Apple ha publicado 8 boletines de seguridad que solucionan vulnerabilidades en los productos iOS, iPadOS, macOS, watchOS, tvOS, Safari, y Xcode. Entre todos los productos se corrigen 59 fallos de seguridad, de cuales 14 podrían permitir la ejecución de código.
A lo largo de esta semana Apple ha publicado 8 boletines de seguridad para sus productos, que se resumen como sigue:
El sistema operativo para dispositivos móviles de Apple (iPad, iPhone, iPod, etc.), ha recibido 2 boletines: uno para iOS 12.4.4 en el que se resuelve una vulnerabilidad en FaceTime que permitiría ejecutar código arbitrario aprovechando un error de lectura fuera de los límites de la memoria (CVE-2019-8830); otro para iOS 13.3 e iPadOS 13.3 en el que se solventan 8 vulnerabilidades de ejecución de código (CVE-2019-8830, CVE-2019-8841, CVE-2019-8836, CVE-2019-8833, CVE-2019-8828, CVE-2019-8838, CVE-2019-8832, CVE-2019-8835, CVE-2019-8844 y CVE-2019-8846); un fallo en el componente ‘CFNetwork Proxies’ que permitiría elevar privilegios (CVE-2019-8848) y dos errores que permitirían revelar información sensible sobre el usuario (CVE-2019-15903 y CVE-2019-8857).
macOS Catalina 10.15.2 y las actualizaciones de seguridad 2019-002 Mojave y 2019-007 de High Sierra, proporcionan la solución a varios errores relacionados con la gestión de la memoria que podrían permitir a un atacante ejecutar código arbitrario con privilegios de sistema (CVE-2019-8837, CVE-2019-8830, CVE-2019-8833, CVE-2019-8828, CVE-2019-8838, CVE-2019-8847 y CVE-2019-8852); también se ha solucionado un fallo en el componente ‘CUPS’ que provoca un desbordamiento de búfer mediante el cual un atacante podría provocar una denegación de servicio (CVE-2019-8839). Adicionalmente se han solucionado hasta 6 vulnerabilidades en el componente ‘OpenLDAP’ y un total de 32 en ‘tcpdump’.
Safari 13.0.4 cuenta con otro boletín que soluciona 3 vulnerabilidades que permitirían la ejecución de código. Los dos primeros CVE identifican dos problemas de gestión de memoria en el componente ‘WebKit’ (CVE-2019-8835 y CVE-2019-8844). El otro fallo se debe a un uso incorrecto de la memoria liberada en el mismo componente (CVE-2019-8846).
El sistema operativo de los relojes inteligentes de Apple ha recibido también un par de boletines: para watchOS 5.3.4 y para watchOS 6.1.1. Ambos resuelven la vulnerabilidad identificada como CVE-2019-8830 que también se encuentra en los sistemas operativos macOS y que permitiría la ejecución de código arbitrario. Para la versión 6 se solucionan adicionalmente más errores con el mismo impacto (CVE-2019-8836, CVE-2019-8833, CVE-2019-8828, CVE-2019-8838, CVE-2019-8832 y CVE-2019-8844)
tvOS, el sistema operativo de los televisores de la marca, se actualiza a la versión 13.3, y se corrigen diversos fallos en la gestión de la memoria que permitirían la ejecución de código arbitrario (CVE-2019-8830, CVE-2019-8836, CVE-2019-8833, CVE-2019-8828, CVE-2019-8838, CVE-2019-8832, CVE-2019-8835, CVE-2019-8844 y CVE-2019-8846).
La versión 11.3 de Xcode resuelve una vulnerabilidad en el componente ‘ld64’ que permitiría la ejecución de código aprovechando un error de lectura fuera de los límites de la memoria (CVE-2019-8840).
Todas estas versiones que corrigen los problemas de seguridad publicados en los boletines se encuentran disponibles en la página oficial de Apple, así como a través de los canales habituales de actualización.
Más información:
iOS 12.4.4:
https://support.apple.com/es-es/HT210787
iOS 13.3 y iPadOS 13.3:
https://support.apple.com/es-es/HT210785
macOS Catalina 10.15.2, Actualización de seguridad 2019-002 Mojave y Actualización de seguridad 2019-007 High Sierra:
https://support.apple.com/es-es/HT210788
Safari 13.0.4:
https://support.apple.com/es-es/HT210792
watchOS 5.3.4:
https://support.apple.com/es-es/HT210791
watchOS 6.1.1:
https://support.apple.com/es-es/HT210789
tvOS 13.3:
https://support.apple.com/es-es/HT210790
Xcode 11.3:
https://support.apple.com/es-es/HT210796