Apple ha publicado 6 boletines de seguridad que
solucionan vulnerabilidades en los productos iOS, macOS, watchOS, tvOS, Apple
TV Software y Safari. Entre todos los productos se corrigen 63 fallos de
seguridad.
Resumen de actualizaciones y problemas
solucionados:
·
El
boletín para el sistema operativo para dispositivos móviles de Apple (iPad,
iPhone, iPod, etc.), iOS 12.3, resuelve 40 vulnerabilidades relacionadas con
múltiples componentes, entre los que se incluyen ‘AppleFileConduit’,
‘Contactos’, ‘CoreAudio’, ‘Mail’, ‘SQLite’, ‘sysdiagnose’, el kernel y ‘WebKit’
entre otros. Siete de los fallos permitirían la ejecución de código arbitrario
explotando varios errores de validación y problemas en la gestión de la memoria
(CVE-2019-8593, CVE-2019-8585, CVE-2019-8605, CVE-2019-8613, CVE-2019-8600,
CVE-2019-8574, CVE-2019-6237, CVE-2019-8571, CVE-2019-8583, CVE-2019-8584,
CVE-2019-8586, CVE-2019-8587, CVE-2019-8594, CVE-2019-8595, CVE-2019-8596,
CVE-2019-8597, CVE-2019-8601, CVE-2019-8608, CVE-2019-8609, CVE-2019-8610, CVE-2019-8611,
CVE-2019-8615, CVE-2019-8619, CVE-2019-8622, CVE-2019-8623, CVE-2019-8628).
Algunos de los fallos también están presentes en Safari, watchOS y tvOs. De
estas vulnerabilidades, dos permitirían la ejecución de código con privilegios
de sistema (CVE-2019-8574 y CVE-2019-8593).
· macOS
Mojave 10.14.5 y los Security Update 2019-003 para Sierra y High Sierra. En
este caso se solucionan 51 vulnerabilidades que afectan a múltiples
componentes, que entre otros incluyen a ‘Accessibility Framework’, ‘AMD’, ‘Application
Firewall’, ‘CoreAudio’, ‘DesktopServices’, ‘Disk Images’, ‘EFI’, ‘IOKit’,
‘Microcode’, el kernel y ‘Wi-Fi’ entre otros. Ocho de estas vulnerabilidades
podrían permitir la ejecución de código arbitrario con privilegios de kernel
(CVE-2019-8635, CVE-2019-8616, CVE-2019-8629, CVE-2018-4456, CVE-2019-8605,
CVE-2019-8604, CVE-2019-8574, CVE-2019-8569).
· Safari
12.1.1 cuenta con otro boletín que soluciona 21 vulnerabilidades debidas, en su
mayoría, a problemas en ‘WebKit’, el motor de código abierto que es la base de
este navegador. Veinte de estos errores permitirían la ejecución de código
arbitrario a través de una página web especialmente manipulada (CVE-2019-6237,
CVE-2019-8571, CVE-2019-8583, CVE-2019-8584, CVE-2019-8586, CVE-2019-8587,
CVE-2019-8594, CVE-2019-8595, CVE-2019-8596, CVE-2019-8597, CVE-2019-8601,
CVE-2019-8608, CVE-2019-8609, CVE-2019-8610, CVE-2019-8611, CVE-2019-8615,
CVE-2019-8619, CVE-2019-8622, CVE-2019-8623, CVE-2019-8628).
· El
boletín para el sistema operativo de los relojes inteligentes de Apple, watchOS
5.2.1, soluciona 21 vulnerabilidades entre las que también se encuentran
algunas que podrían permitir la ejecución de código arbitrario (CVE-2019-8593,
CVE-2019-8585, CVE-2019-8605, CVE-2019-8613, CVE-2019-8600, CVE-2019-8574,
CVE-2019-8583, CVE-2019-8601, CVE-2019-8622, CVE-2019-8623).
· tvOS,
el sistema operativo de los televisores de la marca, se actualiza a la versión
12.3, donde se corrigen 35 vulnerabilidades en múltiples componentes. Una de
ellas permitiría elevar privilegios en el sistema (CVE-2019-8602) y/o la
ejecución de código arbitrario (CVE-2019-8593, CVE-2019-8585, CVE-2019-8605,
CVE-2019-8600, CVE-2019-8574, CVE-2019-6237, CVE-2019-8571, CVE-2019-8583,
CVE-2019-8584, CVE-2019-8586, CVE-2019-8587, CVE-2019-8594, CVE-2019-8595,
CVE-2019-8596, CVE-2019-8597, CVE-2019-8601, CVE-2019-8608, CVE-2019-8609,
CVE-2019-8610, CVE-2019-8611, CVE-2019-8615, CVE-2019-8619, CVE-2019-8622,
CVE-2019-8623, CVE-2019-8628).
·
Las
versiones 7.3 del Software de Apple TV tiene tres vulnerabilidades en los
componentes ‘Bluetooth’ y ‘Wi-Fi’ que permitirían la ejecución de código
arbitrario (CVE-2017-14315, CVE-2017-9417, CVE-2017-6975)
Recomendación
Todas estas versiones
que corrigen los problemas de seguridad publicados en los boletines se
encuentran disponibles en la página oficial de Apple, así como a través de los
canales habituales de actualización.
Más información:
Fuente: Hispasec