Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
iCloud para Windows 11.5
Disponible el 2 de diciembre de 2020
CoreText
Disponible para: Windows 10 y versiones posteriores en la Microsoft Store
Impacto: el procesamiento de un archivo de texto creado con fines malintencionados podría provocar la ejecución de código arbitrario
Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
CVE-2020-9999: Apple
Entrada añadida el 15 de diciembre de 2020
Foundation
Disponible para: Windows 10 y versiones posteriores en la Microsoft Store
Impacto: un usuario local podría leer archivos arbitrarios.
Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.
CVE-2020-10002: James Hutchins
ImageIO
Disponible para: Windows 10 y versiones posteriores en la Microsoft Store
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2020-9961: Xingwei Lin de Ant Security Light-Year Lab
ImageIO
Disponible para: Windows 10 y versiones posteriores en la Microsoft Store
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la validación de las entradas.
CVE-2020-27912: Xingwei Lin de Ant Security Light-Year Lab
ImageIO
Disponible para: Windows 10 y versiones posteriores en la Microsoft Store
Impacto: la apertura de un archivo PDF diseñado con fines malintencionados podría provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.
CVE-2020-9876: Mickey Jin de Trend Micro
libxml2
Disponible para: Windows 10 y versiones posteriores en la Microsoft Store
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de código
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
CVE-2020-27917: detectado por OSS-Fuzz
libxml2
Disponible para: Windows 10 y versiones posteriores en la Microsoft Store
Impacto: un atacante remoto podría ser capaz de provocar el cierre inesperado de una aplicación o la ejecución arbitraria de código.
Descripción: se ha solucionado un desbordamiento de enteros mejorando la validación de las entradas.
CVE-2020-27911: detectado por OSS-Fuzz
libxml2
Disponible para: Windows 10 y versiones posteriores en la Microsoft Store
Impacto: procesar un archivo creado con fines malintencionados podría provocar la ejecución arbitraria de código
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
CVE-2020-9981: detectado por OSS-Fuzz
SQLite
Disponible para: Windows 10 y versiones posteriores en la Microsoft Store
Impacto: un atacante remoto podría provocar una denegación de servicio.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2020-13434
CVE-2020-13435
SQLite
Disponible para: Windows 10 y versiones posteriores en la Microsoft Store
Impacto: un atacante remoto podría provocar la ejecución de código arbitrario.
Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
CVE-2020-13630
SQLite
Disponible para: Windows 10 y versiones posteriores en la Microsoft Store
Impacto: un atacante remoto podría filtrar memoria.
Descripción: se ha solucionado un problema de divulgación de información mejorando la gestión del estado.
CVE-2020-9849
SQLite
Disponible para: Windows 10 y versiones posteriores en la Microsoft Store
Impacto: una consulta SQL creada con fines malintencionados podría provocar daños en los datos.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2020-13631
WebKit
Disponible para:
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
CVE-2020-9951: Marcin 'Icewall' Noga de Cisco Talos
CVE-2020-27918: investigador anónimo
WebKit
Disponible para: Windows 10 y versiones posteriores en la Microsoft Store
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de código
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.
CVE-2020-9983: zhunki
WebKit
Disponible para: Windows 10 y versiones posteriores en la Microsoft Store
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
CVE-2020-27918: investigador anónimo
CVE-2020-9947: cc en colaboración con Zero Day Initiative de Trend Micro
CVE-2020-9951: Marcin 'Icewall' Noga de Cisco Talos
Otros agradecimientos
Safari
Queremos dar las gracias a Ryan Pickren (ryanpickren.com) por su ayuda.
WebKit
Queremos dar las gracias por su ayuda a Pawel Wylecial de REDTEAM.PL, Ryan Pickren (ryanpickren.com), Tsubasa FUJII (@reinforchu), Zhiyang Zeng(@Wester) de OPPO ZIWU Security Lab.