Apple lanza actualizaciones a varios de sus dispositivos para arreglar varias vulnerables presentes en las ultimas semanas.
En iOS 12.5, a vulnerabilidad CVE-2020-27951, permitía la ejecución de código no autorizado que generaba una infracción de la política de autenticación. El parche esta disponible para iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 y iPod touch (sexta generación).
Para iOS 14.3 and iPadOS 14.3 todas las actualizaciones van enfocadas a dispositivos iPhone 6s o superior, iPad Air 2 o superior, iPad mini 4 o superior y iPod touch de 7ma generación.
La primera vulnerabilidad es CVE-2020-29613 que afecta a Apple iOS y iPadOS hasta 4.2.1, en cual la manipulación de un input desconocido se causa una vulnerabilidad de clase escalada de privilegios. Esto tiene repercusión sobre la confidencialidad, integridad y disponibilidad. Las siguientes son las CVE-2020-27948 y CVE-2020-27943, en que un atacante es capaz de ejecutar código malicioso a partir de un archivo de audio y archivo de fuente, respectivamente. Adicionalmente tenemos las vulnerabilidades CVE-2020-29617, CVE-2020-29618, CVE-2020-29611 que estaban relacionadas con ImageIO que podía producir corrupción de archivos y ejecución de códigos a partir de procesamiento de imágenes. Finalmente, el CVE-2020-27951 que ejecutaba un código no autorizado que provocaba la infracción de la política de autenticación.
Para macOS Server 5.11 existe un problema para el análisis de URL, el procesamiento de enlaces creada con fines maliciosos podía generar un re-direccionamiento entre sitios. La solución solamente esta disponible para macOS Big Sur.
Se solucionan vulnerabilidades exclusivamente para Apple TV 4k y Apple TV HD. La primera vulnerabilidad (CVE-2020-27948) esta asociada al procesamiento de archivos de audios que podían ejecutar codigo maliciosos. La segunda (CVE-2020-27946) y tercera (CVE-2020-27943) era capaz de provocar la divulgación de memoria del proceso mediante el procesamiento de una fuente y ejecución de código arbitrarios, respectivamente. Adicionalmente, existían problemas con ImageIO con las vulnerabilidades CVE-2020-29611, CVE-2020-29617, CVE-2020-29618, CVE-2020-29619 las cuales permitían ejecutar lineas de comando a partir de procesamiento de imágenes. Finalmente, el CVE-2020-15969 que habilitaba la posibilidad de ejecutar códigos a partir del procesamiento de contenido web.
Para el sistema operativo para los smartwatch de Apple se realizaron dos actualizaciones 7.2 (Apple Watch Series 3 o Superior) y 6.3 (Apple Watch Series 1 y Apple Watch Series 2) igualmente como los casos anteriores habían problemas con la ejecución de código en archivos de audio, fuente e imágenes con las siguientes vulnerabilidades: CVE-2020-27948, CVE-2020-27946, CVE-2020-27943, CVE-2020-27944, CVE-2020-29617, CVE-2020-29619, CVE-2020-29618, CVE-2020-29611, CVE-2020-27951, CVE-2020-15969.
Más información:
- https://us-cert.cisa.gov/ncas/current-activity/2020/12/15/apple-releases-security-updates-multiple-products
- https://support.apple.com/en-us/HT212003
- https://support.apple.com/en-us/HT211932
- https://support.apple.com/en-us/HT212004
- https://support.apple.com/en-us/HT212005
- https://support.apple.com/en-us/HT212006
- https://support.apple.com/en-us/HT212007
- https://support.apple.com/en-us/HT212009