Vulnerabilidad en el procesamiento de XML en iOS, iPadOS, macOS Catalina, tvOS, watchOS, iTunes para Windows, y iCloud para Windows de Apple (CVE-2020-3846)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-119
Restricción de operaciones inapropiada dentro de los límites del búfer de la memoria
Fecha de publicación:
27/02/2020
Última modificación:
21/07/2021
Descripción
Se abordó un desbordamiento del búfer con una comprobación de tamaño mejorado. Este problema es corregido en iOS versión 13.3.1 y iPadOS versión 13.3.1, macOS Catalina versión 10.15.3, tvOS versión 13.3.1, watchOS versión 6.1.2, iTunes para Windows versión 12.10.4, iCloud para Windows versión 11.0, iCloud para Windows versión 7.17. El procesamiento de XML creado maliciosamente puede conllevar a una finalización inesperada de la aplicación o una ejecución de código arbitrario.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apple:icloud:*:*:*:*:*:windows:*:* | 7.17 (excluyendo) | |
| cpe:2.3:a:apple:icloud:*:*:*:*:*:windows:*:* | 10.0 (incluyendo) | 10.8 (excluyendo) |
| cpe:2.3:a:apple:itunes:*:*:*:*:*:windows:*:* | 12.10.4 (excluyendo) | |
| cpe:2.3:o:apple:ipados:*:*:*:*:*:*:*:* | 13.3.1 (excluyendo) | |
| cpe:2.3:o:apple:iphone_os:*:*:*:*:*:*:*:* | 13.3.1 (excluyendo) | |
| cpe:2.3:o:apple:mac_os_x:*:*:*:*:*:*:*:* | 10.15.3 (excluyendo) | |
| cpe:2.3:o:apple:tvos:*:*:*:*:*:*:*:* | 13.3.1 (excluyendo) | |
| cpe:2.3:o:apple:watchos:*:*:*:*:*:*:*:* | 6.1.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página