Acerca del contenido de seguridad de macOS Catalina 10.15.6 y las actualizaciones de seguridad 2020-004 de Mojave y 2020-004 de High Sierra

En este documento, se describe el contenido de seguridad de macOS Catalina 10.15.6 y las actualizaciones de seguridad 2020-004 de Mojave y 2020-004 de High Sierra.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Las versiones más recientes se pueden encontrar en la página Actualizaciones de seguridad de Apple.

Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.

Para obtener más información sobre la seguridad, consulta la página de seguridad de los productos Apple.

macOS Catalina 10.15.6 y actualizaciones de seguridad 2020-004 de Mojave y 2020-004 de High Sierra

Publicado el 15 de julio de 2020

Audio

Disponible para macOS Catalina 10.15.5

Impacto: El procesamiento de un archivo de audio creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Se solucionó un problema de escritura fuera de los límites mejorando la comprobación de límites.

CVE-2020-9884: Yu Zhou(@yuzhou6666) de 小鸡帮 en colaboración con la iniciativa Zero Day de Trend Micro

CVE-2020-9889: JunDong Xie y XingWei Li de Ant-financial Light-Year Security Lab

Audio

Disponible para macOS Catalina 10.15.5

Impacto: El procesamiento de un archivo de audio creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la comprobación de límites.

CVE-2020-9888: JunDong Xie y XingWei Li de Ant-financial Light-Year Security Lab

CVE-2020-9890: JunDong Xie y XingWei Li de Ant-financial Light-Year Security Lab

CVE-2020-9891: JunDong Xie y XingWei Li de Ant-financial Light-Year Security Lab

Clang

Disponible para macOS Catalina 10.15.5

Impacto: El clang podía generar lenguaje de máquina que no implementaba correctamente los códigos de autenticación del puntero.

Descripción: Se solucionó un problema de lógica mejorando la validación.

CVE-2020-9870: Samuel Groß de Google Project Zero

CoreAudio

Disponible para macOS High Sierra 10.13.6

Impacto: Un desbordamiento de búferes podía ocasionar la ejecución de código arbitrario.

Descripción: Se solucionó un problema de desbordamiento de búferes mejorando la comprobación de límites.

CVE-2020-9866: Yu Zhou de 小鸡帮 y Jundong Xie de Ant-financial Light-Year Security Lab

CoreFoundation

Disponible para macOS Catalina 10.15.5

Impacto: Un usuario local podía visualizar la información confidencial de otro usuario.

Descripción: Existía un problema en el manejo de variables del entorno. Este problema se solucionó mejorando la validación.

CVE-2020-9934: Un investigador anónimo

Informe de fallos

Disponible para macOS Catalina 10.15.5

Impacto: Una app creada con fines malintencionados podía salir de su zona protegida.

Descripción: Se solucionó un problema de daños en la memoria eliminando el código vulnerable.

CVE-2020-9865: Zhuo Liang de Qihoo 360 Vulcan Team en colaboración con 360 BugCloud

Drivers de gráficos

Disponible para macOS Catalina 10.15.5

Impacto: Una app creada con fines malintencionados podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la comprobación de límites.

CVE-2020-9799: ABC Research s.r.o.

Heimdal

Disponible para macOS Catalina 10.15.5

Impacto: Un usuario local podía filtrar información confidencial del usuario.

Descripción: Este problema se solucionó mejorando la protección de datos.

CVE-2020-9913: Cody Thomas de SpecterOps

ImageIO

Disponible para macOS Catalina 10.15.5

Impacto: Es posible que el procesamiento de una imagen creada con fines malintencionados ocasione la ejecución de código arbitrario

Descripción: Se solucionó un problema de escritura fuera de los límites mejorando la comprobación de límites.

CVE-2020-9936: Mickey Jin de Trend Micro

Kernel

Disponible para macOS Catalina 10.15.5

Impacto: Un atacante con una posición de red privilegiada podía infiltrarse en conexiones activas dentro de un túnel VPN.

Descripción: Se solucionó un problema de rutas mejorando las restricciones.

CVE-2019-14899: William J. Tolley, Beau Kujath y Jedidiah R. Crandall

Mail

Disponible para macOS Catalina 10.15.5

Impacto: Un atacante remoto podía ocasionar una escritura limitada fuera de los límites, lo cual provocaba una denegación de servicio.

Descripción: Se solucionó un problema de validación de entradas.

CVE-2019-19906

Mensajes

Disponible para macOS Catalina 10.15.5

Impacto: Un usuario eliminado de un grupo de iMessage podía volver a unirse al grupo.

Descripción: Existía un problema en el manejo de los Tapbacks de iMessage. El problema se solucionó con verificaciones adicionales.

CVE-2020-9885: Un investigador anónimo, Suryansh Mansharamani, de WWP High School North (medium.com/@suryanshmansha)

E/S de modelo

Disponible para macOS Catalina 10.15.5

Impacto: El procesamiento de un archivo USD creado con fines malintencionados podía ocasionar el cierre inesperado de una app o la ejecución de código arbitrario.

Descripción: Se solucionó un problema de desbordamiento de búferes mejorando el manejo de la memoria.

CVE-2020-9878: Holger Fuhrmannek de Deutsche Telekom Security

Seguridad

Disponible para macOS Catalina 10.15.5

Impacto: Una app podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de lógica mejorando las restricciones.

CVE-2020-9864: Alexander Holodny

Vim

Disponible para macOS High Sierra 10.13.6 y macOS Mojave 10.14.6

Impacto: Un atacante remoto podía ocasionar la ejecución de código arbitrario.

Descripción: Este problema se solucionó mejorando las comprobaciones.

CVE-2019-20807: Guilherme de Almeida Suckevicz

Wi-Fi

Disponible para macOS Catalina 10.15.5

Impacto: Un atacante remoto podía provocar el cierre inesperado del sistema o daños en la memoria del kernel.

Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la validación de entradas.

CVE-2020-9918: Jianjun Dai de 360 Alpha Lab en colaboración con 360 BugCloud (bugcloud.360.cn)

Otros agradecimientos

Audio USB

Nos gustaría darle las gracias a Andy Davis de NCC Group por su ayuda.

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.

Fecha de publicación: