Acerca del contenido de seguridad de macOS Big Sur 11.2 y las actualizaciones de seguridad 2021-001 de Catalina y 2021-001 de Mojave
En este documento, se describe el contenido de seguridad de macOS Big Sur 11.2 y las actualizaciones de seguridad 2021-001 de Catalina y 2021-001 de Mojave.
Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Las versiones más recientes se pueden encontrar en la página Actualizaciones de seguridad de Apple.
Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que es posible.
Para obtener más información sobre la seguridad, consulta la página de seguridad de los productos Apple.
macOS Big Sur 11.2 y las actualizaciones de seguridad 2021-001 de Catalina y 2021-001 de Mojave
Analytics
Disponible para macOS Big Sur 11.0.1, macOS Catalina 10.15.7 y macOS Mojave 10.14.6
Impacto: Es posible que un atacante remoto pueda ocasionar una denegación de servicio
Descripción: Para solucionar este problema, se mejoraron las comprobaciones.
CVE-2021-1761: Cees Elzinga
APFS
Disponible para macOS Big Sur 11.0.1
Impacto: Un usuario local podía leer archivos arbitrarios.
Descripción: Se solucionó el problema mejorando la lógica de permisos.
CVE-2021-1797: Thomas Tempelmann
CFNetwork Cache
Disponible para macOS Catalina 10.15.7 y macOS Mojave 10.14.6
Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda ocasionar la ejecución de código arbitrario
Descripción: Se mejoró la validación de entradas para solucionar un problema de desbordamiento de enteros.
CVE-2020-27945: Zhuo Liang de Qihoo 360 Vulcan Team
CoreAnimation
Disponible para macOS Big Sur 11.0.1
Impacto: Una app creada con fines malintencionados podía ejecutar código arbitrario, lo que exponía la información de los usuarios.
Descripción: Se mejoró la administración de estados para solucionar un problema de daños en la memoria.
CVE-2021-1760: @S0rryMybad de 360 Vulcan Team
CoreAudio
Disponible para macOS Big Sur 11.0.1
Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar la ejecución de código.
Descripción: Se mejoró la validación de entradas para solucionar un problema de escritura fuera de los límites.
CVE-2021-1747: JunDong Xie de Ant Security Light-Year Lab
CoreGraphics
Disponible para macOS Mojave 10.14.6, macOS Catalina 10.15.7 y macOS Big Sur 11.0.1
Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: Se mejoró la comprobación de límites para solucionar un problema de escritura fuera de los límites.
CVE-2021-1776: Ivan Fratric de Google Project Zero
CoreMedia
Disponible para macOS Big Sur 11.0.1
Impacto: El procesamiento de una imagen creada con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la validación de entradas.
CVE-2021-1759: Hou JingYi (@hjy79425575) de Qihoo 360 CERT
CoreText
Disponible para macOS Mojave 10.14.6, macOS Catalina 10.15.7 y macOS Big Sur 11.0.1
Impacto: El procesamiento de un archivo de texto creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: Se solucionó un problema de desbordamiento de pila mejorando la validación de entradas.
CVE-2021-1772: Mickey Jin (@patch1t) de Trend Micro en colaboración con la iniciativa Zero Day de Trend Micro
CoreText
Disponible para macOS Mojave 10.14.6, macOS Catalina 10.15.7 y macOS Big Sur 11.0.1
Impacto: Un atacante remoto podía ocasionar la ejecución de código arbitrario.
Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la comprobación de límites.
CVE-2021-1792: Mickey Jin y Junzhi Lu de Trend Micro en colaboración con la iniciativa Zero Day de Trend Micro
Crash Reporter
Disponible para macOS Catalina 10.15.7
Impacto: Es posible que un atacante remoto pueda ocasionar una denegación de servicio
Descripción: Para solucionar este problema, se mejoraron las comprobaciones.
CVE-2021-1761: Cees Elzinga
Crash Reporter
Disponible para macOS Big Sur 11.0.1, macOS Catalina 10.15.7 y macOS Mojave 10.14.6
Impacto: Un atacante local podía aumentar sus privilegios.
Descripción: Se mejoró la lógica para solucionar varios problemas.
CVE-2021-1787: James Hutchins
Crash Reporter
Disponible para macOS Big Sur 11.0.1, macOS Catalina 10.15.7 y macOS Mojave 10.14.6
Impacto: Un usuario local podía crear o modificar archivos del sistema.
Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.
CVE-2021-1786: Csaba Fitzl (@theevilbit) de Offensive Security
Directory Utility
Disponible para macOS Catalina 10.15.7
Impacto: Una app creada con fines malintencionados podía obtener acceso a información privada.
Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.
CVE-2020-27937: Wojciech Reguła (@_r3ggi) de SecuRing
Endpoint Security
Disponible para macOS Catalina 10.15.7
Impacto: Es posible que un atacante local pueda aumentar sus privilegios
Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.
CVE-2021-1802: Zhongcheng Li (@CK01) de WPS Security Response Center
FairPlay
Disponible para macOS Big Sur 11.0.1
Impacto: Una app creada con fines malintencionados podía divulgar la memoria del kernel.
Descripción: Existía un problema de lectura fuera de los límites que ocasionó la divulgación de contenido de la memoria del kernel. Este problema se solucionó mejorando la validación de entradas.
CVE-2021-1791: Junzhi Lu (@pwn0rz), Qi Sun y Mickey Jin de Trend Micro en colaboración con la iniciativa Zero Day de Trend Micro
FontParser
Disponible para macOS Catalina 10.15.7
Impacto: El procesamiento de un tipo de letra creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: Se mejoró la validación de entradas para solucionar un problema de lectura fuera de los límites.
CVE-2021-1790: Peter Nguyen Vu Hoang de STAR Labs
FontParser
Disponible para macOS Mojave 10.14.6
Impacto: El procesamiento de un tipo de letra creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: Este problema se solucionó mediante la eliminación del código vulnerable.
CVE-2021-1775: Mickey Jin y Qi Sun de Trend Micro en colaboración con la iniciativa Zero Day de Trend Micro
FontParser
Disponible para macOS Mojave 10.14.6
Impacto: Es posible que un atacante remoto pueda producir una fuga de memoria
Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la comprobación de límites.
CVE-2020-29608: Xingwei Lin de Ant Security Light-Year Lab
FontParser
Disponible para macOS Big Sur 11.0.1 y macOS Catalina 10.15.7
Impacto: Un atacante remoto podía ocasionar la ejecución de código arbitrario.
Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la comprobación de límites.
CVE-2021-1758: Peter Nguyen de STAR Labs
ImageIO
Disponible para macOS Big Sur 11.0.1
Impacto: El procesamiento de una imagen creada con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: Se solucionó un problema de acceso mejorando la administración de la memoria.
CVE-2021-1783: Xingwei Lin de Ant Security Light-Year Lab
ImageIO
Disponible para macOS Big Sur 11.0.1
Impacto: Es posible que el procesamiento de una imagen creada con fines malintencionados pueda ocasionar la ejecución de código arbitrario
Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la comprobación de límites.
CVE-2021-1741: Xingwei Lin de Ant Security Light-Year Lab
CVE-2021-1743: Mickey Jin y Junzhi Lu de Trend Micro en colaboración con la iniciativa Zero Day de Trend Micro, Xingwei Lin de Ant Security Light-Year Lab
ImageIO
Disponible para macOS Big Sur 11.0.1
Impacto: El procesamiento de una imagen creada con fines malintencionados podía ocasionar una denegación de servicio.
Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.
CVE-2021-1773: Xingwei Lin de Ant Security Light-Year Lab
ImageIO
Disponible para macOS Big Sur 11.0.1
Impacto: El procesamiento de una imagen creada con fines malintencionados podía ocasionar una denegación de servicio.
Descripción: Existía un problema de lectura fuera de los límites en el curl. Para resolver este problema, se mejoró la comprobación de los límites.
CVE-2021-1778: Xingwei Lin de Ant Security Light-Year Lab
ImageIO
Disponible para macOS Catalina 10.15.7 y macOS Big Sur 11.0.1
Impacto: Es posible que el procesamiento de una imagen creada con fines malintencionados pueda ocasionar la ejecución de código arbitrario
Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la validación de entradas.
CVE-2021-1736: Xingwei Lin de Ant Security Light-Year Lab
CVE-2021-1785: Xingwei Lin de Ant Security Light-Year Lab
ImageIO
Disponible para macOS Mojave 10.14.6, macOS Catalina 10.15.7 y macOS Big Sur 11.0.1
Impacto: El procesamiento de una imagen creada con fines malintencionados podía ocasionar una denegación de servicio.
Descripción: Para solucionar este problema, se mejoraron las comprobaciones.
CVE-2021-1766: Danny Rosseau de Carve Systems
ImageIO
Disponible para macOS Catalina 10.15.7 y macOS Big Sur 11.0.1
Impacto: Es posible que un atacante remoto pueda ocasionar el cierre inesperado de una app o la ejecución de código arbitrario
Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.
CVE-2021-1818: Xingwei Lin de Ant-Financial Light-Year Security Lab
ImageIO
Disponible para macOS Catalina 10.15.7 y macOS Big Sur 11.0.1
Impacto: Es posible que el procesamiento de una imagen creada con fines malintencionados pueda ocasionar la ejecución de código arbitrario
Descripción: Para solucionar este problema, se mejoraron las comprobaciones.
CVE-2021-1742: Xingwei Lin de Ant Security Light-Year Lab
CVE-2021-1746: Jeonghoon Shin(@singi21a) de THEORI, Mickey Jin y Qi Sun de Trend Micro en colaboración con la iniciativa Zero Day de Trend Micro, Xingwei Lin de Ant Security Light-Year Lab
CVE-2021-1754: Xingwei Lin de Ant Security Light-Year Lab
CVE-2021-1774: Xingwei Lin de Ant Security Light-Year Lab
CVE-2021-1777: Xingwei Lin de Ant Security Light-Year Lab
CVE-2021-1793: Xingwei Lin de Ant Security Light-Year Lab
ImageIO
Disponible para macOS Big Sur 11.0.1 y macOS Catalina 10.15.7
Impacto: El procesamiento de una imagen creada con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: Se mejoró la validación de entradas para solucionar un problema de escritura fuera de los límites.
CVE-2021-1737: Xingwei Lin de Ant Security Light-Year Lab
CVE-2021-1738: Lei Sun
CVE-2021-1744: Xingwei Lin de Ant Security Light-Year Lab
IOKit
Disponible para macOS Big Sur 11.0.1
Impacto: Una app podía ejecutar código arbitrario con privilegios del sistema.
Descripción: Se solucionó un error lógico en la carga de archivos kext mejorando el manejo de estado.
CVE-2021-1779: Csaba Fitzl (@theevilbit) de Offensive Security
IOSkywalkFamily
Disponible para macOS Big Sur 11.0.1
Impacto: Un atacante local podía aumentar sus privilegios.
Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la comprobación de límites.
CVE-2021-1757: Pan ZhenPeng (@Peterpan0927) de Alibaba Security, Proteas
Kernel
Disponible para macOS Catalina 10.15.7 y macOS Mojave 10.14.6
Impacto: Una app podía ejecutar código arbitrario con privilegios del kernel.
Descripción: Existía un problema de lógica que provocaba daños en la memoria. Este problema se solucionó mejorando la administración de estado.
CVE-2020-27904: Zuozhi Fan (@pattern_F_) de Ant Group Tianqiong Security Lab
Kernel
Disponible para macOS Big Sur 11.0.1
Impacto: Un atacante remoto podía ocasionar una denegación de servicio
Descripción: Se mejoró la administración de la memoria para solucionar un problema de uso después de liberación.
CVE-2021-1764: @m00nbsd
Kernel
Disponible para macOS Big Sur 11.0.1, macOS Catalina 10.15.7 y macOS Mojave 10.14.6
Impacto: Una app creada con fines malintencionados podía elevar privilegios. Apple está al tanto de que este problema podría haberse explotado de forma activa.
Descripción: Se solucionó un problema de condición de carrera mejorando el bloqueo.
CVE-2021-1782: Un investigador anónimo
Kernel
Disponible para macOS Big Sur 11.0.1, macOS Catalina 10.15.7 y macOS Mojave 10.14.6
Impacto: Una app podía ejecutar código arbitrario con privilegios del kernel.
Descripción: Se mejoró la lógica para solucionar varios problemas.
CVE-2021-1750: @0xalsr
Login Window
Disponible para macOS Big Sur 11.0.1, macOS Catalina 10.15.7 y macOS Mojave 10.14.6
Impacto: Un atacante con una posición de red privilegiada podía omitir políticas de autenticación.
Descripción: Se solucionó un problema de autenticación mejorando la administración de estados.
CVE-2020-29633: Jewel Lambert de Original Spin, LLC.
Messages
Disponible para macOS Big Sur 11.0.1
Impacto: Una app creada con fines malintencionados podía divulgar información confidencial del usuario.
Descripción: Existía un problema de privacidad en la administración de las tarjetas de contactos. Este problema se solucionó mejorando la administración de estado.
CVE-2021-1781: Csaba Fitzl (@theevilbit) de Offensive Security
Messages
Disponible para macOS Big Sur 11.0.1, macOS Catalina 10.15.7 y macOS Mojave 10.14.6
Impacto: Un usuario eliminado de un grupo de iMessage podía volver a unirse al grupo
Descripción: Para solucionar este problema, se mejoraron las comprobaciones.
CVE-2021-1771: Shreyas Ranganatha (@strawsnoceans)
Model I/O
Disponible para macOS Big Sur 11.0.1
Impacto: El procesamiento de un archivo USD creado con fines malintencionados podía ocasionar el cierre inesperado de una app o la ejecución de código arbitrario.
Descripción: Se mejoró la validación de entradas para solucionar un problema de escritura fuera de los límites.
CVE-2021-1762: Mickey Jin de Trend Micro en colaboración con la iniciativa Zero Day de Trend Micro
Model I/O
Disponible para macOS Catalina 10.15.7
Impacto: El procesamiento de un archivo creado con fines malintencionados podía generar daños en la memoria del montón.
Descripción: Para solucionar este problema, se mejoraron las comprobaciones.
CVE-2020-29614: ZhiWei Sun (@5n1p3r0010) de Topsec Alpha Lab
Model I/O
Disponible para macOS Big Sur 11.0.1, macOS Catalina 10.15.7 y macOS Mojave 10.14.6
Impacto: El procesamiento de un archivo USD creado con fines malintencionados podía ocasionar el cierre inesperado de una app o la ejecución de código arbitrario.
Descripción: Se mejoró la comprobación de límites para solucionar un problema de desbordamiento de búferes.
CVE-2021-1763: Mickey Jin de Trend Micro en colaboración con la iniciativa Zero Day de Trend Micro
Model I/O
Disponible para macOS Big Sur 11.0.1, macOS Catalina 10.15.7 y macOS Mojave 10.14.6
Impacto: El procesamiento de una imagen creada con fines malintencionados podía generar daños en la memoria del montón.
Descripción: Para solucionar este problema, se mejoraron las comprobaciones.
CVE-2021-1767: Mickey Jin y Junzhi Lu de Trend Micro en colaboración con la iniciativa Zero Day de Trend Micro
Model I/O
Disponible para macOS Big Sur 11.0.1, macOS Catalina 10.15.7 y macOS Mojave 10.14.6
Impacto: El procesamiento de un archivo USD creado con fines malintencionados podía ocasionar el cierre inesperado de una app o la ejecución de código arbitrario.
Descripción: Se mejoró la validación de entradas para solucionar un problema de lectura fuera de los límites.
CVE-2021-1745: Mickey Jin y Junzhi Lu de Trend Micro en colaboración con la iniciativa Zero Day de Trend Micro
Model I/O
Disponible para macOS Big Sur 11.0.1, macOS Catalina 10.15.7 y macOS Mojave 10.14.6
Impacto: Es posible que el procesamiento de una imagen creada con fines malintencionados pueda ocasionar la ejecución de código arbitrario
Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la comprobación de límites.
CVE-2021-1753: Mickey Jin de Trend Micro en colaboración con la iniciativa Zero Day de Trend Micro
Model I/O
Disponible para macOS Big Sur 11.0.1, macOS Catalina 10.15.7 y macOS Mojave 10.14.6
Impacto: El procesamiento de un archivo USD creado con fines malintencionados podía ocasionar el cierre inesperado de una app o la ejecución de código arbitrario
Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la comprobación de límites.
CVE-2021-1768: Mickey Jin y Junzhi Lu de Trend Micro en colaboración con la iniciativa Zero Day de Trend Micro
NetFSFramework
Disponible para macOS Big Sur 11.0.1, macOS Catalina 10.15.7 y macOS Mojave 10.14.6
Impacto: El montaje de un recurso compartido de red Samba creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.
CVE-2021-1751: Mikko Kenttälä (@Turmio_) de SensorFu
OpenLDAP
Disponible para macOS Big Sur 11.0.1, macOS Catalina 10.15.7 y macOS Mojave 10.14.6
Impacto: Es posible que un atacante remoto pueda ocasionar una denegación de servicio
Descripción: Para solucionar este problema, se mejoraron las comprobaciones.
CVE-2020-25709
Power Management
Disponible para macOS Mojave 10.14.6 y macOS Catalina 10.15.7
Impacto: Una app creada con fines malintencionados podía elevar privilegios.
Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.
CVE-2020-27938: Tim Michaud (@TimGMichaud) de Leviathan
Screen Sharing
Disponible para macOS Big Sur 11.0.1
Impacto: Varios problemas en pcre.
Descripción: Se solucionaron varios problemas realizando una actualización a la versión 8.44.
CVE-2019-20838
CVE-2020-14155
SQLite
Disponible para macOS Catalina 10.15.7
Impacto: Varios problemas en SQLite.
Descripción: Se mejoraron las comprobaciones para solucionar varios problemas.
CVE-2020-15358
Swift
Disponible para macOS Big Sur 11.0.1
Impacto: Un atacante malintencionado con una función de lectura y escritura arbitraria podía omitir la autenticación del puntero
Descripción: Se mejoró la validación para solucionar un problema de lógica.
CVE-2021-1769: CodeColorist de Ant-Financial Light-Year Labs
WebKit
Disponible para macOS Big Sur 11.0.1
Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda ocasionar la ejecución de código arbitrario
Descripción: Se mejoró la administración de la memoria para solucionar un problema de uso después de liberación.
CVE-2021-1788: Francisco Alonso (@revskills)
WebKit
Disponible para macOS Big Sur 11.0.1
Impacto: El contenido web creado con fines malintencionados podía infringir la política de la zona protegida de iFrame.
Descripción: Se mejoró la aplicación de la zona protegida de iFrame para solucionar este problema.
CVE-2021-1765: Eliya Stein de Confiant
CVE-2021-1801: Eliya Stein de Confiant
WebKit
Disponible para macOS Big Sur 11.0.1
Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda ocasionar la ejecución de código arbitrario
Descripción: Se mejoró el manejo de estados para solucionar un problema de confusión de tipo.
CVE-2021-1789: @S0rryMybad de 360 Vulcan Team
WebKit
Disponible para macOS Big Sur 11.0.1
Impacto: Un atacante remoto podía ocasionar la ejecución de código arbitrario. Apple está al tanto de que este problema podría haberse explotado de forma activa.
Descripción: Se mejoraron las restricciones para solucionar un problema de lógica.
CVE-2021-1871: Un investigador anónimo
CVE-2021-1870: Un investigador anónimo
WebRTC
Disponible para macOS Big Sur 11.0.1
Impacto: Un sitio web malintencionado podía acceder a puertos restringidos en servidores arbitrarios.
Descripción: Se solucionó un problema de redirección de puertos mediante una validación adicional de los puertos.
CVE-2021-1799: Gregory Vishnepolsky y Ben Seri de Armis Security, y Samy Kamkar
XNU
Disponible para macOS Big Sur 11.0.1
Impacto: Una app creada con fines malintencionados podía ejecutar código arbitrario con privilegios del kernel.
Descripción: Se mejoró el manejo de estados para solucionar un problema de confusión de tipo.
CVE-2021-30869: Apple
Otros agradecimientos
Kernel
Nos gustaría darles las gracias a Junzhi Lu (@pwn0rz), Mickey Jin y Jesse Change de Trend Micro por su ayuda.
libpthread
Nos gustaría darle las gracias a CodeColorist de Ant-Financial Light-Year Labs por su ayuda.
Login Window
Nos gustaría darle las gracias a Jose Moises Romero-Villanueva de CrySolve por su ayuda.
Mail Drafts
Nos gustaría darle las gracias a Jon Bottarini de HackerOne por su ayuda.
Screen Sharing Server
Nos gustaría darle las gracias a @gorelics por su ayuda.
WebRTC
Nos gustaría darle las gracias a Philipp Hancke por su ayuda.
La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.