El lunes, Apple no solo actualizó macOS Ventura, sino que la compañía también lanzó macOS Monterey 12.6.4 y Big Sur 11.7.5, los dos sistemas operativos que precedieron a Ventura. Dado que Monterey y Big Sur son más antiguos, Apple no los actualiza con funciones, pero publica actualizaciones de seguridad de vez en cuando. Las notas de la versión estándar simplemente indican que la actualización «proporciona correcciones de seguridad importantes y se recomienda para todos los usuarios».
Aquí están los detalles de la actualización de seguridad
Actualizaciones de seguridad de macOS Monterey 12.6.4
las siguientes actualizaciones de seguridad son para macOS Monterey 12.7.4, aunque varias de ellas son para máquinas Monterey y Big Sur:
Motor neuronal de Apple
- Disponible para: macOS Monterey/macOS Big Sur
- Impacto: Una aplicación puede ejecutar código arbitrario con privilegios de kernel
- Descripción: El problema se solucionó mejorando el manejo de la memoria.
- CVE-2023-23540: Mohamed GHANNAM (@_simo36)
AppleMobileFileIntegrity
- Disponible para: macOS Monterey/macOS Big Sur
- Impacto: Un usuario puede obtener acceso a partes protegidas del sistema de archivos
- Descripción: El problema se solucionó con controles mejorados.
- CVE-2023-23527: Mickey Jin (@patch1t)
Utilidad de archivo
- Disponible para: macOS Monterey/macOS Big Sur
- Impacto: Un archivo puede pasar por alto a Gatekeeper
- Descripción: El problema se solucionó con controles mejorados.
- CVE-2023-27951: Brandon Dalton de Red Canary y Csaba Fitzl (@theevilbit) de Offensive Security
Calendario
- Disponible para: macOS Monterey/macOS Big Sur
- Impacto: La importación de una invitación de calendario creada con fines malintencionados puede filtrar la información del usuario
- Descripción: Se abordaron múltiples problemas de validación con una desinfección de entrada mejorada.
- CVE-2023-27961: Riza Sabuncu (@rizasabuncu)
ColorSync
- Disponible para: macOS Monterey/macOS Big Sur
- Impacto: Una aplicación puede ser capaz de leer archivos arbitrarios
- Descripción: El problema se solucionó con controles mejorados.
- CVE-2023-27955: JeongOhKyea
Centro de comunicaciones
- Disponible para: macOS Monterey/macOS Big Sur
- Impacto: Una aplicación puede causar una terminación inesperada del sistema o escribir en la memoria del kernel
- Descripción: Se solucionó un problema de escritura fuera de los límites mejorando la validación de entrada.
- CVE-2023-27936: Tingting Yin de la Universidad de Tsinghua
dcerpc
- Disponible para: macOS Monterey/macOS Big Sur
- Impacto: Un usuario remoto puede causar la finalización inesperada de la aplicación o la ejecución de código arbitrario
- Descripción: el problema se solucionó mejorando las comprobaciones de límites.
- CVE-2023-27935: Aleksandar Nikolic de Cisco Talos
dcerpc
- Disponible para: macOS Monterey/macOS Big Sur
- Impacto: Un usuario remoto puede causar la terminación inesperada del sistema o dañar la memoria del kernel
- Descripción: El problema se solucionó mejorando el manejo de la memoria.
- CVE-2023-27953: Aleksandar Nikolic de Cisco Talos
- CVE-2023-27958: Aleksandar Nikolic de Cisco Talos
Base
- Disponible para: macOS Monterey/macOS Big Sur
- Impacto: El análisis de un plist creado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario.
- Descripción: se solucionó un desbordamiento de enteros con una validación de entrada mejorada.
- CVE-2023-27937: un investigador anonimo
ImagenIO
- Disponible para: macOS Monterey/macOS Big Sur
- Impacto: El procesamiento de un archivo creado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario
- Descripción: Una lectura fuera de los límites se solucionó con una verificación de límites mejorada.
- CVE-2023-27946: Mickey Jin (@patch1t)
Núcleo
- Disponible para: macOS Monterey/macOS Big Sur
- Impacto: Una aplicación puede ejecutar código arbitrario con privilegios de kernel
- Descripción: Se solucionó un problema de uso después de la liberación mejorando la administración de la memoria.
- CVE-2023-23514: Xinru Chi de Pangu Lab y Ned Williamson de Google Project Zero
Núcleo
- Disponible para: macOS Monterrey
- Impacto: Una aplicación con privilegios de root puede ejecutar código arbitrario con privilegios de kernel
- Descripción: El problema se solucionó mejorando el manejo de la memoria.
- CVE-2023-27933: sqrtpwn
Núcleo
- Disponible para: macOS Monterey/macOS Big Sur
- Impacto: Una aplicación puede revelar la memoria del kernel
- Descripción: Se solucionó un problema de validación mejorando la sanitización de entradas.
- CVE-2023-28200: Arsenii Kostromin (0x3c3e)
Modelo E/S
- Disponible para: macOS Monterrey
- Impacto: El procesamiento de un archivo creado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario
- Descripción: Se solucionó una lectura fuera de los límites con una validación de entrada mejorada.
- CVE-2023-27949: Mickey Jin (@patch1t)
Extensión de red
- Disponible para: macOS Monterey/macOS Big Sur
- Impacto: Un usuario en una posición de red privilegiada puede falsificar un servidor VPN que está configurado con autenticación solo EAP en un dispositivo
- Descripción: El problema se solucionó mejorando la autenticación.
- CVE-2023-28182: zhuowei zhang
PaqueteKit
- Disponible para: macOS Monterey/macOS Big Sur
- Impacto: Una aplicación puede modificar partes protegidas del sistema de archivos
- Descripción: Se solucionó un problema de lógica con controles mejorados.
- CVE-2023-23538: Mickey Jin (@patch1t)
- CVE-2023-27962: Mickey Jin (@patch1t)
podcasts
- Disponible para: macOS Monterrey
- Impacto: Una aplicación puede acceder a datos confidenciales del usuario
- Descripción: El problema se solucionó con controles mejorados.
- CVE-2023-27942: Mickey Jin (@patch1t)
Salvadera
- Disponible para: macOS Monterrey
- Impacto: Una aplicación puede modificar partes protegidas del sistema de archivos
- Descripción: Se solucionó un problema de lógica con controles mejorados.
- CVE-2023-23533: Mickey Jin (@patch1t), Koh M. Nakagawa de FFRI Security, Inc. y Csaba Fitzl (@theevilbit) de Offensive Security
Salvadera
- Disponible para: macOS Monterrey
- Impacto: Una aplicación puede pasar por alto las preferencias de privacidad
- Descripción: Se solucionó un problema de lógica mejorando la validación.
- CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)
Atajos
- Disponible para: macOS Monterrey
- Impacto: un atajo podría usar datos confidenciales con ciertas acciones sin avisar al usuario
- Descripción: el problema se solucionó con verificaciones de permisos adicionales.
- CVE-2023-27963: Jubaer Alnazi Jabin de TRS Group Of Companies y Wenchao Li y Xiaolong Bai de Alibaba Group
Ajustes del sistema
- Disponible para: macOS Monterey/macOS Big Sur
- Impacto: Una aplicación puede acceder a datos confidenciales del usuario
- Descripción: Se solucionó un problema de privacidad mejorando la redacción de datos privados para las entradas de registro.
- CVE-2023-23542: un investigador anonimo
Ajustes del sistema
- Disponible para: macOS Monterey/macOS Big Sur
- Impacto: Una aplicación puede leer información de ubicación confidencial
- Descripción: Se solucionó un problema de permisos mejorando la validación.
- CVE-2023-28192: Guilherme Rambo de Best Buddy Apps (rambo.codes)
Empuje
- Disponible para: macOS Monterey/macOS Big Sur
- Impacto: Múltiples problemas en Vim
- Descripción: Se solucionaron varios problemas mediante la actualización a la versión 9.0.1191 de Vim.
- CVE-2023-0433
- CVE-2023-0512
XPC
- Disponible para: macOS Monterey/macOS Big Sur
- Impacto: Una aplicación puede salir de su sandbox
- Descripción: Este problema se solucionó con un nuevo derecho.
- CVE-2023-27944: Mickey Jin (@patch1t)
Actualizaciones de seguridad de macOS Big Sur 11.7.5
Además de las actualizaciones anteriores, los siguientes parches de seguridad son exclusivos para macOS Big Sur 11.7.5:
Apple AVD
- Disponible para: macOS Gran Sur
- Impacto: Una aplicación puede ejecutar código arbitrario con privilegios de kernel
- Descripción: Se solucionó un problema de uso después de la liberación mejorando la administración de la memoria.
- CVE-2022-26702: un investigador anónimo, Antonio Zekic (@antoniozekic), y John Aakerblom (@jaakerblom)
Núcleo de carbono
- Disponible para: macOS Gran Sur
- Impacto: El procesamiento de una imagen creada con fines malintencionados puede provocar la divulgación de la memoria del proceso.
- Descripción: El problema se solucionó con controles mejorados.
- CVE-2023-23534: Mickey Jin (@patch1t)
Encuentrame
- Disponible para: macOS Gran Sur
- Impacto: Una aplicación puede leer información de ubicación confidencial
- Descripción: Se solucionó un problema de privacidad mejorando la redacción de datos privados para las entradas de registro.
- CVE-2023-23537: un investigador anónimo
Servicios de identidad
- Disponible para: macOS Gran Sur
- Impacto: Una aplicación puede acceder a información sobre los contactos de un usuario
- Descripción: Se solucionó un problema de privacidad mejorando la redacción de datos privados para las entradas de registro.
- CVE-2023-27928: Csaba Fitzl (@theevilbit) de Seguridad Ofensiva
ImagenIO
- Disponible para: macOS Gran Sur
- Impacto: El procesamiento de una imagen creada con fines malintencionados puede provocar la divulgación de la memoria del proceso.
- Descripción: El problema se solucionó mejorando el manejo de la memoria.
- CVE-2023-23535: ryuzaki
Cómo actualizar a macOS
Apple recomienda a todos los usuarios que instalen las actualizaciones lo antes posible. Para obtenerlos en su máquina, siga estas instrucciones:
- Abra Preferencias del sistema.
- Haga clic en Actualización de software.
- Su Mac pasará aproximadamente un minuto buscando actualizaciones, si hay una actualización disponible para su Mac, tendrá la opción de hacer clic en Actualizar ahora y luego descargue el instalador para la actualización a macOS.
- Mientras se descarga el instalador, podrá continuar usando su Mac. Una vez que el instalador se haya descargado, puede hacer clic para instalar la nueva actualización.