Acerca del contenido de seguridad de macOS Catalina 10.15.4, actualización de seguridad 2020-002 Mojave y actualización de seguridad 2020-002 High Sierra

En este documento se describe el contenido de seguridad de macOS Catalina 10.15.4, actualización de seguridad 2020-002 Mojave y actualización de seguridad 2020-002 High Sierra.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

macOS Catalina 10.15.4, actualización de seguridad 2020-002 Mojave y actualización de seguridad 2020-002 High Sierra

Publicado el 24 de marzo de 2020

Apple HSSPI Support

Disponible para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 y macOS Catalina 10.15.3

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de sistema

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2020-3903: Proteas de Qihoo 360 Nirvan Team

Entrada actualizada el 1 de mayo de 2020

AppleGraphicsControl

Disponible para: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 y macOS Catalina 10.15.3

Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel

Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión del estado.

CVE-2020-3904: Proteas de Qihoo 360 Nirvan Team

AppleMobileFileIntegrity

Disponible para: macOS Catalina 10.15.3

Impacto: una aplicación podría utilizar certificaciones arbitrarias.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2020-3883: Linus Henze (pinauten.de)

Bluetooth

Disponible para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 y macOS Catalina 10.15.3

Impacto: un usuario local podría ser capaz de provocar el cierre inesperado del sistema o leer la memoria del kernel

Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.

CVE-2020-3907: Yu Wang de Didi Research America

CVE-2020-3908: Yu Wang de Didi Research America

CVE-2020-3912: Yu Wang de Didi Research America

Bluetooth

Disponible para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 y macOS Catalina 10.15.3

Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.

CVE-2020-3892: Yu Wang de Didi Research America

CVE-2020-3893: Yu Wang de Didi Research America

CVE-2020-3905: Yu Wang de Didi Research America

Bluetooth

Disponible para: macOS Mojave 10.14.6 y macOS High Sierra 10.13.6

Impacto: una aplicación podría leer la memoria restringida

Descripción: se ha solucionado un problema de validación mejorando el saneamiento de entrada.

CVE-2019-8853: Jianjun Dai de Qihoo 360 Alpha Lab

Historial de llamadas

Disponible para: macOS Catalina 10.15.3

Impacto: una aplicación creada con fines malintencionados podría acceder al historial de llamadas de un usuario.

Descripción: este problema se ha solucionado con una nueva autorización.

CVE-2020-9776: Benjamin Randazzo (@____benjamin)

CoreBluetooth

Disponible para: macOS Catalina 10.15.3

Impacto: un atacante remoto podría filtrar información confidencial sobre los usuarios.

Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.

CVE-2020-9828: Jianjun Dai de Qihoo 360 Alpha Lab

Entrada añadida el 13 de mayo de 2020

CoreFoundation

Disponible para: macOS Catalina 10.15.3

Impacto: una aplicación maliciosa podría elevar los privilegios

Descripción: existía un problema de permisos. Este problema se ha solucionado mejorando la validación de los permisos.

CVE-2020-3913: Timo Christ de Avira Operations GmbH & Co. KG

CUPS

Disponible para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 y macOS Catalina 10.15.3

Impacto: una aplicación podría obtener privilegios de alto nivel

Descripción: se ha solucionado un problema de memoria mejorando la validación.

CVE-2020-3898: Stephan Zeisberg (github.com/stze) de Security Research Labs (srlabs.de)

Entrada añadida el 8 de abril de 2020

FaceTime

Disponible para: macOS Catalina 10.15.3

Impacto: un usuario local podría ser capaz de ver información confidencial de los usuarios

Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.

CVE-2020-3881: Yuval Ron, Amichai Shulman y Eli Biham del Technion (Instituto Tecnológico de Israel)

Iconos

Disponible para: macOS Catalina 10.15.3

Impacto: una aplicación creada con fines malintencionados podría identificar las aplicaciones que ha instalado un usuario.

Descripción: el problema se ha solucionado mejorando la gestión de las cachés de iconos.

CVE-2020-9773: Chilik Tamir de Zimperium zLabs

Driver de gráficos Intel

Disponible para: macOS Catalina 10.15.3

Impacto: una aplicación creada con fines malintencionados podría revelar memoria restringida.

Descripción: se ha solucionado un problema de revelación de información mejorando la gestión del estado.

CVE-2019-14615: Wenjian HE de la Universidad de Ciencia y Tecnología de Hong Kong, Wei Zhang de la Universidad de Ciencia y Tecnología de Hong Kong, Sharad Sinha del Instituto Indio de Tecnología de Goa y Sanjeev Das de la Universidad de Carolina del Norte

IOHIDFamily

Disponible para: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 y macOS Catalina 10.15.3

Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un problema de inicialización de memoria mejorando la gestión de la memoria.

CVE-2020-3919: investigador anónimo

IOThunderboltFamily

Disponible para: macOS Mojave 10.14.6 y macOS High Sierra 10.13.6

Impacto: una aplicación podría obtener privilegios de alto nivel

Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.

CVE-2020-3851: Xiaolong Bai y Min (Spark) Zheng de Alibaba Inc. y Luyi Xing de la Universidad de Indiana Bloomington

Kernel

Disponible para: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 y macOS Catalina 10.15.3

Impacto: una aplicación podría leer la memoria restringida

Descripción: se ha solucionado un problema de inicialización de memoria mejorando la gestión de la memoria.

CVE-2020-3914: pattern-f (@pattern_F_) de WaCai

Kernel

Disponible para: macOS Catalina 10.15.3

Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel

Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión del estado.

CVE-2020-9785: Proteas de Qihoo 360 Nirvan Team

libxml2

Disponible para: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 y macOS Catalina 10.15.3

Impacto: varios problemas en libxml2

Descripción: se ha solucionado un desbordamiento de búfer con la mejora de la comprobación de límites.

CVE-2020-3909: LGTM.com

CVE-2020-3911: detectado por OSS-Fuzz

libxml2

Disponible para: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 y macOS Catalina 10.15.3

Impacto: varios problemas en libxml2

Descripción: se ha solucionado un desbordamiento de búfer mejorando la validación del tamaño.

CVE-2020-3910: LGTM.com

Mail

Disponible para: macOS High Sierra 10.13.6 y macOS Catalina 10.15.3

Impacto: un atacante remoto podría provocar la ejecución de código JavaScript arbitrario.

Descripción: se ha solucionado un problema de inyección con la mejora de la validación.

CVE-2020-3884: Apple

Impresión

Disponible para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 y macOS Catalina 10.15.3

Impacto: una aplicación creada con fines malintencionados podría ser capaz de sobrescribir archivos arbitrarios

Descripción: se ha solucionado un problema de gestión de las rutas mejorando la validación.

CVE-2020-3915: un investigador anónimo en colaboración con iDefense Labs (https://vcp.idefense.com/) y HyungSeok Han (DaramG) de Theori en colaboración con Zero Day Initiative de TrendMicro

Entrada añadida el 1 de mayo de 2020

Safari

Disponible para: macOS Catalina 10.15.3

Impacto: la actividad de navegación privada de un usuario podría guardarse inesperadamente en Tiempo de uso.

Descripción: había un problema con la gestión de las pestañas que muestran imágenes en los vídeos fotográficos. Este problema se ha solucionado mejorando la gestión de los estados.

CVE-2020-9775: Andrian (@retroplasma), Marat Turaev, Marek Wawro (futurefinance.com) y Sambor Wawro de la Escuela STO64 de Cracovia (Polonia)

Entrada añadida el 13 de mayo de 2020

Zona protegida

Disponible para: macOS Catalina 10.15.3

Impacto: un usuario local podría ser capaz de ver información confidencial de los usuarios

Descripción: se ha solucionado un problema de acceso con restricciones de zona protegida adicionales.

CVE-2020-3918: Augusto Álvarez de Outcourse Limited

Entrada añadida el 8 de abril de 2020

sudo

Disponible para: macOS Catalina 10.15.3

Impacto: un atacante podría ejecutar comandos como un usuario inexistente.

Descripción: este problema se ha solucionado actualizando a la versión 1.8.31 de sudo.

CVE-2019-19232

sysdiagnose

Disponible para: macOS Mojave 10.14.6 y macOS High Sierra 10.13.6

Impacto: una aplicación podría ser capaz de activar un diagnóstico del sistema.

Descripción: este problema se ha solucionado mejorando las comprobaciones

CVE-2020-9786: Dayton Pidhirney (@_watbulb) de Seekintoo (@seekintoo)

Entrada añadida el 4 de abril de 2020

TCC

Disponible para: macOS Mojave 10.14.6 y macOS Catalina 10.15.3

Impacto: una aplicación creada con fines malintencionados podría ser capaz de omitir la aplicación de firma de código

Descripción: se ha solucionado un problema de lógica mejorando las restricciones.

CVE-2020-3906: Patrick Wardle de Jamf

Time Machine

Disponible para: macOS Catalina 10.15.3

Impacto: un usuario local podría leer archivos arbitrarios.

Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.

CVE-2020-3889: Lasse Trolle Borup del Danish Cyber Defence

Vim

Disponible para: macOS Catalina 10.15.3

Impacto: varios problemas en Vim.

Descripción: se han solucionado varios problemas actualizando a la versión 8.1.1850.

CVE-2020-9769: Steve Hahn de LinkedIn

WebKit

Disponible para: macOS Catalina 10.15.3

Impacto: puede que algunos sitios web no hayan aparecido en las preferencias de Safari.

Descripción: se ha solucionado un problema de lógica mejorando las restricciones.

CVE-2020-9787: Ryan Pickren (ryanpickren.com)

Entrada añadida el 8 de abril de 2020

Otros agradecimientos

CoreText

Queremos dar las gracias a un investigador anónimo por su ayuda.

Audio FireWire

Queremos dar las gracias a Xiaolong Bai y Min (Spark) Zheng de Alibaba Inc. y a Luyi Xing de Indiana University Bloomington por su ayuda.

FontParser

Queremos dar las gracias a Matthew Denton de Google Chrome por su ayuda.

Instalación de estructuras antiguas

Queremos dar las gracias a Pris Sears del Virginia Tech, Tom Lynch del UAL Creative Computing Institute y a un investigador anónimo por su ayuda.

LinkPresentation

Queremos dar las gracias a Travis por su ayuda.

OpenSSH

Queremos dar las gracias a un investigador anónimo por su ayuda.

rapportd

Queremos dar las gracias a Alexander Heinrich (@Sn0wfreeze) de la Technische Universität Darmstadt por su ayuda.

Sidecar

Queremos dar las gracias a Rick Backley (@rback_sec) por su ayuda.

sudo

Nos gustaría agradecer su ayuda a Giorgio Oppo (linkedin.com/in/giorgio-oppo/).

Entrada añadida el 4 de abril de 2020

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Fecha de publicación: