Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
macOS Monterey 12.5
Publicado el 20 de julio de 2022
AMD
Disponible para: macOS Monterey
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.
CVE-2022-42858: ABC Research s.r.o.
Entrada añadida el 11 de mayo de 2023
APFS
Disponible para: macOS Monterey
Impacto: una app con privilegios de raíz podría ser capaz de ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2022-32832: Tommy Muir (@Muirey03)
AppleAVD
Disponible para: macOS Monterey
Impacto: un usuario remoto podría causar la ejecución de código del núcleo.
Descripción: se ha solucionado un desbordamiento de búfer mejorando la comprobación de límites.
CVE-2022-32788: Natalie Silvanovich de Google Project Zero
Entrada añadida el 16 de septiembre de 2022
AppleMobileFileIntegrity
Disponible para: macOS Monterey
Impacto: una app podría acceder a datos confidenciales de los usuarios.
Descripción: este problema se ha solucionado habilitando el tiempo de ejecución reforzado.
CVE-2022-32880: Wojciech Reguła (@_r3ggi) de SecuRing, Mickey Jin (@patch1t) de Trend Micro, Csaba Fitzl (@theevilbit) de Offensive Security
Entrada añadida el 16 de septiembre de 2022
AppleMobileFileIntegrity
Disponible para: macOS Monterey
Impacto: una app podría obtener privilegios de raíz.
Descripción: se ha solucionado el problema de autorización mejorando la gestión del estado.
CVE-2022-32826: Mickey Jin (@patch1t) de Trend Micro
Apple Neural Engine
Disponible para: macOS Monterey
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un desbordamiento de enteros mediante la mejora de la validación de las entradas.
CVE-2022-42805: Mohamed Ghannam (@_simo36)
Entrada añadida el 9 de noviembre de 2022
Apple Neural Engine
Disponible para: macOS Monterey
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.
CVE-2022-32948: Mohamed Ghannam (@_simo36)
Entrada añadida el 9 de noviembre de 2022
Apple Neural Engine
Disponible para: macOS Monterey
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2022-32810: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Disponible para: macOS Monterey
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2022-32840: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Disponible para: macOS Monterey
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado una lectura fuera de los límites mediante la mejora de la comprobación de límites.
CVE-2022-32845: Mohamed Ghannam (@_simo36)
Entrada actualizada el 9 de noviembre de 2022
AppleScript
Disponible para: macOS Monterey
Impacto: el procesamiento de un AppleScript creado con fines maliciosos podría provocar el cierre inesperado de la o la divulgación de la memoria del proceso.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.
CVE-2022-48578: Mickey Jin (@patch1t)
Entrada añadida el 31 de octubre de 2023
AppleScript
Disponible para: macOS Monterey
Impacto: el procesamiento de un binario AppleScript creado con fines maliciosos podría provocar el cierre inesperado o la divulgación de la memoria del proceso.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2022-32797: Mickey Jin (@patch1t), Ye Zhang (@co0py_Cat) de Baidu Security, Mickey Jin (@patch1t) de Trend Micro
AppleScript
Disponible para: macOS Monterey
Impacto: el procesamiento de un binario AppleScript creado con fines maliciosos podría provocar el cierre inesperado o la divulgación de la memoria del proceso.
Descripción: se ha solucionado un problema de lectura fuera de los límites al mejorar la validación de las entradas.
CVE-2022-32851: Ye Zhang (@co0py_Cat) de Baidu Security
CVE-2022-32852: Ye Zhang (@co0py_Cat) de Baidu Security
CVE-2022-32853: Ye Zhang (@co0py_Cat) de Baidu Security
AppleScript
Disponible para: macOS Monterey
Impacto: el procesamiento de un binario AppleScript creado con fines maliciosos podría provocar el cierre inesperado o la divulgación de la memoria del proceso.
Descripción: se ha solucionado un problema de lectura fuera de los límites al mejorar la comprobación de los límites.
CVE-2022-32831: Ye Zhang (@co0py_Cat) de Baidu Security
Archive Utility
Disponible para: macOS Monterey
Impacto: un archivo puede ser capaz de eludir Gatekeeper.
Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.
CVE-2022-32910: Ferdous Saljooki (@malwarezoo) de Jamf Software
Entrada añadida el 4 de octubre de 2022
Audio
Disponible para: macOS Monterey
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de escritura fuera de los límites al mejorar la validación de las entradas.
CVE-2022-32820: un investigador anónimo
Audio
Disponible para: macOS Monterey
Impacto: una app podría divulgar datos de la memoria de kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2022-32825: John Aakerblom (@jaakerblom)
Automation
Disponible para: macOS Monterey
Impacto: una app creada podría evitar las preferencias de privacidad.
Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.
CVE-2022-32789: Zhipeng Huo (@R3dF09) de Tencent Security Xuanwu Lab
Calendar
Disponible para: macOS Monterey
Impacto: una app podría acceder a la información confidencial del usuario.
Descripción: el problema se ha solucionado mediante la mejora de la gestión de las cachés.
CVE-2022-32805: Csaba Fitzl (@theevilbit) de Offensive Security
CoreMedia
Disponible para: macOS Monterey
Impacto: una app podría divulgar datos de la memoria de kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2022-32828: Antonio Zekic (@antoniozekic) y John Aakerblom (@jaakerblom)
CoreText
Disponible para: macOS Monterey
Impacto: un usuario remoto podría hacer que una app se cierre de forma inesperada o se ejecute código arbitrario.
Descripción: el problema se ha solucionado mediante la mejora de la comprobación de límites.
CVE-2022-32839: Daniel Lim Wee Soong de STAR Labs
Entrada actualizada el 31 de octubre de 2023
File System Events
Disponible para: macOS Monterey
Impacto: una app podría obtener privilegios de raíz.
Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.
CVE-2022-32819: Joshua Mason de Mandiant
GPU Drivers
Disponible para: macOS Monterey
Impacto: una app podría divulgar datos de la memoria de kernel.
Descripción: se han solucionado varios problemas de escritura fuera de límites mediante la mejora de la comprobación de límites.
CVE-2022-32793: un investigador anónimo
GPU Drivers
Disponible para: macOS Monterey
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de memoria mejorando la validación.
CVE-2022-32821: John Aakerblom (@jaakerblom)
iCloud Photo Library
Disponible para: macOS Monterey
Impacto: una app podría acceder a la información confidencial del usuario.
Descripción: se ha solucionado un problema de divulgación de información eliminando el código vulnerable.
CVE-2022-32849: Joshua Jones
ICU
Disponible para: macOS Monterey
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.
CVE-2022-32787: Dohyun Lee (@l33d0hyun) de SSD Secure Disclosure Labs y DNSLab, Univ. de Corea
ImageIO
Disponible para: macOS Monterey
Impacto: procesar un archivo tiff creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de memoria mejorando la validación.
CVE-2022-32897: Mickey Jin (@patch1t) de Trend Micro
Entrada añadida el 31 de octubre de 2023
ImageIO
Disponible para: macOS Monterey
Impacto: procesar un archivo creado con fines malintencionados podría provocar la ejecución de código arbitrario.
Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.
CVE-2022-32802: Ivan Fratric de Google Project Zero, Mickey Jin (@patch1t)
Entrada añadida el 16 de septiembre de 2022
ImageIO
Disponible para: macOS Monterey
Impacto: procesar una imagen creada con fines malintencionados podría provocar la revelación de la memoria de procesos.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2022-32841: hjy79425575
ImageIO
Disponible para: macOS Monterey
Impacto: procesar una imagen podría provocar una denegación de servicio.
Descripción: se ha solucionado una falta de referencia a un puntero nulo mediante la mejora de la validación.
CVE-2022-32785: Yiğit Can YILMAZ (@yilmazcanyigit)
Intel Graphics Driver
Disponible para: macOS Monterey
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado una vulnerabilidad de corrupción de la memoria mejorando el bloqueo.
CVE-2022-32811: ABC Research s.r.o
Intel Graphics Driver
Disponible para: macOS Monterey
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2022-32812: Yinyi Wu (@3ndy1), ABC Research s.r.o.
JavaScriptCore
Disponible para: macOS Monterey
Impacto: procesar contenido web puede provocar la ejecución de código arbitrario
Descripción: el problema se ha solucionado mediante la mejora de la comprobación de límites.
WebKit Bugzilla: 241931
CVE-2022-48503: Dongzhuo Zhao en colaboración con ADLab de Venustech, y ZhaoHai de Cyberpeace Tech Co., Ltd.
Entrada añadida el 21 de junio de 2023
Kernel
Disponible para: macOS Monterey
Impacto: una app con privilegios de raíz podría ser capaz de ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2022-32813: Xinru Chi de Pangu Lab
CVE-2022-32815: Xinru Chi de Pangu Lab
Kernel
Disponible para: macOS Monterey
Impacto: una app podría divulgar datos de la memoria de kernel.
Descripción: se ha solucionado un problema de lectura fuera de los límites al mejorar la comprobación de los límites.
CVE-2022-32817: Xinru Chi de Pangu Lab
Kernel
Disponible para: macOS Monterey
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2022-32829: Tingting Yin de la Universidad Tsinghua y Min Zheng de Ant Group
Entrada actualizada el 16 de septiembre de 2022
Liblouis
Disponible para: macOS Monterey
Impacto: una app podría hacer que una app se cierre de forma inesperada o se ejecute código arbitrario.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2022-26981: Hexhive (hexhive.epfl.ch), NCNIPC de China continental (nipc.org.cn)
libxml2
Disponible para: macOS Monterey
Impacto: una app podría filtrar información confidencial del usuario.
Descripción: se ha solucionado un problema de inicialización de memoria mejorando la gestión de la memoria.
CVE-2022-32823
Multi-Touch
Disponible para: macOS Monterey
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de confusión de tipo mejorando la gestión del estado.
CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)
PackageKit
Disponible para: macOS Monterey
Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.
Descripción: se ha solucionado un problema en la gestión de variables de entorno mediante la mejora de la validación.
CVE-2022-32786: Mickey Jin (@patch1t)
PackageKit
Disponible para: macOS Monterey
Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2022-32800: Mickey Jin (@patch1t)
PluginKit
Disponible para: macOS Monterey
Impacto: una app podría leer archivos arbitrarios.
Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.
CVE-2022-32838: Mickey Jin (@patch1t) de Trend Micro
PS Normalizer
Disponible para: macOS Monterey
Impacto: el procesamiento de un binario Postscript creado con fines maliciosos podría provocar el cierre inesperado de la app o la divulgación de la memoria del proceso.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.
CVE-2022-32843: Kai Lu de Zscaler's ThreatLabz
Safari
Disponible para: macOS Monterey
Impacto: procesar contenidos web podría revelar información confidencial.
Descripción: se ha solucionado un problema de fuerza bruta mediante la mejora de la gestión del estado.
CVE-2022-46708: investigador anónimo
Entrada añadida el 31 de octubre de 2023
SMB
Disponible para: macOS Monterey
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
CVE-2022-32796: Sreejith Krishnan R (@skr0x1c0)
SMB
Disponible para: macOS Monterey
Impacto: una app podría obtener privilegios de alto nivel.
Descripción: se ha solucionado un problema de lectura fuera de los límites al mejorar la validación de las entradas.
CVE-2022-32842: Sreejith Krishnan R (@skr0x1c0)
SMB
Disponible para: macOS Monterey
Impacto: una app podría obtener privilegios de alto nivel.
Descripción: se ha solucionado un problema de escritura fuera de los límites al mejorar la validación de las entradas.
CVE-2022-32798: Sreejith Krishnan R (@skr0x1c0)
SMB
Disponible para: macOS Monterey
Impacto: un usuario que se encontrase en una posición de red privilegiada podría filtrar información confidencial.
Descripción: se ha solucionado un problema de lectura fuera de los límites al mejorar la comprobación de los límites.
CVE-2022-32799: Sreejith Krishnan R (@skr0x1c0)
SMB
Disponible para: macOS Monterey
Impacto: una app podría filtrar información confidencial sobre el estado del kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2022-32818: Sreejith Krishnan R (@skr0x1c0)
Software Update
Disponible para: macOS Monterey
Impacto: un usuario con una posición de red con privilegios puede rastrear la actividad de un usuario.
Descripción: este problema se ha solucionado mediante el uso de HTTPS al enviar información a través de la red.
CVE-2022-32857: Jeffrey Paul (sneak.berlin)
Spindump
Disponible para: macOS Monterey
Impacto: una app podría sobrescribir archivos arbitrarios.
Descripción: este problema se ha solucionado mejorando la gestión de archivos.
CVE-2022-32807: Zhipeng Huo (@R3dF09) de Tencent Security Xuanwu Lab
Spotlight
Disponible para: macOS Monterey
Impacto: una app podría obtener privilegios de raíz.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2022-32801: Joshua Mason (@josh@jhu.edu)
Subversion
Disponible para: macOS Monterey
Impacto: varios problemas en la subversión.
Descripción: se han solucionado varios problemas mediante la actualización de la subversión.
CVE-2021-28544: Evgeny Kotkov, visualsvn.com
CVE-2022-24070: Evgeny Kotkov, visualsvn.com
CVE-2022-29046: Evgeny Kotkov, visualsvn.com
CVE-2022-29048: Evgeny Kotkov, visualsvn.com
TCC
Disponible para: macOS Monterey
Impacto: una app podría acceder a la información confidencial del usuario.
Descripción: se ha solucionado un problema de acceso mediante la mejora de la zona restringida.
CVE-2022-32834: Xuxiang Yang (@another1024) de Tencent Security Xuanwu Lab (xlab.tencent.com), Gordon Long, Thijs Alkemade (@xnyhps) de Computest Sector 7, Adam Chester de TrustedSec, Yuebin Sun (@yuebinsun2020) de Tencent Security Xuanwu Lab (xlab.tencent.com), Zhipeng Huo (@R3dF09) de Tencent Security Xuanwu Lab (xlab.tencent.com)
Entrada actualizada el 16 de septiembre de 2022 y el 11 de mayo de 2023
WebKit
Disponible para: macOS Monterey
Impacto: un sitio web puede ser capaz de rastrear los sitios web que un usuario visitó en el modo de navegación privada de Safari.
Descripción: se ha solucionado un problema de divulgación de información eliminando el código vulnerable.
WebKit Bugzilla: 239547
CVE-2022-32933: Binoy Chitale, estudiante de máster, Universidad de Stony Brook, Nick Nikiforakis, profesor asociado, Universidad de Stony Brook, Jason Polakis, profesor asociado, Universidad de Illinois en Chicago, Mir Masood Ali, estudiante de doctorado, Universidad de Illinois en Chicago, Chris Kanich, profesor asociado, Universidad de Illinois en Chicago, y Mohammad Ghasemisharif, candidato a doctorado, Universidad de Illinois en Chicago
Entrada añadida el 31 de octubre de 2023
WebKit
Disponible para: macOS Monterey
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de memoria mejorando la validación.
WebKit Bugzilla: 241526
CVE-2022-32885: P1umer(@p1umer) y Q1IQ(@q1iqF)
Entrada añadida el 11 de mayo de 2023
WebKit
Disponible para: macOS Monterey
Impacto: un usuario podría ser rastreado a través de su dirección IP.
Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.
WebKit Bugzilla: 237296
CVE-2022-32861: Matthias Keller (m-keller.com)
Entrada añadida el 16 de septiembre de 2022 y actualizada el 31 de octubre de 2023
WebKit
Disponible para: macOS Monterey
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
CVE-2022-32863: P1umer(@p1umer), afang(@afang5472) y xmzyshypnc(@xmzyshypnc1)
Entrada añadida el 16 de septiembre de 2022 y actualizada el 31 de octubre de 2023
WebKit
Disponible para: macOS Monterey
Impacto: visitar un sitio web que incluye contenido malintencionado podría provocar la suplantación de la interfaz del usuario.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la interfaz de usuario.
WebKit Bugzilla: 239316
CVE-2022-32816: Dohyun Lee (@l33d0hyun) de SSD Secure Disclosure Labs y DNSLab, Univ. de Corea
WebKit
Disponible para: macOS Monterey
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de escritura fuera de los límites al mejorar la validación de las entradas.
WebKit Bugzilla: 240720
CVE-2022-32792: Manfred Paul (@_manfp) en colaboración con Zero Day Initiative de Trend Micro
WebRTC
Disponible para: macOS Monterey
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
WebKit Bugzilla: 242339
CVE-2022-2294: Jan Vojtesek del equipo Avast Threat Intelligence
Wi-Fi
Disponible para: macOS Monterey
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la validación de las entradas.
CVE-2022-32860: Wang Yu de Cyberserval
Entrada añadida el 9 de noviembre de 2022
Wi-Fi
Disponible para: macOS Monterey
Impacto: una app podría provocar el cierre inesperado del sistema o la escritura de la memoria del kernel.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2022-32837: Wang Yu, de Cyberserval
Wi-Fi
Disponible para: macOS Monterey
Impacto: un usuario remoto podría provocar el cierre inesperado del sistema o dañar la memoria del kernel.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2022-32847: Wang Yu, de Cyberserval
Windows Server
Disponible para: macOS Monterey
Impacto: una app podría capturar la pantalla de un usuario.
Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.
CVE-2022-32848: Jeremy Legendre de MacEnhance
Otros agradecimientos
802.1X
Queremos dar las gracias a Shin Sun de la Universidad Nacional de Taiwán por su ayuda.
AppleMobileFileIntegrity
Queremos dar las gracias a Csaba Fitzl (@theevilbit) de Offensive Security, a Mickey Jin (@patch1t) de Trend Micro y a Wojciech Reguła (@_r3ggi) de SecuRing por su ayuda.
Calendar
Queremos dar las gracias a Joshua Jones por su ayuda.
configd
Queremos dar las gracias a Csaba Fitzl (@theevilbit) de Offensive Security, a Mickey Jin (@patch1t) de Trend Micro y a Wojciech Reguła (@_r3ggi) de SecuRing por su ayuda.
DiskArbitration
Nos gustaría dar las gracias por su ayuda a Mike Cush y a un investigador anónimo.
Entrada actualizada el 31 de octubre de 2023