Acerca del contenido de seguridad de macOS Monterey 12.5

Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

Publicado el 20 de julio de 2022

AMD

Disponible para: macOS Monterey

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.

CVE-2022-42858: ABC Research s.r.o.

Entrada añadida el 11 de mayo de 2023

APFS

Disponible para: macOS Monterey

Impacto: una app con privilegios de raíz podría ser capaz de ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2022-32832: Tommy Muir (@Muirey03)

AppleAVD

Disponible para: macOS Monterey

Impacto: un usuario remoto podría causar la ejecución de código del núcleo.

Descripción: se ha solucionado un desbordamiento de búfer mejorando la comprobación de límites.

CVE-2022-32788: Natalie Silvanovich de Google Project Zero

Entrada añadida el 16 de septiembre de 2022

AppleMobileFileIntegrity

Disponible para: macOS Monterey

Impacto: una app podría acceder a datos confidenciales de los usuarios.

Descripción: este problema se ha solucionado habilitando el tiempo de ejecución reforzado.

CVE-2022-32880: Wojciech Reguła (@_r3ggi) de SecuRing, Mickey Jin (@patch1t) de Trend Micro, Csaba Fitzl (@theevilbit) de Offensive Security

Entrada añadida el 16 de septiembre de 2022

AppleMobileFileIntegrity

Disponible para: macOS Monterey

Impacto: una app podría obtener privilegios de raíz.

Descripción: se ha solucionado el problema de autorización mejorando la gestión del estado.

CVE-2022-32826: Mickey Jin (@patch1t) de Trend Micro

Apple Neural Engine

Disponible para: macOS Monterey

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado un desbordamiento de enteros mediante la mejora de la validación de las entradas.

CVE-2022-42805: Mohamed Ghannam (@_simo36)

Entrada añadida el 9 de noviembre de 2022

Apple Neural Engine

Disponible para: macOS Monterey

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.

CVE-2022-32948: Mohamed Ghannam (@_simo36)

Entrada añadida el 9 de noviembre de 2022

Apple Neural Engine

Disponible para: macOS Monterey

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2022-32810: Mohamed Ghannam (@_simo36)

Apple Neural Engine

Disponible para: macOS Monterey

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2022-32840: Mohamed Ghannam (@_simo36)

Apple Neural Engine

Disponible para: macOS Monterey

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado una lectura fuera de los límites mediante la mejora de la comprobación de límites.

CVE-2022-32845: Mohamed Ghannam (@_simo36)

Entrada actualizada el 9 de noviembre de 2022

AppleScript

Disponible para: macOS Monterey

Impacto: el procesamiento de un AppleScript creado con fines maliciosos podría provocar el cierre inesperado de la o la divulgación de la memoria del proceso.

Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.

CVE-2022-48578: Mickey Jin (@patch1t)

Entrada añadida el 31 de octubre de 2023

AppleScript

Disponible para: macOS Monterey

Impacto: el procesamiento de un binario AppleScript creado con fines maliciosos podría provocar el cierre inesperado o la divulgación de la memoria del proceso.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2022-32797: Mickey Jin (@patch1t), Ye Zhang (@co0py_Cat) de Baidu Security, Mickey Jin (@patch1t) de Trend Micro

AppleScript

Disponible para: macOS Monterey

Impacto: el procesamiento de un binario AppleScript creado con fines maliciosos podría provocar el cierre inesperado o la divulgación de la memoria del proceso.

Descripción: se ha solucionado un problema de lectura fuera de los límites al mejorar la validación de las entradas.

CVE-2022-32851: Ye Zhang (@co0py_Cat) de Baidu Security

CVE-2022-32852: Ye Zhang (@co0py_Cat) de Baidu Security

CVE-2022-32853: Ye Zhang (@co0py_Cat) de Baidu Security

AppleScript

Disponible para: macOS Monterey

Impacto: el procesamiento de un binario AppleScript creado con fines maliciosos podría provocar el cierre inesperado o la divulgación de la memoria del proceso.

Descripción: se ha solucionado un problema de lectura fuera de los límites al mejorar la comprobación de los límites.

CVE-2022-32831: Ye Zhang (@co0py_Cat) de Baidu Security

Archive Utility

Disponible para: macOS Monterey

Impacto: un archivo puede ser capaz de eludir Gatekeeper.

Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.

CVE-2022-32910: Ferdous Saljooki (@malwarezoo) de Jamf Software

Entrada añadida el 4 de octubre de 2022

Audio

Disponible para: macOS Monterey

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado un problema de escritura fuera de los límites al mejorar la validación de las entradas.

CVE-2022-32820: un investigador anónimo

Audio

Disponible para: macOS Monterey

Impacto: una app podría divulgar datos de la memoria de kernel.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2022-32825: John Aakerblom (@jaakerblom)

Automation

Disponible para: macOS Monterey

Impacto: una app creada podría evitar las preferencias de privacidad.

Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.

CVE-2022-32789: Zhipeng Huo (@R3dF09) de Tencent Security Xuanwu Lab

Calendar

Disponible para: macOS Monterey

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: el problema se ha solucionado mediante la mejora de la gestión de las cachés.

CVE-2022-32805: Csaba Fitzl (@theevilbit) de Offensive Security

CoreMedia

Disponible para: macOS Monterey

Impacto: una app podría divulgar datos de la memoria de kernel.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2022-32828: Antonio Zekic (@antoniozekic) y John Aakerblom (@jaakerblom)

CoreText

Disponible para: macOS Monterey

Impacto: un usuario remoto podría hacer que una app se cierre de forma inesperada o se ejecute código arbitrario.

Descripción: el problema se ha solucionado mediante la mejora de la comprobación de límites.

CVE-2022-32839: Daniel Lim Wee Soong de STAR Labs

Entrada actualizada el 31 de octubre de 2023

File System Events

Disponible para: macOS Monterey

Impacto: una app podría obtener privilegios de raíz.

Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.

CVE-2022-32819: Joshua Mason de Mandiant

GPU Drivers

Disponible para: macOS Monterey

Impacto: una app podría divulgar datos de la memoria de kernel.

Descripción: se han solucionado varios problemas de escritura fuera de límites mediante la mejora de la comprobación de límites.

CVE-2022-32793: un investigador anónimo

GPU Drivers

Disponible para: macOS Monterey

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado un problema de memoria mejorando la validación.

CVE-2022-32821: John Aakerblom (@jaakerblom)

iCloud Photo Library

Disponible para: macOS Monterey

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se ha solucionado un problema de divulgación de información eliminando el código vulnerable.

CVE-2022-32849: Joshua Jones

ICU

Disponible para: macOS Monterey

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.

Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.

CVE-2022-32787: Dohyun Lee (@l33d0hyun) de SSD Secure Disclosure Labs y DNSLab, Univ. de Corea

ImageIO

Disponible para: macOS Monterey

Impacto: procesar un archivo tiff creado con fines malintencionados podría provocar la ejecución arbitraria de código.

Descripción: se ha solucionado un problema de memoria mejorando la validación.

CVE-2022-32897: Mickey Jin (@patch1t) de Trend Micro

Entrada añadida el 31 de octubre de 2023

ImageIO

Disponible para: macOS Monterey

Impacto: procesar un archivo creado con fines malintencionados podría provocar la ejecución de código arbitrario.

Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.

CVE-2022-32802: Ivan Fratric de Google Project Zero, Mickey Jin (@patch1t)

Entrada añadida el 16 de septiembre de 2022

ImageIO

Disponible para: macOS Monterey

Impacto: procesar una imagen creada con fines malintencionados podría provocar la revelación de la memoria de procesos.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2022-32841: hjy79425575

 ImageIO

 Disponible para: macOS Monterey

 Impacto: procesar una imagen podría provocar una denegación de servicio.

 Descripción: se ha solucionado una falta de referencia a un puntero nulo mediante la mejora de la validación.

 CVE-2022-32785: Yiğit Can YILMAZ (@yilmazcanyigit)

Intel Graphics Driver

Disponible para: macOS Monterey

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado una vulnerabilidad de corrupción de la memoria mejorando el bloqueo.

CVE-2022-32811: ABC Research s.r.o

Intel Graphics Driver

Disponible para: macOS Monterey

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2022-32812: Yinyi Wu (@3ndy1), ABC Research s.r.o.

JavaScriptCore

Disponible para: macOS Monterey

Impacto: procesar contenido web puede provocar la ejecución de código arbitrario

Descripción: el problema se ha solucionado mediante la mejora de la comprobación de límites.

WebKit Bugzilla: 241931
CVE-2022-48503: Dongzhuo Zhao en colaboración con ADLab de Venustech, y ZhaoHai de Cyberpeace Tech Co., Ltd.

Entrada añadida el 21 de junio de 2023

Kernel

Disponible para: macOS Monterey

Impacto: una app con privilegios de raíz podría ser capaz de ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2022-32813: Xinru Chi de Pangu Lab

CVE-2022-32815: Xinru Chi de Pangu Lab

Kernel

Disponible para: macOS Monterey

Impacto: una app podría divulgar datos de la memoria de kernel.

Descripción: se ha solucionado un problema de lectura fuera de los límites al mejorar la comprobación de los límites.

CVE-2022-32817: Xinru Chi de Pangu Lab

Kernel

Disponible para: macOS Monterey

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2022-32829: Tingting Yin de la Universidad Tsinghua y Min Zheng de Ant Group

Entrada actualizada el 16 de septiembre de 2022

Liblouis

Disponible para: macOS Monterey

Impacto: una app podría hacer que una app se cierre de forma inesperada o se ejecute código arbitrario.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2022-26981: Hexhive (hexhive.epfl.ch), NCNIPC de China continental (nipc.org.cn)

libxml2

Disponible para: macOS Monterey

Impacto: una app podría filtrar información confidencial del usuario.

Descripción: se ha solucionado un problema de inicialización de memoria mejorando la gestión de la memoria.

CVE-2022-32823

Multi-Touch

Disponible para: macOS Monterey

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado un problema de confusión de tipo mejorando la gestión del estado.

CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)

PackageKit

Disponible para: macOS Monterey

Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.

Descripción: se ha solucionado un problema en la gestión de variables de entorno mediante la mejora de la validación.

CVE-2022-32786: Mickey Jin (@patch1t)

PackageKit

Disponible para: macOS Monterey

Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2022-32800: Mickey Jin (@patch1t)

PluginKit

Disponible para: macOS Monterey

Impacto: una app podría leer archivos arbitrarios.

Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.

CVE-2022-32838: Mickey Jin (@patch1t) de Trend Micro

PS Normalizer

Disponible para: macOS Monterey

Impacto: el procesamiento de un binario Postscript creado con fines maliciosos podría provocar el cierre inesperado de la app o la divulgación de la memoria del proceso.

Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.

CVE-2022-32843: Kai Lu de Zscaler's ThreatLabz

Safari

Disponible para: macOS Monterey

Impacto: procesar contenidos web podría revelar información confidencial.

Descripción: se ha solucionado un problema de fuerza bruta mediante la mejora de la gestión del estado.

CVE-2022-46708: investigador anónimo

Entrada añadida el 31 de octubre de 2023

SMB

Disponible para: macOS Monterey

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.

CVE-2022-32796: Sreejith Krishnan R (@skr0x1c0)

SMB

Disponible para: macOS Monterey

Impacto: una app podría obtener privilegios de alto nivel.

Descripción: se ha solucionado un problema de lectura fuera de los límites al mejorar la validación de las entradas.

CVE-2022-32842: Sreejith Krishnan R (@skr0x1c0)

SMB

Disponible para: macOS Monterey

Impacto: una app podría obtener privilegios de alto nivel.

Descripción: se ha solucionado un problema de escritura fuera de los límites al mejorar la validación de las entradas.

CVE-2022-32798: Sreejith Krishnan R (@skr0x1c0)

SMB

Disponible para: macOS Monterey

Impacto: un usuario que se encontrase en una posición de red privilegiada podría filtrar información confidencial.

Descripción: se ha solucionado un problema de lectura fuera de los límites al mejorar la comprobación de los límites.

CVE-2022-32799: Sreejith Krishnan R (@skr0x1c0)

SMB

Disponible para: macOS Monterey

Impacto: una app podría filtrar información confidencial sobre el estado del kernel.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2022-32818: Sreejith Krishnan R (@skr0x1c0)

Software Update

Disponible para: macOS Monterey

Impacto: un usuario con una posición de red con privilegios puede rastrear la actividad de un usuario.

Descripción: este problema se ha solucionado mediante el uso de HTTPS al enviar información a través de la red.

CVE-2022-32857: Jeffrey Paul (sneak.berlin)

Spindump

Disponible para: macOS Monterey

Impacto: una app podría sobrescribir archivos arbitrarios.

Descripción: este problema se ha solucionado mejorando la gestión de archivos.

CVE-2022-32807: Zhipeng Huo (@R3dF09) de Tencent Security Xuanwu Lab

Spotlight

Disponible para: macOS Monterey

Impacto: una app podría obtener privilegios de raíz.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2022-32801: Joshua Mason (@josh@jhu.edu)

Subversion

Disponible para: macOS Monterey

Impacto: varios problemas en la subversión.

Descripción: se han solucionado varios problemas mediante la actualización de la subversión.

CVE-2021-28544: Evgeny Kotkov, visualsvn.com

CVE-2022-24070: Evgeny Kotkov, visualsvn.com

CVE-2022-29046: Evgeny Kotkov, visualsvn.com

CVE-2022-29048: Evgeny Kotkov, visualsvn.com

TCC

Disponible para: macOS Monterey

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se ha solucionado un problema de acceso mediante la mejora de la zona restringida.

CVE-2022-32834: Xuxiang Yang (@another1024) de Tencent Security Xuanwu Lab (xlab.tencent.com), Gordon Long, Thijs Alkemade (@xnyhps) de Computest Sector 7, Adam Chester de TrustedSec, Yuebin Sun (@yuebinsun2020) de Tencent Security Xuanwu Lab (xlab.tencent.com), Zhipeng Huo (@R3dF09) de Tencent Security Xuanwu Lab (xlab.tencent.com)

Entrada actualizada el 16 de septiembre de 2022 y el 11 de mayo de 2023

WebKit

Disponible para: macOS Monterey

Impacto: un sitio web puede ser capaz de rastrear los sitios web que un usuario visitó en el modo de navegación privada de Safari.

Descripción: se ha solucionado un problema de divulgación de información eliminando el código vulnerable.

WebKit Bugzilla: 239547
CVE-2022-32933: Binoy Chitale, estudiante de máster, Universidad de Stony Brook, Nick Nikiforakis, profesor asociado, Universidad de Stony Brook, Jason Polakis, profesor asociado, Universidad de Illinois en Chicago, Mir Masood Ali, estudiante de doctorado, Universidad de Illinois en Chicago, Chris Kanich, profesor asociado, Universidad de Illinois en Chicago, y Mohammad Ghasemisharif, candidato a doctorado, Universidad de Illinois en Chicago

Entrada añadida el 31 de octubre de 2023

WebKit

Disponible para: macOS Monterey

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.

Descripción: se ha solucionado un problema de memoria mejorando la validación.

WebKit Bugzilla: 241526
CVE-2022-32885: P1umer(@p1umer) y Q1IQ(@q1iqF)

Entrada añadida el 11 de mayo de 2023

WebKit

Disponible para: macOS Monterey

Impacto: un usuario podría ser rastreado a través de su dirección IP.

Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.

WebKit Bugzilla: 237296
CVE-2022-32861: Matthias Keller (m-keller.com)

Entrada añadida el 16 de septiembre de 2022 y actualizada el 31 de octubre de 2023

WebKit

Disponible para: macOS Monterey

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.

Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.

CVE-2022-32863: P1umer(@p1umer), afang(@afang5472) y xmzyshypnc(@xmzyshypnc1)

Entrada añadida el 16 de septiembre de 2022 y actualizada el 31 de octubre de 2023

WebKit

Disponible para: macOS Monterey

Impacto: visitar un sitio web que incluye contenido malintencionado podría provocar la suplantación de la interfaz del usuario.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la interfaz de usuario.

WebKit Bugzilla: 239316
CVE-2022-32816: Dohyun Lee (@l33d0hyun) de SSD Secure Disclosure Labs y DNSLab, Univ. de Corea

WebKit

Disponible para: macOS Monterey

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.

Descripción: se ha solucionado un problema de escritura fuera de los límites al mejorar la validación de las entradas.

WebKit Bugzilla: 240720
CVE-2022-32792: Manfred Paul (@_manfp) en colaboración con Zero Day Initiative de Trend Micro

WebRTC

Disponible para: macOS Monterey

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.

Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.

WebKit Bugzilla: 242339
CVE-2022-2294: Jan Vojtesek del equipo Avast Threat Intelligence

Wi-Fi

Disponible para: macOS Monterey

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la validación de las entradas.

CVE-2022-32860: Wang Yu de Cyberserval

Entrada añadida el 9 de noviembre de 2022

Wi-Fi

Disponible para: macOS Monterey

Impacto: una app podría provocar el cierre inesperado del sistema o la escritura de la memoria del kernel.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2022-32837: Wang Yu, de Cyberserval

Wi-Fi

Disponible para: macOS Monterey

Impacto: un usuario remoto podría provocar el cierre inesperado del sistema o dañar la memoria del kernel.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2022-32847: Wang Yu, de Cyberserval

Windows Server

Disponible para: macOS Monterey

Impacto: una app podría capturar la pantalla de un usuario.

Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.

CVE-2022-32848: Jeremy Legendre de MacEnhance

802.1X

Queremos dar las gracias a Shin Sun de la Universidad Nacional de Taiwán por su ayuda.

AppleMobileFileIntegrity

Queremos dar las gracias a Csaba Fitzl (@theevilbit) de Offensive Security, a Mickey Jin (@patch1t) de Trend Micro y a Wojciech Reguła (@_r3ggi) de SecuRing por su ayuda.

Calendar

Queremos dar las gracias a Joshua Jones por su ayuda.

configd

Queremos dar las gracias a Csaba Fitzl (@theevilbit) de Offensive Security, a Mickey Jin (@patch1t) de Trend Micro y a Wojciech Reguła (@_r3ggi) de SecuRing por su ayuda.

DiskArbitration

Nos gustaría dar las gracias por su ayuda a Mike Cush y a un investigador anónimo.

Entrada actualizada el 31 de octubre de 2023