CVE-2020-27930

CVSS 7.8 HIGHEPSS 22.2%● KEVCWE-787

En resumen

Un defecto en la forma en que los dispositivos Apple procesan archivos de fuente permite a los atacantes ejecutar código malicioso en su dispositivo enviando una fuente especialmente creada. Esta es una vulnerabilidad grave porque permite que los atacantes tomen control de su sistema.

Detalle técnico

Vulnerabilidad de escritura fuera de límites (CWE-787) en el procesamiento de fuentes en plataformas Apple (macOS, iOS, watchOS). El vector de ataque requiere interacción del usuario o renderizado de fuentes a nivel de aplicación; la explotación exitosa resulta en ejecución arbitraria de código con los privilegios de la aplicación afectada. Corregida mediante validación de entrada mejorada en el procesamiento de fuentes.

Resumen generado y traducido por IA a partir de la descripción oficial.

A memory corruption issue was addressed with improved input validation. This issue is fixed in macOS Big Sur 11.0.1, watchOS 7.1, iOS 12.4.9, watchOS 6.2.9, Security Update 2020-006 High Sierra, Security Update 2020-006 Mojave, iOS 14.2 and iPadOS 14.2, watchOS 5.3.9, macOS Catalina 10.15.7 Supplemental Update, macOS Catalina 10.15.7 Update. Processing a maliciously crafted font may lead to arbitrary code execution.

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Productos afectados

Apple · iOS and iPadOS Apple · macOS Apple · watchOS

PoCs públicas encontradas — 2

githubgithub.com/FunPhishing/Apple-Safari-Remote-Code-Execution-CVE-2020-27930★ 0 cve_referencepacketstormsecurity.com/files/161294/Apple-Safari-Remote-Code-Execution.htmlno verificado

⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias