Acerca del contenido de seguridad de iOS 14.2 y iPadOS 14.2
En este documento se describe el contenido de seguridad de iOS 14.2 y iPadOS 14.2.
Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
iOS 14.2 y iPadOS 14.2
Audio
Disponible para: iPhone 6s y modelos posteriores, iPod touch (7.ª generación), iPad Air 2 y modelos posteriores, y iPad mini 4 y modelos posteriores
Impacto: el procesamiento de un archivo de audio creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2020-27910: JunDong Xie y XingWei Lin de Ant Security Light-Year Lab
Audio
Disponible para: iPhone 6s y modelos posteriores, iPod touch (7.ª generación), iPad Air 2 y modelos posteriores, y iPad mini 4 y modelos posteriores
Impacto: el procesamiento de un archivo de audio creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la validación de las entradas.
CVE-2020-27916: JunDong Xie de Ant Security Light-Year Lab
CallKit
Disponible para: iPhone 6s y modelos posteriores, iPod touch (7.ª generación), iPad Air 2 y modelos posteriores, y iPad mini 4 y modelos posteriores
Impacto: un usuario podría responder dos llamadas de forma simultánea sin indicar que ha respondido una segunda llamada.
Descripción: existía un problema en la gestión de llamadas entrantes. Se ha solucionado este problema mediante comprobaciones de estado adicionales.
CVE-2020-27925: Nick Tangri
CoreAudio
Disponible para: iPhone 6s y modelos posteriores, iPod touch (7.ª generación), iPad Air 2 y modelos posteriores, y iPad mini 4 y modelos posteriores
Impacto: el procesamiento de un archivo de audio creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la validación de las entradas.
CVE-2020-10017: Francis en colaboración con Zero Day Initiative de Trend Micro y JunDong Xie de Ant Security Light-Year Lab
CoreAudio
Disponible para: iPhone 6s y modelos posteriores, iPod touch (7.ª generación), iPad Air 2 y modelos posteriores, y iPad mini 4 y modelos posteriores
Impacto: el procesamiento de un archivo de audio creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2020-27908: anónimo en colaboración con Zero Day Initiative de Trend Micro, y JunDong Xie y XingWei Lin de Ant Security Light-Year Lab
CVE-2020-27909: anónimo en colaboración con Zero Day Initiative de Trend Micro, y JunDong Xie y Xingwei Lin de Ant Security Light-Year Lab
CoreGraphics
Disponible para: iPhone 6s y modelos posteriores, iPod touch (7.ª generación), iPad Air 2 y modelos posteriores, y iPad mini 4 y modelos posteriores
Impacto: procesar un PDF creado con fines malintencionados podría provocar la ejecución de código arbitrario
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la validación de las entradas.
CVE-2020-9897: S.Y. de Zecops Mobile XDR, investigador anónimo
CoreText
Disponible para: iPhone 6s y modelos posteriores, iPod touch (7.ª generación), iPad Air 2 y modelos posteriores, y iPad mini 4 y modelos posteriores
Impacto: el procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar la ejecución arbitraria de código
Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.
CVE-2020-27922: Mickey Jin de Trend Micro
Crash Reporter
Disponible para: iPhone 6s y modelos posteriores, iPod touch (7.ª generación), iPad Air 2 y modelos posteriores, y iPad mini 4 y modelos posteriores
Impacto: un atacante local podría aumentar sus privilegios.
Descripción: había un problema en la lógica de la validación de las rutas de los enlaces simbólicos. Este problema se ha solucionado mejorando el saneamiento de las rutas.
CVE-2020-10003: Tim Michaud (@TimGMichaud) de Leviathan
FontParser
Disponible para: iPhone 6s y modelos posteriores, iPod touch (7.ª generación), iPad Air 2 y modelos posteriores, y iPad mini 4 y modelos posteriores
Impacto: el procesamiento de un tipo de letra creado con fines malintencionados podría provocar la ejecución arbitraria de código. Apple está al corriente de las notificaciones relativas a la explotación de este problema.
Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.
CVE-2020-27930: Google Project Zero
FontParser
Disponible para: iPhone 6s y modelos posteriores, iPod touch (7.ª generación), iPad Air 2 y modelos posteriores, y iPad mini 4 y modelos posteriores
Impacto: el procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar la ejecución arbitraria de código
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.
CVE-2020-27927: Xingwei Lin de Ant Security Light-Year Lab
Foundation
Disponible para: iPhone 6s y modelos posteriores, iPod touch (7.ª generación), iPad Air 2 y modelos posteriores, y iPad mini 4 y modelos posteriores
Impacto: un usuario local podría leer archivos arbitrarios.
Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.
CVE-2020-10002: James Hutchins
ImageIO
Disponible para: iPhone 6s y modelos posteriores, iPod touch (7.ª generación), iPad Air 2 y modelos posteriores, y iPad mini 4 y modelos posteriores
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2020-27924: Lei Sun
ImageIO
Disponible para: iPhone 6s y modelos posteriores, iPod touch (7.ª generación), iPad Air 2 y modelos posteriores, y iPad mini 4 y modelos posteriores
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la validación de las entradas.
CVE-2020-27912: Xingwei Lin de Ant Security Light-Year Lab
CVE-2020-27923: Lei Sun
IOAcceleratorFamily
Disponible para: iPhone 6s y modelos posteriores, iPod touch (7.ª generación), iPad Air 2 y modelos posteriores, y iPad mini 4 y modelos posteriores
Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema.
Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
CVE-2020-27905: Mohamed Ghannam (@_simo36)
Kernel
Disponible para: iPhone 6s y modelos posteriores, iPod touch (7.ª generación), iPad Air 2 y modelos posteriores, y iPad mini 4 y modelos posteriores
Impacto: una aplicación maliciosa podría divulgar datos de la memoria del kernel. Apple está al corriente de las notificaciones relativas a la explotación de este problema.
Descripción: se ha solucionado un problema de inicialización de memoria.
CVE-2020-27950: Google Project Zero
Kernel
Disponible para: iPhone 6s y modelos posteriores, iPod touch (7.ª generación), iPad Air 2 y modelos posteriores, y iPad mini 4 y modelos posteriores
Impacto: una aplicación creada con fines malintencionados podría determinar el diseño de la memoria de kernel.
Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.
CVE-2020-9974: Tommy Muir (@Muirey03)
Kernel
Disponible para: iPhone 6s y modelos posteriores, iPod touch (7.ª generación), iPad Air 2 y modelos posteriores, y iPad mini 4 y modelos posteriores
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
CVE-2020-10016: Alex Helie
Kernel
Disponible para: iPhone 6s y modelos posteriores, iPod touch (7.ª generación), iPad Air 2 y modelos posteriores, y iPad mini 4 y modelos posteriores
Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel. Apple está al corriente de las notificaciones relativas a la explotación de este problema.
Descripción: se ha solucionado un problema de confusión de tipo mejorando la gestión del estado.
CVE-2020-27932: Google Project Zero
Keyboard
Disponible para: iPhone 6s y modelos posteriores, iPod touch (7.ª generación), iPad Air 2 y modelos posteriores, y iPad mini 4 y modelos posteriores
Impacto: una persona con acceso físico a un dispositivo iOS podría acceder a las contraseñas guardadas sin autenticarse.
Descripción: se ha solucionado el problema de autenticación mejorando la gestión del estado.
CVE-2020-27902: Connor Ford (@connorford2)
libxml2
Disponible para: iPhone 6s y modelos posteriores, iPod touch (7.ª generación), iPad Air 2 y modelos posteriores, y iPad mini 4 y modelos posteriores
Impacto: procesar contenido web creado con fines malintencionados podría provocar la ejecución de código.
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
CVE-2020-27917: detectado por OSS-Fuzz
CVE-2020-27920: detectado por OSS-Fuzz
libxml2
Disponible para: iPhone 6s y modelos posteriores, iPod touch (7.ª generación), iPad Air 2 y modelos posteriores, y iPad mini 4 y modelos posteriores
Impacto: un atacante remoto podría ser capaz de provocar el cierre inesperado de una aplicación o la ejecución arbitraria de código.
Descripción: se ha solucionado un desbordamiento de enteros mejorando la validación de las entradas.
CVE-2020-27911: detectado por OSS-Fuzz
libxml2
Disponible para: iPhone 6s y modelos posteriores, iPod touch (7.ª generación), iPad Air 2 y modelos posteriores, y iPad mini 4 y modelos posteriores
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
CVE-2020-27926: detectado por OSS-Fuzz
Logging
Disponible para: iPhone 6s y modelos posteriores, iPod touch (7.ª generación), iPad Air 2 y modelos posteriores, y iPad mini 4 y modelos posteriores
Impacto: un atacante local podría aumentar sus privilegios.
Descripción: se ha solucionado un problema de gestión de las rutas mejorando la validación.
CVE-2020-10010: Tommy Muir (@Muirey03)
Model I/O
Disponible para: iPhone 6s y modelos posteriores, iPod touch (7.ª generación), iPad Air 2 y modelos posteriores, y iPad mini 4 y modelos posteriores
Impacto: abrir un archivo creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.
Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.
CVE-2020-10004: Aleksandar Nikolic de Cisco Talos
Model I/O
Disponible para: iPhone 6s y modelos posteriores, iPod touch (7.ª generación), iPad Air 2 y modelos posteriores, y iPad mini 4 y modelos posteriores
Impacto: el procesamiento de un archivo USD diseñado con fines malintencionados podría provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2020-13524: Aleksandar Nikolic de Cisco Talos
Model I/O
Disponible para: iPhone 6s y modelos posteriores, iPod touch (7.ª generación), iPad Air 2 y modelos posteriores, y iPad mini 4 y modelos posteriores
Impacto: el procesamiento de un archivo USD diseñado con fines malintencionados podría provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.
CVE-2020-10011: Aleksandar Nikolic de Cisco Talos
Symptom Framework
Disponible para: iPhone 6s y modelos posteriores, iPod touch (7.ª generación), iPad Air 2 y modelos posteriores, y iPad mini 4 y modelos posteriores
Impacto: un atacante local podría aumentar sus privilegios.
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
CVE-2020-27899: 08Tc3wBB en colaboración con ZecOps
WebKit
Disponible para: iPhone 6s y modelos posteriores, iPod touch (7.ª generación), iPad Air 2 y modelos posteriores, y iPad mini 4 y modelos posteriores
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
CVE-2020-27918: Liu Long de Ant Security Light-Year Lab
XNU
Disponible para: iPhone 6s y modelos posteriores, iPod touch (7.ª generación), iPad Air 2 y modelos posteriores, y iPad mini 4 y modelos posteriores
Impacto: un proceso aislado podría ser capaz de eludir las restricciones de la zona protegida
Descripción: se han solucionado varios problemas mejorando la lógica.
CVE-2020-27935: Lior Halphon (@LIJI32)
Otros agradecimientos
NetworkExtension
Queremos dar las gracias a un investigador anónimo por su ayuda.
Safari
Nos gustaría expresar nuestro agradecimiento a Gabriel Corona por su ayuda.
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.