Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
iTunes 12.10.1 para Windows
Publicado el 7 de octubre de 2019
CoreCrypto
Disponible para: Windows 7 y versiones posteriores
Impacto: procesar un gran volumen de entradas podría provocar una denegación del servicio
Descripción: se ha solucionado un problema de denegación de servicio mejorando la validación de entrada.
CVE-2019-8741: Nicky Mouha de NIST
Entrada añadida el 29 de octubre de 2019
CoreMedia
Disponible para: Windows 7 y versiones posteriores
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
CVE-2019-8825: detectado por GWP-ASan en Google Chrome
Entrada añadida el 29 de octubre de 2019
Foundation
Disponible para: Windows 7 y versiones posteriores
Impacto: un atacante remoto podría ser capaz de provocar el cierre inesperado de una aplicación o la ejecución arbitraria de código.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2019-8746: natashenka y Samuel Groß de Google Project Zero
Entrada añadida el 29 de octubre de 2019
libxml2
Disponible para: Windows 7 y versiones posteriores
Impacto: varios problemas en libxml2
Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la validación de las entradas.
CVE-2019-8749: detectado por OSS-Fuzz
CVE-2019-8756: detectado por OSS-Fuzz
Entrada añadida el 29 de octubre de 2019
libxslt
Disponible para: Windows 7 y versiones posteriores
Impacto: varios problemas en libxslt
Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la validación de las entradas.
CVE-2019-8750: detectado por OSS-Fuzz
Entrada añadida el 29 de octubre de 2019
UIFoundation
Disponible para: Windows 7 y versiones posteriores
Impacto: el procesamiento de un archivo de texto creado con fines malintencionados podría provocar la ejecución de código arbitrario
Descripción: se ha solucionado un desbordamiento de búfer mejorando la comprobación de límites.
CVE-2019-8745: riusksk de VulWar Corp en colaboración con Zero Day Initiative de Trend Micro
WebKit
Disponible para: Windows 7 y versiones posteriores
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución universal de secuencias de comandos entre sitios.
Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.
CVE-2019-8625: Sergei Glazunov de Google Project Zero
CVE-2019-8719: Sergei Glazunov de Google Project Zero
CVE-2019-8764: Sergei Glazunov de Google Project Zero
Entrada actualizada el 29 de octubre de 2019
WebKit
Disponible para: Windows 7 y versiones posteriores
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.
CVE-2019-8707: investigador anónimo en colaboración con Zero Day Initiative de Trend Micro, cc en colaboración con Zero Day Initiative de Trend Micro
CVE-2019-8710: detectado por OSS-Fuzz
CVE-2019-8726: Jihui Lu de Tencent KeenLab
CVE-2019-8728: Junho Jang de LINE Security Team y Hanul Choi de ABLY Corporation
CVE-2019-8733: Sergei Glazunov de Google Project Zero
CVE-2019-8734: detectado por OSS-Fuzz
CVE-2019-8735: G. Geshev en colaboración con Zero Day Initiative de Trend Micro
CVE-2019-8743: zhunki del equipo Codesafe de Legendsec en el Grupo Qi’anxin
CVE-2019-8751: Dongzhuo Zhao en colaboración con ADLab de Venustech
CVE-2019-8752: Dongzhuo Zhao en colaboración con ADLab de Venustech
CVE-2019-8763: Sergei Glazunov de Google Project Zero
CVE-2019-8765: Samuel Groß de Google Project Zero
CVE-2019-8766: detectado por OSS-Fuzz
CVE-2019-8773: detectado por OSS-Fuzz
Entrada actualizada el 29 de octubre de 2019
WebKit
Disponible para: Windows 7 y versiones posteriores
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución universal de secuencias de comandos entre sitios.
Descripción: se ha solucionado un problema de validación mejorando la lógica.
CVE-2019-8762: Sergei Glazunov de Google Project Zero
Entrada añadida el 18 de noviembre de 2019
Otros agradecimientos
Actualización de software
Queremos dar las gracias por su ayuda a Michael Gorelik (@smgoreli) de Morphisec (morphisec.com).
WebKit
Queremos dar las gracias a MinJeong Kim de Information Security Lab, JaeCheol Ryou de Information Security Lab, la Universidad nacional Chungnam de Corea del Sur, Yiğit Can YILMAZ (@yilmazcanyigit), Zhihua Yao de DBAPPSecurity y Zion Lab, por su ayuda.
Entrada actualizada el 29 de octubre de 2019