Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
iOS 13.6 y iPadOS 13.6
Disponible el 15 de julio de 2020
Audio
Disponible para: iPhone 6s y modelos posteriores; iPad Air 2 y modelos posteriores; iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: el procesamiento de un archivo de audio creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.
CVE-2020-9888: JunDong Xie y Xingwei Lin de Ant-Financial Light-Year Security Lab
CVE-2020-9890: JunDong Xie y Xingwei Lin de Ant-Financial Light-Year Security Lab
CVE-2020-9891: JunDong Xie y Xingwei Lin de Ant-Financial Light-Year Security Lab
Entrada actualizada el 5 de agosto de 2020
Audio
Disponible para: iPhone 6s y modelos posteriores; iPad Air 2 y modelos posteriores; iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: el procesamiento de un archivo de audio creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.
CVE-2020-9884: Yu Zhou(@yuzhou6666) de 小鸡帮 en colaboración con Zero Day Initiative de Trend Micro
CVE-2020-9889: anónimo en colaboración con Zero Day Initiative de Trend Micro, y JunDong Xie y Xingwei Lin de Ant-Financial Light-Year Security Lab
Entrada actualizada el 5 de agosto de 2020
AVEVideoEncoder
Disponible para: iPhone 6s y modelos posteriores; iPad Air 2 y modelos posteriores; iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de corrupción de memoria eliminando el código vulnerable.
CVE-2020-9907: 08Tc3wBB en colaboración con ZecOps
Entrada añadida el 24 de julio de 2020 y actualizada el 31 de agosto de 2020
Bluetooth
Disponible para: iPhone 6s y modelos posteriores; iPad Air 2 y modelos posteriores; iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: un atacante remoto podría provocar la finalización inesperada de la aplicación.
Descripción: se ha solucionado un problema de denegación de servicio mejorando la validación de entrada.
CVE-2020-9931: Dennis Heinze (@ttdennis) de TU Darmstadt, Secure Mobile Networking Lab
CoreFoundation
Disponible para: iPhone 6s y modelos posteriores; iPad Air 2 y modelos posteriores; iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: un usuario local podría ser capaz de ver información confidencial de los usuarios.
Descripción: existía un problema en la gestión de las variables de entorno. Este problema se ha solucionado mejorando la validación de las direcciones.
CVE-2020-9934: Matt Shockley (linkedin.com/in/shocktop)
Entrada actualizada el 5 de agosto de 2020
CoreGraphics
Disponible para: iPhone 6s y modelos posteriores; iPad Air 2 y modelos posteriores; iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de desbordamiento de búfer mejorando la gestión de la memoria.
CVE-2020-9883: un investigador anónimo y Mickey Jin de Trend Micro
Entrada añadida el 24 de julio de 2020 y actualizada el 15 de diciembre de 2020
Crash Reporter
Disponible para: iPhone 6s y modelos posteriores; iPad Air 2 y modelos posteriores; iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: una aplicación maliciosa podría salir de su zona restringida.
Descripción: se ha solucionado un problema de corrupción de memoria eliminando el código vulnerable.
CVE-2020-9865: Zhuo Liang de Qihoo 360 Vulcan Team en colaboración con 360 BugCloud
Crash Reporter
Disponible para: iPhone 6s y modelos posteriores; iPad Air 2 y modelos posteriores; iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: un atacante local podría aumentar sus privilegios.
Descripción: había un problema en la lógica de la validación de las rutas de los enlaces simbólicos. Este problema se ha solucionado mejorando el saneamiento de las rutas.
CVE-2020-9900: Cees Elzinga, Zhongcheng Li (CK01) del equipo Zero-dayits de Legendsec en el Grupo Qi'anxin
Entrada añadida el 5 de agosto de 2020 y actualizada el 17 de diciembre de 2021
FontParser
Disponible para: iPhone 6s y modelos posteriores; iPad Air 2 y modelos posteriores; iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: el procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar la ejecución arbitraria de código
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.
CVE-2020-9980: Xingwei Lin de Ant Security Light-Year Lab
Entrada añadida el 21 de septiembre de 2020 y actualizada el 19 de octubre de 2020
GeoServices
Disponible para: iPhone 6s y modelos posteriores; iPad Air 2 y modelos posteriores; iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: es posible que una aplicación maliciosa pueda leer información de ubicación confidencial.
Descripción: se ha solucionado el problema de autorización mejorando la gestión del estado.
CVE-2020-9933: Min (Spark) Zheng y Xiaolong Bai de Alibaba Inc.
iAP
Disponible para: iPhone 6s y modelos posteriores; iPad Air 2 y modelos posteriores; iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: un atacante en una posición de red privilegiada podría implementar un ataque de denegación de servicio mediante paquetes Bluetooth erróneos.
Descripción: había un problema de validación en el Bluetooth. Se ha solucionado el problema mejorando la validación de las entradas.
CVE-2020-9914: Andy Davis de NCC Group
Entrada actualizada el 24 de julio de 2020
ImageIO
Disponible para: iPhone 6s y modelos posteriores, iPad Air 2 y modelos posteriores, iPad mini 4 y modelos posteriores, y iPod touch de 7.ª generación
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.
CVE-2020-27933: Xingwei Lin de Ant-Financial Light-Year Security Lab
Entrada añadida el 16 de marzo de 2021
ImageIO
Disponible para: iPhone 6s y modelos posteriores; iPad Air 2 y modelos posteriores; iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: existían varios problemas de desbordamiento de búfer en openEXR.
Descripción: se han solucionado varios problemas en openEXR mejorando las comprobaciones.
CVE-2020-11758: Xingwei Lin de Ant-Financial Light-Year Security Lab
CVE-2020-11759: Xingwei Lin de Ant-Financial Light-Year Security Lab
CVE-2020-11760: Xingwei Lin de Ant-Financial Light-Year Security Lab
CVE-2020-11761: Xingwei Lin de Ant-Financial Light-Year Security Lab
CVE-2020-11762: Xingwei Lin de Ant-Financial Light-Year Security Lab
CVE-2020-11763: Xingwei Lin de Ant-Financial Light-Year Security Lab
CVE-2020-11764: Xingwei Lin de Ant-Financial Light-Year Security Lab
CVE-2020-11765: Xingwei Lin de Ant-Financial Light-Year Security Lab
Entrada añadida el 8 de septiembre de 2020
ImageIO
Disponible para: iPhone 6s y modelos posteriores; iPad Air 2 y modelos posteriores; iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.
CVE-2020-9871: Xingwei Lin de Ant-Financial Light-Year Security Lab
CVE-2020-9872: Xingwei Lin de Ant-Financial Light-Year Security Lab
CVE-2020-9874: Xingwei Lin de Ant-Financial Light-Year Security Lab
CVE-2020-9879: Xingwei Lin de Ant-Financial Light-Year Security Lab
CVE-2020-9936: Mickey Jin de Trend Micro
CVE-2020-9937: Xingwei Lin de Ant-Financial Light-Year Security Lab
Entrada actualizada el 5 de agosto de 2020
ImageIO
Disponible para: iPhone 6s y modelos posteriores; iPad Air 2 y modelos posteriores; iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de desbordamiento de búfer mejorando la gestión de la memoria.
CVE-2020-9919: Mickey Jin de Trend Micro
Entrada añadida el 24 de julio de 2020
ImageIO
Disponible para: iPhone 6s y modelos posteriores; iPad Air 2 y modelos posteriores; iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: la apertura de un archivo PDF diseñado con fines malintencionados podría provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.
CVE-2020-9876: Mickey Jin de Trend Micro
Entrada añadida el 24 de julio de 2020
ImageIO
Disponible para: iPhone 6s y modelos posteriores; iPad Air 2 y modelos posteriores; iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2020-9873: Xingwei Lin de Ant-Financial Light-Year Security Lab
CVE-2020-9938: Xingwei Lin de Ant-Financial Light-Year Security Lab
CVE-2020-9984: investigador anónimo
Entrada añadida el 24 de julio de 2020 y actualizada el 21 de septiembre de 2020
ImageIO
Disponible para: iPhone 6s y modelos posteriores; iPad Air 2 y modelos posteriores; iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.
CVE-2020-9877: Xingwei Lin de Ant-Financial Light-Year Security Lab
Entrada añadida el 5 de agosto de 2020
ImageIO
Disponible para: iPhone 6s y modelos posteriores; iPad Air 2 y modelos posteriores; iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un desbordamiento de enteros mejorando la validación de las entradas.
CVE-2020-9875: Mickey Jin de Trend Micro
Entrada añadida el 5 de agosto de 2020
Kernel
Disponible para: iPhone 6s y modelos posteriores; iPad Air 2 y modelos posteriores; iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema.
Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.
CVE-2020-9923: Proteas
Kernel
Disponible para: iPhone 6s y modelos posteriores; iPad Air 2 y modelos posteriores; iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: un atacante en una posición de red privilegiada podría inyectar comandos en conexiones activas en un túnel de VPN.
Descripción: se ha solucionado un problema de enrutamiento mejorando las restricciones.
CVE-2019-14899: William J. Tolley, Beau Kujath y Jedidiah R. Crandall
Kernel
Disponible para: iPhone 6s y modelos posteriores; iPad Air 2 y modelos posteriores; iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: un atacante que haya conseguido ejecutar el código de kernel podría ser capaz de omitir las soluciones de la memoria del kernel.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.
CVE-2020-9909: Brandon Azad de Google Project Zero
Kernel
Disponible para: iPhone 6s y modelos posteriores; iPad Air 2 y modelos posteriores; iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
CVE-2020-9904: Tielei Wang de Pangu Lab
Entrada añadida el 24 de julio de 2020
Kernel
Disponible para: iPhone 6s y modelos posteriores; iPad Air 2 y modelos posteriores; iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de inicialización de memoria mejorando la gestión de la memoria.
CVE-2020-9863: Xinru Chi de Pangu Lab
Entrada actualizada el 5 de agosto de 2020
Kernel
Disponible para: iPhone 6s y modelos posteriores; iPad Air 2 y modelos posteriores; iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema.
Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión del estado.
CVE-2020-9892: Andy Nguyen de Google
Entrada añadida el 24 de julio de 2020
Kernel
Disponible para: iPhone 6s y modelos posteriores; iPad Air 2 y modelos posteriores; iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: una aplicación creada con fines malintencionados podría determinar el diseño de la memoria de kernel
Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.
CVE-2020-9902: Xinru Chi y Tielei Wang de Pangu Lab
Entrada añadida el 5 de agosto de 2020
Kernel
Disponible para: iPhone 6s y modelos posteriores; iPad Air 2 y modelos posteriores; iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: un atacante remoto podría provocar una denegación de servicio.
Descripción: se ha solucionado un desbordamiento de búfer mejorando la comprobación de límites.
CVE-2020-9905: Raz Mashat (@RazMashat) de ZecOps
Entrada añadida el 5 de agosto de 2020
libxml2
Disponible para: iPhone 6s y modelos posteriores, iPad Air 2 y modelos posteriores, iPad mini 4 y modelos posteriores, y iPod touch de 7.ª generación
Impacto: procesar un XML creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario.
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
CVE-2020-9926: detectado por OSS-Fuzz
Entrada añadida el 16 de marzo de 2021
Disponible para: iPhone 6s y modelos posteriores; iPad Air 2 y modelos posteriores; iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: un atacante remoto podría provocar una denegación de servicio.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.
CVE-2019-19906
Entrada añadida el 24 de julio de 2020 y actualizada el 8 de septiembre de 2020
Disponible para: iPhone 6s y modelos posteriores; iPad Air 2 y modelos posteriores; iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: un servidor de correo malintencionado podría sobrescribir archivos de correo arbitrarios.
Descripción: se ha solucionado un problema de gestión de las rutas mejorando la validación.
CVE-2020-9920: YongYue Wang, también llamado BigChan, del equipo de Hillstone Networks AF
Entrada añadida el 24 de julio de 2020
Messages
Disponible para: iPhone 6s y modelos posteriores; iPad Air 2 y modelos posteriores; iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: un usuario eliminado de un grupo de iMessage podía volver a unirse al grupo.
Descripción: existía un problema en la gestión de tapback de iMessage. Se ha resuelto el problema con una verificación adicional.
CVE-2020-9885: un investigador anónimo, Suryansh Mansharamani, de WWP High School North (medium.com/@suryanshmansha)
Model I/O
Disponible para: iPhone 6s y modelos posteriores; iPad Air 2 y modelos posteriores; iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: el procesamiento de un archivo USD diseñado con fines malintencionados podría provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de desbordamiento de búfer mejorando la gestión de la memoria.
CVE-2020-9878: Aleksandar Nikolic de Cisco Talos, Holger Fuhrmannek de Deutsche Telekom Security
CVE-2020-9881: Holger Fuhrmannek de Deutsche Telekom Security
CVE-2020-9882: Holger Fuhrmannek de Deutsche Telekom Security
CVE-2020-9940: Holger Fuhrmannek de Deutsche Telekom Security
CVE-2020-9985: Holger Fuhrmannek de Deutsche Telekom Security
Entrada actualizada el 21 de septiembre de 2020
Model I/O
Disponible para: iPhone 6s y modelos posteriores; iPad Air 2 y modelos posteriores; iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: el procesamiento de un archivo USD diseñado con fines malintencionados podría provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.
Descripción: se ha solucionado un desbordamiento de búfer mejorando la comprobación de límites.
CVE-2020-9880: Holger Fuhrmannek de Deutsche Telekom Security
Entrada añadida el 21 de septiembre de 2020
Safari Login AutoFill
Disponible para: iPhone 6s y modelos posteriores; iPad Air 2 y modelos posteriores; iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: un atacante malintencionado podría hacer que Safari sugiera una contraseña para el dominio equivocado.
Descripción: se ha solucionado un problema de lógica mejorando las restricciones.
CVE-2020-9903: Nikhil Mittal (@c0d3G33k) de Payatu Labs (payatu.com)
Safari Reader
Disponible para: iPhone 6s y modelos posteriores; iPad Air 2 y modelos posteriores; iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: un problema en el modo Lector de Safari podría permitir que un atacante remoto omita la política de mismo origen.
Descripción: se ha solucionado un problema de lógica mejorando las restricciones.
CVE-2020-9911: Nikhil Mittal (@c0d3G33k) de Payatu Labs (payatu.com)
Security
Disponible para: iPhone 6s y modelos posteriores; iPad Air 2 y modelos posteriores; iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: un atacante podría suplantar un sitio web de confianza utilizando material de clave compartida para un certificado añadido por el administrador.
Descripción: había un problema de validación de certificados al procesar certificados que agregaba el administrador. Se ha solucionado el problema mejorando la validación de los certificados.
CVE-2020-9868: Brian Wolff de Asana
Entrada añadida el 24 de julio de 2020
sysdiagnose
Disponible para: iPhone 6s y modelos posteriores; iPad Air 2 y modelos posteriores; iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: un atacante local podría aumentar sus privilegios.
Descripción: había un problema en la lógica de la validación de las rutas de los enlaces simbólicos. Este problema se ha solucionado mejorando el saneamiento de las rutas.
CVE-2020-9901: Tim Michaud (@TimGMichaud) de Leviathan y Zhongcheng Li (CK01) del equipo Zero-dayits de Legendsec en el Grupo Qi'anxin
Entrada añadida el 5 de agosto de 2020 y actualizada el 31 de agosto de 2020
WebDAV
Disponible para: iPhone 6s y modelos posteriores; iPad Air 2 y modelos posteriores; iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: un proceso aislado podría ser capaz de eludir las restricciones de la zona protegida
Descripción: este problema se ha solucionado mejorando las certificaciones.
CVE-2020-9898: Sreejith Krishnan R (@skr0x1C0)
Entrada añadida el 8 de septiembre de 2020
WebKit
Disponible para: iPhone 6s y modelos posteriores; iPad Air 2 y modelos posteriores; iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: un atacante remoto podría ser capaz de provocar el cierre inesperado de una aplicación o la ejecución arbitraria de código.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2020-9894: 0011 en colaboración con Zero Day Initiative de Trend Micro
WebKit
Disponible para: iPhone 6s y modelos posteriores; iPad Air 2 y modelos posteriores; iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: el procesamiento de contenido web creado con fines malintencionados podría impedir que se aplique la política de seguridad de contenido.
Descripción: existía un problema de acceso a la política de seguridad de contenido. Se ha solucionado este problema mejorando las restricciones de acceso.
CVE-2020-9915: Ayoub AIT ELMOKHTAR de Noon
Entrada actualizada el 24 de julio de 2020
WebKit
Disponible para: iPhone 6s y modelos posteriores; iPad Air 2 y modelos posteriores; iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: un atacante remoto podría ser capaz de provocar el cierre inesperado de una aplicación o la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
CVE-2020-9893: 0011 en colaboración con Zero Day Initiative de Trend Micro
CVE-2020-9895: Wen Xu de SSLab de Georgia Tech
WebKit
Disponible para: iPhone 6s y modelos posteriores; iPad Air 2 y modelos posteriores; iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución universal de secuencias de comandos entre sitios.
Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.
CVE-2020-9925: investigador anónimo
WebKit
Disponible para: iPhone 6s y modelos posteriores; iPad Air 2 y modelos posteriores; iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: un atacante malintencionado que tenga funciones arbitrarias de lectura y escritura podría ser capaz de omitir la autenticación de puntero.
Descripción: se han solucionado varios problemas mejorando la lógica.
CVE-2020-9910: Samuel Groß de Google Project Zero
WebKit Page Loading
Disponible para: iPhone 6s y modelos posteriores; iPad Air 2 y modelos posteriores; iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: un atacante malintencionado podría ser capaz de ocultar el destino de una URL.
Descripción: se ha solucionado un problema de codificación Unicode de las URL mejorando la gestión del estado.
CVE-2020-9916: Rakesh Mane (@RakeshMane10)
WebKit Web Inspector
Disponible para: iPhone 6s y modelos posteriores; iPad Air 2 y modelos posteriores; iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: al copiar una URL del Inspector Web podría producirse una inyección de comandos.
Descripción: existía un problema de inyección de comandos en el Inspector Web. Este problema se ha solucionado mejorando el escape.
CVE-2020-9862: Ophir Lojkine (@lovasoa)
WebRTC
Disponible para: iPhone 6s y modelos posteriores; iPad Air 2 y modelos posteriores; iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: un atacante en una posición de red privilegiada podría provocar daños en la memoria heap mediante una secuencia SCTP creada con fines malintencionados
Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
CVE-2020-6514: natashenka de Google Project Zero
Entrada añadida el 21 de septiembre de 2020
Wi-Fi
Disponible para: iPhone 6s y modelos posteriores; iPad Air 2 y modelos posteriores; iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: un atacante remoto podría ser capaz de provocar el cierre inesperado del sistema o dañar la memoria del kernel.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2020-9918: Jianjun Dai de 360 Alpha Lab en colaboración con 360 BugCloud (bugcloud.360.cn)
Wi-Fi
Disponible para: iPhone 6s y modelos posteriores; iPad Air 2 y modelos posteriores; iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: un atacante remoto podría ser capaz de provocar el cierre inesperado del sistema o dañar la memoria del kernel.
Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.
CVE-2020-9906: Ian Beer de Google Project Zero
Entrada añadida el 24 de julio de 2020
Wi-Fi
Disponible para: iPhone 6s y modelos posteriores; iPad Air 2 y modelos posteriores; iPad mini 4 y modelos posteriores, y iPod touch (7.ª generación)
Impacto: un atacante remoto podría provocar una denegación de servicio.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2020-9917: Pradeep Deokate de Harman, Stefan Böhrer de Daimler AG, proofnet.de
Entrada actualizada el 24 de julio de 2020
Otros agradecimientos
Bluetooth
Nos gustaría expresar nuestro agradecimiento a Andy Davis de NCC Group por su ayuda.
CoreFoundation
Queremos dar las gracias por su ayuda a Bobby Pelletier.
Entrada añadida el 8 de septiembre de 2020
ImageIO
Queremos dar las gracias por su ayuda a Xingwei Lin de Ant-Financial Light-Year Security Lab.
Entrada añadida el 21 de septiembre de 2020
Kernel
Queremos dar las gracias por su ayuda a Brandon Azad del Google Project Zero.
USB Audio
Nos gustaría expresar nuestro agradecimiento a Andy Davis de NCC Group por su ayuda.