Acerca del contenido de seguridad de macOS Catalina 10.15

En este documento se describe el contenido de seguridad de macOS Catalina 10.15.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

macOS Catalina 10.15

Publicado el 7 de octubre de 2019

AMD

Disponible para: MacBook (principios de 2015 y posteriores), MacBook Air (mediados de 2012 y posteriores), MacBook Pro (mediados de 2012 y posteriores), Mac mini (finales de 2012 y posteriores), iMac (finales de 2012 y posteriores), iMac Pro (todos los modelos), Mac Pro (finales de 2013 y posteriores)

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2019-8748: Lilang Wu y Moony Li de TrendMicro Mobile Security Research Team

apache_mod_php

Disponible para: MacBook (principios de 2015 y posteriores), MacBook Air (mediados de 2012 y posteriores), MacBook Pro (mediados de 2012 y posteriores), Mac mini (finales de 2012 y posteriores), iMac (finales de 2012 y posteriores), iMac Pro (todos los modelos), Mac Pro (finales de 2013 y posteriores)

Impacto: varios problemas en PHP

Descripción: se han solucionado varios problemas actualizando a la versión 7.3.8 de PHP.

CVE-2019-11041

CVE-2019-11042

CoreAudio

Disponible para: MacBook (principios de 2015 y posteriores), MacBook Air (mediados de 2012 y posteriores), MacBook Pro (mediados de 2012 y posteriores), Mac mini (finales de 2012 y posteriores), iMac (finales de 2012 y posteriores), iMac Pro (todos los modelos), Mac Pro (finales de 2013 y posteriores)

Impacto: procesar una película creada con fines malintencionados podría provocar la revelación de la memoria de procesos

Descripción: se ha solucionado un problema de memoria mejorando la validación.

CVE-2019-8705: riusksk de VulWar Corp en colaboración con Zero Day Initiative de Trend Micro

Crash Reporter

Disponible para: MacBook (principios de 2015 y posteriores), MacBook Air (mediados de 2012 y posteriores), MacBook Pro (mediados de 2012 y posteriores), Mac mini (finales de 2012 y posteriores), iMac (finales de 2012 y posteriores), iMac Pro (todos los modelos), Mac Pro (finales de 2013 y posteriores)

Impacto: es posible que la opción “Compartir análisis del Mac” no se desactive cuando el usuario deselecciona el botón para compartir análisis

Descripción: existía una condición de carrera al leer y escribir las preferencias del usuario. Este problema se ha solucionado mejorando la gestión del estado.

CVE-2019-8757: William Cerniuk de Core Development, LLC

Driver de gráficos Intel

Disponible para: MacBook (principios de 2015 y posteriores), MacBook Air (mediados de 2012 y posteriores), MacBook Pro (mediados de 2012 y posteriores), Mac mini (finales de 2012 y posteriores), iMac (finales de 2012 y posteriores), iMac Pro (todos los modelos), Mac Pro (finales de 2013 y posteriores)

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de sistema

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2019-8758: Lilang Wu y Moony Li de Trend Micro

IOGraphics

Disponible para: MacBook (principios de 2015 y posteriores), MacBook Air (mediados de 2012 y posteriores), MacBook Pro (mediados de 2012 y posteriores), Mac mini (finales de 2012 y posteriores), iMac (finales de 2012 y posteriores), iMac Pro (todos los modelos), Mac Pro (finales de 2013 y posteriores)

Impacto: una aplicación creada con fines malintencionados podría determinar el diseño de la memoria de kernel

Descripción: se ha solucionado un problema de lógica mejorando las restricciones.

CVE-2019-8755: Lilang Wu y Moony Li de Trend Micro

Kernel

Disponible para: MacBook (principios de 2015 y posteriores), MacBook Air (mediados de 2012 y posteriores), MacBook Pro (mediados de 2012 y posteriores), Mac mini (finales de 2012 y posteriores), iMac (finales de 2012 y posteriores), iMac Pro (todos los modelos), Mac Pro (finales de 2013 y posteriores)

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2019-8717: Jann Horn de Google Project Zero

Kernel

Disponible para: MacBook (principios de 2015 y posteriores), MacBook Air (mediados de 2012 y posteriores), MacBook Pro (mediados de 2012 y posteriores), Mac mini (finales de 2012 y posteriores), iMac (finales de 2012 y posteriores), iMac Pro (todos los modelos), Mac Pro (finales de 2013 y posteriores)

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.

CVE-2019-8781: Linus Henze (pinauten.de)

Notas

Disponible para: MacBook (principios de 2015 y posteriores), MacBook Air (mediados de 2012 y posteriores), MacBook Pro (mediados de 2012 y posteriores), Mac mini (finales de 2012 y posteriores), iMac (finales de 2012 y posteriores), iMac Pro (todos los modelos), Mac Pro (finales de 2013 y posteriores)

Impacto: un usuario local podría ver las notas bloqueadas de un usuario

Descripción: el contenido de las notas bloqueadas a veces aparece en los resultados de búsqueda. Este problema se ha solucionado con una mejora de la limpieza de los datos.

CVE-2019-8730: Jamie Blumberg (@jamie_blumberg) del Instituto Politécnico y Universidad Estatal de Virginia

PDFKit

Disponible para: MacBook (principios de 2015 y posteriores), MacBook Air (mediados de 2012 y posteriores), MacBook Pro (mediados de 2012 y posteriores), Mac mini (finales de 2012 y posteriores), iMac (finales de 2012 y posteriores), iMac Pro (todos los modelos), Mac Pro (finales de 2013 y posteriores)

Impacto: un atacante podría filtrar el contenido de un PDF cifrado

Descripción: existía un problema en la gestión de los enlaces en el PDF cifrado. Este problema se ha solucionando con la incorporación de un cuadro de diálogo de confirmación.

CVE-2019-8772: Jens Müller de la Universidad Ruhr de Bochum, Fabian Ising de la Universidad de Ciencias Aplicadas de Münster, Vladislav Mladenov de la Universidad Ruhr de Bochum, Christian Mainka de la Universidad Ruhr de Bochum, Sebastian Schinzel de Universidad de Ciencias Aplicadas de Münster y Jörg Schwenk of la Universidad Ruhr de Bochum

SharedFileList

Disponible para: MacBook (principios de 2015 y posteriores), MacBook Air (mediados de 2012 y posteriores), MacBook Pro (mediados de 2012 y posteriores), Mac mini (finales de 2012 y posteriores), iMac (finales de 2012 y posteriores), iMac Pro (todos los modelos), Mac Pro (finales de 2013 y posteriores)

Impacto: una aplicación creada con fines malintencionados podría ser capaz de acceder a los documentos recientes

Descripción: el problema se ha solucionado con una mejora de la lógica de los permisos.

CVE-2019-8770: Stanislav Zinukhov de Parallels International GmbH

sips

Disponible para: MacBook (principios de 2015 y posteriores), MacBook Air (mediados de 2012 y posteriores), MacBook Pro (mediados de 2012 y posteriores), Mac mini (finales de 2012 y posteriores), iMac (finales de 2012 y posteriores), iMac Pro (todos los modelos), Mac Pro (finales de 2013 y posteriores)

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de sistema

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2019-8701: Simon Huang(@HuangShaomang), Rong Fan(@fanrong1992) y pjf de IceSword Lab en Qihoo 360

UIFoundation

Disponible para: MacBook (principios de 2015 y posteriores), MacBook Air (mediados de 2012 y posteriores), MacBook Pro (mediados de 2012 y posteriores), Mac mini (finales de 2012 y posteriores), iMac (finales de 2012 y posteriores), iMac Pro (todos los modelos), Mac Pro (finales de 2013 y posteriores)

Impacto: el procesamiento de un archivo de texto creado con fines malintencionados podría provocar la ejecución de código arbitrario

Descripción: se ha solucionado un desbordamiento de búfer con la mejora de la comprobación de límites.

CVE-2019-8745: riusksk de VulWar Corp en colaboración con la Zero Day Initiative de Trend Micro

WebKit

Disponible para: MacBook (principios de 2015 y posteriores), MacBook Air (mediados de 2012 y posteriores), MacBook Pro (mediados de 2012 y posteriores), Mac mini (finales de 2012 y posteriores), iMac (finales de 2012 y posteriores), iMac Pro (todos los modelos), Mac Pro (finales de 2013 y posteriores)

Impacto: visitar un sitio web creado con fines malintencionados podría provocar la revelación del historial de navegación

Descripción: existía un problema en el dibujo de los elementos de la página web. El problema se ha resuelto con una mejora de la lógica.

CVE-2019-8769: Piérre Reimertz (@reimertz)

WebKit

Disponible para: MacBook (principios de 2015 y posteriores), MacBook Air (mediados de 2012 y posteriores), MacBook Pro (mediados de 2012 y posteriores), Mac mini (finales de 2012 y posteriores), iMac (finales de 2012 y posteriores), iMac Pro (todos los modelos), Mac Pro (finales de 2013 y posteriores)

Impacto: un usuario podría no ser capaz de eliminar elementos del historial de navegación

Descripción: “Borrar historial y datos de sitios web” no borraba el historial. Este problema se ha solucionado mejorando la eliminación de los datos.

CVE-2019-8768: Hugo S. Díaz (coldpointblue)

Otros agradecimientos

Finder

Queremos dar las gracias a Csaba Fitzl (@theevilbit) por su ayuda.

Gatekeeper

Queremos dar las gracias a Csaba Fitzl (@theevilbit) por su ayuda.

Importación de datos de Safari

Queremos dar las gracias por su ayuda a Kent Zoya.

Protocolo SCEP (Simple Certificate Enrollment Protocol)

Queremos dar las gracias a un investigador anónimo por su ayuda.

Telefonía

Queremos dar las gracias por su ayuda a Phil Stokes de SentinelOne.

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se proporciona sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, rendimiento o uso de sitios web o productos de terceros. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Ponte en contacto con el proveedor para obtener información adicional. Otros nombres de empresas o productos pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: