Junto con el lanzamiento de iOS y iPadOS 15.3, watchOS 8.4 y más, Apple comenzó hoy a implementar macOS Monterey 12.2 para todos los clientes. La solución más notable de la actualización resuelve un problema que permitía a Safari filtrar información confidencial entre páginas web.
Un error de almacenamiento de WebKit provocó una fuga en Safari
En las notas de la versión, Apple señala un problema de origen cruzado en la API IndexDB. Identificado como CVE-2022-22594 y reportado por Martin Bajanik de FingerprintJS, el error permitió a los sitios web rastrear información confidencial del usuario en diferentes sitios.
Según Apple, la validación de entrada mejorada resolvió el problema. Probadores en 9to5Mac confirmó el el error ya no afecta Safari en macOS a partir de la versión candidata distribuida la semana pasada.
Apple también solucionó otros tres problemas de seguridad en WebKit. Estos incluyen problemas que permiten correos electrónicos y contenido web creados con fines malintencionados que permiten la ejecución de código arbitrario, así como el ingreso a políticas de seguridad de contenido.
Otros problemas resueltos en macOS Monterey 12.2
La cantidad de errores corregidos por macOS Monterey 12.2 es una lista bastante extensa, por lo que instalar la actualización lo antes posible sería una gran idea. Hazlo yendo a Preferencias del sistema > Actualización de software y haciendo clic Actualizar ahora. Si no aparece de inmediato, es posible que tengas que actualizar la Actualización de software para que aparezca.
Aquí está la lista completa de correcciones de seguridad encontradas en la última actualización.
Núcleo AMD
Impacto: una aplicación maliciosa podría ejecutar código arbitrario con privilegios del kernel
CVE-2022-22586: un investigador anónimo
Sincronización de colores
Impacto: El procesamiento de un archivo creado con fines malintencionados puede provocar la ejecución de código arbitrario.
CVE-2022-22584: Mickey Jin (@patch1t) de Trend Micro
Reporte de accidente
Impacto: una aplicación maliciosa podría obtener privilegios de root
CVE-2022-22578: un investigador anónimo
iCloud
Impacto: una aplicación podría acceder a los archivos de un usuario
CVE-2022-22585: Zhipeng Huo (@R3dF09) de Tencent Security Xuanwu Lab (https://xlab.tencent.com)
Controlador de gráficos Intel
Impacto: una aplicación maliciosa podría ejecutar código arbitrario con privilegios del kernel
CVE-2022-22591: Antonio Zekic (@antoniozekic) de Diverto
IOMobileFrameBuffer
Impacto: una aplicación maliciosa podría ejecutar código arbitrario con privilegios del kernel. Apple tiene conocimiento de un informe que indica que este problema puede haber sido explotado activamente.
CVE-2022-22587: un investigador anónimo, Meysam Firouzi (@R00tkitSMM) de MBition – Mercedes-Benz Innovation Lab, Siddharth Aeri (@b1n4r1b01)
Núcleo
Impacto: una aplicación maliciosa podría ejecutar código arbitrario con privilegios del kernel
CVE-2022-22593: Peter Nguyễn Vũ Hoàng de STAR Labs
Modelo de E/S
Impacto: El procesamiento de un archivo STL creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario.
CVE-2022-22579: Mickey Jin (@patch1t) de Trend Micro
PaqueteKit
Impacto: Es posible que una aplicación pueda acceder a archivos restringidos
CVE-2022-22583: un investigador anónimo, Mickey Jin (@patch1t), Ron Hass (@ronhass7) de Perception Point
kit web
Impacto: Procesar un mensaje de correo creado con fines malintencionados puede provocar la ejecución de JavaScript arbitrario.
Descripción: Se solucionó un problema de validación mejorando la desinfección de los insumos.
CVE-2022-22589: Heige del equipo KnownSec 404 (conocidosec.com) y Bo Qu de Palo Alto Networks (paloaltonetworks.com)
kit web
Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar la ejecución de código arbitrario.
CVE-2022-22590: Toan Pham del Equipo Orca de Sea Security (seguridad.sea.com)
kit web
Impacto: el procesamiento de contenido web creado con fines malintencionados puede impedir que se aplique la política de seguridad de contenido
CVE-2022-22592: Prakash (@1lastBr3ath)
Almacenamiento WebKit
Impacto: un sitio web podría rastrear información confidencial del usuario
CVE-2022-22594: Martin Bajanik de FingerprintJS