Acerca del contenido de seguridad de iOS 9.1

Este documento describe el contenido de seguridad de iOS 9.1.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.

A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.

Para obtener información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

iOS 9.1

  • Accelerate Framework

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía provocar la ejecución de código arbitrario.

    Descripción: Existía un problema de daños de memoria en Accelerate Framework en el modo de varias cadenas. Para solucionar este problema, se mejoró la validación de elementos de acceso y el bloqueo de objetos.

    ID CVE

    CVE-2015-5940: Apple

  • Bom

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Abrir un archivo creado con fines malintencionados podía provocar la ejecución de código arbitrario

    Descripción: Existía una vulnerabilidad transversal de archivo en la administración de archivos CPIO. Este problema se solucionó mejorando la validación de metadatos.

    ID CVE

    CVE-2015-7006: Mark Dowd en Azimuth Security

  • CFNetwork

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía provocar la sobrescritura de cookies.

    Descripción: Existía un problema de análisis en la administración de cookies con diferente uso de mayúsculas y minúsculas. Este problema se solucionó mejorando el análisis.

    ID CVE

    CVE-2015-7023: Marvin Scholz y Michael Lutonsky; Xiaofeng Zheng y Jinjin Liang de la Universidad de Qinghua; Jian Jiang de la Universidad de California, Berkeley; Haixin Duan de la Universidad de Qinghua y del International Computer Science Institute; Shuo Chen de Microsoft Research Redmond; Tao Wan de Huawei Canadá; Nicholas Weaver del International Computer Science Institute y la Universidad de California, Berkeley; todos coordinados mediante CERT/CC

  • configd

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Una aplicación malintencionada podía aumentar los privilegios.

    Descripción: Existía un problema de desbordamiento de montículo del búfer en la biblioteca del cliente DNS. Una aplicación malintencionada con la capacidad de simular respuestas del servicio local configurado podría haber ejecutado código arbitrario en clientes DNS.

    ID CVE

    CVE-2015-7015: PanguTeam

  • CoreGraphics

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía provocar la ejecución de código arbitrario.

    Descripción: Existían varios problemas de daños de memoria en CoreGraphics. Estos problemas se solucionaron mejorando la administración de la memoria.

    ID CVE

    CVE-2015-5925: Apple

    CVE-2015-5926: Apple

  • CoreText

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

    Descripción: Existían varios problemas de daños de memoria en la administración de tipos de letra. Estos problemas se solucionaron mejorando la comprobación de los límites.

    ID CVE

    CVE-2015-6975: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6992: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7017: John Villamil (@day6reak), Yahoo Pentest Team

  • Imágenes de disco

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Una aplicación malintencionada podía ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un problema de daños de memoria en el análisis de imágenes de disco. Para solucionar este problema, se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-6995: Ian Beer de Google Project Zero

  • FontParser

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

    Descripción: Existían varios problemas de daños de memoria en la administración de tipos de letra. Estos problemas se solucionaron mejorando la comprobación de los límites.

    ID CVE

    CVE-2015-5927: Apple

    CVE-2015-5942

    CVE-2015-6976: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6977: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6978: Jaanus Kp, Clarified Security, en colaboración con la iniciativa Zero Day de HP.

    CVE-2015-6990: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6991: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6993: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7008: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7009: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7010: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7018: John Villamil (@day6reak), Yahoo Pentest Team

  • GasGauge

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Una aplicación maliciosa podía ejecutar código arbitrario con privilegios del kernel.

    Descripción: Existía un problema de daños de memoria en el kernel. Para solucionar este problema, se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-6979: PanguTeam

  • Grand Central Dispatch

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Procesar un paquete creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

    Descripción: Existía un problema de daños de memoria en la administración de llamadas de envío. Para solucionar este problema, se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-6989: Apple

  • Driver de gráficos

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: La ejecución de una aplicación malintencionada podía provocar la ejecución de código arbitrario en el kernel.

    Descripción: Existía un problema de confusión de tipo en AppleVXD393. Para solucionar este problema, se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-6986: Proteas de Qihoo 360 Nirvan Team

  • ImageIO

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: La visualización de un archivo de imagen creado con fines malintencionados podía ocasionar la ejecución de código arbitrario

    Descripción: Existían varios problemas de daños de memoria en el análisis de metadatos de imágenes. Para solucionar estos problemas, se mejoró la validación de metadatos.

    ID CVE

    CVE-2015-5935: Apple

    CVE-2015-5936: Apple

    CVE-2015-5937: Apple

    CVE-2015-5939: Apple

  • IOAcceleratorFamily

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Una aplicación malintencionada podía ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un problema de daños de memoria en IOAcceleratorFamily. Para solucionar este problema, se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-6996: Ian Beer de Google Project Zero

  • IOHIDFamily

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Una aplicación maliciosa podía ejecutar código arbitrario con privilegios del kernel.

    Descripción: Existía un problema de daños de memoria en el kernel. Para solucionar este problema, se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-6974: Luca Todesco (@qwertyoruiop)

  • Kernel

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Una aplicación local podía provocar una denegación de servicio.

    Descripción: Existía un problema de validación de entradas en el kernel. Este problema se solucionó mejorando la validación de entradas.

    ID CVE

    CVE-2015-7004: Sergi Alvarez (pancake) de NowSecure Research Team

  • Kernel

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Un atacante con una posición de red privilegiada podía ejecutar código arbitrario.

    Descripción: Existía un problema de memoria no inicializada en el kernel. Este problema se solucionó mediante una mejora de la inicialización de la memoria.

    ID CVE

    CVE-2015-6988: The Brainy Code Scanner (m00nbsd)

  • Kernel

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Una aplicación local podía provocar una denegación de servicio.

    Descripción: Existía un problema al reutilizar memoria virtual. Para solucionar este problema, se mejoró la validación.

    ID CVE

    CVE-2015-6994: Mark Mentovai de Google Inc.

  • mDNSResponder

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Un atacante remoto podía ser capaz de provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    Descripción: Existían varios problemas de daños en la memoria en el análisis de los datos DNS. Estos problemas se solucionaron mejorando la comprobación de los límites.

    ID CVE

    CVE-2015-7987: Alexandre Helie

  • mDNSResponder

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Una aplicación local podía provocar una denegación de servicio.

    Descripción: La falta de referencia de puntero nulo se solucionó mejorando el manejo de la memoria.

    ID CVE

    CVE-2015-7988: Alexandre Helie

  • Centro de notificaciones

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Las notificaciones de mensajes y del teléfono pueden aparecer en la pantalla bloqueada aunque estén deshabilitadas

    Descripción: Cuando se desactivaba la opción "Ver en la pantalla bloqueada" para los mensajes o el teléfono, los cambios en la configuración no se aplicaban inmediatamente. Este problema se solucionó mejorando la administración de estados.

    ID CVE

    CVE-2015-7000: William Redwood de Hampton School

  • OpenGL

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía provocar la ejecución de código arbitrario.

    Descripción: Existía un problema de daños de memoria en OpenGL. Para solucionar este problema, se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-5924: Apple

  • Seguridad

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Procesar un certificado creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

    Descripción: Existían varios problemas de daños en la memoria en el decodificador ASN.1. Para solucionar estos problemas, se mejoró la validación de entradas.

    ID CVE

    CVE-2015-7059: David Keeler de Mozilla

    CVE-2015-7060: Tyson Smith de Mozilla

    CVE-2015-7061: Ryan Sleevi de Google

  • Seguridad

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Una aplicación maliciosa podía sobrescribir archivos arbitrarios.

    Descripción: Existía un problema de vulnerabilidad de “doble liberación” (“double free”) en la administración de los descriptores de AtomicBufferedFile. Para solucionar este problema, se mejoró la validación de los descriptores de AtomicBufferedFile.

    ID CVE

    CVE-2015-6983: David Benjamin, Greg Kerr, Mark Mentovai y Sergey Ulanov de Chrome Team

  • Seguridad

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Un atacante podía provocar que un certificado revocado pareciera válido.

    Descripción: Existía un problema de validación en el cliente de OCSP. Para solucionar este problema, se comprobó la fecha de vencimiento del certificado de OCSP.

    ID CVE

    CVE-2015-6999: Apple

  • Seguridad

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Una evaluación de confianza configurada para requerir la comprobación de revocación podía ser satisfactoria aunque fallara la comprobación de la verificación.

    Descripción: La marca kSecRevocationRequirePositiveResponse estaba establecida, pero no se implementaba. Este problema se solucionó implementando la marca.

    ID CVE

    CVE-2015-6997: Apple

  • Telefonía

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Una aplicación maliciosa podía divulgar información confidencial del usuario.

    Descripción: Existía un problema en las comprobaciones de autorización para consultar el estado de las llamadas telefónicas. Para solucionar este problema, se realizaron consultas adicionales del estado de la autorización.

    ID CVE

    CVE-2015-7022: Andreas Kurtz de NESO Security Labs

  • WebKit

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía provocar la ejecución de código arbitrario.

    Descripción: Existían varios problemas de errores de memoria en WebKit. Estos problemas se solucionaron mejorando la administración de la memoria.

    ID CVE

    CVE-2015-5928: Apple

    CVE-2015-5929: Apple

    CVE-2015-5930: Apple

    CVE-2015-6981

    CVE-2015-6982

    CVE-2015-7002: Apple

    CVE-2015-7005: Apple

    CVE-2015-7012: Apple

    CVE-2015-7014

    CVE-2015-7104: Apple

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados o probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o productos de otros fabricantes. Apple no ofrece ninguna representación con relación a la precisión o fiabilidad de los sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Comunícate con el proveedor para obtener información adicional. Otros nombres de compañías y productos mencionados pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: