Acerca del contenido de seguridad de iOS 14.3 y iPadOS 14.3
En este documento se describe el contenido de seguridad de iOS 14.3 y iPadOS 14.3.
Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
iOS 14.3 y iPadOS 14.3
App Store
Disponible para: iPhone 6s y modelos posteriores, iPad Air 2 y modelos posteriores, iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: en un mensaje de instalación de una aplicación empresarial se podría mostrar el dominio incorrecto
Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.
CVE-2020-29613: Ryan Pickren (ryanpickren.com)
Audio
Disponible para: iPhone 6s y modelos posteriores, iPad Air 2 y modelos posteriores, iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: procesar un archivo de audio creado con fines malintencionados podría mostrar memoria restringida.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2020-29610: anónimo en colaboración con Zero Day Initiative de Trend Micro
CoreAudio
Disponible para: iPhone 6s y modelos posteriores, iPad Air 2 y modelos posteriores, iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: el procesamiento de un archivo de audio creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.
CVE-2020-27948: JunDong Xie de Ant Security Light-Year Lab
FontParser
Disponible para: iPhone 6s y modelos posteriores, iPad Air 2 y modelos posteriores, iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: un atacante remoto podría filtrar memoria.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.
CVE-2020-29608: Xingwei Lin de Ant Security Light-Year Lab
FontParser
Disponible para: iPhone 6s y modelos posteriores, iPad Air 2 y modelos posteriores, iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: procesar un sitio web creado con fines malintencionados podría provocar la revelación de la memoria de procesos
Descripción: se ha solucionado un problema de divulgación de información mejorando la gestión del estado.
CVE-2020-27946: Mateusz Jurczyk de Google Project Zero
FontParser
Disponible para: iPhone 6s y modelos posteriores, iPad Air 2 y modelos posteriores, iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: el procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar la ejecución arbitraria de código
Descripción: existía un problema de corrupción de la memoria en el procesamiento de archivos de tipo de letra. Se ha solucionado el problema mejorando la validación de las entradas.
CVE-2020-27943: Mateusz Jurczyk de Google Project Zero
CVE-2020-27944: Mateusz Jurczyk de Google Project Zero
CVE-2020-29624: Mateusz Jurczyk de Google Project Zero
ImageIO
Disponible para: iPhone 6s y modelos posteriores, iPad Air 2 y modelos posteriores, iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: procesar una imagen creada con fines malintencionados podría originar la denegación del servicio.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2020-29615: Xingwei Lin de Ant Security Light-Year Lab
ImageIO
Disponible para: iPhone 6s y modelos posteriores, iPad Air 2 y modelos posteriores, iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: procesar una imagen creada con fines maliciosos puede provocar daños en la memoria heap.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2020-29617: Xingwei Lin de Ant Security Light-Year Lab
CVE-2020-29619: Xingwei Lin de Ant Security Light-Year Lab
ImageIO
Disponible para: iPhone 6s y modelos posteriores, iPad Air 2 y modelos posteriores, iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2020-29618: XingWei Lin de Ant Security Light-Year Lab
ImageIO
Disponible para: iPhone 6s y modelos posteriores, iPad Air 2 y modelos posteriores, iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.
CVE-2020-29611: Alexandru-Vlad Niculae en colaboración con Google Project Zero
Model I/O
Disponible para: iPhone 6s y modelos posteriores, iPad Air 2 y modelos posteriores, iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: procesar un archivo creado con fines malintencionados puede provocar daños en la memoria heap.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2020-29614: ZhiWei Sun (@5n1p3r0010) de Topsec Alpha Lab
Model I/O
Disponible para: iPhone 6s y modelos posteriores, iPad Air 2 y modelos posteriores, iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: el procesamiento de un archivo USD diseñado con fines malintencionados podría provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de desbordamiento de búfer mejorando la gestión de la memoria.
CVE-2020-9972: Aleksandar Nikolic de Cisco Talos
Security
Disponible para: iPhone 6s y modelos posteriores, iPad Air 2 y modelos posteriores, iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: la ejecución no autorizada de código podría infringir la política de autenticación
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2020-27951: Apple
WebKit Storage
Disponible para: iPhone 6s y modelos posteriores, iPad Air 2 y modelos posteriores, iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: un usuario podría ser incapaz de eliminar por completo el historial de navegación.
Descripción: “Borrar historial y datos de sitios web” no borraba el historial. Este problema se ha solucionado mejorando la eliminación de los datos.
CVE-2020-29623: Simon Hunt de OvalTwo LTD
WebRTC
Disponible para: iPhone 6s y modelos posteriores, iPad Air 2 y modelos posteriores, iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
CVE-2020-15969: investigador anónimo
Wi-Fi
Disponible para: iPhone 6s y modelos posteriores, iPad Air 2 y modelos posteriores, iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un desbordamiento de búfer mejorando la validación del tamaño.
CVE-2021-31077: Lee de CompSec@SNU
Otros agradecimientos
CoreAudio
Queremos dar las gracias por su ayuda a JunDong Xie y Xingwei Lin de Ant Security Light-Year Lab.
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.