Acerca del contenido de seguridad de macOS Catalina 10.15.6, la actualización de seguridad 2020-004 Mojave y la actualización de seguridad 2020-004 High Sierra
En este documento se describe el contenido de seguridad de macOS Catalina 10.15.6, la actualización de seguridad 2020-004 Mojave y la actualización de seguridad 2020-004 High Sierra.
Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
macOS Catalina 10.15.6, actualización de seguridad 2020-004 Mojave y actualización de seguridad 2020-004 High Sierra
AMD
Disponible para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 y macOS Catalina 10.15.5
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.
CVE-2020-9927: Lilang Wu en colaboración con Zero Day Initiative de Trend Micro
Audio
Disponible para: macOS Catalina 10.15.5
Impacto: el procesamiento de un archivo de audio creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.
CVE-2020-9884: Yu Zhou(@yuzhou6666) de 小鸡帮 en colaboración con Zero Day Initiative de Trend Micro
CVE-2020-9889: anónimo en colaboración con Zero Day Initiative de Trend Micro, y JunDong Xie y XingWei Lin de Ant-financial Light-Year Security Lab
Audio
Disponible para: macOS Catalina 10.15.5
Impacto: el procesamiento de un archivo de audio creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.
CVE-2020-9888: JunDong Xie y XingWei Lin de Ant-financial Light-Year Security Lab
CVE-2020-9890: JunDong Xie y XingWei Lin de Ant-financial Light-Year Security Lab
CVE-2020-9891: JunDong Xie y XingWei Lin de Ant-financial Light-Year Security Lab
Bluetooth
Disponible para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 y macOS Catalina 10.15.5
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.
CVE-2020-9928: Yu Wang de Didi Research America
Bluetooth
Disponible para: macOS Mojave 10.14.6 y macOS Catalina 10.15.5
Impacto: un usuario local podría ser capaz de provocar el cierre inesperado del sistema o leer la memoria del kernel.
Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.
CVE-2020-9929: Yu Wang de Didi Research America
Clang
Disponible para: macOS Catalina 10.15.5
Impacto: Clang puede generar código de máquina que no aplica correctamente códigos de autenticación de puntero.
Descripción: se ha solucionado un problema de lógica mejorando la validación.
CVE-2020-9870: Samuel Groß de Google Project Zero
CoreAudio
Disponible para: macOS High Sierra 10.13.6
Impacto: un desbordamiento de búfer puede provocar la ejecución de código arbitrario.
Descripción: se ha solucionado un desbordamiento de búfer mejorando la comprobación de límites.
CVE-2020-9866: Yu Zhou de 小鸡帮 y Jundong Xie de Ant-Financial Light-Year Security Lab
Core Bluetooth
Disponible para: macOS Catalina 10.15.5
Impacto: un atacante remoto podría provocar la finalización inesperada de la aplicación.
Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.
CVE-2020-9869: Patrick Wardle de Jamf
CoreCapture
Disponible para: macOS Mojave 10.14.6 y macOS High Sierra 10.13.6
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
CVE-2020-9949: Proteas
CoreFoundation
Disponible para: macOS Catalina 10.15.5
Impacto: un usuario local podría ser capaz de ver información confidencial de los usuarios.
Descripción: existía un problema en la gestión de las variables de entorno. Este problema se ha solucionado mejorando la validación de las direcciones.
CVE-2020-9934: Matt Shockley (linkedin.com/in/shocktop)
CoreGraphics
Disponible para: macOS Catalina 10.15.5
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de desbordamiento de búfer mejorando la gestión de la memoria.
CVE-2020-9883: un investigador anónimo y Mickey Jin de Trend Micro
Crash Reporter
Disponible para: macOS Catalina 10.15.5
Impacto: una aplicación maliciosa podría salir de su zona restringida.
Descripción: se ha solucionado un problema de corrupción de memoria eliminando el código vulnerable.
CVE-2020-9865: Zhuo Liang de Qihoo 360 Vulcan Team en colaboración con 360 BugCloud
Crash Reporter
Disponible para: macOS Catalina 10.15.5
Impacto: un atacante local podría aumentar sus privilegios.
Descripción: había un problema en la lógica de la validación de las rutas de los enlaces simbólicos. Este problema se ha solucionado mejorando el saneamiento de las rutas.
CVE-2020-9900: Cees Elzinga, Zhongcheng Li (CK01) del equipo Zero-dayits de Legendsec en el Grupo Qi'anxin
FontParser
Disponible para: macOS Catalina 10.15.5
Impacto: el procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar la ejecución arbitraria de código
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.
CVE-2020-9980: Xingwei Lin de Ant Security Light-Year Lab
Graphics Drivers
Disponible para: macOS Catalina 10.15.5
Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.
CVE-2020-9799: ABC Research s.r.o.
Heimdal
Disponible para: macOS Catalina 10.15.5
Impacto: un usuario local podría filtrar información confidencial de los usuarios.
Descripción: este problema se ha solucionado con una protección de datos mejorada.
CVE-2020-9913: Cody Thomas de SpecterOps
ImageIO
Disponible para: macOS Catalina 10.15.5
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.
CVE-2020-27933: Xingwei Lin de Ant-Financial Light-Year Security Lab
ImageIO
Disponible para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 y macOS Catalina 10.15.5
Impacto: existían varios problemas de desbordamiento de búfer en openEXR.
Descripción: se han solucionado varios problemas en openEXR mejorando las comprobaciones.
CVE-2020-11758: Xingwei Lin de Ant-Financial Light-Year Security Lab
CVE-2020-11759: Xingwei Lin de Ant-Financial Light-Year Security Lab
CVE-2020-11760: Xingwei Lin de Ant-Financial Light-Year Security Lab
CVE-2020-11761: Xingwei Lin de Ant-Financial Light-Year Security Lab
CVE-2020-11762: Xingwei Lin de Ant-Financial Light-Year Security Lab
CVE-2020-11763: Xingwei Lin de Ant-Financial Light-Year Security Lab
CVE-2020-11764: Xingwei Lin de Ant-Financial Light-Year Security Lab
CVE-2020-11765: Xingwei Lin de Ant-Financial Light-Year Security Lab
ImageIO
Disponible para: macOS Catalina 10.15.5
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.
CVE-2020-9871: Xingwei Lin de Ant-Financial Light-Year Security Lab
CVE-2020-9872: Xingwei Lin de Ant-Financial Light-Year Security Lab
CVE-2020-9874: Xingwei Lin de Ant-Financial Light-Year Security Lab
CVE-2020-9879: Xingwei Lin de Ant-Financial Light-Year Security Lab
CVE-2020-9936: Mickey Jin de Trend Micro
CVE-2020-9937: Xingwei Lin de Ant-Financial Light-Year Security Lab
ImageIO
Disponible para: macOS Catalina 10.15.5
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de desbordamiento de búfer mejorando la gestión de la memoria.
CVE-2020-9919: Mickey Jin de Trend Micro
ImageIO
Disponible para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 y macOS Catalina 10.15.5
Impacto: la apertura de un archivo PDF diseñado con fines malintencionados podría provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.
CVE-2020-9876: Mickey Jin de Trend Micro
ImageIO
Disponible para: macOS Catalina 10.15.5
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2020-9873: Xingwei Lin de Ant-Financial Light-Year Security Lab
CVE-2020-9938: Xingwei Lin de Ant-Financial Light-Year Security Lab
ImageIO
Disponible para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 y macOS Catalina 10.15.5
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.
CVE-2020-9877: Xingwei Lin de Ant-Financial Light-Year Security Lab
ImageIO
Disponible para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 y macOS Catalina 10.15.5
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un desbordamiento de enteros mejorando la validación de las entradas.
CVE-2020-9875: Mickey Jin de Trend Micro
ImageIO
Disponible para: macOS Mojave 10.14.6 y macOS Catalina 10.15.5
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2020-9873: Xingwei Lin de Ant-Financial Light-Year Security Lab
CVE-2020-9938: Xingwei Lin de Ant-Financial Light-Year Security Lab
CVE-2020-9984: investigador anónimo
Image Processing
Disponible para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 y macOS Catalina 10.15.5
Impacto: ver un archivo JPEG creado con fines malintencionados podría provocar la ejecución de código arbitrario.
Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.
CVE-2020-9887: Mickey Jin de Trend Micro
Intel Graphics Driver
Disponible para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 y macOS Catalina 10.15.5
Impacto: un usuario local podría ser capaz de provocar el cierre inesperado del sistema o leer la memoria del kernel.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2020-9908: Junzhi Lu (@pwn0rz) en colaboración con Zero Day Initiative de Trend Micro
Intel Graphics Driver
Disponible para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 y macOS Catalina 10.15.5
Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado una condición de carrera mediante una validación adicional.
CVE-2020-9990: ABC Research s.r.l. en colaboración con Zero Day Initiative de Trend Micro y ABC Research s.r.o. en colaboración con Zero Day Initiative de Trend Micro
Intel Graphics Driver
Disponible para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 y macOS Catalina 10.15.5
Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema.
Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.
CVE-2020-9921: ABC Research s.r.o. en colaboración con Zero Day Initiative de Trend Micro
Kernel
Disponible para: macOS Catalina 10.15.5
Impacto: un atacante en una posición de red privilegiada podría inyectar comandos en conexiones activas en un túnel de VPN.
Descripción: se ha solucionado un problema de enrutamiento mejorando las restricciones.
CVE-2019-14899: William J. Tolley, Beau Kujath y Jedidiah R. Crandall
Kernel
Disponible para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 y macOS Catalina 10.15.5
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
CVE-2020-9904: Tielei Wang de Pangu Lab
Kernel
Disponible para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 y macOS Catalina 10.15.5
Impacto: un atacante remoto podría provocar una denegación de servicio.
Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.
CVE-2020-9924: Matt DeVore de Google
Kernel
Disponible para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 y macOS Catalina 10.15.5
Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema.
Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión del estado.
CVE-2020-9892: Andy Nguyen de Google
Kernel
Disponible para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 y macOS Catalina 10.15.5
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de inicialización de memoria mejorando la gestión de la memoria.
CVE-2020-9863: Xinru Chi de Pangu Lab
Kernel
Disponible para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 y macOS Catalina 10.15.5
Impacto: una aplicación creada con fines malintencionados podría determinar el diseño de la memoria de kernel
Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.
CVE-2020-9902: Xinru Chi y Tielei Wang de Pangu Lab
Kernel
Disponible para: macOS Catalina 10.15.5
Impacto: un atacante remoto podría provocar una denegación de servicio.
Descripción: se ha solucionado un desbordamiento de búfer mejorando la comprobación de límites.
CVE-2020-9905: Raz Mashat (@RazMashat) de ZecOps
Kernel
Disponible para: macOS Catalina 10.15.5
Impacto: una aplicación creada con fines malintencionados podría revelar memoria restringida.
Descripción: se ha solucionado un problema de divulgación de información mejorando la gestión del estado.
CVE-2020-9997: Catalin Valeriu Lita de SecurityScorecard
libxml2
Disponible para: macOS Catalina 10.15.5
Impacto: procesar un XML creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario.
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
CVE-2020-9926: detectado por OSS-Fuzz
libxpc
Disponible para: macOS Mojave 10.14.6 y macOS High Sierra 10.13.6
Impacto: una aplicación creada con fines malintencionados podría sobrescribir archivos arbitrarios.
Descripción: se ha solucionado un problema de gestión de las rutas mejorando la validación.
CVE-2020-9994: Apple
Login Window
Disponible para: macOS Catalina 10.15.5
Impacto: es posible que un usuario inicie sesión en la cuenta de otro usuario de forma inesperada.
Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.
CVE-2020-9935: investigador anónimo
Disponible para: macOS Catalina 10.15.5
Impacto: un atacante remoto podría provocar una denegación de servicio.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.
CVE-2019-19906
Disponible para: macOS Catalina 10.15.5
Impacto: un servidor de correo malintencionado podría sobrescribir archivos de correo arbitrarios.
Descripción: se ha solucionado un problema de gestión de las rutas mejorando la validación.
CVE-2020-9920: YongYue Wang, también llamado BigChan, del equipo de Hillstone Networks AF
Disponible para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 y macOS Catalina 10.15.5
Impacto: procesar un correo electrónico creado con fines malintencionados puede provocar la escritura de archivos arbitrarios
Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.
CVE-2020-9922: Mikko Kenttälä (@Turmio_) de SensorFu
Messages
Disponible para: macOS Catalina 10.15.5
Impacto: un usuario eliminado de un grupo de iMessage podía volver a unirse al grupo.
Descripción: existía un problema en la gestión de tapback de iMessage. Se ha resuelto el problema con una verificación adicional.
CVE-2020-9885: un investigador anónimo, Suryansh Mansharamani, de WWP High School North (medium.com/@suryanshmansha)
Model I/O
Disponible para: macOS Catalina 10.15.5
Impacto: el procesamiento de un archivo USD diseñado con fines malintencionados podría provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de desbordamiento de búfer mejorando la gestión de la memoria.
CVE-2020-9878: Holger Fuhrmannek de Deutsche Telekom Security
Model I/O
Disponible para: macOS Mojave 10.14.6 y macOS Catalina 10.15.5
Impacto: el procesamiento de un archivo USD diseñado con fines malintencionados podría provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.
Descripción: se ha solucionado un desbordamiento de búfer mejorando la comprobación de límites.
CVE-2020-9880: Holger Fuhrmannek de Deutsche Telekom Security
Model I/O
Disponible para: macOS Mojave 10.14.6 y macOS Catalina 10.15.5
Impacto: el procesamiento de un archivo USD diseñado con fines malintencionados podría provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de desbordamiento de búfer mejorando la gestión de la memoria.
CVE-2020-9878: Aleksandar Nikolic de Cisco Talos, Holger Fuhrmannek de Deutsche Telekom Security
CVE-2020-9881: Holger Fuhrmannek de Deutsche Telekom Security
CVE-2020-9882: Holger Fuhrmannek de Deutsche Telekom Security
CVE-2020-9940: Holger Fuhrmannek de Deutsche Telekom Security
CVE-2020-9985: Holger Fuhrmannek de Deutsche Telekom Security
OpenLDAP
Disponible para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 y macOS Catalina 10.15.5
Impacto: un atacante remoto podría provocar una denegación de servicio.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2020-12243
Perl
Disponible para: macOS Catalina 10.15.5
Impacto: un desbordamiento de enteros en el compilador de expresiones regulares de Perl podría permitir que un atacante remoto inserte instrucciones en la forma compilada de una expresión regular
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2020-10878: Hugo van der Sanden y Slaven Rezic
Perl
Disponible para: macOS Catalina 10.15.5
Impacto: un atacante remoto podría provocar la ejecución de código arbitrario.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2020-12723: Sergey Aleynikov
rsync
Disponible para: macOS Mojave 10.14.6 y macOS High Sierra 10.13.6
Impacto: un atacante remoto podría sobrescribir los archivos existentes.
Descripción: había un problema de validación en la gestión de los enlaces simbólicos. Se ha resuelto este problema mejorando la validación de los enlaces simbólicos.
CVE-2014-9512: gaojianfeng
Sandbox
Disponible para: macOS Mojave 10.14.6 y macOS Catalina 10.15.5
Impacto: un usuario local podría ser capaz de provocar el cierre inesperado del sistema o leer la memoria del kernel.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2020-9930: Zhiyi Zhang del equipo Codesafe de Legendsec en el Grupo Qi’anxin
Sandbox
Disponible para: macOS Catalina 10.15.5
Impacto: un usuario local podría ser capaz de cargar extensiones de kernel sin firmar
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2020-9939: @jinmo123, @setuid0x0_ y @insu_yun_en de @SSLab_Gatech en colaboración con Zero Day Initiative de Trend Micro
Security
Disponible para: macOS Catalina 10.15.5
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de lógica mejorando las restricciones.
CVE-2020-9864: Alexander Holodny
Security
Disponible para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 y macOS Catalina 10.15.5
Impacto: un atacante podría suplantar un sitio web de confianza utilizando material de clave compartida para un certificado añadido por el administrador.
Descripción: había un problema de validación de certificados al procesar certificados que agregaba el administrador. Se ha solucionado el problema mejorando la validación de los certificados.
CVE-2020-9868: Brian Wolff de Asana
Security
Disponible para: macOS Mojave 10.14.6 y macOS High Sierra 10.13.6
Impacto: una aplicación podría obtener privilegios de alto nivel.
Descripción: se ha solucionado un problema de lógica mejorando la validación.
CVE-2020-9854: Ilias Morad (A2nkF)
sysdiagnose
Disponible para: macOS Catalina 10.15.5
Impacto: un atacante local podría aumentar sus privilegios.
Descripción: había un problema en la lógica de la validación de las rutas de los enlaces simbólicos. Este problema se ha solucionado mejorando el saneamiento de las rutas.
CVE-2020-9901: Tim Michaud (@TimGMichaud) de Leviathan y Zhongcheng Li (CK01) del equipo Zero-dayits de Legendsec en el Grupo Qi'anxin
Vim
Disponible para: macOS High Sierra 10.13.6 y macOS Mojave 10.14.6
Impacto: un atacante remoto podría provocar la ejecución de código arbitrario.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2019-20807: Guilherme de Almeida Suckevicz
WebDAV
Disponible para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 y macOS Catalina 10.15.5
Impacto: un proceso aislado podría ser capaz de eludir las restricciones de la zona protegida
Descripción: este problema se ha solucionado mejorando las certificaciones.
CVE-2020-9898: Sreejith Krishnan R (@skr0x1C0)
WiFi
Disponible para: macOS Catalina 10.15.5
Impacto: un atacante remoto podría ser capaz de provocar el cierre inesperado del sistema o dañar la memoria del kernel.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2020-9918: Jianjun Dai de 360 Alpha Lab en colaboración con 360 BugCloud (bugcloud.360.cn)
WiFi
Disponible para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 y macOS Catalina 10.15.5
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.
CVE-2020-9899: Yu Wang de Didi Research America
WiFi
Disponible para: macOS Catalina 10.15.5
Impacto: un atacante remoto podría ser capaz de provocar el cierre inesperado del sistema o dañar la memoria del kernel.
Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.
CVE-2020-9906: Ian Beer de Google Project Zero
Otros agradecimientos
CoreFoundation
Queremos dar las gracias por su ayuda a Bobby Pelletier.
ImageIO
Queremos dar las gracias por su ayuda a Xingwei Lin de Ant-Financial Light-Year Security Lab.
Siri
Queremos dar las gracias por su ayuda a Yuval Ron, Amichai Shulman y Eli Biham de Technion - Instituto Tecnológico de Israel.
USB Audio
Nos gustaría expresar nuestro agradecimiento a Andy Davis de NCC Group por su ayuda.
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.