CVE-2019-8506

CVSS 8.8 HIGHEPSS 18.2%● KEVCWE-843

En resumen

Una vulnerabilidad en Safari y otras aplicaciones de Apple permite que atacantes ejecuten código malicioso en tu dispositivo mediante contenido web manipulado. El problema ocurre cuando el software confunde qué tipo de dato está procesando, potencialmente otorgando control total del sistema a los atacantes.

Detalle técnico

Una vulnerabilidad de confusión de tipos (type confusion) en el manejo de memoria (CWE-843) permite ejecución de código arbitrario al procesar contenido web especialmente elaborado. El vector de ataque es remoto a través de navegación web, sin requerir autenticación ni privilegios especiales. La explotación exitosa resulta en ejecución de código arbitrario con los privilegios de la aplicación afectada.

Resumen generado y traducido por IA a partir de la descripción oficial.

A type confusion issue was addressed with improved memory handling. This issue is fixed in iOS 12.2, tvOS 12.2, watchOS 5.2, Safari 12.1, iTunes 12.9.4 for Windows, iCloud for Windows 7.11. Processing maliciously crafted web content may lead to arbitrary code execution.

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Productos afectados

Apple · iCloud for Windows Apple · iOS Apple · iTunes for Windows Apple · Safari Apple · tvOS Apple · watchOS

PoCs públicas encontradas — 1

exploitdbwww.exploit-db.com/exploits/46647no verificado

⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://support.apple.com/HT209599 https://support.apple.com/HT209601 https://support.apple.com/HT209602 https://support.apple.com/HT209603 https://support.apple.com/HT209604 https://support.apple.com/HT209605 https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2019-8506