Detalle de
actualizaciones
Los
boletines publicados con las actualizaciones y problemas solucionados se
resumen a continuación.
·
El
boletín para el sistema operativo para dispositivos móviles de Apple (iPad,
iPhone, iPod, etc.), iOS 12.2, resuelve 50 vulnerabilidades relacionadas con
múltiples componentes, entre los que se incluyen ‘CFString’, ‘configd’,
‘Contacts’, ‘CoreCrypto’, ‘Exchange ActiveSync’, ‘FaceTime’, ‘Feedback
Assistant’, el kernel y ‘WebKit’ entre otros. Nueve de los fallos permitirían
la ejecución de código arbitrario explotando una corrupción de memoria
(CVE-2019-8529, CVE-2019-6201, CVE-2019-8518, CVE-2019-8523, CVE-2019-8524,
CVE-2019-8558, CVE-2019-8559, CVE-2019-8563), a través de páginas web
especialmente manipuladas (CVE-2019-8535, CVE-2019-8536, CVE-2019-8544,
CVE-2019-7285, CVE-2019-8556, CVE-2019-8503) o incluso a través de un enlace
enviado en un SMS (CVE-2019-8553). Algunos de los fallos también están
presentes en Safari, watchOS y tvOs. De estas vulnerabilidades, dos permitirían
la ejecución de código con privilegios de sistema (CVE-2019-8529 y
CVE-2019-8549).
·
macOS Mojave 10.14.4 y los Security
Update 2019-002 para High Sierra y 2019-002 para Sierra. En este caso se
solucionan 37 vulnerabilidades que afectan a múltiples componentes, que entre
otros incluyen a ‘AppleGraphicsControl’, ‘Bom’, ‘CFString’, ‘DiskArbitration’,
‘FaceTime’, ‘Feedback Assistant’, ‘IOHIDFamily’, ‘IOKit’, ‘PackageKit’, el
kernel y ‘QuartzCore’ entre otros. Cuatro de estas vulnerabilidades podrían
permitir la ejecución de código arbitrario con privilegios de kernel
(CVE-2019-8555, CVE-2019-8529, CVE-2019-8508, CVE-2019-8549).
· Safari 12.1 cuenta con otro
boletín que soluciona 20 vulnerabilidades debidas, en su mayoría, a problemas
en ‘WebKit’, el motor de código abierto que es la base de este navegador. Trece
de estos errores permitirían la ejecución de código arbitrario a través de una
página web especialmente manipulada (CVE-2019-6201, CVE-2019-8518,
CVE-2019-8523, CVE-2019-8524, CVE-2019-8558, CVE-2019-8559, CVE-2019-8563,
CVE-2019-8536, CVE-2019-8544, CVE-2019-7285, CVE-2019-8556, CVE-2019-8506,
CVE-2019-8535).
· El
boletín para el sistema operativo de los relojes inteligentes de Apple, watchOS 5.2, soluciona 29
vulnerabilidades entre las que también se encuentran algunas que podrían
permitir la ejecución de código arbitrario (CVE-2019-8506, CVE-2019-8518, CVE-2019-8558,
CVE-2019-8559, CVE-2019-8563, CVE-2019-8553, CVE-2019-8549, CVE-2019-8536,
CVE-2019-854).
·
tvOS, el sistema
operativo de los televisores de la marca, se actualiza a la versión 12.2, donde
se corrigen 36 vulnerabilidades en múltiples componentes. Cinco de ellas
permitirían elevar privilegios en el sistema (CVE-2019-8552, CVE-2019-8542,
CVE-2019-7286, CVE-2019-8542, CVE-2019-8514) y/o la ejecución de código
arbitrario (CVE-2019-8549, CVE-2019-8553, CVE-2019-8535, CVE-2019-6201,
CVE-2019-8518, CVE-2019-8523, CVE-2019-8524, CVE-2019-8558, CVE-2019-8559,
CVE-2019-8563, CVE-2019-8536, CVE-2019-8544, CVE-2019-7285, CVE-2019-8556,
CVE-2019-8506, CVE-2019-8503).
· Las
versiones iTunes 12.9.4 e iClould 7.11
para Windows corrigen 19 y 20 vulnerabilidades respectivamente, algunas también
de gravedad alta.
·
Xcode 10.2 también corrige una
vulnerabilidad grave que permitiría la ejecución de código arbitrario con
privilegios de sistema (CVE-2018-4461).
Todas estas versiones que corrigen los problemas de
seguridad publicados en los boletines se encuentran disponibles en la página
oficial de Apple, así como a través de los canales habituales de actualización.
Más información:
·
Apple
security updates https://support.apple.com/en-us/HT201222
Fuente:
Hispasec