Apple ha lanzado macOS Monterey 12.6, iOS 15.7 y iPadOS 15.7. Las actualizaciones traen una serie de correcciones de seguridad críticas para Mac, iPhone y iPad.

Apple lanza macOS Monterey 12.6, iOS 15.7 y iPadOS 15.7 con actualizaciones de seguridad
Correcciones de seguridad en macOS Monterey 12.6

La actualización soluciona un problema de ATS que podría pasar por alto las preferencias de privacidad. El problema de lógica mencionado en CVE-2022-32902 se solucionó mejorando la gestión del estado. Una vulnerabilidad en la aplicación iMovie habría permitido a los atacantes ver información confidencial del usuario. Apple dice que habilitó el tiempo de ejecución reforzado para parchear el exploit en CVE-2022-32896.

La actualización macOS Monterey 12.6 resuelve tres errores a nivel de kernel. Uno de estos, descrito en CVE-2022-32911, permitía la ejecución de código arbitrario con privilegios de kernel. Otro error, al que se hace referencia en CVE-2022-32864, pudo revelar la memoria del kernel. Apple mitigó ambos problemas al mejorar el manejo de la memoria.

Apple lanza la actualización macOS Monterey 12.6

La tercera vulnerabilidad del kernel, referida bajo CVE-2022-32917, era similar a la primera, es decir, permitía a los piratas informáticos ejecutar código arbitrario con privilegios del kernel. Apple dice que este problema de seguridad podría haber sido explotado activamente por los actores de amenazas. Este vector de ataque se ha abordado con controles de límites mejorados.

Un problema de seguridad en la aplicación Mapas podría haber permitido que otras aplicaciones leyeran información de ubicación confidencial, el error al que se hace referencia como CVE-2022-32883 se ha mitigado con restricciones mejoradas.

Es posible que los piratas informáticos hayan podido elevar los privilegios debido a un problema de corrupción de memoria en MediaLibrary. Este exploit, archivado bajo CVE-2022-32908, ha sido parcheado mejorando la validación de entrada. Se descubrió un problema de lógica similar en PackageKit (CVE-2022-32900) y se solucionó mejorando la administración del estado.

Actualización de macOS 12.6

Referencias: Manzana – 1 y 2

Correcciones de seguridad en iOS 15.7 y iPadOS 15.7

Los tres problemas del kernel, las vulnerabilidades descubiertas en la aplicación Maps y MediaLibrary que mencioné en la sección macOS Monterey también afectan a los iPhone, iPad y iPod. Los parches para estos errores se incluyen en las actualizaciones de iOS 15.7 y iPadOS 15.7.

Las aplicaciones podrían haber pasado por alto las restricciones de privacidad en la aplicación Contactos. Los sitios web maliciosos visitados a través de Safari pueden llevar a la suplantación de la barra de direcciones. Los errores abordados en CVE-2022-32854 y CVE-2022-32795 se corrigieron mejorando las comprobaciones. La aplicación Accesos directos podría permitir a los usuarios acceder a fotos desde la pantalla de bloqueo, si el atacante tuviera acceso físico a un dispositivo iOS. El problema de lógica informado en CVE-2022-32872 se resolvió mediante restricciones mejoradas. Safari Extensions podría rastrear a los usuarios debido a un problema de lógica (WebKit Bugzilla: 242278, CVE-2022-32868). Apple ha mejorado la gestión estatal para hacer frente a la vulnerabilidad.

Una amenaza relacionada con Webkit (WebKit Bugzilla: 241969, CVE-2022-32886) podría haber permitido que los navegadores web y otras aplicaciones web ejecutaran código malicioso. Esto fue el resultado de un problema de desbordamiento de búfer que se solucionó mejorando el manejo de la memoria. Se atribuyó un problema similar en WebKit (WebKit Bugzilla: 242762, CVE-2022-32912) debido a una lectura fuera de los límites. La amenaza se solucionó mejorando las comprobaciones de los límites.

Las actualizaciones de iOS 15.7 y iPadOS 15.7 están disponibles para iPhone 6s y posteriores, iPad Pro (todos los modelos), iPad Air 2 y posteriores, iPad de 5.ª generación y posteriores, iPad mini 4 y posteriores y iPod touch (7.ª generación). En caso de que te lo hayas perdido, Apple lanzó iOS 16 para iPhones elegibles, puedes leer nuestra cobertura anterior para obtener más información sobre las nuevas funciones en el software más reciente.