Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Las versiones más recientes se pueden encontrar en la página Actualizaciones de seguridad de Apple.
Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que es posible.
Para obtener más información sobre la seguridad, consulta la página de seguridad de los productos Apple.
tvOS 13.4.5
Publicado el 26 de mayo de 2020
Accounts
Disponible para Apple TV 4K y Apple TV HD
Impacto: Es posible que un atacante remoto pueda ocasionar una denegación de servicio
Descripción: Se mejoró la validación de entradas para solucionar un problema de denegación de servicio.
CVE-2020-9827: Jannik Lorenz de SEEMOO @ TU Darmstadt
AppleMobileFileIntegrity
Disponible para Apple TV 4K y Apple TV HD
Impacto: Una app creada con fines malintencionados podía interactuar con los procesos del sistema para acceder a información privada y realizar acciones privilegiadas.
Descripción: Se solucionó un problema de análisis de derechos mejorando los análisis.
CVE-2020-9842: Linus Henze (pinauten.de)
Audio
Disponible para Apple TV 4K y Apple TV HD
Impacto: Es posible que el procesamiento de un archivo de audio creado con fines malintencionados ocasione la ejecución de código arbitrario
Descripción: Se mejoró la comprobación de límites para solucionar un problema de lectura fuera de los límites.
CVE-2020-9815: Yu Zhou (@yuzhou6666) en colaboración con la iniciativa Zero Day de Trend Micro
Audio
Disponible para Apple TV 4K y Apple TV HD
Impacto: Es posible que el procesamiento de un archivo de audio creado con fines malintencionados ocasione la ejecución de código arbitrario
Descripción: Se mejoró la validación de entradas para solucionar un problema de lectura fuera de los límites.
CVE-2020-9791: Yu Zhou (@yuzhou6666) en colaboración con la iniciativa Zero Day de Trend Micro
CoreText
Disponible para Apple TV 4K y Apple TV HD
Impacto: Es posible que el procesamiento de un mensaje de texto creado con fines malintencionados ocasione una denegación de servicio de la aplicación
Descripción: Se mejoró el saneamiento de entradas para solucionar un problema de validación.
CVE-2020-9829: Aaron Perris (@aaronp613), un investigador anónimo, Carlos S Tech, Sam Menzies de Sam’s Lounge, Sufiyan Gouri de Lovely Professional University, India, Suleman Hasan Rathor de Arabic-Classroom.com
FontParser
Disponible para Apple TV 4K y Apple TV HD
Impacto: Es posible que la apertura de un archivo PDF creado con fines malintencionados pueda ocasionar el cierre inesperado de una app o la ejecución de código arbitrario
Descripción: Se mejoró la comprobación de límites para solucionar un problema de escritura fuera de los límites.
CVE-2020-9816: Peter Nguyen Vu Hoang de STAR Labs en colaboración con la iniciativa Zero Day de Trend Micro
ImageIO
Disponible para Apple TV 4K y Apple TV HD
Impacto: Es posible que el procesamiento de una imagen creada con fines malintencionados pueda ocasionar la ejecución de código arbitrario
Descripción: Se mejoró la validación de entradas para solucionar un problema de lectura fuera de los límites.
CVE-2020-3878: Samuel Groß de Google Project Zero
ImageIO
Disponible para Apple TV 4K y Apple TV HD
Impacto: Es posible que el procesamiento de una imagen creada con fines malintencionados pueda ocasionar la ejecución de código arbitrario
Descripción: Se mejoró la comprobación de límites para solucionar un problema de escritura fuera de los límites.
CVE-2020-9789: Wenchao Li de VARAS@IIE
CVE-2020-9790: Xingwei Lin de Ant-financial Light-Year Security Lab
IPSec
Disponible para Apple TV 4K y Apple TV HD
Impacto: Es posible que un atacante remoto pueda producir una fuga de memoria
Descripción: Se mejoró la comprobación de límites para solucionar un problema de lectura fuera de los límites.
CVE-2020-9837: Thijs Alkemade de Computest
Kernel
Disponible para Apple TV 4K y Apple TV HD
Impacto: Es posible que una app malintencionada pueda ejecutar código arbitrario con privilegios del kernel
Descripción: Se mejoró la administración de estados para solucionar un problema de daños en la memoria.
CVE-2020-9821: Xinru Chi y Tielei Wang de Pangu Lab
Kernel
Disponible para Apple TV 4K y Apple TV HD
Impacto: Una app creada con fines malintencionados podía determinar la distribución de la memoria de otra app.
Descripción: Se solucionó un problema de divulgación de información eliminando el código vulnerable.
CVE-2020-9797: Un investigador anónimo
Kernel
Disponible para Apple TV 4K y Apple TV HD
Impacto: Es posible que una app malintencionada pueda ejecutar código arbitrario con privilegios del kernel
Descripción: Se solucionó un problema de desbordamiento de enteros mejorando la validación de entradas.
CVE-2020-9852: Tao Huang y Tielei Wang de Pangu Lab
Kernel
Disponible para Apple TV 4K y Apple TV HD
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel
Descripción: Se mejoró la administración de la memoria para solucionar un problema de uso después de liberación.
CVE-2020-9795: Zhuo Liang de Qihoo 360 Vulcan Team
Kernel
Disponible para Apple TV 4K y Apple TV HD
Impacto: Una app podía provocar el cierre inesperado del sistema o escribir la memoria del kernel.
Descripción: Se solucionó un problema de daños en la memoria mejorando la administración de estados.
CVE-2020-9808: Xinru Chi y Tielei Wang de Pangu Lab
Kernel
Disponible para Apple TV 4K y Apple TV HD
Impacto: Es posible que un usuario local pueda leer la memoria del kernel
Descripción: Se mejoró la administración de estados para solucionar un problema de divulgación de información.
CVE-2020-9811: Tielei Wang de Pangu Lab
CVE-2020-9812: derrek (@derrekr6)
Kernel
Disponible para Apple TV 4K y Apple TV HD
Impacto: Es posible que una app malintencionada pueda ejecutar código arbitrario con privilegios del kernel
Descripción: Existía un problema de lógica que provocaba daños en la memoria. Este problema se solucionó mejorando la administración de estado.
CVE-2020-9813: Xinru Chi de Pangu Lab
CVE-2020-9814: Xinru Chi y Tielei Wang de Pangu Lab
Kernel
Disponible para Apple TV 4K y Apple TV HD
Impacto: Es posible que una app creada con fines malintencionados pueda determinar la distribución de la memoria del kernel
Descripción: Se mejoró la administración de estados para solucionar un problema de divulgación de información.
CVE-2020-9809: Benjamin Randazzo (@____benjamin)
libxpc
Disponible para Apple TV 4K y Apple TV HD
Impacto: Es posible que una app creada con fines malintencionados pueda sobrescribir archivos arbitrarios
Descripción: Se solucionó un problema de manejo de rutas mejorando la validación.
CVE-2020-9994: Apple
Entrada agregada el 21 de septiembre de 2020
rsync
Disponible para Apple TV 4K y Apple TV HD
Impacto: Un atacante remoto podía sobrescribir archivos existentes
Descripción: Existía un problema de validación en el manejo de enlaces simbólicos. Para solucionar este problema, se mejoró la validación de enlaces simbólicos.
CVE-2014-9512: gaojianfeng
Entrada agregada el 28 de julio de 2020
Security
Disponible para Apple TV 4K y Apple TV HD
Impacto: Es posible que una app pueda obtener privilegios elevados
Descripción: Se mejoró la validación para solucionar un problema de lógica.
CVE-2020-9854: Ilias Morad (A2nkF)
Entrada agregada el 28 de julio de 2020
SQLite
Disponible para Apple TV 4K y Apple TV HD
Impacto: Una app creada con fines malintencionados podía ocasionar una denegación de servicio o revelar el contenido de la memoria.
Descripción: Se mejoró la comprobación de límites para solucionar un problema de lectura fuera de los límites.
CVE-2020-9794
System Preferences
Disponible para Apple TV 4K y Apple TV HD
Impacto: Es posible que una app pueda obtener privilegios elevados
Descripción: Se mejoró el manejo de estados para solucionar un problema de condición de carrera.
CVE-2020-9839: @jinmo123, @setuid0x0_ y @insu_yun_en de @SSLab_Gatech en colaboración con la iniciativa Zero Day de Trend Micro
WebKit
Disponible para Apple TV 4K y Apple TV HD
Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar un ataque de scripts de sitios universal.
Descripción: Se mejoraron las restricciones para solucionar un problema de lógica.
CVE-2020-9805: Un investigador anónimo
WebKit
Disponible para Apple TV 4K y Apple TV HD
Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda ocasionar la ejecución de código arbitrario
Descripción: Se mejoraron las restricciones para solucionar un problema de lógica.
CVE-2020-9802: Samuel Groß de Google Project Zero
WebKit
Disponible para Apple TV 4K y Apple TV HD
Impacto: Es posible que un atacante remoto pueda ocasionar la ejecución de código arbitrario
Descripción: Se mejoraron las restricciones para solucionar un problema de lógica.
CVE-2020-9850: @jinmo123, @setuid0x0_ y @insu_yun_en de @SSLab_Gatech en colaboración con la iniciativa Zero Day de Trend Micro
WebKit
Disponible para Apple TV 4K y Apple TV HD
Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados ocasione un ataque de scripts de sitios
Descripción: Se solucionó un problema de validación de entradas mejorando la validación de entradas.
CVE-2020-9843: Ryan Pickren (ryanpickren.com)
WebKit
Disponible para Apple TV 4K y Apple TV HD
Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda ocasionar la ejecución de código arbitrario
Descripción: Se mejoró la validación para solucionar un problema de daños en la memoria.
CVE-2020-9803: Wen Xu de SSLab en Georgia Tech
WebKit
Disponible para Apple TV 4K y Apple TV HD
Impacto: El procesamiento de contenido web creado con fines malintencionados podía provocar la ejecución de código arbitrario.
Descripción: Se mejoró la administración de estados para solucionar un problema de daños en la memoria.
CVE-2020-9806: Wen Xu de SSLab en Georgia Tech
CVE-2020-9807: Wen Xu de SSLab en Georgia Tech
WebKit
Disponible para Apple TV 4K y Apple TV HD
Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda ocasionar la ejecución de código arbitrario
Descripción: Se mejoró el manejo de la memoria para solucionar un problema de confusión de tipo.
CVE-2020-9800: Brendan Draper (@6r3nd4n) en colaboración con la iniciativa Zero Day de Trend Micro
WebRTC
Disponible para Apple TV 4K y Apple TV HD
Impacto: El procesamiento de contenido web creado con fines malintencionados podía provocar la divulgación de la memoria de un proceso.
Descripción: Se solucionó un problema de acceso mejorando la administración de la memoria.
CVE-2019-20503: natashenka de Google Project Zero
Otros agradecimientos
CoreText
Nos gustaría darles las gracias a Jiska Classen (@naehrdine) y a Dennis Heinze (@ttdennis) de Secure Mobile Networking Lab por su ayuda.
ImageIO
Nos gustaría darle las gracias a Lei Sun por su ayuda.
IOHIDFamily
Nos gustaría darle las gracias a Andy Davis de NCC Group por su ayuda.
IPSec
Nos gustaría darle las gracias a Thijs Alkemade de Computest por su ayuda.
Entrada agregada el 10 de agosto de 2020
Kernel
Nos gustaría darle las gracias a Brandon Azad de Google Project Zero por su ayuda.
Safari
Nos gustaría darle las gracias a Luke Walker de la Universidad Metropolitana de Manchester por su ayuda.
WebKit
Nos gustaría darle las gracias a Aidan Dunlap de UT Austin por su ayuda.