En este documento se describe el contenido de seguridad de macOS Big Sur 11.2, Actualización de seguridad 2021-001 Catalina, Actualización de seguridad 2021-001 Mojave
En este documento se describe el contenido de seguridad de macOS Big Sur 11.2, Actualización de seguridad 2021-001 Catalina, Actualización de seguridad 2021-001 Mojave.
Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
macOS Big Sur 11.2, Actualización de seguridad 2021-001 Catalina, Actualización de seguridad 2021-001 Mojave
Analytics
Disponible para: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 y macOS Mojave 10.14.6
Impacto: un atacante remoto podría provocar una denegación de servicio.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2021-1761: Cees Elzinga
APFS
Disponible para: macOS Big Sur 11.0.1
Impacto: un usuario local podría leer archivos arbitrarios.
Descripción: se ha solucionado el problema mejorando la lógica de los permisos.
CVE-2021-1797: Thomas Tempelmann
CFNetwork Cache
Disponible para: macOS Catalina 10.15.7 y macOS Mojave 10.14.6
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un desbordamiento de enteros mejorando la validación de las entradas.
CVE-2020-27945: Zhuo Liang de Qihoo 360 Vulcan Team
CoreAnimation
Disponible para: macOS Big Sur 11.0.1
Impacto: una aplicación malintencionada podría ejecutar código arbitrario y comprometer la información del usuario.
Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
CVE-2021-1760: @S0rryMybad de 360 Vulcan Team
CoreAudio
Disponible para: macOS Big Sur 11.0.1
Impacto: procesar contenido web creado con fines malintencionados podría provocar la ejecución de código.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la validación de las entradas.
CVE-2021-1747: JunDong Xie de Ant Security Light-Year Lab
CoreGraphics
Disponible para: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Impacto: el procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar la ejecución arbitraria de código
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.
CVE-2021-1776: Ivan Fratric de Google Project Zero
CoreMedia
Disponible para: macOS Big Sur 11.0.1
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2021-1759: Hou JingYi (@hjy79425575) de Qihoo 360 CERT
CoreText
Disponible para: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Impacto: procesar un archivo de texto creado con fines malintencionados podría provocar la ejecución de código arbitrario.
Descripción: se ha solucionado un desbordamiento de pila mejorando la validación de entrada.
CVE-2021-1772: Mickey Jin (@patch1t) de Trend Micro en colaboración con Zero Day Initiative de Trend Micro
CoreText
Disponible para: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Impacto: un atacante remoto podría provocar la ejecución de código arbitrario.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.
CVE-2021-1792: Mickey Jin y Junzhi Lu de Trend Micro en colaboración con Zero Day Initiative de Trend Micro
Crash Reporter
Disponible para: macOS Catalina 10.15.7
Impacto: un atacante remoto podría provocar una denegación de servicio.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2021-1761: Cees Elzinga
Crash Reporter
Disponible para: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 y macOS Mojave 10.14.6
Impacto: un atacante local podría aumentar sus privilegios.
Descripción: se han solucionado varios problemas mejorando la lógica.
CVE-2021-1787: James Hutchins
Crash Reporter
Disponible para: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 y macOS Mojave 10.14.6
Impacto: un usuario local podría ser capaz de crear o modificar archivos de sistema.
Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.
CVE-2021-1786: Csaba Fitzl (@theevilbit) de Offensive Security
Directory Utility
Disponible para: macOS Catalina 10.15.7
Impacto: una aplicación maliciosa podría tener acceso a información privada.
Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.
CVE-2020-27937: Wojciech Reguła (@_r3ggi) de SecuRing
Endpoint Security
Disponible para: macOS Catalina 10.15.7
Impacto: un atacante local podría aumentar sus privilegios.
Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.
CVE-2021-1802: Zhongcheng Li (@CK01) del centro de respuesta de seguridad de WPS
FairPlay
Disponible para: macOS Big Sur 11.0.1
Impacto: una aplicación maliciosa podría divulgar datos de la memoria del kernel
Descripción: existía un problema de lectura fuera de los límites que provocaba la divulgación del contenido de la memoria de kernel. Se ha solucionado mejorando la validación de las entradas.
CVE-2021-1791: Junzhi Lu (@pwn0rz), Qi Sun y Mickey Jin de Trend Micro en colaboración con Zero Day Initiative de Trend Micro
FontParser
Disponible para: macOS Catalina 10.15.7
Impacto: el procesamiento de un tipo de letra creado con fines malintencionados podría provocar la ejecución arbitraria de código
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2021-1790: Peter Nguyen Vu Hoang de STAR Labs
FontParser
Disponible para: macOS Mojave 10.14.6
Impacto: el procesamiento de un tipo de letra creado con fines malintencionados podría provocar la ejecución arbitraria de código
Descripción: el problema se ha solucionado eliminando el código vulnerable.
CVE-2021-1775: Mickey Jin y Qi Sun de Trend Micro trabajando con la iniciativa Zero Day de Trend Micro
FontParser
Disponible para: macOS Mojave 10.14.6
Impacto: un atacante remoto podría filtrar memoria.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.
CVE-2020-29608: Xingwei Lin de Ant Security Light-Year Lab
FontParser
Disponible para: macOS Big Sur 11.0.1 y macOS Catalina 10.15.7
Impacto: un atacante remoto podría provocar la ejecución de código arbitrario.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.
CVE-2021-1758: Peter Nguyen de STAR Labs
ImageIO
Disponible para: macOS Big Sur 11.0.1
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de acceso mejorando la gestión de la memoria.
CVE-2021-1783: Xingwei Lin de Ant Security Light-Year Lab
ImageIO
Disponible para: macOS Big Sur 11.0.1
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.
CVE-2021-1741: Xingwei Lin de Ant Security Light-Year Lab
CVE-2021-1743: Mickey Jin y Junzhi Lu de Trend Micro en colaboración con Zero Day Initiative de Trend Micro, Xingwei Lin de Ant Security Light-Year Lab
ImageIO
Disponible para: macOS Big Sur 11.0.1
Impacto: procesar una imagen creada con fines malintencionados podría originar la denegación del servicio.
Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.
CVE-2021-1773: Xingwei Lin de Ant Security Light-Year Lab
ImageIO
Disponible para: macOS Big Sur 11.0.1
Impacto: procesar una imagen creada con fines malintencionados podría originar la denegación del servicio.
Descripción: existía un problema de lectura fuera de los límites en curl. Este problema se ha solucionado mejorando la comprobación de los límites.
CVE-2021-1778: Xingwei Lin de Ant Security Light-Year Lab
ImageIO
Disponible para: macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2021-1736: Xingwei Lin de Ant Security Light-Year Lab
CVE-2021-1785: Xingwei Lin de Ant Security Light-Year Lab
ImageIO
Disponible para: macOS Mojave 10.14.6, macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Impacto: procesar una imagen creada con fines malintencionados podría originar la denegación del servicio.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2021-1766: Danny Rosseau de Carve Systems
ImageIO
Disponible para: macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Impacto: un atacante remoto podría ser capaz de provocar el cierre inesperado de una aplicación o la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.
CVE-2021-1818: Xingwei Lin de Ant-Financial Light-Year Security Lab
ImageIO
Disponible para: macOS Catalina 10.15.7, macOS Big Sur 11.0.1
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2021-1742: Xingwei Lin de Ant Security Light-Year Lab
CVE-2021-1746: Jeonghoon Shin (@singi21a) de THEORI, Mickey Jin y Qi Sun de Trend Micro en colaboración con Zero Day Initiative de Trend Micro, Xingwei Lin de Ant Security Light-Year Lab
CVE-2021-1754: Xingwei Lin de Ant Security Light-Year Lab
CVE-2021-1774: Xingwei Lin de Ant Security Light-Year Lab
CVE-2021-1777: Xingwei Lin de Ant Security Light-Year Lab
CVE-2021-1793: Xingwei Lin de Ant Security Light-Year Lab
ImageIO
Disponible para: macOS Big Sur 11.0.1 y macOS Catalina 10.15.7
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la validación de las entradas.
CVE-2021-1737: Xingwei Lin de Ant Security Light-Year Lab
CVE-2021-1738: Lei Sun
CVE-2021-1744: Xingwei Lin de Ant Security Light-Year Lab
IOKit
Disponible para: macOS Big Sur 11.0.1
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de sistema
Descripción: se ha solucionado un error lógico en la carga de kext mejorando la gestión de estado.
CVE-2021-1779: Csaba Fitzl (@theevilbit) de Offensive Security
IOSkywalkFamily
Disponible para: macOS Big Sur 11.0.1
Impacto: un atacante local podría aumentar sus privilegios.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.
CVE-2021-1757: Pan ZhenPeng (@Peterpan0927) de Alibaba Security, Proteas
Kernel
Disponible para: macOS Catalina 10.15.7 y macOS Mojave 10.14.6
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel.
Descripción: un problema lógico provocaba la corrupción de la memoria. Este problema se ha solucionado mejorando la gestión del estado.
CVE-2020-27904: Zuozhi Fan (@pattern_F_) de Ant Group Tianqiong Security Lab
Kernel
Disponible para: macOS Big Sur 11.0.1
Impacto: un atacante remoto podría provocar una denegación de servicio.
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
CVE-2021-1764: @m00nbsd
Kernel
Disponible para: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 y macOS Mojave 10.14.6
Impacto: una aplicación maliciosa podría elevar los privilegios. Apple tiene conocimiento de que este problema se ha explotado activamente.
Descripción: se ha solucionado una condición de carrera con una mejora del bloqueo.
CVE-2021-1782: investigador anónimo
Kernel
Disponible para: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 y macOS Mojave 10.14.6
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se han solucionado varios problemas mejorando la lógica.
CVE-2021-1750: @0xalsr
Login Window
Disponible para: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 y macOS Mojave 10.14.6
Impacto: un atacante en una posición de red privilegiada podría ser capaz de ignorar la política de autenticación
Descripción: se ha solucionado el problema de autenticación mejorando la gestión del estado.
CVE-2020-29633: Jewel Lambert de Original Spin, LLC.
Messages
Disponible para: macOS Big Sur 11.0.1
Impacto: una aplicación maliciosa podría filtrar información confidencial sobre los usuarios
Descripción: existía un problema de privacidad en la gestión de tarjetas de contactos. Este problema se ha solucionado mejorando la gestión del estado.
CVE-2021-1781: Csaba Fitzl (@theevilbit) de Offensive Security
Messages
Disponible para: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 y macOS Mojave 10.14.6
Impacto: un usuario eliminado de un grupo de iMessage podía volver a unirse al grupo.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2021-1771: Shreyas Ranganatha (@strawsnoceans)
Model I/O
Disponible para: macOS Big Sur 11.0.1
Impacto: el procesamiento de un archivo USD diseñado con fines malintencionados podría provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la validación de las entradas.
CVE-2021-1762: Mickey Jin de Trend Micro en colaboración con Zero Day Initiative de Trend Micro
Model I/O
Disponible para: macOS Catalina 10.15.7
Impacto: procesar un archivo creado con fines malintencionados puede provocar daños en la memoria heap.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2020-29614: ZhiWei Sun (@5n1p3r0010) de Topsec Alpha Lab
Model I/O
Disponible para: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 y macOS Mojave 10.14.6
Impacto: el procesamiento de un archivo USD diseñado con fines malintencionados podría provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.
Descripción: se ha solucionado un desbordamiento de búfer mejorando la comprobación de límites.
CVE-2021-1763: Mickey Jin de Trend Micro en colaboración con Zero Day Initiative de Trend Micro
Model I/O
Disponible para: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 y macOS Mojave 10.14.6
Impacto: procesar una imagen creada con fines maliciosos puede provocar daños en la memoria heap.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2021-1767: Mickey Jin y Junzhi Lu de Trend Micro en colaboración con Zero Day Initiative de Trend Micro
Model I/O
Disponible para: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 y macOS Mojave 10.14.6
Impacto: el procesamiento de un archivo USD diseñado con fines malintencionados podría provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2021-1745: Mickey Jin y Junzhi Lu de Trend Micro en colaboración con Zero Day Initiative de Trend Micro
Model I/O
Disponible para: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 y macOS Mojave 10.14.6
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.
CVE-2021-1753: Mickey Jin de Trend Micro en colaboración con Zero Day Initiative de Trend Micro
Model I/O
Disponible para: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 y macOS Mojave 10.14.6
Impacto: el procesamiento de un archivo USD diseñado con fines malintencionados podría provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.
CVE-2021-1768: Mickey Jin y Junzhi Lu de Trend Micro en colaboración con Zero Day Initiative de Trend Micro
NetFSFramework
Disponible para: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 y macOS Mojave 10.14.6
Impacto: un recurso compartido de red Samba creado con fines malintencionados podía provocar la ejecución de código arbitrario
Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.
CVE-2021-1751: Mikko Kenttälä (@Turmio_) de SensorFu
OpenLDAP
Disponible para: macOS Big Sur 11.0.1, macOS Catalina 10.15.7 y macOS Mojave 10.14.6
Impacto: un atacante remoto podría provocar una denegación de servicio.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2020-25709
Power Management
Disponible para: macOS Mojave 10.14.6 y macOS Catalina 10.15.7
Impacto: una aplicación maliciosa podría elevar los privilegios.
Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.
CVE-2020-27938: Tim Michaud (@TimGMichaud) de Leviathan
Screen Sharing
Disponible para: macOS Big Sur 11.0.1
Impacto: varios problemas en pcre
Descripción: se han solucionado varios problemas actualizando a la versión 8.44.
CVE-2019-20838
CVE-2020-14155
SQLite
Disponible para: macOS Catalina 10.15.7
Impacto: varios problemas en SQLite
Descripción: se han solucionado varios problemas mejorando las comprobaciones.
CVE-2020-15358
Swift
Disponible para: macOS Big Sur 11.0.1
Impacto: un atacante malintencionado que tenga funciones arbitrarias de lectura y escritura podría ser capaz de omitir la autenticación de puntero.
Descripción: se ha solucionado un problema de lógica mejorando la validación.
CVE-2021-1769: CodeColorist de Ant-Financial Light-Year Labs
WebKit
Disponible para: macOS Big Sur 11.0.1
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
CVE-2021-1788: Francisco Alonso (@revskills)
WebKit
Disponible para: macOS Big Sur 11.0.1
Impacto: un contenido web creado con fines malintencionados podría infringir la política de zona protegida de iframe.
Descripción: este problema se ha solucionado mejorando la aplicación de la zona protegida de iframe.
CVE-2021-1765: Eliya Stein de Confiant
CVE-2021-1801: Eliya Stein de Confiant
WebKit
Disponible para: macOS Big Sur 11.0.1
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de confusión de tipo mejorando la gestión del estado.
CVE-2021-1789: @S0rryMybad de 360 Vulcan Team
WebKit
Disponible para: macOS Big Sur 11.0.1
Impacto: un atacante remoto podría provocar la ejecución de código arbitrario. Apple tiene conocimiento de que este problema se ha explotado activamente.
Descripción: se ha solucionado un problema de lógica mejorando las restricciones.
CVE-2021-1871: investigador anónimo
CVE-2021-1870: investigador anónimo
WebRTC
Disponible para: macOS Big Sur 11.0.1
Impacto: un sitio web creado con fines malintencionados podría tener acceso a puertos restringidos en servidores arbitrarios.
Descripción: se ha solucionado un problema de redireccionamiento de puertos mediante validación de puertos adicional.
CVE-2021-1799: Gregory Vishnepolsky y Ben Seri de Armis Security, y Samy Kamkar
XNU
Disponible para: macOS Big Sur 11.0.1
Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de confusión de tipo mejorando la gestión del estado.
CVE-2021-30869: Apple
Otros agradecimientos
Kernel
Queremos dar las gracias a Junzhi Lu (@pwn0rz), Mickey Jin y Jesse Change de Trend Micro por su ayuda.
libpthread
Queremos dar las gracias a CodeColorist de los Ant-Financial Light-Year Labs por su ayuda.
Login Window
Queremos dar las gracias a José Moisés Romero-Villanueva de CrySolve por su ayuda.
Mail Drafts
Queremos dar las gracias a Jon Bottarini de HackerOne por su ayuda.
Screen Sharing Server
Queremos dar las gracias a @gorelics por su ayuda.
WebRTC
Queremos dar las gracias a Philipp Hancke por su ayuda.
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.