Acerca del contenido de seguridad de iOS 14.5 y iPadOS 14.5
En este documento, se describe el contenido de seguridad de iOS 14.5 y iPadOS 14.5.
Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Las versiones más recientes se pueden encontrar en la página Actualizaciones de seguridad de Apple.
Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que es posible.
Para obtener más información sobre la seguridad, consulta la página de seguridad de los productos Apple.
iOS 14.5 y iPadOS 14.5
Accessibility
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: Una persona con acceso físico a un dispositivo iOS podía acceder a las notas desde la pantalla de bloqueo
Descripción: Para solucionar este problema, se mejoraron las comprobaciones.
CVE-2021-1835: videosdebarraquito
App Store
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: Un atacante con una posición de red privilegiada podía alterar el tráfico de red
Descripción: Se solucionó un problema de validación de certificados.
CVE-2021-1837: Aapo Oksman de Nixu Cybersecurity
Apple Neural Engine
Disponible para iPhone 8 y versiones posteriores, iPad Pro (tercera generación y versiones posteriores), y iPad Air (tercera generación) y versiones posteriores
Impacto: Es posible que una app malintencionada pueda ejecutar código arbitrario con privilegios del kernel
Descripción: Se mejoró la validación de entradas para solucionar un problema de lectura fuera de los límites.
CVE-2021-1867: Zuozhi Fan (@pattern_F_) y Wish Wu (吴潍浠) de Ant Group Tianqiong Security Lab
AppleMobileFileIntegrity
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: Una app creada con fines malintencionados podía omitir las preferencias de privacidad.
Descripción: Se mejoraron las comprobaciones para solucionar un problema de validación de firma de código.
CVE-2021-1849: Siguza
Assets
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: Un usuario local podía crear o modificar archivos privilegiados
Descripción: Se mejoraron las restricciones para solucionar un problema de lógica.
CVE-2021-1836: Un investigador anónimo
Audio
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: Es posible que una app pueda leer la memoria restringida
Descripción: Se mejoró la validación para solucionar un problema de daños en la memoria.
CVE-2021-1808: JunDong Xie de Ant Security Light-Year Lab
Audio
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: Es posible que el procesamiento de un archivo de audio creado con fines malintencionados ocasione la ejecución de código arbitrario
Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.
CVE-2021-30742: Mickey Jin de Trend Micro en colaboración con la iniciativa Zero Day de Trend Micro
CFNetwork
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda divulgar información confidencial del usuario
Descripción: Se mejoró el manejo de la memoria para solucionar un problema en su inicialización.
CVE-2021-1857: Un investigador anónimo
Compression
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: El procesamiento de una imagen creada con fines malintencionados podía ocasionar la ejecución de código arbitrario
Descripción: Se mejoró la validación de entradas para solucionar un problema de lectura fuera de los límites.
CVE-2021-30752: Ye Zhang (@co0py_Cat) de Baidu Security
CoreAudio
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: El procesamiento de un archivo creado con fines malintencionados podía provocar la ejecución de código arbitrario.
Descripción: Se mejoró la comprobación de límites para solucionar un problema de escritura fuera de los límites.
CVE-2021-30664: JunDong Xie de Ant Security Light-Year Lab
CoreAudio
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: El procesamiento de un archivo creado con fines malintencionados podía provocar la ejecución de código arbitrario.
Descripción: Se mejoró la comprobación de límites para solucionar un problema de escritura fuera de los límites.
CVE-2021-30664: JunDong Xie de Ant Security Light-Year Lab
CoreAudio
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: El procesamiento de un archivo de audio creado con fines malintencionados podía revelar memoria restringida.
Descripción: Se mejoró la validación de entradas para solucionar un problema de lectura fuera de los límites.
CVE-2021-1846: JunDong Xie de Ant Security Light-Year Lab
CoreAudio
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: Es posible que una app creada con fines malintencionados pueda leer la memoria restringida
Descripción: Se mejoró la validación para solucionar un problema de daños en la memoria.
CVE-2021-1809: JunDong Xie de Ant Security Light-Year Lab
CoreFoundation
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: Una app creada con fines malintencionados podía divulgar información confidencial del usuario.
Descripción: Se solucionó un problema de validación mejorando la lógica.
CVE-2021-30659: Thijs Alkemade de Computest
Core Motion
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: Una app creada con fines malintencionados podía ejecutar código arbitrario con privilegios del sistema
Descripción: Se mejoró la validación para solucionar un problema de lógica.
CVE-2021-1812: Siddharth Aeri (@b1n4r1b01)
CoreText
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: El procesamiento de un tipo de letra creado con fines malintencionados podía ocasionar la divulgación de la memoria de un proceso.
Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.
CVE-2021-1811: Xingwei Lin de Ant Security Light-Year Lab
FaceTime
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: Silenciar una llamada de CallKit mientras sonaba, podía ocasionar que no se silenciara
Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.
CVE-2021-1872: Siraj Zaneer de Facebook
FontParser
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: Es posible que el procesamiento de un archivo de tipo de letra creado con fines malintencionados pueda ocasionar la ejecución de código arbitrario
Descripción: Se mejoró la validación de entradas para solucionar un problema de lectura fuera de los límites.
CVE-2021-1881: Un investigador anónimo, Xingwei Lin de Ant Security Light-Year Lab, Mickey Jin de Trend Micro y Hou JingYi (@hjy79425575) de Qihoo 360
Foundation
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: Una app podía obtener privilegios elevados.
Descripción: Se mejoró la validación para solucionar un problema de daños en la memoria.
CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)
Foundation
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: Es posible que una app creada con fines malintencionados pueda obtener privilegios de usuario raíz
Descripción: Se solucionó un problema de validación mejorando la lógica.
CVE-2021-1813: Cees Elzinga
GPU Drivers
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: Una app creada con fines malintencionados podía determinar la distribución de la memoria del kernel.
Descripción: Se solucionó un problema de acceso mejorando la administración de la memoria.
CVE-2021-30656: Justin Sherman de la Universidad de Maryland, condado de Baltimore
Heimdal
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: El procesamiento de mensajes del servidor creados con fines malintencionados podía generar daños en la memoria del montón
Descripción: Para solucionar este problema, se mejoraron las comprobaciones.
CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)
Heimdal
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: Es posible que un atacante remoto pueda ocasionar una denegación de servicio
Descripción: Se solucionó un problema de condición de carrera mejorando el bloqueo.
CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)
ImageIO
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: El procesamiento de una imagen creada con fines malintencionados podía ocasionar la ejecución de código arbitrario
Descripción: Se mejoró la validación de entradas para solucionar un problema de escritura fuera de los límites.
CVE-2021-30743: CFF de Topsec Alpha Team, Ye Zhang (@co0py_Cat) de Baidu Security y Jeonghoon Shin (@singi21a) de THEORI en colaboración con Zero Day Initiative de Trend Micro
ImageIO
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: El procesamiento de una imagen creada con fines malintencionados podía ocasionar la ejecución de código arbitrario
Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la comprobación de límites.
CVE-2021-1885: CFF de Topsec Alpha Team
ImageIO
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: Es posible que el procesamiento de una imagen creada con fines malintencionados pueda ocasionar la ejecución de código arbitrario
Descripción: Para solucionar este problema, se mejoraron las comprobaciones.
CVE-2021-30653: Ye Zhang de Baidu Security
CVE-2021-1843: Ye Zhang de Baidu Security
ImageIO
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: El procesamiento de una imagen creada con fines malintencionados podía ocasionar la ejecución de código arbitrario
Descripción: Se mejoró la comprobación de límites para solucionar un problema de escritura fuera de los límites.
CVE-2021-1858: Mickey Jin de Trend Micro
ImageIO
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: El procesamiento de un archivo creado con fines malintencionados podía provocar la ejecución de código arbitrario.
Descripción: Para solucionar este problema, se mejoraron las comprobaciones.
CVE-2021-30764: Un investigador anónimo en colaboración con la iniciativa Zero Day de Trend Micro
CVE-2021-30662: Un investigador anónimo en colaboración con la iniciativa Zero Day de Trend Micro, Jzhu en colaboración con la iniciativa Zero Day de Trend Micro
iTunes Store
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: Un atacante con ejecución de JavaScript podía ejecutar código arbitrario
Descripción: Se mejoró la administración de la memoria para solucionar un problema de uso después de liberación.
CVE-2021-1864: CodeColorist de Ant-Financial LightYear Labs
Kernel
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: Es posible que un usuario local pueda leer la memoria del kernel
Descripción: Se mejoró la validación de entradas para solucionar un problema de lectura fuera de los límites.
CVE-2021-1877: Zuozhi Fan (@pattern_F_) de Ant Group Tianqiong Security Lab
CVE-2021-1852: Zuozhi Fan (@pattern_F_) de Ant Group Tianqiong Security Lab
CVE-2021-1830: Tielei Wang de Pangu Lab
Kernel
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel
Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.
CVE-2021-1874: Zuozhi Fan (@pattern_F_) de Ant Group Tianqiong Security Lab
CVE-2021-1851: @0xalsr
Kernel
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: Una app creada con fines malintencionados podía divulgar la memoria del kernel
Descripción: Se mejoró el manejo de la memoria para solucionar un problema en su inicialización.
CVE-2021-1860: @0xalsr
Kernel
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: Es posible que una app malintencionada pueda ejecutar código arbitrario con privilegios del kernel
Descripción: Se mejoró la comprobación de límites para solucionar un problema de desbordamiento de búferes.
CVE-2021-1816: Tielei Wang de Pangu Lab
Kernel
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: Los archivos copiados podían no contar con los permisos de archivo esperados
Descripción: Se mejoró la lógica de permisos para solucionar el problema.
CVE-2021-1832: Un investigador anónimo
Kernel
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: Una app creada con fines malintencionados podía divulgar la memoria del kernel
Descripción: Se mejoró la comprobación de límites para solucionar un problema de lectura fuera de los límites.
CVE-2021-30660: Alex Plaskett
libxpc
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: Es posible que una app creada con fines malintencionados pueda obtener privilegios de usuario raíz
Descripción: Se solucionó un problema de condición de carrera mediante validaciones adicionales.
CVE-2021-30652: James Hutchins
libxslt
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: El procesamiento de un archivo creado con fines malintencionados podía generar daños en la memoria del montón
Descripción: Se mejoró la administración de la memoria para solucionar un problema de doble liberación.
CVE-2021-1875: Detectado por OSS-Fuzz
MobileAccessoryUpdater
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: Es posible que una app pueda obtener privilegios elevados
Descripción: Para solucionar este problema, se mejoraron las comprobaciones.
CVE-2021-1833: Cees Elzinga
MobileInstallation
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: Es posible que un usuario local pueda modificar partes protegidas del sistema de archivos
Descripción: Se mejoraron las restricciones para solucionar un problema de lógica.
CVE-2021-1822: Bruno Virlet de The Grizzly Labs
Password Manager
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: La contraseña de un usuario podía aparecer en pantalla
Descripción: Se mejoró la lógica para solucionar un problema que ocultaba las contraseñas en las capturas de pantalla.
CVE-2021-1865: Shibin B Shaji de UST
Preferences
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: Es posible que un usuario local pueda modificar partes protegidas del sistema de archivos
Descripción: Se solucionó un problema de análisis sintáctico en el manejo de rutas de directorios mejorando la validación de rutas.
CVE-2021-1815: Zhipeng Huo (@R3dF09) y Yuebin Sun (@yuebinsun2020) de Tencent Security Xuanwu Lab (xlab.tencent.com)
CVE-2021-1739: Zhipeng Huo (@R3dF09) y Yuebin Sun (@yuebinsun2020) de Tencent Security Xuanwu Lab (xlab.tencent.com)
CVE-2021-1740: Zhipeng Huo (@R3dF09) y Yuebin Sun (@yuebinsun2020) de Tencent Security Xuanwu Lab (xlab.tencent.com)
Quick Response
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: Una persona con acceso físico a un dispositivo iOS podía realizar llamadas telefónicas a cualquier número de teléfono
Descripción: Existía un problema con la autenticación de la acción activado por una etiqueta NFC. Para solucionar el problema, se mejoró la autenticación de la acción.
CVE-2021-1863: REFHAN OZGORUR
Safari
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: Un usuario local podía escribir archivos arbitrarios.
Descripción: Se solucionó un problema de validación mejorando el saneamiento de entradas.
CVE-2021-1807: David Schütz (@xdavidhu)
Atajos
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: Una app podía permitir que los atajos accedieran a archivos restringidos
Descripción: Se mejoró la lógica de permisos para solucionar el problema.
CVE-2021-1831: Bouke van der Bijl
Siri
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: Se mejoró la lógica para solucionar un problema con el acceso a la información de búsqueda de Siri
Descripción: Una persona con acceso físico podía acceder a los contactos.
CVE-2021-1862: Anshraj Srivastava (@AnshrajSrivas14) de UKEF
Tailspin
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: Un atacante local podía aumentar sus privilegios.
Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.
CVE-2021-1868: Tim Michaud de Zoom Communications
TCC
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: Una app creada con fines malintencionados podía divulgar información confidencial del usuario.
Descripción: Se solucionó un problema de validación mejorando la lógica.
CVE-2021-30659: Thijs Alkemade de Computest
Telephony
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: Una red celular antigua podía responder automáticamente una llamada entrante cuando una llamada en curso finalizaba o se interrumpía
Descripción: Se mejoró la lógica para solucionar un problema de terminación de llamadas.
CVE-2021-1854: Steven Thorne de Cspire
UIKit
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: La contraseña de un usuario podía aparecer en pantalla
Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.
CVE-2021-30921: Maximilian Blochberger del sector de seguridad de Distributed Systems Group, Universidad de Hamburgo
Wallet
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: Un usuario local podía ver información confidencial en el selector de apps
Descripción: Este problema se solucionó mejorando el manejo de IU.
CVE-2021-1848: Bradley D’Amato de ActionIQ
WebKit
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados ocasione un ataque de scripts de sitios
Descripción: Se solucionó un problema de validación de entradas mejorando la validación de entradas.
CVE-2021-1825: Alex Camboe de Aon’s Cyber Solutions
WebKit
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda ocasionar la ejecución de código arbitrario
Descripción: Se mejoró la administración de estados para solucionar un problema de daños en la memoria.
CVE-2021-1817: zhunki
WebKit
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar un ataque de scripts de sitios universal.
Descripción: Se mejoraron las restricciones para solucionar un problema de lógica.
CVE-2021-1826: Un investigador anónimo
WebKit
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados provoque la divulgación de la memoria de un proceso
Descripción: Se mejoró el manejo de la memoria para solucionar un problema en su inicialización.
CVE-2021-1820: André Bargull
WebKit Storage
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda ocasionar la ejecución de código arbitrario. Apple está al tanto de que este problema podría haberse explotado de forma activa.
Descripción: Se mejoró la administración de la memoria para solucionar un problema de uso después de liberación.
CVE-2021-30661: yangkang (@dnpushme) de 360 ATA
WebRTC
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: Un atacante remoto podía provocar el cierre inesperado del sistema o daños en la memoria del kernel
Descripción: Se mejoró la administración de la memoria para solucionar un problema de uso después de liberación.
CVE-2020-7463: Megan2013678
Wi-Fi
Disponible para iPhone 6s y versiones posteriores, iPad Pro (todos los modelos), iPad Air 2 y versiones posteriores, iPad (quinta generación y versiones posteriores), iPad mini 4 y versiones posteriores, y iPod touch (séptima generación)
Impacto: Un desbordamiento de búferes podía ocasionar la ejecución de código arbitrario
Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.
CVE-2021-1770: Jiska Classen (@naehrdine) de Secure Mobile Networking Lab, Universidad Técnica de Darmstadt
Otros agradecimientos
Accounts Framework
Nos gustaría darle las gracias a Ellougani Mohamed de Dr.Phones Recycle Inc. por su ayuda.
AirDrop
Nos gustaría darle las gracias a @maxzks por su ayuda.
Recursos
Nos gustaría darle las gracias a Cees Elzinga por su ayuda.
CoreAudio
Nos gustaría darle las gracias a un investigador anónimo por su ayuda.
CoreCrypto
Nos gustaría darle las gracias a Andy Russon de Orange Group por su ayuda.
File Bookmark
Nos gustaría darle las gracias a un investigador anónimo por su ayuda.
Archivos
Nos gustaría darle las gracias a Omar Espino (omespino.com) por su ayuda.
Foundation
Nos gustaría darle las gracias a CodeColorist de Ant-Financial LightYear Labs por su ayuda.
Kernel
Nos gustaría darles las gracias a Antonio Frighetto de Politecnico di Milano (Politécnico de Milán), GRIMM, Keyu Man, Zhiyun Qian, Zhongjie Wang, Xiaofeng Zheng, Youjun Huang, Haixin Duan, Mikko Kenttälä (@Turmio_) de SensorFu, Proteas, Tielei Wang de Pangu Lab, y Zuozhi Fan (@pattern_F_) de Ant Group Tianqiong Security Lab por su ayuda.
Nos gustaría darles las gracias a Lauritz Holtmann (@_lauritz_), Muhammed Korany (facebook.com/MohamedMoustafa4) y Yiğit Can YILMAZ (@yilmazcanyigit) por su ayuda.
NetworkExtension
Nos gustaría darle las gracias a Fabian Hartmann por su ayuda.
Safari Private Browsing
Nos gustaría darle las gracias a Dor Kahana y Griddaluru Veera Pranay Naidu por su ayuda.
Security
Nos gustaría darles las gracias a Xingwei Lin de Ant Security Light-Year Lab y a john (@nyan_satan) por su ayuda.
sysdiagnose
Nos gustaría darle las gracias a Tim Michaud (@TimGMichaud) de Leviathan por su ayuda.
WebKit
Nos gustaría darle las gracias a Emilio Cobos Álvarez de Mozilla por su ayuda.
WebSheet
Nos gustaría darle las gracias a Patrick Clover por su ayuda.
La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.