Acerca del contenido de seguridad de macOS Catalina 10.15.7, Actualización de seguridad 2020-005 High Sierra y Actualización de seguridad 2020-005 Mojave

En este documento se describe el contenido de seguridad de macOS Catalina 10.15.7, Actualización de seguridad 2020-005 High Sierra y Actualización de seguridad 2020-005 Mojave.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

macOS Catalina 10.15.7, Actualización de seguridad 2020-005 High Sierra y Actualización de seguridad 2020-005 Mojave

Disponible el 24 de septiembre de 2020

CoreAudio

Disponible para: macOS Catalina 10.15

Impacto: reproducir un archivo creado con fines malintencionados podría provocar la ejecución de código arbitrario

Descripción: se ha solucionado un problema de desbordamiento de búfer mejorando la gestión de la memoria.

CVE-2020-9954: Francis en colaboración con Zero Day Initiative de Trend Micro y JunDong Xie de Ant Group Light-Year Security Lab

Entrada añadida el 12 de noviembre de 2020

Buscar

Disponible para: macOS Catalina 10.15

Impacto: es posible que una aplicación maliciosa pueda leer información de ubicación confidencial.

Descripción: existía un problema de acceso de archivo en algunos archivos de carpetas de inicio. Este problema se ha solucionado mejorando las restricciones de acceso.

CVE-2020-9986: Tim Kornhuber, Milan Stute y Alexander Heinrich de la Universidad Técnica de Darmstadt, Secure Mobile Networking Lab

Entrada añadida el 12 de noviembre de 2020

ImageIO

Disponible para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 y macOS Catalina 10.15

Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.

Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.

CVE-2020-9961: Xingwei Lin de Ant Security Light-Year Lab

Entrada actualizada el 12 de noviembre de 2020

libxml2

Disponible para: macOS Mojave 10.14.6 y macOS High Sierra 10.13.6, macOS Catalina 10.15

Impacto: procesar un archivo creado con fines malintencionados podría provocar la ejecución arbitraria de código

Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.

CVE-2020-9981: detectado por OSS-Fuzz

Entrada añadida el 12 de noviembre de 2020 y actualizada el 16 de marzo de 2021

Mail

Disponible para: macOS High Sierra 10.13.6

Impacto: un atacante remoto podría alterar el estado de la aplicación de forma inesperada.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2020-9941: Fabian Ising de la Universidad de Ciencias Aplicadas de Münster y Damian Poddebniak de la Universidad de Ciencias Aplicadas de Münster

Model I/O

Disponible para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 y macOS Catalina 10.15

Impacto: el procesamiento de un archivo USD diseñado con fines malintencionados podría provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.

Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.

CVE-2020-10011: Aleksandar Nikolic de Cisco Talos

CVE-2020-9973: Aleksandar Nikolic de Cisco Talos

Entrada actualizada el 12 de noviembre de 2020

Model I/O

Disponible para: macOS Mojave 10.14.6, macOS Catalina 10.15

Impacto: el procesamiento de un archivo USD diseñado con fines malintencionados podría provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.

Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.

CVE-2020-13520: Aleksandar Nikolic de Cisco Talos

Entrada añadida el 12 de noviembre de 2020

Zona protegida

Disponible para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 y macOS Catalina 10.15

Impacto: una aplicación maliciosa podría tener acceso a archivos restringidos

Descripción: se ha solucionado un problema de lógica mejorando las restricciones.

CVE-2020-9968: Adam Chester (@_xpn_) de TrustedSec

Entrada actualizada el 12 de noviembre de 2020

Wifi

Disponible para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 y macOS Catalina 10.15

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.

CVE-2020-10013: Yu Wang de Didi Research America

Entrada añadida el 16 de marzo de 2021

Otros agradecimientos

Bluetooth

Nos gustaría expresar nuestro agradecimiento a Andy Davis de NCC Group por su ayuda.

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Fecha de publicación: