9VSA21-00496-01 CSIRT alerta por vulnerabilidades en productos de Apple

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática del Gobierno de Chile, CSIRT de Gobierno, comparte información relacionada con vulnerabilidades en distintos productos de Apple.

Este informe incluye las medidas de mitigación, consistentes en instalar la última actualización de los productos afectados.

Vulnerabilidades

N/A (Vulnerabilidad en macOS CWE-939)

CVE-2021-30837

CVE-2021-30841

CVE-2021-30842

CVE-2021-30843

CVE-2021-30835

CVE-2021-30847

CVE-2021-30857

CVE-2013-0340

CVE-2021-30854

CVE-2021-30846

CVE-2021-30849

CVE-2021-30851

CVE-2021-30810

Impactos

Críticas

N/A (Vulnerabilidad en macOS CWE-939): Esta vulnerabilidad permite a un atacante remoto comprometer el sistema afectado, debido a una validación inapropiada de inputs en macOS Finder.

Riesgo alto

CVE-2021-30841: Vulnerabilidad que permite a un atacante remoto ejecutar código arbitrario en el sistema objetivo, deibod a un error al procesar fuentes en FontParser.

CVE-2021-30842: Vulnerabilidad que permite a un atacante remoto ejecutar código arbitrario en el sistema objetivo, debido a un error al procesar fuentes en FontParser.

CVE-2021-30843: Vulnerabilidad que permite a un atacante remoto ejecutar código arbitrario en el sistema objetivo, debido a un error al procesar fuentes en FontParser.

CVE-2021-30835: Vulnerabilidad que permite a un atacante remoto ejecutar código arbitrario en el sistema objetivo, debido a un error al procesar imágenes dentro de ImageIO.

CVE-2021-30847: Vulnerabilidad que permite a un atacante remoto ejecutar código arbitrario en el sistema objetivo, debido a un error al procesar imágenes dentro de ImageIO.

CVE-2021-30846: Vulnerabilidad que permite a un atacante remoto ejecutar código arbitrario en el sistema objetivo, debido a un error al procesar contenido HTML en WebKit.

CVE-2021-30848: Vulnerabilidad que permite a un atacante remoto ejecutar código arbitrario en el sistema objetivo, debido a un error al procesar contenido HTML en WebKit.

CVE-2021-30849: Vulnerabilidad que permite a un atacante remoto ejecutar código arbitrario en el sistema objetivo, debido a un error al procesar contenido HTML en WebKit.

CVE-2021-30851: Vulnerabilidad que permite a un atacante remoto ejecutar código arbitrario en el sistema objetivo, debido a un error al procesar contenido HTML en WebKit.

Productos Afectados

Apple macOS 14.0 a 14.7

Apple tvOS 14.0 a 14.7

Apple iOS 14.0 a 14.8

Apple iPadOS 14.0 a 14.8

Mitigación

Instalar las respectivas actualizaciones entregadas por el proveedor.

Enlaces

https://support.apple.com/en-us/HT212815

https://support.apple.com/en-us/HT212814

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30837

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30841

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30842

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30843

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30835

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30847

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30857

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0340

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30854

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30846

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30849

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30851

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30810

9VSA21-00496-01 CSIRT alerta por vulnerabilidades en productos de Apple