podría ser capaz de provocar el cierre inesperado del sistema o leer la memoria del kernel

Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.

CVE-2018-4434: Zhuo Liang de Qihoo 360 Nirvan Team

Driver de gráficos Intel

Disponible para: macOS Sierra 10.12.6

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de sistema

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2018-4456: Tyler Bohan de Cisco Talos

Entrada añadida el 21 de diciembre de 2018 y actualizada el 22 de enero de 2019

Driver de gráficos Intel

Disponible para: macOS Sierra 10.12.6 y macOS High Sierra 10.13.6

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un problema de inicialización de memoria mejorando la gestión de la memoria.

CVE-2018-4421: Tyler Bohan de Cisco Talos

Entrada añadida el 21 de diciembre de 2018

IOHIDFamily

Disponible para: macOS Sierra 10.12.6 y macOS High Sierra 10.13.6

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2018-4427: Pangu Team

Kernel

Disponible para: macOS Mojave 10.14.1, macOS High Sierra 10.13.6

Impacto: un usuario local podría leer la memoria de kernel

Descripción: se ha solucionado un problema de inicialización de memoria mejorando la gestión de la memoria.

CVE-2018-4431: un investigador de seguridad independiente ha informado acerca de esta vulnerabilidad al programa Secure Disclosure de SecuriTeam de Beyond Security

CVE-2018-4448: Brandon Azad

Entrada añadida el 24 de junio de 2019

Kernel

Disponible para: macOS Mojave 10.14.1

Impacto: un atacante en una posición privilegiada podría realizar un ataque de denegación de servicio

Descripción: se ha solucionado un problema de denegación de servicio eliminando el código vulnerable.

CVE-2018-4460: Kevin Backhouse del Semmle Security Research Team

Kernel

Disponible para: macOS High Sierra 10.13.6 y macOS Mojave 10.14.1

Impacto: un usuario local podría leer la memoria de kernel

Descripción: se ha solucionado un problema de inicialización de memoria mejorando la gestión de la memoria.

CVE-2018-4431: un investigador de seguridad independiente ha informado acerca de esta vulnerabilidad al programa Secure Disclosure de SecuriTeam de Beyond Security

Kernel

Disponible para: macOS Sierra 10.12.6, macOS Mojave 10.14.1, macOS High Sierra 10.13.6

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.

CVE-2018-4447: Juwei Lin(@panicaII) y Zhengyu Dong del TrendMicro Mobile Security Team en colaboración con la Zero Day Initiative de Trend Micro

Entrada actualizada el 18 de diciembre de 2018

Kernel

Disponible para: macOS Sierra 10.12.6, macOS Mojave 10.14.1, macOS High Sierra 10.13.6

Impacto: una aplicación maliciosa podría elevar los privilegios

Descripción: se ha solucionado un problema de lógica mejorando las restricciones.

CVE-2018-4435: Jann Horn de Google Project Zero, Juwei Lin(@panicaII) y Junzhi Lu del TrendMicro Mobile Security Team en colaboración con la Zero Day Initiative de Trend Micro

Entrada actualizada el 18 de diciembre de 2018

Kernel

Disponible para: macOS Mojave 10.14.1

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.

CVE-2018-4461: Ian Beer de Google Project Zero

WindowServer

Disponible para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 y macOS Mojave 10.14.1

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de sistema

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2018-4449: Hanqing Zhao, Yufeng Ruan y Kun Yang de Chaitin Security Research Lab

CVE-2018-4450: Hanqing Zhao, Yufeng Ruan y Kun Yang de Chaitin Security Research Lab

Otros agradecimientos

LibreSSL

Nos gustaría expresar nuestro agradecimiento a Keegan Ryan de NCC Group por su ayuda.

NetAuth

Nos gustaría expresar nuestro agradecimiento a Vladimir Ivanov de Digital Security por su ayuda.

Protocolo SCEP (Simple Certificate Enrollment Protocol)

Nos gustaría mostrar nuestro agradecimiento a Tim Cappalli de Aruba y a una empresa de Hewlett Packard Enterprise por su ayuda.

Time Machine

Queremos mostrar nuestro agradecimiento por su ayuda a Matthew Thomas de Verisign.

Entrada añadida el 22 de enero de 2019

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se proporciona sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, rendimiento o uso de sitios web o productos de terceros. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Ponte en contacto con el proveedor para obtener información adicional. Otros nombres de empresas o productos pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: