14 septiembre, 2021

9VSA21-00492-01 CSIRT alerta ante vulnerabilidades críticas en productos Apple

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática del Gobierno de Chile, CSIRT de Gobierno, comparte información sobre vulnerabilidades informadas Apple para varios de sus productos.

Este informe incluye las medidas de mitigación, consistentes en instalar la última actualización de los productos afectados.

Vulnerabilidades

CVE-2021-30858

CVE-2021-30860

Impactos

CVE-2021-30858: Riesgo crítico. Esta vulnerabilidad en Safari, Apple iOS y macOS Big Sur permite a un atacante remoto comprometer los sistemas vulnerables. La vulnerabilidad existe debido a un error de uso de memoria después de ser liberada al procesar contenido HTML en WebKit. Un atacante remoto puede engañar a la víctima para visitar una página web especialmente diseñada, detonar el error y ejecutar código arbitrario en el sistema.

CVE-2021-30860: Riesgo crítico. Esta vulnerabilidad en watchOS, macOS Big Sur y macOS Catalina permite a un atacante remoto ejecutar código arbitrario en el sistema objetivo. La vulnerabilidad existe debido a un desbordamiento de enteros al procesar archivos PDF dentro del componente CoreGraphics.

Productos Afectados

Apple Safari: 14.0 a 14.1.2

watchOS: 7.0 18R382 a 7.6.1 18U70

macOS: 10.15 19A583 a 10.15.7 19H1323

macOS: 11.0 20A2411 a 11.5.2 20G95.

Apple iOS: 14.0 18A373 a 14.7.1 18G82

iPadOS: 14.0 18A373 a 14.7.1 18G82

Mitigación

Instalar las respectivas actualizaciones entregadas por el proveedor.

Enlaces

https://support.apple.com/en-us/HT212804

https://support.apple.com/en-us/HT212805

https://support.apple.com/en-us/HT212806

https://support.apple.com/en-us/HT212807

https://support.apple.com/en-us/HT212808

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30858

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30860

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA21-00492-01

9VSA21-00492-01 CSIRT alerta ante vulnerabilidades críticas en productos Apple