Acerca del contenido de seguridad de macOS Monterey 12.5
En este documento, se describe el contenido de seguridad de macOS Monterey 12.5.
Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Las versiones más recientes se pueden encontrar en la página Actualizaciones de seguridad de Apple.
Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que es posible.
Para obtener más información sobre la seguridad, consulta la página de seguridad de los productos Apple.
macOS Monterey 12.5
Publicado el 20 de julio de 2022
AMD
Disponible para macOS Monterey
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel.
Descripción: Se mejoró la validación de entradas para solucionar un problema de daños en la memoria.
CVE-2022-42858: ABC Research s.r.o.
Entrada agregada el 11 de mayo de 2023
APFS
Disponible para macOS Monterey
Impacto: Una app con privilegios de usuario raíz podía ejecutar código arbitrario con privilegios del kernel.
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
CVE-2022-32832: Tommy Muir (@Muirey03)
AppleAVD
Disponible para macOS Monterey
Impacto: Un usuario remoto podía ocasionar la ejecución del código del kernel.
Descripción: Se mejoró la comprobación de límites para solucionar un problema de desbordamiento de búferes.
CVE-2022-32788: Natalie Silvanovich de Google Project Zero
Entrada agregada el 16 de septiembre de 2022
AppleMobileFileIntegrity
Disponible para macOS Monterey
Impacto: Es posible que una app pueda acceder a información confidencial del usuario
Descripción: Para solucionar este problema, se activó la función Hardened Runtime.
CVE-2022-32880: Wojciech Reguła (@_r3ggi) de SecuRing, Mickey Jin (@patch1t) de Trend Micro, Csaba Fitzl (@theevilbit) de Offensive Security
Entrada agregada el 16 de septiembre de 2022
AppleMobileFileIntegrity
Disponible para macOS Monterey
Impacto: Una app podía obtener privilegios de usuario raíz.
Descripción: Se mejoró la administración de estados para solucionar un problema de autorización.
CVE-2022-32826: Mickey Jin (@patch1t) de Trend Micro
Apple Neural Engine
Disponible para macOS Monterey
Impacto: Una app podía ejecutar código arbitrario con privilegios del kernel.
Descripción: Se mejoró la validación de entradas para solucionar un problema de desbordamiento de enteros.
CVE-2022-42805: Mohamed Ghannam (@_simo36)
Entrada agregada el 9 de noviembre de 2022
Apple Neural Engine
Disponible para macOS Monterey
Impacto: Una app podía ejecutar código arbitrario con privilegios del kernel.
Descripción: Para solucionar un problema de lectura fuera de los límites, se mejoró la comprobación de límites.
CVE-2022-32948: Mohamed Ghannam (@_simo36)
Entrada agregada el 9 de noviembre de 2022
Apple Neural Engine
Disponible para macOS Monterey
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel.
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
CVE-2022-32810: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Disponible para macOS Monterey
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel.
Descripción: Para solucionar este problema, se mejoraron las comprobaciones.
CVE-2022-32840: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Disponible para macOS Monterey
Impacto: Una app podía ejecutar código arbitrario con privilegios del kernel.
Descripción: Se mejoró la comprobación de límites para solucionar un problema de lectura fuera de los límites.
CVE-2022-32845: Mohamed Ghannam (@_simo36)
Entrada actualizada el 9 de noviembre de 2022
AppleScript
Disponible para macOS Monterey
Impacto: El procesamiento de AppleScript podía ocasionar el cierre inesperado o la divulgación de la memoria de un proceso.
Descripción: Se mejoró la comprobación de límites para solucionar un problema de lectura fuera de los límites.
CVE-2022-48578: Mickey Jin (@patch1t)
Entrada agregada el 31 de octubre de 2023
AppleScript
Disponible para macOS Monterey
Impacto: El procesamiento de un archivo binario de AppleScript creado con fines malintencionados podía ocasionar el cierre inesperado o la divulgación de la memoria de un proceso.
Descripción: Para solucionar este problema, se mejoraron las comprobaciones.
CVE-2022-32797: Mickey Jin (@patch1t), Ye Zhang (@co0py_Cat) de Baidu Security, Mickey Jin (@patch1t) de Trend Micro
AppleScript
Disponible para macOS Monterey
Impacto: El procesamiento de un archivo binario de AppleScript creado con fines malintencionados podía ocasionar el cierre inesperado o la divulgación de la memoria de un proceso.
Descripción: Se mejoró la validación de entradas para solucionar un problema de lectura fuera de los límites.
CVE-2022-32851: Ye Zhang (@co0py_Cat) de Baidu Security
CVE-2022-32852: Ye Zhang (@co0py_Cat) de Baidu Security
CVE-2022-32853: Ye Zhang (@co0py_Cat) de Baidu Security
AppleScript
Disponible para macOS Monterey
Impacto: El procesamiento de un archivo binario de AppleScript creado con fines malintencionados podía ocasionar el cierre inesperado o la divulgación de la memoria de un proceso.
Descripción: Se mejoró la comprobación de límites para solucionar un problema de lectura fuera de los límites.
CVE-2022-32831: Ye Zhang (@co0py_Cat) de Baidu Security
Archive Utility
Disponible para macOS Monterey
Impacto: Un archivo podía omitir Gatekeeper.
Descripción: Se mejoraron las comprobaciones para solucionar un problema de lógica.
CVE-2022-32910: Ferdous Saljooki (@malwarezoo) de Jamf Software
Entrada agregada el 4 de octubre de 2022
Audio
Disponible para macOS Monterey
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel.
Descripción: Se mejoró la validación de entradas para solucionar un problema de escritura fuera de los límites.
CVE-2022-32820: Un investigador anónimo
Audio
Disponible para macOS Monterey
Impacto: Una app podía divulgar la memoria del kernel.
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
CVE-2022-32825: John Aakerblom (@jaakerblom)
Automation
Disponible para macOS Monterey
Impacto: Es posible que una app pueda omitir las preferencias de privacidad.
Descripción: Se mejoraron las comprobaciones para solucionar un problema de lógica.
CVE-2022-32789: Zhipeng Huo (@R3dF09) de Tencent Security Xuanwu Lab
Calendar
Disponible para macOS Monterey
Impacto: Una app podía acceder a información confidencial del usuario.
Descripción: Para solucionar el problema, se mejoró el manejo de las cachés.
CVE-2022-32805: Csaba Fitzl (@theevilbit) de Offensive Security
CoreMedia
Disponible para macOS Monterey
Impacto: Una app podía divulgar la memoria del kernel.
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
CVE-2022-32828: Antonio Zekic (@antoniozekic) y John Aakerblom (@jaakerblom)
CoreText
Disponible para macOS Monterey
Impacto: Un usuario remoto podía provocar el cierre inesperado de una app o la ejecución de código arbitrario.
Descripción: Para solucionar este problema, se mejoró la comprobación de los límites.
CVE-2022-32839: Daniel Lim Wee Soong de STAR Labs
Entrada actualizada el 31 de octubre de 2023
File System Events
Disponible para macOS Monterey
Impacto: Una app podía obtener privilegios de usuario raíz.
Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.
CVE-2022-32819: Joshua Mason de Mandiant
GPU Drivers
Disponible para macOS Monterey
Impacto: Una app podía divulgar la memoria del kernel.
Descripción: Se mejoró la comprobación de límites para solucionar varios problemas de escritura fuera de los límites.
CVE-2022-32793: Un investigador anónimo
GPU Drivers
Disponible para macOS Monterey
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel.
Descripción: Se mejoró la validación para solucionar un problema de daños en la memoria.
CVE-2022-32821: John Aakerblom (@jaakerblom)
iCloud Photo Library
Disponible para macOS Monterey
Impacto: Una app podía acceder a información confidencial del usuario.
Descripción: Se solucionó un problema de divulgación de información eliminando el código vulnerable.
CVE-2022-32849: Joshua Jones
ICU
Disponible para macOS Monterey
Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: Para solucionar un problema de escritura fuera de los límites, se mejoró la comprobación de límites.
CVE-2022-32787: Dohyun Lee (@l33d0hyun) de SSD Secure Disclosure Labs y DNSLab, Universidad de Corea
ImageIO
Disponible para macOS Monterey
Impacto: El procesamiento de un archivo tiff creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: Se mejoró la validación para solucionar un problema de daños en la memoria.
CVE-2022-32897: Mickey Jin (@patch1t) de Trend Micro
Entrada agregada el 31 de octubre de 2023
ImageIO
Disponible para macOS Monterey
Impacto: El procesamiento de un archivo creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: Se mejoraron las comprobaciones para solucionar un problema de lógica.
CVE-2022-32802: Ivan Fratric de Google Project Zero, Mickey Jin (@patch1t)
Entrada agregada el 16 de septiembre de 2022
ImageIO
Disponible para macOS Monterey
Impacto: El procesamiento de una imagen creada con fines malintencionados podía provocar la divulgación de la memoria de un proceso.
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
CVE-2022-32841: hjy79425575
ImageIO
Disponible para macOS Monterey
Impacto: El procesamiento de una imagen podía provocar una denegación de servicio.
Descripción: Se solucionó un problema de falta de referencia de puntero nulo mejorando la validación.
CVE-2022-32785: Yiğit Can YILMAZ (@yilmazcanyigit)
Intel Graphics Driver
Disponible para macOS Monterey
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel.
Descripción: Se solucionó un problema de vulnerabilidad de daños en la memoria mejorando el bloqueo.
CVE-2022-32811: ABC Research s.r.o
Intel Graphics Driver
Disponible para macOS Monterey
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel.
Descripción: Este problema se solucionó mejorando el manejo de la memoria.
CVE-2022-32812: Yinyi Wu (@3ndy1), ABC Research s.r.o.
JavaScriptCore
Disponible para macOS Monterey
Impacto: El procesamiento de contenido web podía provocar la ejecución de código arbitrario
Descripción: Para solucionar este problema, se mejoró la comprobación de los límites.
WebKit Bugzilla: 241931
CVE-2022-48503: Dongzhuo Zhao en colaboración con ADLab de Venustech y ZhaoHai de Cyberpeace Tech Co., Ltd.
Entrada agregada el 21 de junio de 2023
Kernel
Disponible para macOS Monterey
Impacto: Una app con privilegios de usuario raíz podía ejecutar código arbitrario con privilegios del kernel.
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
CVE-2022-32813: Xinru Chi de Pangu Lab
CVE-2022-32815: Xinru Chi de Pangu Lab
Kernel
Disponible para macOS Monterey
Impacto: Una app podía divulgar la memoria del kernel.
Descripción: Se mejoró la comprobación de límites para solucionar un problema de lectura fuera de los límites.
CVE-2022-32817: Xinru Chi de Pangu Lab
Kernel
Disponible para macOS Monterey
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel.
Descripción: Para solucionar este problema, se mejoraron las comprobaciones.
CVE-2022-32829: Tingting Yin de Tsinghua University y Min Zheng de Ant Group
Entrada actualizada el 16 de septiembre de 2022
Liblouis
Disponible para macOS Monterey
Impacto: Una app podía provocar el cierre inesperado de una app o la ejecución de código arbitrario.
Descripción: Para solucionar este problema, se mejoraron las comprobaciones.
CVE-2022-26981: Hexhive (hexhive.epfl.ch), NCNIPC de China (nipc.org.cn)
libxml2
Disponible para macOS Monterey
Impacto: Una app podía divulgar información confidencial del usuario.
Descripción: Se mejoró el manejo de la memoria para solucionar un problema en su inicialización.
CVE-2022-32823
Multi-Touch
Disponible para macOS Monterey
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel.
Descripción: Se mejoró el manejo de estados para solucionar un problema de confusión de tipo.
CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)
PackageKit
Disponible para macOS Monterey
Impacto: Una app podía modificar partes protegidas del sistema de archivos.
Descripción: Se mejoró la validación para solucionar un problema en el manejo de variables del entorno.
CVE-2022-32786: Mickey Jin (@patch1t)
PackageKit
Disponible para macOS Monterey
Impacto: Una app podía modificar partes protegidas del sistema de archivos.
Descripción: Para solucionar este problema, se mejoraron las comprobaciones.
CVE-2022-32800: Mickey Jin (@patch1t)
PluginKit
Disponible para macOS Monterey
Impacto: Una app podía leer archivos arbitrarios.
Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.
CVE-2022-32838: Mickey Jin (@patch1t) de Trend Micro
PS Normalizer
Disponible para macOS Monterey
Impacto: El procesamiento de un archivo de Postscript creado con fines malintencionados podía ocasionar el cierre inesperado de una app o la divulgación de la memoria de un proceso.
Descripción: Para solucionar un problema de escritura fuera de los límites, se mejoró la comprobación de límites.
CVE-2022-32843: Kai Lu del ThreatLabz de Zscaler
Safari
Disponible para macOS Monterey
Impacto: Es posible que el procesamiento de contenido web pueda divulgar información confidencial
Descripción: Para solucionar un problema de fuerza bruta, se mejoró la administración de estados.
CVE-2022-46708: Un investigador anónimo
Entrada agregada el 31 de octubre de 2023
SMB
Disponible para macOS Monterey
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel.
Descripción: Para solucionar un problema de daños en la memoria, se mejoró la administración de estados.
CVE-2022-32796: Sreejith Krishnan R (@skr0x1c0)
SMB
Disponible para macOS Monterey
Impacto: Una app podía obtener privilegios elevados.
Descripción: Se mejoró la validación de entradas para solucionar un problema de lectura fuera de los límites.
CVE-2022-32842: Sreejith Krishnan R (@skr0x1c0)
SMB
Disponible para macOS Monterey
Impacto: Una app podía obtener privilegios elevados.
Descripción: Se mejoró la validación de entradas para solucionar un problema de escritura fuera de los límites.
CVE-2022-32798: Sreejith Krishnan R (@skr0x1c0)
SMB
Disponible para macOS Monterey
Impacto: Un usuario con una posición de red privilegiada podía divulgar información confidencial.
Descripción: Se mejoró la comprobación de límites para solucionar un problema de lectura fuera de los límites.
CVE-2022-32799: Sreejith Krishnan R (@skr0x1c0)
SMB
Disponible para macOS Monterey
Impacto: Una app podía filtrar el estado confidencial del kernel.
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
CVE-2022-32818: Sreejith Krishnan R (@skr0x1c0)
Software Update
Disponible para macOS Monterey
Impacto: Un usuario con una posición de red privilegiada podía dar seguimiento a la actividad de un usuario.
Descripción: Este problema se solucionó usando HTTPS al enviar información a través de la red.
CVE-2022-32857: Jeffrey Paul (sneak.berlin)
Spindump
Disponible para macOS Monterey
Impacto: Una app podía sobrescribir archivos arbitrarios.
Descripción: Para solucionar este problema, se mejoró el manejo de archivos.
CVE-2022-32807: Zhipeng Huo (@R3dF09) de Tencent Security Xuanwu Lab
Spotlight
Disponible para macOS Monterey
Impacto: Una app podía obtener privilegios de usuario raíz.
Descripción: Para solucionar este problema, se mejoraron las comprobaciones.
CVE-2022-32801: Joshua Mason (@josh@jhu.edu)
Subversion
Disponible para macOS Monterey
Impacto: Varios problemas en Subversion.
Descripción: Se solucionaron varios problemas con la actualización de Subversion.
CVE-2021-28544: Evgeny Kotkov, visualsvn.com
CVE-2022-24070: Evgeny Kotkov, visualsvn.com
CVE-2022-29046: Evgeny Kotkov, visualsvn.com
CVE-2022-29048: Evgeny Kotkov, visualsvn.com
TCC
Disponible para macOS Monterey
Impacto: Una app podía acceder a información confidencial del usuario.
Descripción: Se mejoró la zona protegida para solucionar un problema de acceso.
CVE-2022-32834: Xuxiang Yang (@another1024) de Tencent Security Xuanwu Lab (xlab.tencent.com), Gordon Long, Thijs Alkemade (@xnyhps) de Computest Sector 7, Adam Chester de TrustedSec, Yuebin Sun (@yuebinsun2020) de Tencent Security Xuanwu Lab (xlab.tencent.com), Zhipeng Huo (@R3dF09) de Tencent Security Xuanwu Lab (xlab.tencent.com)
Entrada actualizada el 16 de septiembre de 2022 y actualizada el 11 de mayo de 2023
WebKit
Disponible para macOS Monterey
Impacto: Un sitio web podía rastrear los sitios web que visitó un usuario en Safari incluso con la navegación privada activada.
Descripción: Se solucionó un problema de divulgación de información eliminando el código vulnerable.
WebKit Bugzilla: 239547
CVE-2022-32933: Binoy Chitale, estudiante de maestría, Universidad de Stony Brook; Nick Nikiforakis, profesor adjunto, Universidad de Stony Brook; Jason Polakis, profesor adjunto, Universidad de Illinois en Chicago; Mir Masood Ali, estudiante de doctorado, Universidad de Illinois en Chicago; Chris Kanich, profesor adjunto, Universidad de Illinois en Chicago; y Mohammad Ghasemisharif, candidato a doctorado, Universidad de Illinois en Chicago
Entrada agregada el 31 de octubre de 2023
WebKit
Disponible para macOS Monterey
Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: Se mejoró la validación para solucionar un problema de daños en la memoria.
WebKit Bugzilla: 241526
CVE-2022-32885: P1umer (@p1umer) y Q1IQ (@q1iqF)
Entrada agregada el 11 de mayo de 2023
WebKit
Disponible para macOS Monterey
Impacto: Un usuario podía ser rastreado a través de la dirección IP.
Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.
WebKit Bugzilla: 237296
CVE-2022-32861: Matthias Keller (m-keller.com)
Entrada agregada el 16 de septiembre de 2022 y actualizada el 31 de octubre de 2023
WebKit
Disponible para macOS Monterey
Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: Para solucionar un problema de daños en la memoria, se mejoró la administración de estados.
CVE-2022-32863: P1umer(@p1umer), afang(@afang5472), xmzyshypnc(@xmzyshypnc1)
Entrada agregada el 16 de septiembre de 2022 y actualizada el 31 de octubre de 2023
WebKit
Disponible para macOS Monterey
Impacto: Visitar un sitio web con contenido malicioso podía provocar una suplantación en la interfaz del usuario.
Descripción: Este problema se solucionó mejorando el manejo de IU.
WebKit Bugzilla: 239316
CVE-2022-32816: Dohyun Lee (@l33d0hyun) de SSD Secure Disclosure Labs y DNSLab, Universidad de Corea
WebKit
Disponible para macOS Monterey
Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: Se mejoró la validación de entradas para solucionar un problema de escritura fuera de los límites.
WebKit Bugzilla: 240720
CVE-2022-32792: Manfred Paul (@_manfp) en colaboración con el programa Zero Day Initiative de Trend Micro
WebRTC
Disponible para macOS Monterey
Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: Para solucionar un problema de daños en la memoria, se mejoró la administración de estados.
WebKit Bugzilla: 242339
CVE-2022-2294: Jan Vojtesek del equipo de Avast Threat Intelligence
Wi-Fi
Disponible para macOS Monterey
Impacto: Una app podía ejecutar código arbitrario con privilegios del kernel.
Descripción: Se mejoró la validación de entradas para solucionar un problema de escritura fuera de los límites.
CVE-2022-32860: Wang Yu de Cyberserval
Entrada agregada el 9 de noviembre de 2022
Wi-Fi
Disponible para macOS Monterey
Impacto: Una app podía provocar el cierre inesperado del sistema o escribir la memoria del kernel.
Descripción: Para solucionar este problema, se mejoraron las comprobaciones.
CVE-2022-32837: Wang Yu de Cyberserval
Wi-Fi
Disponible para macOS Monterey
Impacto: Un usuario remoto podía provocar el cierre inesperado del sistema o daños en la memoria del kernel.
Descripción: Para solucionar este problema, se mejoraron las comprobaciones.
CVE-2022-32847: Wang Yu de Cyberserval
Windows Server
Disponible para macOS Monterey
Impacto: Una app podía realizar una captura de la pantalla del usuario.
Descripción: Se mejoraron las comprobaciones para solucionar un problema de lógica.
CVE-2022-32848: Jeremy Legendre de MacEnhance
Otros agradecimientos
802.1X
Nos gustaría agradecer a Shin Sun de la Universidad Nacional de Taiwán por su ayuda.
AppleMobileFileIntegrity
Nos gustaría agradecer a Csaba Fitzl (@theevilbit) de Offensive Security, Mickey Jin (@patch1t) de Trend Micro y Wojciech Reguła (@_r3ggi) de SecuRing por su ayuda.
Calendar
Nos gustaría agradecer a Joshua Jones por su ayuda.
configd
Nos gustaría agradecer a Csaba Fitzl (@theevilbit) de Offensive Security, Mickey Jin (@patch1t) de Trend Micro y Wojciech Reguła (@_r3ggi) de SecuRing por su ayuda.
DiskArbitration
Nos gustaría darles las gracias a Raymond Rehayem de Library Industries y a Mike Cush por su ayuda.
Entrada actualizada el 29 de mayo de 2024
La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.