Acerca del contenido de seguridad de macOS Big Sur 11.1 y las actualizaciones de seguridad 2020-001 de Catalina y 2020-007 de Mojave

En este documento, se describe el contenido de seguridad de macOS Big Sur 11.1 y las actualizaciones de seguridad 2020-001 de Catalina y 2020-007 de Mojave.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Las versiones más recientes se pueden encontrar en la página Actualizaciones de seguridad de Apple.

Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que es posible.

Para obtener más información sobre la seguridad, consulta la página de seguridad de los productos Apple.

macOS Big Sur 11.1 y las actualizaciones de seguridad 2020-001 de Catalina y 2020-007 de Mojave

Publicado el 14 de diciembre de 2020

AMD

Disponible para macOS Mojave 10.14.6 y macOS Catalina 10.15.7

Impacto: Una app creada con fines malintencionados podía ejecutar código arbitrario con privilegios del sistema

Descripción: Se mejoró la validación de entradas para solucionar un problema de daños en la memoria.

CVE-2020-27914: Yu Wang de Didi Research America

CVE-2020-27915: Yu Wang de Didi Research America

AMD

Disponible para macOS Big Sur 11.0.1

Impacto: Un usuario local podía provocar el cierre inesperado del sistema o leer la memoria del kernel.

Descripción: Existía un problema de lectura fuera de los límites que ocasionó la divulgación de contenido de la memoria del kernel. Este problema se solucionó mejorando la validación de entradas.

CVE-2020-27936: Yu Wang de Didi Research America

Entrada agregada el 1 de febrero de 2021

App Store

Disponible para macOS Mojave 10.14.6 y macOS Catalina 10.15.7

Impacto: Una app podía obtener privilegios elevados.

Descripción: Este problema se solucionó mediante la eliminación del código vulnerable.

CVE-2020-27903: Zhipeng Huo (@R3dF09) de Tencent Security Xuanwu Lab

AppleGraphicsControl

Disponible para macOS Mojave 10.14.6, macOS Catalina 10.15.7 y macOS Big Sur 11.0.1

Impacto: Una app podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de validación mejorando la lógica.

CVE-2020-27941: shrek_wzw

AppleMobileFileIntegrity

Disponible para macOS Big Sur 11.0.1

Impacto: Una app creada con fines malintencionados podía omitir las preferencias de privacidad.

Descripción: Para solucionar este problema, se mejoraron las comprobaciones.

CVE-2020-29621: Wojciech Reguła (@_r3ggi) de SecuRing

Audio

Disponible para macOS Big Sur 11.0.1

Impacto: Es posible que el procesamiento de un archivo de audio creado con fines malintencionados revele memoria restringida

Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la validación de entradas.

CVE-2020-29610: Anónimo en colaboración con la iniciativa Zero Day de Trend Micro

Entrada agregada el 16 de marzo de 2021

Audio

Disponible para macOS Mojave 10.14.6 y macOS Catalina 10.15.7

Impacto: Es posible que el procesamiento de un archivo de audio creado con fines malintencionados ocasione la ejecución de código arbitrario

Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la validación de entradas.

CVE-2020-27910: JunDong Xie y XingWei Lin de Ant Security Light-Year Lab

Audio

Disponible para macOS Mojave 10.14.6 y macOS Catalina 10.15.7

Impacto: Una app creada con fines malintencionados podía leer la memoria restringida.

Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la comprobación de límites.

CVE-2020-9943: JunDong Xie de Ant Security Light-Year Lab

Audio

Disponible para macOS Mojave 10.14.6 y macOS Catalina 10.15.7

Impacto: Una app podía leer la memoria restringida.

Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la comprobación de límites.

CVE-2020-9944: JunDong Xie de Ant Security Light-Year Lab

Audio

Disponible para macOS Mojave 10.14.6 y macOS Catalina 10.15.7

Impacto: El procesamiento de un archivo de audio creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Se mejoró la validación de entradas para solucionar un problema de escritura fuera de los límites.

CVE-2020-27916: JunDong Xie de Ant Security Light-Year Lab

Bluetooth

Disponible para macOS Mojave 10.14.6 y macOS Catalina 10.15.7

Impacto: Un atacante remoto podía ocasionar el cierre inesperado de una app o daños en la memoria del montón.

Descripción: Se solucionaron varios problemas de desbordamiento de enteros mejorando la validación de entradas.

CVE-2020-27906: Zuozhi Fan (@pattern_F_) de Ant Group Tianqiong Security Lab

CoreAudio

Disponible para macOS Mojave 10.14.6, macOS Catalina 10.15.7 y macOS Big Sur 11.0.1

Impacto: Es posible que el procesamiento de un archivo de audio creado con fines malintencionados ocasione la ejecución de código arbitrario

Descripción: Se mejoró la comprobación de límites para solucionar un problema de escritura fuera de los límites.

CVE-2020-27948: JunDong Xie de Ant Security Light-Year Lab

CoreAudio

Disponible para macOS Mojave 10.14.6 y macOS Catalina 10.15.7

Impacto: Es posible que el procesamiento de un archivo de audio creado con fines malintencionados ocasione la ejecución de código arbitrario

Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la validación de entradas.

CVE-2020-27908: Investigador anónimo en colaboración con la iniciativa Zero Day de Trend Micro, JunDong Xie y Xingwei Lin de Ant Security Light-Year Lab

CVE-2020-9960: JunDong Xie y Xingwei Lin de Ant Security Light-Year Lab

Entrada actualizada el 16 de marzo de 2021

CoreAudio

Disponible para macOS Mojave 10.14.6 y macOS Catalina 10.15.7

Impacto: El procesamiento de un archivo de audio creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Se mejoró la validación de entradas para solucionar un problema de escritura fuera de los límites.

CVE-2020-10017: Francis en colaboración con la iniciativa Zero Day de Trend Micro, JunDong Xie de Ant Security Light-Year Lab

CoreText

Disponible para macOS Mojave 10.14.6 y macOS Catalina 10.15.7

Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.

CVE-2020-27922: Mickey Jin de Trend Micro

CUPS

Disponible para macOS Mojave 10.14.6 y macOS Catalina 10.15.7

Impacto: Es posible que una app creada con fines malintencionados pueda leer la memoria restringida

Descripción: Se solucionó un problema de validación de entradas mejorando el manejo de la memoria.

CVE-2020-10001: Niky <kittymore83@gmail.com> de China Mobile

Entrada agregada el 1 de febrero de 2021

FontParser

Disponible para macOS Big Sur 11.0.1

Impacto: El procesamiento de un tipo de letra creado con fines malintencionados podía ocasionar la divulgación de la memoria de un proceso.

Descripción: Se mejoró la administración de estados para solucionar un problema de divulgación de información.

CVE-2020-27946: Mateusz Jurczyk de Google Project Zero

FontParser

Disponible para macOS Mojave 10.14.6 y macOS Catalina 10.15.7

Impacto: El procesamiento de una imagen creada con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Se solucionó un problema de desbordamiento de búferes mejorando la validación de tamaños.

CVE-2020-9962: Yiğit Can YILMAZ (@yilmazcanyigit)

FontParser

Disponible para macOS Mojave 10.14.6 y macOS Catalina 10.15.7

Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Se mejoró la validación de entradas para solucionar un problema de escritura fuera de los límites.

CVE-2020-27952: Un investigador anónimo, Mickey Jin y Junzhi Lu de Trend Micro

FontParser

Disponible para macOS Mojave 10.14.6 y macOS Catalina 10.15.7

Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Se mejoró la validación de entradas para solucionar un problema de lectura fuera de los límites.

CVE-2020-9956: Mickey Jin y Junzhi Lu de Trend Micro Mobile Security Research Team en colaboración con la iniciativa Zero Day de Trend Micro

FontParser

Disponible para macOS High Sierra 10.13.6, macOS Mojave 10.14.6 y macOS Big Sur 11.0.1

Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Existía un problema de daños en la memoria en el procesamiento de archivos de tipos de letra. Para solucionar este problema, se mejoró la validación de entradas.

CVE-2020-27931: Apple

CVE-2020-27943: Mateusz Jurczyk de Google Project Zero

CVE-2020-27944: Mateusz Jurczyk de Google Project Zero

CVE-2020-29624: Mateusz Jurczyk de Google Project Zero

Entrada actualizada el 22 de diciembre de 2020

FontParser

Disponible para macOS Big Sur 11.0.1

Impacto: Es posible que un atacante remoto pueda producir una fuga de memoria

Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la comprobación de límites.

CVE-2020-29608: Xingwei Lin de Ant Security Light-Year Lab

Entrada agregada el 1 de febrero de 2021

Foundation

Disponible para macOS Mojave 10.14.6 y macOS Catalina 10.15.7

Impacto: Un usuario local podía leer archivos arbitrarios.

Descripción: Se solucionó un problema de lógica mejorando la administración de estado.

CVE-2020-10002: James Hutchins

Drivers de gráficos

Disponible para macOS Mojave 10.14.6, macOS Catalina 10.15.7 y macOS Big Sur 11.0.1

Impacto: Una app podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se mejoró la validación de entradas para solucionar un problema de daños en la memoria.

CVE-2020-27947: ABC Research s.r.o. en colaboración con la iniciativa Zero Day de Trend Micro, Liu Long de Ant Security Light-Year Lab

Entrada actualizada el 16 de marzo de 2021

Drivers de gráficos

Disponible para macOS Mojave 10.14.6, macOS Catalina 10.15.7 y macOS Big Sur 11.0.1

Impacto: Una app creada con fines malintencionados podía ejecutar código arbitrario con privilegios del sistema

Descripción: Se mejoró la comprobación de límites para solucionar un problema de escritura fuera de los límites.

CVE-2020-29612: ABC Research s.r.o. en colaboración con la iniciativa Zero Day de Trend Micro

HomeKit

Disponible para macOS Mojave 10.14.6 y macOS Catalina 10.15.7

Impacto: Un atacante con una posición de red privilegiada podía alterar el estado de las apps de manera inesperada.

Descripción: Se mejoró la propagación de la configuración para solucionar este problema.

CVE-2020-9978: Luyi Xing, Dongfang Zhao y Xiaofeng Wang de la Universidad de Indiana Bloomington; Yan Jia de la Universidad de Xidian y la Universidad de la Academia de Ciencias de China, y Bin Yuan de la Universidad de Ciencia y Tecnología de HuaZhong

ImageIO

Disponible para macOS High Sierra 10.13.6, macOS Mojave 10.14.6 y macOS Catalina 10.15.7

Impacto: El procesamiento de una imagen creada con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Para solucionar este problema, se mejoraron las comprobaciones.

CVE-2020-27939: XingWei Lin de Ant Security Light-Year Lab

CVE-2020-29625: XingWei Lin de Ant Security Light-Year Lab

Entrada agregada el 22 de diciembre de 2020 y actualizada el 1 de febrero de 2021

ImageIO

Disponible para macOS Catalina 10.15.7 y macOS Big Sur 11.0.1

Impacto: El procesamiento de una imagen creada con fines malintencionados podía ocasionar una denegación de servicio.

Descripción: Se mejoró la validación de entradas para solucionar un problema de lectura fuera de los límites.

CVE-2020-29615: XingWei Lin de Ant Security Light-Year Lab

Entrada agregada el 1 de febrero de 2021

ImageIO

Disponible para macOS Big Sur 11.0.1

Impacto: El procesamiento de una imagen creada con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Se solucionó un problema de daños en la memoria mejorando la validación de entradas.

CVE-2020-29616: zhouat en colaboración con la iniciativa Zero Day de Trend Micro

ImageIO

Disponible para macOS Mojave 10.14.6, macOS Catalina 10.15.7 y macOS Big Sur 11.0.1

Impacto: Es posible que el procesamiento de una imagen creada con fines malintencionados pueda ocasionar la ejecución de código arbitrario

Descripción: Se mejoró la validación de entradas para solucionar un problema de lectura fuera de los límites.

CVE-2020-27924: Lei Sun

CVE-2020-29618: XingWei Lin de Ant Security Light-Year Lab

ImageIO

Disponible para macOS High Sierra 10.13.6, macOS Mojave 10.14.6 y macOS Big Sur 11.0.1

Impacto: Es posible que el procesamiento de una imagen creada con fines malintencionados pueda ocasionar la ejecución de código arbitrario

Descripción: Se mejoró la comprobación de límites para solucionar un problema de escritura fuera de los límites.

CVE-2020-29611: Alexandru-Vlad Niculae en colaboración con Google Project Zero

Entrada actualizada el 17 de diciembre de 2020

ImageIO

Disponible para macOS Mojave 10.14.6, macOS Catalina 10.15.7 y macOS Big Sur 11.0.1

Impacto: El procesamiento de una imagen creada con fines malintencionados podía generar daños en la memoria del montón.

Descripción: Se mejoró la validación de entradas para solucionar un problema de lectura fuera de los límites.

CVE-2020-29617: XingWei Lin de Ant Security Light-Year Lab

CVE-2020-29619: XingWei Lin de Ant Security Light-Year Lab

ImageIO

Disponible para macOS Mojave 10.14.6 y macOS Catalina 10.15.7

Impacto: El procesamiento de una imagen creada con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Se mejoró la validación de entradas para solucionar un problema de escritura fuera de los límites.

CVE-2020-27912: XingWei Lin de Ant Security Light-Year Lab

CVE-2020-27923: Lei Sun

Procesamiento de imágenes

Disponible para macOS Mojave 10.14.6 y macOS Catalina 10.15.7

Impacto: El procesamiento de una imagen creada con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Se mejoró la validación de entradas para solucionar un problema de escritura fuera de los límites.

CVE-2020-27919: Hou JingYi (@hjy79425575) de Qihoo 360 CERT, XingWei Lin de Ant Security Light-Year Lab

Driver de gráficos Intel

Disponible para macOS Mojave 10.14.6 y macOS Catalina 10.15.7

Impacto: Una app podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se mejoró la comprobación de límites para solucionar un problema de escritura fuera de los límites.

CVE-2020-10015: ABC Research s.r.o. en colaboración con la iniciativa Zero Day de Trend Micro

CVE-2020-27897: Xiaolong Bai y Min (Spark) Zheng de Alibaba Inc. y Luyi Xing de la Universidad de Indiana Bloomington

Driver de gráficos Intel

Disponible para macOS Mojave 10.14.6 y macOS Catalina 10.15.7

Impacto: Una app podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.

CVE-2020-27907: ABC Research s.r.o. en colaboración con la iniciativa Zero Day de Trend Micro, Liu Long de Ant Security Light-Year Lab

Entrada actualizada el 16 de marzo de 2021

Kernel

Disponible para macOS Mojave 10.14.6 y macOS Catalina 10.15.7

Impacto: Una app creada con fines malintencionados podía determinar la distribución de la memoria del kernel.

Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.

CVE-2020-9974: Tommy Muir (@Muirey03)

Kernel

Disponible para macOS Mojave 10.14.6 y macOS Catalina 10.15.7

Impacto: Una app podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se mejoró la administración de estados para solucionar un problema de daños en la memoria.

CVE-2020-10016: Alex Helie

Kernel

Disponible para macOS Mojave 10.14.6 y macOS Catalina 10.15.7

Impacto: Un atacante remoto podía provocar el cierre inesperado del sistema o daños en la memoria del kernel

Descripción: Se solucionaron varios problemas de daños en la memoria mejorando la validación de entradas.

CVE-2020-9967: Alex Plaskett (@alexjplaskett)

Kernel

Disponible para macOS Mojave 10.14.6 y macOS Catalina 10.15.7

Impacto: Una app podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de uso después de liberación mejorando la administración de la memoria.

CVE-2020-9975: Tielei Wang de Pangu Lab

Kernel

Disponible para macOS Mojave 10.14.6 y macOS Catalina 10.15.7

Impacto: Una app podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se mejoró el manejo de estados para solucionar un problema de condición de carrera.

CVE-2020-27921: Linus Henze (pinauten.de)

Kernel

Disponible para macOS Mojave 10.14.6, macOS Catalina 10.15.7 y macOS Big Sur 11.0.1

Impacto: Una app creada con fines malintencionados podía ocasionar cambios inesperados en la memoria de los procesos rastreados por DTrace.

Descripción: Este problema se solucionó mejorando las comprobaciones para impedir las acciones no autorizadas.

CVE-2020-27949: Steffen Klee (@_kleest) de TU Darmstadt, Secure Mobile Networking Lab

Kernel

Disponible para macOS Big Sur 11.0.1

Impacto: Una app creada con fines malintencionados podía elevar privilegios.

Descripción: Se mejoraron los derechos para solucionar este problema.

CVE-2020-29620: Csaba Fitzl (@theevilbit) de Offensive Security

libxml2

Disponible para macOS Mojave 10.14.6 y macOS Catalina 10.15.7

Impacto: Un atacante remoto podía ocasionar el cierre inesperado de una app o la ejecución de código arbitrario.

Descripción: Se solucionó un problema de desbordamiento de enteros mejorando la validación de entradas.

CVE-2020-27911: Detectado por OSS-Fuzz

libxml2

Disponible para macOS Mojave 10.14.6 y macOS Catalina 10.15.7

Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar la ejecución de código.

Descripción: Se solucionó un problema de uso después de liberación mejorando la administración de la memoria.

CVE-2020-27920: Detectado por OSS-Fuzz

libxml2

Disponible para macOS Mojave 10.14.6 y macOS Catalina 10.15.7

Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Se solucionó un problema de uso después de liberación mejorando la administración de la memoria.

CVE-2020-27926: Detectado por OSS-Fuzz

libxpc

Disponible para macOS Mojave 10.14.6 y macOS Catalina 10.15.7

Impacto: Una app creada con fines malintencionados podía salir de su zona protegida.

Descripción: Se solucionó un problema de análisis sintáctico en el manejo de rutas de directorios mejorando la validación de rutas.

CVE-2020-10014: Zhipeng Huo (@R3dF09) de Tencent Security Xuanwu Lab

Registros

Disponible para macOS Mojave 10.14.6 y macOS Catalina 10.15.7

Impacto: Un atacante local podía aumentar sus privilegios.

Descripción: Se mejoró la validación para solucionar un problema de manejo de rutas.

CVE-2020-10010: Tommy Muir (@Muirey03)

Ventana de inicio de sesión

Disponible para macOS Big Sur 11.0.1

Impacto: Un atacante con una posición de red privilegiada podía omitir políticas de autenticación.

Descripción: Se solucionó un problema de autenticación mejorando la administración de estados.

CVE-2020-29633: Jewel Lambert de Original Spin, LLC.

Entrada agregada el 1 de febrero de 2021

E/S de modelo

Disponible para macOS Big Sur 11.0.1

Impacto: El procesamiento de un archivo creado con fines malintencionados podía generar daños en la memoria del montón.

Descripción: Para solucionar este problema, se mejoraron las comprobaciones.

CVE-2020-29614: ZhiWei Sun (@5n1p3r0010) de Topsec Alpha Lab

Entrada agregada el 1 de febrero de 2021

E/S de modelo

Disponible para macOS Catalina 10.15.7

Impacto: El procesamiento de un archivo USD creado con fines malintencionados podía ocasionar el cierre inesperado de una app o la ejecución de código arbitrario

Descripción: Se mejoró la comprobación de límites para solucionar un problema de escritura fuera de los límites.

CVE-2020-13520: Aleksandar Nikolic de Cisco Talos

Entrada agregada el 1 de febrero de 2021

E/S de modelo

Disponible para macOS Catalina 10.15.7 y macOS Big Sur 11.0.1

Impacto: El procesamiento de un archivo USD creado con fines malintencionados podía ocasionar el cierre inesperado de una app o la ejecución de código arbitrario

Descripción: Se mejoró el manejo de la memoria para solucionar un problema de desbordamiento de búferes.

CVE-2020-9972: Aleksandar Nikolic de Cisco Talos

Entrada agregada el 1 de febrero de 2021

E/S de modelo

Disponible para macOS Mojave 10.14.6 y macOS Catalina 10.15.7

Impacto: El procesamiento de un archivo USD creado con fines malintencionados podía ocasionar el cierre inesperado de una app o la ejecución de código arbitrario.

Descripción: Se mejoró la validación de entradas para solucionar un problema de lectura fuera de los límites.

CVE-2020-13524: Aleksandar Nikolic de Cisco Talos

E/S de modelo

Disponible para macOS Mojave 10.14.6 y macOS Catalina 10.15.7

Impacto: Abrir un archivo creado con fines malintencionados podía ocasionar el cierre inesperado de una app o la ejecución de código arbitrario.

Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.

CVE-2020-10004: Aleksandar Nikolic de Cisco Talos

NSRemoteView

Disponible para macOS Mojave 10.14.6 y macOS Catalina 10.15.7

Impacto: Es posible que un proceso aislado pueda eludir las restricciones de la zona protegida

Descripción: Se solucionó un problema de lógica mejorando las restricciones.

CVE-2020-27901: Thijs Alkemade de Computest Research Division

Administración de energía

Disponible para macOS Big Sur 11.0.1

Impacto: Una app creada con fines malintencionados podía elevar privilegios.

Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.

CVE-2020-27938: Tim Michaud (@TimGMichaud) de Leviathan

Entrada agregada el 1 de febrero de 2021

Administración de energía

Disponible para macOS Mojave 10.14.6 y macOS Catalina 10.15.7

Impacto: Una app creada con fines malintencionados podía determinar la distribución de la memoria del kernel.

Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.

CVE-2020-10007: singi@theori en colaboración con la iniciativa Zero Day de Trend Micro

Vista rápida

Disponible para macOS Mojave 10.14.6 y macOS Catalina 10.15.7

Impacto: El procesamiento de un documento creado con fines malintencionados podía ocasionar un ataque de scripts de sitios.

Descripción: Se solucionó un problema de acceso mejorando las restricciones de acceso.

CVE-2020-10012: Heige de KnownSec 404 Team (knownsec.com) y Bo Qu de Palo Alto Networks (paloaltonetworks.com)

Ruby

Disponible para macOS Mojave 10.14.6 y macOS Catalina 10.15.7

Impacto: Un atacante remoto podía modificar el sistema de archivos.

Descripción: Se mejoró la validación para solucionar un problema de manejo de rutas.

CVE-2020-27896: Un investigador anónimo

Preferencias del Sistema

Disponible para macOS Mojave 10.14.6 y macOS Catalina 10.15.7

Impacto: Un proceso aislado podía eludir las restricciones de la zona protegida.

Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.

CVE-2020-10009: Thijs Alkemade de Computest Research Division

Almacenamiento de WebKit

Disponible para macOS Big Sur 11.0.1

Impacto: Un usuario podía no ser capaz de eliminar el historial de búsqueda por completo.

Descripción: La opción “Borrar historial y datos” no borraba el historial. Se mejoró la eliminación de datos para solucionar el problema.

CVE-2020-29623: Simon Hunt de OvalTwo LTD

Entrada agregada el 1 de febrero de 2021

WebRTC

Disponible para macOS Big Sur 11.0.1

Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Se solucionó un problema de uso después de liberación mejorando la administración de la memoria.

CVE-2020-15969: Un investigador anónimo

Wi-Fi

Disponible para macOS Mojave 10.14.6 y macOS Catalina 10.15.7

Impacto: Un atacante podía omitir la protección de marcos administrada.

Descripción: Se mejoró el manejo de estados para solucionar un problema de denegación de servicio.

CVE-2020-27898: Stephan Marais de la Universidad de Johannesburgo

 

Otros agradecimientos

CoreAudio

Nos gustaría darles las gracias a JunDong Xie y Xingwei Lin de Ant Security Light-Year Lab por su ayuda.

Entrada agregada el 16 de marzo de 2021

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.

Fecha de publicación: