9VSA-00058-001 CSIRT comparte actualizaciones para productos Apple
CSIRT comparte la información obtenida del sitio web de Apple
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte la información obtenida del sitio web de Apple, referente a vulnerabilidades que afectan a sus productos y sus respectivos parches.
Vulnerabilidades
- CVE-2019-8654
- CVE-2019-8704
- CVE-2019-8721
- CVE-2019-8722
- CVE-2019-8723
- CVE-2019-8724
- CVE-2019-8725
- CVE-2019-8738
- CVE-2019-8739
- CVE-2019-8775
Impacto
CVE-2019-8775
Una persona con acceso físico al dispositivo podría acceder al directorio de contactos desde la pantalla de bloqueo sin autorización.
Productos Afectados
iOS y iPadOS versiones anteriores a la 13.1:
iPhone 6s y posteriores
iPad Air 2 y posteriores
iPad mini 4 y posteriores
iPod touch 7° generación
Mitigación
Actualizar a las versiones recomendadas por Apple, dependiendo del producto que se haya visto afectado. Se han adjuntado los enlaces con los comunicados oficiales de Apple, indicado por ellos sobre como actualizar.
Enlaces
- https://support.apple.com/en-us/HT210603
- https://support.apple.com/en-us/HT201222 (últimas actualizaciones)
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8775
Impacto
CVE-2019-8704
Una persona con acceso físico podría filtrar información confidencial del usuario.
Productos Afectados
tvOS versiones anteriores a la 13:
Apple TV 4K
Apple TV HD
Mitigación
Actualizar a las versiones recomendadas por Apple, dependiendo del producto que se haya visto afectado. Se han adjuntado los enlaces con los comunicados oficiales de Apple, indicado por ellos sobre como actualizar.
Enlaces
- https://support.apple.com/en-us/HT210604
- https://support.apple.com/en-us/HT201222 (últimas actualizaciones)
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8704
Impacto
CVE-2019-8654, CVE-2019-8725
Visitar un sitio web malicioso podría provocar la suplantación de la interfaz web del usuario, también los Service Workers podrían filtrar el historial de navegación privado.
Productos Afectados
Safari versiones anteriores a la 13.0.1:
macOS Mojave y High Sierra
Mitigación
Actualizar a las versiones recomendadas por Apple, dependiendo del producto que se haya visto afectado. Se han adjuntado los enlaces con los comunicados oficiales de Apple, indicado por ellos sobre como actualizar.
Enlaces
- https://support.apple.com/en-us/HT210605
- https://support.apple.com/en-us/HT201222 (últimas actualizaciones)
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8654
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8725
Impacto
CVE-2019-8721, CVE-2019-8722, CVE-2019-8723, CVE-2019-8724, CVE-2019-8738, CVE-2019-8739
Id64: Compilar código en Xcode sin una validación adecuada de inputs podría permitir la ejecución de código arbitrario con privilegios de usuario.
otool: También, procesar un archivo especialmente diseñado podría ocasionar una ejecución de código arbitrario.
Productos Afectados
Xcode versiones anteriores a la 11.0:
macOS Mojave
Mitigación
Actualizar a las versiones recomendadas por Apple, dependiendo del producto que se haya visto afectado. Se han adjuntado los enlaces con los comunicados oficiales de Apple, indicado por ellos sobre como actualizar.
Enlaces
- https://support.apple.com/en-us/HT210609
- https://support.apple.com/en-us/HT201222 (últimas actualizaciones)
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8721
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8722
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8723
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8724
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8738
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8739
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA-00058-001