Acerca del contenido de seguridad de macOS Big Sur 11.7.7

En este documento se describe el contenido de seguridad de macOS Big Sur 11.7.7.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

macOS Big Sur 11.7.7

Publicado el 18 de mayo de 2023

Accessibility

Disponible para: macOS Big Sur

Impacto: una app creada podría evitar las preferencias de privacidad.

Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.

CVE-2023-32388: Kirin (@Pwnrin)

AppleEvents

Disponible para: macOS Big Sur

Impacto: una app creada podría evitar las preferencias de privacidad.

Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.

CVE-2023-28191: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Disponible para: macOS Big Sur

Impacto: una app creada podría evitar las preferencias de privacidad.

Descripción: este problema se ha solucionado mejorando las certificaciones.

CVE-2023-32411: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Disponible para: macOS Big Sur

Impacto: una app podría insertar código en binarios sensibles incluidos con Xcode

Descripción: este problema se ha solucionado imponiendo un tiempo de ejecución reforzado en los binarios afectados a nivel del sistema.

CVE-2023-32383: James Duffy (mangoSecure)

Entrada añadida el 21 de diciembre de 2023

Contacts

Disponible para: macOS Big Sur

Impacto: una app podría ser capaz de observar los datos de usuario sin proteger.

Descripción: se ha corregido un problema de privacidad con una gestión mejorada de los archivos temporales.

CVE-2023-32386: Kirin (@Pwnrin)

CoreCapture

Disponible para: macOS Big Sur

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2023-28181: Tingting Yin de la Universidad Tsinghua

CUPS

Disponible para: macOS Big Sur

Impacto: un usuario no autenticado podría acceder a documentos impresos recientemente.

Descripción: se ha solucionado el problema de autenticación mejorando la gestión del estado.

CVE-2023-32360: Gerhard Muth

dcerpc

Disponible para: macOS Big Sur

Impacto: un atacante remoto podría ser capaz de provocar el cierre inesperado de una app o la ejecución de código arbitrario.

Descripción: se ha solucionado un problema de vulnerabilidad “use-after-free” mejorando la gestión de la memoria.

CVE-2023-32387: Dimitrios Tatsis de Cisco Talos

Dev Tools

Disponible para: macOS Big Sur

Impacto: una app aislada puede recopilar registros del sistema

Descripción: este problema se ha solucionado mejorando las certificaciones.

CVE-2023-27945: Mickey Jin (@patch1t)

GeoServices

Disponible para: macOS Big Sur

Impacto: es posible que una app pueda leer información de ubicación confidencial.

Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.

CVE-2023-32392: Adam M.

Entrada actualizada el 21 de diciembre de 2023

ImageIO

Disponible para: macOS Big Sur

Impacto: procesar una imagen podría provocar la ejecución de código arbitrario.

Descripción: se ha solucionado un desbordamiento de búfer mejorando la comprobación de límites.

CVE-2023-32384: Meysam Firouzi @R00tkitsmm en colaboración con Trend Micro Zero Day Initiative

IOSurface

Disponible para: macOS Big Sur

Impacto: una app podría filtrar información confidencial sobre el estado del kernel.

Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.

CVE-2023-32410: hou xuewei (@p1ay8y3ar) vmk msu

Kernel

Disponible para: macOS Big Sur

Impacto: una app podría obtener privilegios de raíz.

Descripción: se ha solucionado un problema de condición de carrera mediante la mejora de la gestión del estado.

CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) de Synacktiv (@Synacktiv) en colaboración con Trend Micro Zero Day Initiative

Kernel

Disponible para: macOS Big Sur

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado un problema de uso después de estar libre mediante la mejora de la gestión de la memoria.

CVE-2023-32398: Adam Doupé de ASU SEFCOM

LaunchServices

Disponible para: macOS Big Sur

Impacto: una app podría omitir las comprobaciones de Gatekeeper.

Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.

CVE-2023-32352: Wojciech Reguła (@_r3ggi) de SecuRing (wojciechregula.blog)

libxpc

Disponible para: macOS Big Sur

Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.

Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.

CVE-2023-32369: Jonathan Bar Or de Microsoft, Anurag Bohra de Microsoft y Michael Pearse de Microsoft

libxpc

Disponible para: macOS Big Sur

Impacto: una app podría obtener privilegios de raíz.

Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.

CVE-2023-32405: Thijs Alkemade (@xnyhps) de Computest Sector 7

Metal

Disponible para: macOS Big Sur

Impacto: una app creada podría evitar las preferencias de privacidad.

Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.

CVE-2023-32407: Gergely Kalman (@gergely_kalman)

Model I/O

Disponible para: macOS Big Sur

Impacto: procesar un modelo 3D podría provocar la ejecución de código arbitrario.

Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.

CVE-2023-32380: Mickey Jin (@patch1t)

Model I/O

Disponible para: macOS Big Sur

Impacto: procesar un modelo 3D podría provocar la revelación de la memoria de procesos.

Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.

CVE-2023-32382: Mickey Jin (@patch1t)

NetworkExtension

Disponible para: macOS Big Sur

Impacto: es posible que una app pueda leer información de ubicación confidencial.

Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.

CVE-2023-32403: Adam M.

Entrada actualizada el 21 de diciembre de 2023

PackageKit

Disponible para: macOS Big Sur

Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.

Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.

CVE-2023-32355: Mickey Jin (@patch1t)

Perl

Disponible para: macOS Big Sur

Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.

Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.

CVE-2023-32395: Arsenii Kostromin (0x3c3e)

Quick Look

Disponible para: macOS Big Sur

Impacto: analizar un documento de Office podría provocar el cierre inesperado de una aplicación o la ejecución de un código arbitrario

Descripción: se ha solucionado un desbordamiento de búfer mejorando la comprobación de límites.

CVE-2023-32401: Holger Fuhrmannek de Deutsche Telekom Security GmbH en nombre de BSI (Oficina federal alemana de seguridad de la información)

Entrada añadida el 21 de diciembre de 2023

Sandbox

Disponible para: macOS Big Sur

Impacto: una app podría conservar el acceso a los archivos de configuración del sistema incluso después de que se le haya revocado el permiso.

Descripción: se ha solucionado el problema de autorización mejorando la gestión del estado.

CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Jeff Johnson, Koh M. Nakagawa de FFRI Security, Inc., Kirin (@Pwnrin) y Csaba Fitzl (@theevilbit) de Offensive Security

Shell

Disponible para: macOS Big Sur

Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.

Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.

CVE-2023-32397: Arsenii Kostromin (0x3c3e)

Telephony

Disponible para: macOS Big Sur

Impacto: un atacante remoto podría ser capaz de provocar el cierre inesperado de una app o la ejecución de código arbitrario.

Descripción: se ha solucionado un problema de vulnerabilidad “use-after-free” mejorando la gestión de la memoria.

CVE-2023-32412: Ivan Fratric de Google Project Zero

 

Otros agradecimientos

libxml2

Queremos dar las gracias por su ayuda a OSS-Fuzz y Ned Williamson de Google Project Zero.

Reminders

Queremos dar las gracias a Kirin (@Pwnrin) por su ayuda.

Security

Queremos dar las gracias a James Duffy (mangoSecure) por su ayuda.

Wi-Fi

Queremos dar las gracias a Adam M. por su ayuda.

Entrada actualizada el 21 de diciembre de 2023

Wi-Fi Connectivity

Queremos dar las gracias a Adam M. por su ayuda.

Entrada actualizada el 21 de diciembre de 2023

 

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Fecha de publicación: