Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en un consentimiento no informado en Notification Access Confirmation en Android (CVE-2020-0360)
Gravedad:
MediaMedia
Publication date: 17/09/2020
Last modified:
23/09/2020
Descripción:
En Notification Access Confirmation, se presenta una posible omisión de permisos debido a un consentimiento no informado. Esto podría conllevar a una escalada de privilegios local con los privilegios de ejecución User necesarios. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11, ID de Android: A-145129456
Vulnerabilidad en la comprobación de límites en libmkvextractor en Android (CVE-2020-0287)
Gravedad:
MediaMedia
Publication date: 17/09/2020
Last modified:
23/09/2020
Descripción:
En libmkvextractor, se presenta un posible agotamiento de los recursos debido a una falta de comprobación de límites. Esto podría conllevar a una denegación de servicio remota sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11, ID de Android: A-141860394
Vulnerabilidad en el extractor Multimedia en Android (CVE-2020-0303)
Gravedad:
MediaMedia
Publication date: 17/09/2020
Last modified:
23/09/2020
Descripción:
En el extractor Multimedia, existe un posible uso de la memoria previamente liberada debido a un bloqueo inadecuado. Esto podría conllevar a una ejecución de código remota en el extractor multimedia sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11, ID de Android: A-148223229
Vulnerabilidad en la ubicación ineficaz de las cookies de pila en LLVM en Android (CVE-2020-0306)
Gravedad:
MediaMedia
Publication date: 17/09/2020
Last modified:
23/09/2020
Descripción:
En LLVM, se presenta una posible ubicación ineficaz de las cookies de pila debido a la doble reservación de la trama de pila. Esto podría conllevar a una escalada de privilegios local sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11, ID de Android: A-139666480
Vulnerabilidad en iorap en Android (CVE-2020-0330)
Gravedad:
MediaMedia
Publication date: 17/09/2020
Last modified:
23/09/2020
Descripción:
En iorap, se presenta una posible corrupción de la memoria debido a un uso de la memoria previamente liberada. Esto podría conllevar a una escalada de privilegios local y a una ejecución de código con los privilegios de ejecución System necesarios. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11, ID de Android: A-150331085
Vulnerabilidad en una excepción no detectada en libstagefright en Android (CVE-2020-0332)
Gravedad:
MediaMedia
Publication date: 17/09/2020
Last modified:
23/09/2020
Descripción:
En libstagefright, se presenta un posible bucle muerto debido a una excepción no detectada. Esto podría conllevar a una denegación de servicio remota sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11, ID de Android: A-124783982
Vulnerabilidad en un confused deputy en DocumentsUI en Android (CVE-2020-0345)
Gravedad:
MediaMedia
Publication date: 17/09/2020
Last modified:
23/09/2020
Descripción:
En DocumentsUI, se presenta una posible omisión de permiso debido a un confused deputy. Esto podría conllevar a una escalada de privilegios local sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11, ID de Android: A-144286721
Vulnerabilidad en la comprobación de límites en Audio HAL en Android (CVE-2020-0356)
Gravedad:
MediaMedia
Publication date: 17/09/2020
Last modified:
23/09/2020
Descripción:
En Audio HAL, se presenta una posible escritura fuera de límites debido a una comprobación de límites incorrecta. Esto podría conllevar a una escalada de privilegios local con los privilegios de ejecución System necesarios. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11, ID de Android: A-143787559
Vulnerabilidad en SurfaceFlinger en Android (CVE-2020-0358)
Gravedad:
MediaMedia
Publication date: 17/09/2020
Last modified:
23/09/2020
Descripción:
En SurfaceFlinger, se presenta un posible uso de la memoria previamente liberada debido a una condición de carrera. Esto podría conllevar a una escalada de privilegios local con los privilegios de ejecución System necesarios. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11, ID de Android: A-150227563
Vulnerabilidad en el acceso a las entradas de ContentResolver y MediaStore en MediaProvider en Android (CVE-2020-0275)
Gravedad:
AltaAlta
Publication date: 17/09/2020
Last modified:
23/09/2020
Descripción:
En MediaProvider, se presenta una forma posible de acceder a las entradas de ContentResolver y MediaStore a las que la aplicación no debería tener acceso debido a una omisión de permisos. Esto podría conllevar a una escalada de privilegios local, sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11, ID de Android: A-150507736
Vulnerabilidad en datos no inicializados en libDRCdec en Android (CVE-2020-0361)
Gravedad:
MediaMedia
Publication date: 17/09/2020
Last modified:
23/09/2020
Descripción:
En libDRCdec, se presenta una posible divulgación de información debido a datos no inicializados. Esto podría conllevar a una divulgación de información remota sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11, ID de Android: A-151927433
Vulnerabilidad en la comprobación de entrada en libstagefright en Android (CVE-2020-0362)
Gravedad:
MediaMedia
Publication date: 17/09/2020
Last modified:
23/09/2020
Descripción:
En libstagefright, se presenta un posible agotamiento de los recursos debido a una comprobación inapropiada de la entrada. Esto podría conllevar a una denegación de servicio remota sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11, ID de Android: A-123237930
Vulnerabilidad en la comprobación de entrada en libmedia en Android (CVE-2020-0363)
Gravedad:
MediaMedia
Publication date: 17/09/2020
Last modified:
23/09/2020
Descripción:
En libmedia, se presenta un posible agotamiento de los recursos debido a una comprobación inapropiada de la entrada. Esto podría conllevar a una denegación de servicio remota sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11, ID de Android: A-132274514
Vulnerabilidad en la comprobación de límites en libDRCdec en Android (CVE-2020-0364)
Gravedad:
MediaMedia
Publication date: 17/09/2020
Last modified:
23/09/2020
Descripción:
En libDRCdec, se presenta una posible lectura fuera de límites debido a una falta de comprobación de límites. Esto podría conllevar a una divulgación de información remota sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11, ID de Android: A-137282770
Vulnerabilidad en PackageInstaller en Android (CVE-2020-0366)
Gravedad:
MediaMedia
Publication date: 17/09/2020
Last modified:
23/09/2020
Descripción:
En PackageInstaller, se presenta una posible omisión de permisos debido a una vulnerabilidad de tipo tapjacking. Esto podría conllevar a una escalada de privilegios local utilizando una aplicación configurada como la aplicación Assist predeterminada con los privilegios de ejecución User necesarios. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11, ID de Android: A-138443815
Vulnerabilidad en libavb en Android (CVE-2020-0369)
Gravedad:
MediaMedia
Publication date: 17/09/2020
Last modified:
23/09/2020
Descripción:
En libavb, se presenta una posible escritura fuera de límites debido a un desbordamiento de enteros. Esto podría conllevar a una escalada de privilegios local sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11, ID de Android: A-130231426
Vulnerabilidad en la comprobación de límites en libAACdec en Android (CVE-2020-0370)
Gravedad:
MediaMedia
Publication date: 17/09/2020
Last modified:
23/09/2020
Descripción:
En libAACdec, se presenta una posible lectura fuera de límites debido a una falta de comprobación de límites. Esto podría conllevar a una divulgación de información remota sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11, ID de Android: A-112051700
Vulnerabilidad en la comprobación de límites en libmpeg2dec en Android (CVE-2020-0406)
Gravedad:
MediaMedia
Publication date: 17/09/2020
Last modified:
23/09/2020
Descripción:
En libmpeg2dec, se presenta una posible escritura fuera de límites debido a una falta de comprobación de límites. Esto podría conllevar a una escalada de privilegios local si otra explotación permitiera que esto se activara con diferentes parámetros, sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11, ID de Android: A-137794014
Vulnerabilidad en la comprobación de límites en tremolo en Android (CVE-2020-0270)
Gravedad:
MediaMedia
Publication date: 17/09/2020
Last modified:
23/09/2020
Descripción:
En tremolo, se presenta una posible lectura fuera de límites debido a una falta de comprobación de límites. Esto podría conllevar a una divulgación de información remota sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11, ID de Android: A-145790628
Vulnerabilidad en un confused deputy en WindowManager en Android (CVE-2020-0267)
Gravedad:
AltaAlta
Publication date: 17/09/2020
Last modified:
23/09/2020
Descripción:
En WindowManager, es posible que se inicie una aplicación inesperada debido a un confused deputy. Esto podría conllevar a una escalada de privilegios local debido al inicio de una aplicación maliciosa en lugar de la que pretendía el usuario, sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11, ID de Android: A-139128211
Vulnerabilidad en una funcionalidad de prueba expuesta en la aplicación FPC TrustZone fingerprint en el TEE Android (CVE-2020-0403)
Gravedad:
AltaAlta
Publication date: 17/09/2020
Last modified:
23/09/2020
Descripción:
En la aplicación FPC TrustZone fingerprint, se presenta un posible manejador de comando no válido debido a una funcionalidad de prueba expuesta. Esto podría conllevar a una escalada de privilegios local en el TEE, con los privilegios de ejecución System requeridos. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: kernel de Android, ID de Android: A-131252923
Vulnerabilidad en los archivos del manifiesto del paquete SmartSpace en Android (CVE-2020-0387)
Gravedad:
AltaAlta
Publication date: 17/09/2020
Last modified:
23/09/2020
Descripción:
En los archivos del manifiesto del paquete SmartSpace, se presenta un posible vector de tipo tapjacking debido a una falta de comprobación de permisos. Esto podría conllevar a una escalada de privilegios local y al secuestro de cuentas sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: kernel de Android, ID de Android: A-156046804
Vulnerabilidad en el código CamX en Android (CVE-2020-0428)
Gravedad:
MediaMedia
Publication date: 17/09/2020
Last modified:
23/09/2020
Descripción:
En el código CamX, se presenta un posible uso de la memoria previamente liberada debido a una condición de carrera. Esto podría conllevar a una escalada de privilegios local con los privilegios de ejecución System requeridos. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: kernel de Android, ID de Android: A-123999783
Vulnerabilidad en el archivo l2tp_core.c en la función l2tp_session_delete en Android (CVE-2020-0429)
Gravedad:
MediaMedia
Publication date: 17/09/2020
Last modified:
23/09/2020
Descripción:
En la función l2tp_session_delete y funciones relacionadas del archivo l2tp_core.c, se presenta una posible corrupción de la memoria debido a un uso de la memoria previamente liberada. Esto podría conllevar a una escalada de privilegios local con los privilegios de ejecución System necesarios. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: kernel de Android, ID de Android: A-152735806
Vulnerabilidad en el archivo /include/linux/skbuff.h en la función skb_headlen en Android (CVE-2020-0430)
Gravedad:
MediaMedia
Publication date: 17/09/2020
Last modified:
23/09/2020
Descripción:
En la función skb_headlen del archivo /include/linux/skbuff.h, se presenta una posible lectura fuera de límites debido a una corrupción de la memoria. Esto podría conllevar a una escalada de privilegios local sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: kernel de Android, ID de Android: A-153881554
Vulnerabilidad en la comprobación de límites en el archivo keyboard.c en la función kbd_keycode en Android (CVE-2020-0431)
Gravedad:
MediaMedia
Publication date: 17/09/2020
Last modified:
11/10/2020
Descripción:
En la función kbd_keycode del archivo keyboard.c, se presenta una posible escritura fuera de límites debido a una falta de comprobación de límites. Esto podría conllevar a una escalada de privilegios local sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: kernel de Android, ID de Android: A-144161459
Vulnerabilidad en el archivo networking.c en la función skb_to_mamac en Android (CVE-2020-0432)
Gravedad:
MediaMedia
Publication date: 17/09/2020
Last modified:
11/10/2020
Descripción:
En la función skb_to_mamac del archivo networking.c, se presenta una posible escritura fuera de límites debido a un desbordamiento de enteros. Esto podría conllevar a una escalada de privilegios local sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: kernel de Android, ID de Android: A-143560807
Vulnerabilidad en el uso de Pixel de la biblioteca Catpipe en Android (CVE-2020-0434)
Gravedad:
AltaAlta
Publication date: 17/09/2020
Last modified:
23/09/2020
Descripción:
En el uso de Pixel de la biblioteca Catpipe, se presenta una posible corrupción de la memoria debido a un uso de la memoria previamente liberada. Esto podría conllevar a una escalada de privilegios local sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: kernel de Android, ID de Android: A-150730508
Vulnerabilidad en una configuración AddressSpace del espacio de nombres de usuario en AMQ Online (CVE-2020-14348)
Gravedad:
MediaMedia
Publication date: 16/09/2020
Last modified:
23/09/2020
Descripción:
Se encontró en AMQ Online versiones anteriores a 1.5.2, que inyectar un campo no válido a una configuración AddressSpace del espacio de nombres de usuario coloca a AMQ Online en un estado inconsistente, donde los componentes de AMQ Online no funcionan apropiadamente, tal y como el fallo de aprovisionamiento y el fallo en la creación de direcciones, aunque esto no afecta a los clientes o agentes de mensajería ya existentes
Vulnerabilidad en los valores de los elementos de búsqueda o renderizado en Apache Atlas (CVE-2020-13928)
Gravedad:
MediaMedia
Publication date: 16/09/2020
Last modified:
23/09/2020
Descripción:
Apache Atlas versiones anteriores a 2.1.0, contiene una vulnerabilidad de tipo XSS. Mientras se guardan los valores de los elementos de búsqueda o renderizado no se sanean correctamente y debido a eso se desencadena la vulnerabilidad de tipo XSS
Vulnerabilidad en la implementación de la Enhanced IBPB (Indirect Branch Prediction Barrier) en el kernel de Linux (CVE-2020-10767)
Gravedad:
BajaBaja
Publication date: 15/09/2020
Last modified:
23/09/2020
Descripción:
Se encontró un fallo en el kernel de Linux versiones anteriores a 5.8-rc1, en la implementación de la Enhanced IBPB (Indirect Branch Prediction Barrier). La mitigación de IBPB será desactivada cuando STIBP no esté disponible o cuando Enhanced Indirect Branch Restricted Speculation (IBRS) esté disponible. Este fallo permite a un atacante local llevar a cabo un ataque estilo de Spectre V2 cuando esta configuración está activa. La mayor amenaza de esta vulnerabilidad es la confidencialidad
Vulnerabilidad en la implementación de SSBD en la conmutación STIPB en el kernel de Linux (CVE-2020-10766)
Gravedad:
BajaBaja
Publication date: 15/09/2020
Last modified:
23/09/2020
Descripción:
Se encontró un fallo de bug lógico en el kernel de Linux versiones anteriores a 5.8-rc1, en la implementación de SSBD. Un error en el manejo lógico permite a un atacante con una cuenta local desactivar la protección SSBD durante un cambio de contexto cuando las mitigaciones de ejecución especulativa adicionales están presentes. Este problema fue introducido cuando la conmutación STIPB condicional fue incorporada a la conmutación SSBD existente. La mayor amenaza de esta vulnerabilidad es la confidencialidad
Vulnerabilidad en el comprobador de metadatos del sistema de archivos en XFS en el kernel de Linux (CVE-2020-14385)
Gravedad:
MediaMedia
Publication date: 15/09/2020
Last modified:
15/10/2020
Descripción:
Se encontró un fallo en el kernel de Linux versiones anteriores a 5.9-rc4. Un fallo en el comprobador de metadatos del sistema de archivos en XFS puede causar que un inodo con un atributo extendido válido creado por el usuario sea marcado como corrupto. Esto puede conllevar que el sistema de archivos sea apagado o se vuelva inaccesible hasta que se vuelva a montar, conllevando una denegación de servicio. La mayor amenaza de esta vulnerabilidad es la disponibilidad del sistema

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el procesamiento de un contenido web en iOS, iPadOS, tvOS, watchOS, Safari, iTunes para Windows, iCloud para Windows de Apple (CVE-2020-9805)
Gravedad:
MediaMedia
Publication date: 09/06/2020
Last modified:
16/10/2020
Descripción:
Se abordó un problema lógico con restricciones mejoradas. Este problema es corregido en iOS versión 13.5 y iPadOS versión 13.5, tvOS versión 13.4.5, watchOS versión 6.2.5, Safari versión 13.1.1, iTunes versión 12.10.7 para Windows, iCloud para Windows versión 11.2, iCloud para Windows versión 7.19. El procesamiento de un contenido web diseñado con fines maliciosos puede conllevar a un ataque de tipo cross site scripting universales
Vulnerabilidad en InternetSoft FTP Commander (CVE-2017-11749)
Gravedad:
MediaMedia
Publication date: 30/07/2017
Last modified:
23/09/2020
Descripción:
InternetSoft FTP Commander versión 8.02 y anterior, presenta una ruta de búsqueda no confiable, lo que permite el secuestro de DLL por medio de un archivo de tipo caballo de Troya dwmapi.dll.
Vulnerabilidad en Ins_MIRP en base/ttinterp.c en Artifex Ghostscript GhostXPS (CVE-2017-9611)
Gravedad:
MediaMedia
Publication date: 26/07/2017
Last modified:
23/09/2020
Descripción:
La función Ins_MIRP en base/ttinterp.c en Artifex Ghostscript GhostXPS versión 9.21 permite a los atacantes remotos causar una denegación de servicio (DoS) (sobreescritura del búfer en la zona heap de la memoria y bloqueo de la aplicación) o posiblemente tener otro impacto no especificado por medio de un documento creado.