9VSA-00079-001 CSIRT comparte actualizaciones de Apple para watchOS, Safari, iOS, iPadOS, macOS Catalina y tvOS.

CSIRT comparte la información entregada por Apple correspondiente a múltiples vulnerabilidades

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte la información entregada por Apple correspondiente a múltiples vulnerabilidades en watchOS, Safari, iOS, iPadOS, macOS Catalina y tvOS.

Vulnerabilidad

CVE-2017-7152 CVE-2019-8764 CVE-2019-8802

CVE-2018-12152 CVE-2019-8765 CVE-2019-8803

CVE-2018-12153 CVE-2019-8766 CVE-2019-8804

CVE-2018-12154 CVE-2019-8767 CVE-2019-8805

CVE-2019-8509 CVE-2019-8775 CVE-2019-8807

CVE-2019-8706 CVE-2019-8782 CVE-2019-8808

CVE-2019-8708 CVE-2019-8783 CVE-2019-8811

CVE-2019-8715 CVE-2019-8784 CVE-2019-8812

CVE-2019-8716 CVE-2019-8785 CVE-2019-8813

CVE-2019-8736 CVE-2019-8786 CVE-2019-8814

CVE-2019-8737 CVE-2019-8787 CVE-2019-8815

CVE-2019-8743 CVE-2019-8788 CVE-2019-8816

CVE-2019-8744 CVE-2019-8789 CVE-2019-8817

CVE-2019-8747 CVE-2019-8793 CVE-2019-8819

CVE-2019-8749 CVE-2019-8794 CVE-2019-8820

CVE-2019-8750 CVE-2019-8795 CVE-2019-8821

CVE-2019-8756 CVE-2019-8797 CVE-2019-8822

CVE-2019-8759 CVE-2019-8798 CVE-2019-8823

CVE-2019-8761 CVE-2019-8801

Impacto

Se han descubierto múltiples vulnerabilidades en watchOS, Safari, iOS, iPadOS, macOS Catalina y tvOS. La más grave de estas vulnerabilidades podría permitir la ejecución de código arbitrario.

Los detalles de estas vulnerabilidades son los siguientes:

Existía un problema de coherencia al decidir cuándo mostrar el indicador de grabación de pantalla. El problema se resolvió con una mejor gestión del estado. (CVE-2019-8793)
Se solucionó un problema de denegación de servicio con una validación mejorada. (CVE-2019-8737)
Existía un problema de carga dinámica de la biblioteca en la configuración de iTunes. Esto se solucionó con una mejor búsqueda de ruta. (CVE-2019-8801)
Se solucionó un problema lógico con restricciones mejoradas. (CVE-2019-8708)
Se solucionó un problema de consumo de memoria mejorando el manejo de la memoria. (CVE-2019-8767)
Existía un problema de corrupción de memoria en el manejo de paquetes IPv6. Este problema se solucionó mejorando la administración de la memoria. (CVE-2019-8744)
Se solucionó un problema de corrupción de memoria mejorando la administración del estado. (CVE-2019-8706)
Se corrigió una vulnerabilidad de corrupción de memoria con un bloqueo mejorado. (CVE-2019-8747)
Se solucionó un problema de autenticación con una gestión de estado mejorada. (CVE-2019-8803)
Se solucionó una inconsistencia en la configuración de la red Wi-Fi. (CVE-2019-8804)
Se solucionó un problema de interfaz de usuario incoherente con una gestión de estado mejorada. (CVE-2017-7152)
Se solucionó un problema de validación de entrada mejorando la validación de entrada. (CVE-2019-8736)
Existía un problema en el análisis de las URL. Este problema se solucionó con una validación de entrada mejorada. (CVE-2019-8788)
Una lectura fuera de límites se abordó con una mejor verificación de límites. (CVE-2019-8759)
Una lectura fuera de límites se abordó con una validación de entrada mejorada. (CVE-2019-8787)
Existía un problema de validación en la verificación de derechos. Este problema se solucionó con una validación mejorada de los derechos del proceso. (CVE-2019-8805)
Existía un problema de validación en el manejo de enlaces simbólicos. Este problema se solucionó con una validación mejorada de los enlaces simbólicos. (CVE-2019-8789)
Se solucionó un problema de validación con una lógica mejorada. (CVE-2019-8802)
Se abordaron múltiples problemas de lógica mejorando la gestión del estado. (CVE-2019-8764, CVE-2019-8813)
Se abordaron múltiples problemas de corrupción de memoria con una validación de entrada mejorada. (CVE-2018-12152, CVE-2018-12153, CVE-2018-12154, CVE-2019-8749, CVE-2019-8750, CVE-2019-8756)
Se abordaron múltiples problemas de corrupción de memoria mejorando el manejo de la memoria. (CVE-2019-8715, CVE-2019-8716, CVE-2019-8784, CVE-2019-8785, CVE-2019-8786, CVE-2019-8795, CVE-2019-8797, CVE-2019-8798, CVE -2019-8807)
Se abordaron múltiples problemas de corrupción de memoria mejorando el manejo de la memoria. (CVE-2019-8743, CVE-2019-8765, CVE-2019-8766, CVE-2019-8782, CVE-2019-8783, CVE-2019-8808, CVE-2019-8811, CVE-2019-8812, CVE -2019-8814, CVE-2019-8815, CVE-2019-8816, CVE-2019-8819, CVE-2019-8820, CVE-2019-8821, CVE-2019-8822, CVE-2019-8823)
Se abordaron múltiples problemas de validación mejorando la desinfección de insumos. (CVE-2019-8794, CVE-2019-8817)
El problema se solucionó restringiendo las opciones ofrecidas en un dispositivo bloqueado. (CVE-2019-8775)
Este problema se solucionó eliminando el código vulnerable. (CVE-2019-8509)
Este problema se solucionó con controles mejorados. (CVE-2019-8761)

Productos Afectados

iOS versiones anteriores a 13.2
iPadOS versiones anteriores a 13.2
Safari versiones anteriores a 13.0.3
watchOS versiones anteriores a 6.1
macOS Catalina versiones anteriores a 10.15.1
tvOS versiones anteriores a 13.2

Mitigación

Aplicar las actualizaciones a las versiones publicadas por el fabricante según corresponda.

Enlace

https://support.apple.com/en-us/HT210721

https://support.apple.com/en-us/HT210722

https://support.apple.com/en-us/HT210723

https://support.apple.com/en-us/HT210724

https://support.apple.com/en-us/HT210725

https://www. cisecurity.org/advisory/multiple-vulnerabilities-in-apple-products-could-allow-for-arbitrary-code-execution_2019-117/

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA-00079-001

9VSA-00079-001 CSIRT comparte actualizaciones de Apple para watchOS, Safari, iOS, iPadOS, macOS Catalina y tvOS.

CSIRT comparte la información entregada por Apple correspondiente a múltiples vulnerabilidades

Documentos Relacionados