Acerca del contenido de seguridad de macOS Catalina 10.15.1, Actualización de seguridad 2019-001 y Actualización de seguridad 2019-006

Este documento describe el contenido de seguridad de macOS Catalina 10.15.1, Actualización de seguridad 2019-001 y Actualización de seguridad 2019-006.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

macOS Catalina 10.15.1, Actualización de seguridad 2019-001, Actualización de seguridad 2019-006

Publicado el 29 de octubre de 2019

Cuentas

Disponible para: macOS Catalina 10.15

Impacto: un atacante remoto podría filtrar memoria.

Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.

CVE-2019-8787: Steffen Klee de Secure Mobile Networking Lab en Technische Universität Darmstadt

App Store

Disponible para: macOS Catalina 10.15

Impacto: un atacante local podría iniciar sesión en la cuenta de un usuario que haya iniciado sesión previamente sin credenciales válidas.

Descripción: se ha solucionado el problema de autenticación mejorando la gestión del estado.

CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)

AppleGraphicsControl

Disponible para: macOS Catalina 10.15

Impacto: una aplicación podría leer la memoria restringida

Descripción: se ha solucionado un problema de validación mejorando el saneamiento de entrada.

CVE-2019-8817: Arash Tohidi

AppleGraphicsControl

Disponible para: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de sistema

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2019-8716: Zhiyi Zhang de Codesafe Team of Legendsec en Qi'anxin Group, Zhuo Liang de Qihoo 360 Vulcan Team

Dominios asociados

Disponible para: macOS Catalina 10.15

Impacto: un procesamiento inadecuado de URL podría producir la filtración de datos

Descripción: existía un problema en el análisis de las URL. Se ha solucionado el problema mejorando la validación de las entradas.

CVE-2019-8788: Juha Lindstedt de Pakastin, Mirko Tanania, Rauli Rikama de Zero Keyboard Ltd

Audio

Disponible para: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Impacto: el procesamiento de un archivo de audio creado con fines malintencionados podría provocar la ejecución arbitraria de código

Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.

CVE-2019-8706: Yu Zhou de Ant-financial Light-Year Security Lab

Audio

Disponible para: macOS High Sierra 10.13.6, macOS Catalina 10.15

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de sistema

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2019-8785: Ian Beer de Google Project Zero

CVE-2019-8797: 08Tc3wBB en colaboración con SSD Secure Disclosure

Libros

Disponible para: macOS Catalina 10.15

Impacto: analizar un archivo de iBooks creado con fines malintencionados podría provocar la revelación de la información de los usuarios

Descripción: había un problema de validación en la gestión de los enlaces simbólicos. Se ha resuelto este problema con la mejora de la validación de los enlaces simbólicos.

CVE-2019-8789: Gertjan Franken de imec-DistriNet, KU Leuven

Contactos

Disponible para: macOS Catalina 10.15

Impacto: el procesamiento de un contacto creado con fines malintencionados podría provocar la suplantación de la interfaz del usuario

Descripción: se ha solucionado un problema de inconsistencia en la interfaz del usuario mediante la mejora de la gestión del estado.

CVE-2017-7152: Oliver Paukstadt de Thinking Objects GmbH (to.com)

CoreAudio

Disponible para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Impacto: reproducir un archivo creado con fines malintencionados podría provocar la ejecución de código arbitrario

Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.

CVE-2019-8592: riusksk de VulWar Corp en colaboración con Zero Day Initiative de Trend Micro

Entrada añadida el 6 de noviembre de 2019

CUPS

Disponible para: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Impacto: un atacante que se encontrase en una posición de red privilegiada podría filtrar información confidencial de los usuarios

Descripción: se ha solucionado un problema de validación de las entradas mejorando dicha validación.

CVE-2019-8736: Pawel Gocyla de ING Tech Poland (ingtechpoland.com)

CUPS

Disponible para: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Impacto: el procesamiento de una cadena creada con fines maliciosos puede provocar daños en la memoria heap

Descripción: se ha solucionado un problema de consumo de memoria mejorando la gestión de la memoria.

CVE-2019-8767: Stephen Zeisberg

CUPS

Disponible para: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Impacto: un atacante en una posición privilegiada podría realizar un ataque de denegación de servicio

Descripción: se ha solucionado un problema de denegación de servicio mejorando la validación.

CVE-2019-8737: Pawel Gocyla de ING Tech Poland (ingtechpoland.com)

Cuarentena de archivos

Disponible para: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Impacto: una aplicación maliciosa podría elevar los privilegios

Descripción: el problema se ha solucionado eliminando el código vulnerable.

CVE-2019-8509: CodeColorist de Ant-Financial LightYear Labs

Eventos del sistema de archivos

Disponible para: macOS High Sierra 10.13.6, macOS Catalina 10.15

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de sistema

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2019-8798: ABC Research s.r.o. en colaboración con Zero Day Initiative de Trend Micro

Gráficos

Disponible para: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Impacto: procesar un sombreador creado con fines malintencionados podría provocar el cierre inesperado de la aplicación o una ejecución de código arbitraria

Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la validación de las entradas.

CVE-2018-12152: Piotr Bania de Cisco Talos

CVE-2018-12153: Piotr Bania de Cisco Talos

CVE-2018-12154: Piotr Bania de Cisco Talos

Driver de gráficos

Disponible para: macOS Catalina 10.15

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de sistema

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2019-8784: Vasiliy Vasilyev e Ilya Finogeev de Webinar, LLC

Driver de gráficos Intel

Disponible para: macOS Catalina 10.15

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de sistema

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2019-8807: Yu Wang de Didi Research America

IOGraphics

Disponible para: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Impacto: un usuario local podría ser capaz de provocar el cierre inesperado del sistema o leer la memoria del kernel

Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.

CVE-2019-8759: otra persona de 360 Nirvan Team

iTunes

Disponible para: macOS Catalina 10.15

Impacto: ejecutar el instalador de iTunes en un directorio que no es de confianza puede provocar la ejecución de código arbitrario

Descripción: se ha producido un problema de carga de la biblioteca dinámica en la configuración de iTunes. Este problema se ha solucionado mejorando la búsqueda de las rutas.

CVE-2019-8801: Hou JingYi (@hjy79425575) de Qihoo 360 CERT

Kernel

Disponible para: macOS Catalina 10.15

Impacto: una aplicación podría leer la memoria restringida

Descripción: se ha solucionado un problema de validación mejorando el saneamiento de entrada.

CVE-2019-8794: 08Tc3wBB en colaboración con SSD Secure Disclosure

Kernel

Disponible para: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 y macOS Catalina 10.15

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2019-8786: investigador anónimo

Kernel

Disponible para: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Impacto: una aplicación creada con fines malintencionados podría determinar el diseño de la memoria de kernel

Descripción: existía un problema de corrupción de memoria en la gestión de paquetes IPv6. Este problema se ha solucionado mejorando la gestión de la memoria.

CVE-2019-8744: Zhuo Liang de Qihoo 360 Vulcan Team

Kernel

Disponible para: macOS Catalina 10.15

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

Descripción: se trató una vulnerabilidad de corrupción de la memoria mejorando el bloqueo.

CVE-2019-8829: Jann Horn de Google Project Zero

Entrada añadida el 6 de noviembre de 2019

libxml2

Disponible para: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Impacto: varios problemas en libxml2

Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la validación de las entradas.

CVE-2019-8749: detectado por OSS-Fuzz

CVE-2019-8756: detectado por OSS-Fuzz

libxslt

Disponible para: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Impacto: varios problemas en libxslt

Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la validación de las entradas.

CVE-2019-8750: detectado por OSS-Fuzz

manpages

Disponible para: macOS High Sierra 10.13.6, macOS Catalina 10.15

Impacto: una aplicación creada con fines malintencionados podría ser capaz de obtener privilegios de raíz

Descripción: se ha solucionado un problema de validación mejorando la lógica.

CVE-2019-8802: Csaba Fitzl (@theevilbit)

PluginKit

Disponible para: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Impacto: un usuario local puede consultar la existencia de archivos arbitrarios

Descripción: se ha solucionado un problema de lógica mejorando las restricciones.

CVE-2019-8708: investigador anónimo

PluginKit

Disponible para: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de sistema

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2019-8715: investigador anónimo

Extensiones del sistema

Disponible para: macOS Catalina 10.15

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de sistema

Descripción: existía un problema de validación en la verificación de autorizaciones. Este problema se ha solucionado con una validación mejorada de la autorización del proceso.

CVE-2019-8805: Scott Knight (@sdotknight) de VMware Carbon Black TAU

UIFoundation

Disponible para: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Impacto: analizar un archivo de texto creado con fines malintencionados podría provocar la revelación de la información del usuario

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2019-8761: Renee Trisberg de SpectX

Otros agradecimientos

CFNetwork

Queremos dar las gracias por su ayuda a Lily Chen de Google.

Kernel

Queremos dar las gracias por su ayuda a Brandon Azad de Google Project Zero, Daniel Roethlisberger de Swisscom CSIRT y Jann Horn de Google Project Zero.

Entrada actualizada el 6 de noviembre de 2019

libresolv

Queremos dar las gracias por su ayuda a enh de Google.

Postfix

Queremos dar las gracias por su ayuda a Chris Barker de Puppet.

python

Queremos dar las gracias a un investigador anónimo por su ayuda.

VPN

Queremos dar las gracias por su ayuda a Royce Gawron de Second Son Consulting, Inc.

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se proporciona sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, rendimiento o uso de sitios web o productos de terceros. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Ponte en contacto con el proveedor para obtener información adicional. Otros nombres de empresas o productos pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: