Acerca del contenido de seguridad de macOS Big Sur 11.6.8

En este documento, se describe el contenido de seguridad de macOS Big Sur 11.6.8.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Las versiones más recientes se pueden encontrar en la página Actualizaciones de seguridad de Apple.

Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que es posible.

Para obtener más información sobre la seguridad, consulta la página de seguridad de los productos Apple.

macOS Big Sur 11.6.8

Publicado el 20 de julio de 2022

APFS

Disponible para macOS Big Sur

Impacto: Es posible que una app con privilegios de usuario raíz pueda ejecutar código arbitrario con privilegios del kernel

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2022-32832: Tommy Muir (@Muirey03)

AppleMobileFileIntegrity

Disponible para macOS Big Sur

Impacto: Es posible que una app pueda obtener privilegios de usuario raíz

Descripción: Se mejoró la administración de estados para solucionar un problema de autorización.

CVE-2022-32826: Mickey Jin (@patch1t) de Trend Micro

AppleScript

Disponible para macOS Big Sur

Impacto: Es posible que el procesamiento de un archivo binario de AppleScript creado con fines malintencionados pueda ocasionar el cierre inesperado o la divulgación de la memoria de un proceso

Descripción: Para solucionar este problema, se mejoraron las comprobaciones.

CVE-2022-32797: Mickey Jin (@patch1t), Ye Zhang (@co0py_Cat) de Baidu Security, Mickey Jin (@patch1t) de Trend Micro

AppleScript

Disponible para macOS Big Sur

Impacto: Es posible que el procesamiento de un archivo binario de AppleScript creado con fines malintencionados pueda ocasionar el cierre inesperado o la divulgación de la memoria de un proceso

Descripción: Se mejoró la validación de entradas para solucionar un problema de lectura fuera de los límites.

CVE-2022-32853: Ye Zhang (@co0py_Cat) de Baidu Security

CVE-2022-32851: Ye Zhang (@co0py_Cat) de Baidu Security

AppleScript

Disponible para macOS Big Sur

Impacto: Es posible que el procesamiento de un archivo binario de AppleScript creado con fines malintencionados pueda ocasionar el cierre inesperado o la divulgación de la memoria de un proceso

Descripción: Se mejoró la comprobación de límites para solucionar un problema de lectura fuera de los límites.

CVE-2022-32831: Ye Zhang (@co0py_Cat) de Baidu Security

Archive Utility

Disponible para macOS Big Sur

Impacto: Es posible que un archivo pueda omitir Gatekeeper

Descripción: Se mejoraron las comprobaciones para solucionar un problema de lógica.

CVE-2022-32910: Ferdous Saljooki (@malwarezoo) de Jamf Software

Entrada agregada el 4 de octubre de 2022

Audio

Disponible para macOS Big Sur

Impacto: Es posible que una app pueda divulgar la memoria del kernel

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2022-32825: John Aakerblom (@jaakerblom)

Audio

Disponible para macOS Big Sur

Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel

Descripción: Se mejoró la validación de entradas para solucionar un problema de escritura fuera de los límites.

CVE-2022-32820: Un investigador anónimo

Calendar

Disponible para macOS Big Sur

Impacto: Es posible que una app pueda acceder a información confidencial del usuario

Descripción: Para solucionar el problema, se mejoró el manejo de las cachés.

CVE-2022-32805: Csaba Fitzl (@theevilbit) de Offensive Security

Calendar

Disponible para macOS Big Sur

Impacto: Es posible que una app pueda acceder a información confidencial del usuario

Descripción: Se solucionó un problema de divulgación de información eliminando el código vulnerable.

CVE-2022-32849: Joshua Jones

CoreText

Disponible para macOS Big Sur

Impacto: Es posible que un usuario remoto pueda provocar el cierre inesperado de una app o la ejecución de código arbitrario

Descripción: Para solucionar este problema, se mejoró la comprobación de los límites.

CVE-2022-32839: STAR Labs (@starlabs_sg)

FaceTime

Disponible para macOS Big Sur

Impacto: Es posible que una app con privilegios de usuario raíz pueda acceder a información privada

Descripción: Para solucionar este problema, se activó la función Hardened Runtime.

CVE-2022-32781: Wojciech Reguła (@_r3ggi) de SecuRing

File System Events

Disponible para macOS Big Sur

Impacto: Es posible que una app pueda obtener privilegios de usuario raíz

Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.

CVE-2022-32819: Joshua Mason de Mandiant

ICU

Disponible para macOS Big Sur

Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda provocar la ejecución de código arbitrario

Descripción: Se mejoró la comprobación de límites para solucionar un problema de escritura fuera de los límites.

CVE-2022-32787: Dohyun Lee (@l33d0hyun) de SSD Secure Disclosure Labs y DNSLab, Universidad de Corea

ImageIO

Disponible para macOS Big Sur

Impacto: Es posible que el procesamiento de una imagen pueda provocar una denegación de servicio

Descripción: Se solucionó un problema de falta de referencia de puntero nulo mejorando la validación.

CVE-2022-32785: Yiğit Can YILMAZ (@yilmazcanyigit)

Intel Graphics Driver

Disponible para macOS Big Sur

Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2022-32812: Yinyi Wu (@3ndy1), ABC Research s.r.o.

Intel Graphics Driver

Disponible para macOS Big Sur

Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel

Descripción: Se solucionó un problema de vulnerabilidad de daños en la memoria mejorando el bloqueo.

CVE-2022-32811: ABC Research s.r.o

Kernel

Disponible para macOS Big Sur

Impacto: Es posible que una app con privilegios de usuario raíz pueda ejecutar código arbitrario con privilegios del kernel

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2022-32815: Xinru Chi de Pangu Lab

CVE-2022-32813: Xinru Chi de Pangu Lab

LaunchServices

Disponible para macOS Big Sur

Impacto: Es posible que una app pueda omitir ciertas preferencias de privacidad.

Descripción: Se mejoraron las restricciones para solucionar un problema de lógica.

CVE-2021-30946: @gorelics y Ron Masas de BreakPoint.sh

Entrada agregada el jueves, 11 de mayo de 2023

libxml2

Disponible para macOS Big Sur

Impacto: Es posible que una app pueda divulgar información confidencial del usuario

Descripción: Se mejoró el manejo de la memoria para solucionar un problema en su inicialización.

CVE-2022-32823

Multi-Touch

Disponible para macOS Big Sur

Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel

Descripción: Se mejoró la validación para solucionar un problema de daños en la memoria.

CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)

Entrada agregada el 9 de noviembre de 2022

Multi-Touch

Disponible para macOS Big Sur

Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel

Descripción: Se mejoró el manejo de estados para solucionar un problema de confusión de tipo.

CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)

Entrada agregada el 9 de noviembre de 2022

PackageKit

Disponible para macOS Big Sur

Impacto: Es posible que una app pueda modificar partes protegidas del sistema de archivos

Descripción: Se mejoró la validación para solucionar un problema en el manejo de variables del entorno.

CVE-2022-32786: Mickey Jin (@patch1t)

PackageKit

Disponible para macOS Big Sur

Impacto: Es posible que una app pueda modificar partes protegidas del sistema de archivos

Descripción: Para solucionar este problema, se mejoraron las comprobaciones.

CVE-2022-32800: Mickey Jin (@patch1t)

PluginKit

Disponible para macOS Big Sur

Impacto: Es posible que una app pueda leer archivos arbitrarios

Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.

CVE-2022-32838: Mickey Jin (@patch1t) de Trend Micro

PS Normalizer

Disponible para macOS Big Sur

Impacto: Es posible que el procesamiento de un archivo de Postscript creado con fines malintencionados pueda ocasionar el cierre inesperado de una app o la divulgación de la memoria de un proceso

Descripción: Se mejoró la comprobación de límites para solucionar un problema de escritura fuera de los límites.

CVE-2022-32843: Kai Lu del ThreatLabz de Zscaler

Software Update

Disponible para macOS Big Sur

Impacto: Es posible que un usuario con una posición de red privilegiada pueda dar seguimiento a la actividad de un usuario

Descripción: Este problema se solucionó usando HTTPS al enviar información a través de la red.

CVE-2022-32857: Jeffrey Paul (sneak.berlin)

Spindump

Disponible para macOS Big Sur

Impacto: Es posible que una app pueda sobrescribir archivos arbitrarios

Descripción: Para solucionar este problema, se mejoró el manejo de archivos.

CVE-2022-32807: Zhipeng Huo (@R3dF09) de Tencent Security Xuanwu Lab

Spotlight

Disponible para macOS Big Sur

Impacto: Es posible que una app pueda obtener privilegios elevados

Descripción: Se mejoró la validación de enlaces simbólicos para solucionar un problema de validación en el manejo de enlaces simbólicos.

CVE-2022-26704: Joshua Mason de Mandiant

TCC

Disponible para macOS Big Sur

Impacto: Es posible que una app pueda acceder a información confidencial del usuario

Descripción: Se mejoró la zona protegida para solucionar un problema de acceso.

CVE-2022-32834: Xuxiang Yang (@another1024) de Tencent Security Xuanwu Lab (xlab.tencent.com), Yuebin Sun (@yuebinsun2020) de Tencent Security Xuanwu Lab (xlab.tencent.com), Zhipeng Huo (@R3dF09) de Tencent Security Xuanwu Lab (xlab.tencent.com)

Entrada actualizada el 16 de septiembre de 2022

Vim

Disponible para macOS Big Sur

Impacto: Varios problemas en Vim

Descripción: Se solucionaron varios problemas con la actualización de Vim.

CVE-2022-0156

CVE-2022-0158

Wi-Fi

Disponible para macOS Big Sur

Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel

Descripción: Se mejoró la validación de entradas para solucionar un problema de escritura fuera de los límites.

CVE-2022-32860: Wang Yu de Cyberserval

Entrada agregada el 9 de noviembre de 2022

Wi-Fi

Disponible para macOS Big Sur

Impacto: Es posible que un usuario remoto pueda provocar el cierre inesperado del sistema o daños en la memoria del kernel

Descripción: Para solucionar este problema, se mejoraron las comprobaciones.

CVE-2022-32847: Wang Yu de Cyberserval

Windows Server

Disponible para macOS Big Sur

Impacto: Es posible que una app pueda realizar una captura de la pantalla del usuario

Descripción: Se mejoraron las comprobaciones para solucionar un problema de lógica.

CVE-2022-32848: Jeremy Legendre de MacEnhance

Otros agradecimientos

Calendar

Nos gustaría agradecer a Joshua Jones por su ayuda.

Entrada agregada el 9 de noviembre de 2022

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.

Fecha de publicación: