Apple ha publicado 3 boletines de seguridad que solucionan vulnerabilidades en los productos iCloud para Windows y macOs. Entre todos los productos se corrigen 5 fallos de seguridad diferentes, 2 de los cuales podrían permitir la ejecución de código arbitrario.
El primer boletín contiene actualizaciones de seguridad para los sistemas operativos macOS Catalina, High Sierra y Mojave. Este boletín abarca los 4 fallos de seguridad siguientes:
- CVE-2020-9961: una falta de comprobación al procesar imágenes en el componente ImageIO podría causar una lectura de memoria fuera de límites y permitir la ejecución de código arbitrario.
- CVE-2020-9968: un problema relacionado con las restricciones en la lógica del componente Sandbox podría causar que una aplicación maliciosa lograse acceder a ficheros restringidos.
- CVE-2020-9973: otro problema de lectura de memoria fuera de límites, esta vez en el componente Model I/O, que podría conducir a la ejecución de código arbitrario.
- CVE-2020-9941: un error relacionado con las validaciones de estado en el componente Mail podría permitir el cambio de estado remotamente. Esta vulnerabilidad solo afecta a macOS High Sierra.
Los dos boletines restantes, hacen referencia a iCloud en sus versiones para Windows 10 y Windows 7 y atañen a la misma vulnerabilidad. Esta es identificada como CVE-2020-9952 y podría derivar en ataques XSS (Cross-Site Scripting) debido a una falta de validación de entrada en el componente WebKit.
Las actualizaciones iCloud para Windows 7.21, iCloud para Windows 11.4, macOS Catalina 10.15.7, y los Security Update 2020-005 High Sierra y 2020-005 Mojave, que corrigen los problemas de seguridad analizados anteriormente, se encuentran disponibles para su descarga desde la página oficial de Apple así como a través de los canales habituales de actualización.