Acerca del contenido de seguridad de iOS 9.2

En este documento se describe el contenido de seguridad de iOS 9.2.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.

A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.

Para obtener información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

iOS 9.2

  • AppleMobileFileIntegrity

    Disponible para: iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: Se solucionó un problema de control de acceso al evitar la modificación de estructuras de control de acceso.

    ID CVE

    CVE-2015-7055: Apple

  • AppSandbox

    Disponible para: iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.

    Impacto: Una aplicación malintencionada podía mantener acceso a Contactos después de la revocación del acceso.

    Descripción: Existía un problema en el manejo de vínculos físicos por parte de la zona protegida. Para solucionar este problema, se mejoró la protección de la zona protegida de la aplicación.

    ID CVE

    CVE-2015-7001: Razvan Deaconescu y Mihai Bucicoiu de la Universidad Politécnica de Bucarest; Luke Deshotels y William Enck de la Universidad Estatal de Carolina del Norte; Lucas Vincenzo Davi y Ahmad-Reza Sadeghi de TU Darmstadt

  • CFNetwork HTTPProtocol

    Disponible para: iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.

    Impacto: Un atacante con posición de red privilegiada podría omitir HSTS.

    Descripción: Existía un problema de validación de entradas dentro del procesamiento URL. Este problema se solucionó mejorando la validación de URL.

    ID CVE

    CVE-2015-7094: Tsubasa Iinuma (@llamakko_cafe) de Gehirn Inc. y Muneaki Nishimura (nishimunea)

  • Compresión

    Disponible para: iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.

    Impacto: Visitar un sitio web creado con fines malintencionados podía provocar la ejecución de código arbitrario.

    Descripción: Existía un problema de acceso a la memoria sin inicializar en zlib. Para solucionar este problema, se mejoró la inicialización de la memoria y se proporcionó validación adicional de secuencias zlib.

    ID CVE

    CVE-2015-7054: j00ru

  • CoreGraphics

    Disponible para: iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.

    Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

    Descripción: Existía un problema de daños en la memoria en el procesamiento de archivos de fuente. Este problema se solucionó mejorando la validación de entradas.

    ID CVE

    CVE-2015-7105: John Villamil (@day6reak), Yahoo Pentest Team

  • CoreMedia Playback

    Disponible para: iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.

    Impacto: Visitar un sitio web creado con fines malintencionados podía provocar la ejecución de código arbitrario.

    Descripción: Existían varios problemas de daños en la memoria en el procesamiento de archivos de medios incorrectos. Estos problemas se solucionaron mejorando la administración de la memoria.

    ID CVE

    CVE-2015-7074: Apple

    CVE-2015-7075

  • dyld

    Disponible para: iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existían varios problemas de validación de segmentos en dyld. Se solucionaron a través de un mejor saneamiento del entorno.

    ID CVE

    CVE-2015-7072: Apple

    CVE-2015-7079: PanguTeam

  • GPUTools Framework

    Disponible para: iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existían varios problemas de validación de ruta en Mobile Replayer. Se solucionaron a través de un mejor saneamiento del entorno.

    ID CVE

    CVE-2015-7069: Luca Todesco (@qwertyoruiop)

    CVE-2015-7070: Luca Todesco (@qwertyoruiop)

  • iBooks

    Disponible para: iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.

    Impacto: Analizar un archivo de iBooks creado con fines malintencionados puede derivar en la divulgación de información del usuario.

    Descripción: Existía un problema de referencia de entidad externa XML en el análisis de iBook. Este problema se solucionó mejorando el análisis.

    ID CVE

    CVE-2015-7081: Behrouz Sadeghipour (@Nahamsec) y Patrik Fehrenbach (@ITSecurityguard)

  • ImageIO

    Disponible para: iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.

    Impacto: El procesamiento de una imagen creada con fines malintencionados podía ocasionar la ejecución de código arbitrario.

    Descripción: Existía un problema de corrupción de la memoria en ImageIO. Para solucionar este problema se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-7053: Apple

  • IOHIDFamily

    Disponible para: iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existían varios problemas de daños en la memoria en la API IOHIDFamily. Estos problemas se solucionaron mejorando la administración de la memoria.

    ID CVE

    CVE-2015-7111: beist y ABH de BoB

    CVE-2015-7112: Ian Beer de Google Project Zero

  • IOKit SCSI

    Disponible para: iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.

    Impacto: Una aplicación maliciosa podía ejecutar código arbitrario con privilegios del kernel.

    Descripción: Existía una falta de referencia de puntero nulo en el manejo de cierto tipo de userclient. Este problema se solucionó mejorando la validación.

    ID CVE

    CVE-2015-7068: Ian Beer de Google Project Zero

  • Kernel

    Disponible para: iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.

    Impacto: Una aplicación local podía provocar una denegación de servicio.

    Descripción: Para solucionar estos múltiples problemas de denegación del servicio, se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-7040: Lufeng Li de Qihoo 360 Vulcan Team

    CVE-2015-7041: Lufeng Li de Qihoo 360 Vulcan Team

    CVE-2015-7042: Lufeng Li de Qihoo 360 Vulcan Team

    CVE-2015-7043: Tarjei Mandt (@kernelpool)

  • Kernel

    Disponible para: iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.

    Impacto: Un usuario local podía ejecutar código arbitrario con privilegios del kernel.

    Descripción: Existían varios problemas de errores de memoria en el kernel. Estos problemas se solucionaron mejorando la administración de la memoria.

    ID CVE

    CVE-2015-7083: Ian Beer de Google Project Zero

    CVE-2015-7084: Ian Beer de Google Project Zero

  • Kernel

    Disponible para: iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.

    Impacto: Un usuario local podía ejecutar código arbitrario con privilegios del kernel.

    Descripción: Existía un problema en el análisis de mensajes Mach. Este problema se solucionó mediante la mejora de la validación de mensajes Mach.

    ID CVE

    CVE-2015-7047: Ian Beer de Google Project Zero

  • LaunchServices

    Disponible para: iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un problema de errores de memoria en la administración de plists mal formados. Para solucionar este problema se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-7113: Olivier Goguel de Free Tools Association

  • libarchive

    Disponible para: iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.

    Impacto: Visitar un sitio web creado con fines malintencionados podía provocar la ejecución de código arbitrario.

    Descripción: Existía un problema de errores de memoria en la administración de archivos. Para solucionar este problema se mejoró el manejo de la memoria.

    ID CVE

    CVE-2011-2895: @practicalswift

  • libc

    Disponible para: iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.

    Impacto: Procesar un paquete creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

    Descripción: Existían múltiples desbordamientos de búfer en la biblioteca estándar C. Estos problemas se solucionaron mejorando la comprobación de límites.

    ID CVE

    CVE-2015-7038: Brian D. Wells de E. W. Scripps, Narayan Subramanian of Symantec Corporation/Veritas LLC

    CVE-2015-7039: Maksymilian Arciemowicz (CXSECURITY.COM)

    Entrada actualizada el 3 de marzo de 2017

  • libxml2

    Disponible para: iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.

    Impacto: El análisis de un documento XML creado con fines malintencionados podía provocar la divulgación de información del usuario.

    Descripción: Existía un problema de daños en la memoria en el análisis de archivos XML. Para solucionar este problema se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-7115: Wei Lei y Liu Yang de la Universidad Tecnológica de Nanyang

    CVE-2015-7116: Wei Lei y Liu Yang de la Universidad Tecnológica de Nanyang

  • MobileStorageMounter

    Disponible para: iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un problema de sincronización en la carga de caché trust. Este problema se solucionó al validar el entorno del sistema antes de la carga de caché trust.

    ID CVE

    CVE-2015-7051: PanguTeam

  • OpenGL

    Disponible para: iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.

    Impacto: Visitar un sitio web creado con fines malintencionados podía provocar la ejecución de código arbitrario.

    Descripción: Existían varios problemas de daños en la memoria en OpenGL. Estos problemas se solucionaron mejorando la administración de la memoria.

    ID CVE

    CVE-2015-7064: Apple

    CVE-2015-7065: Apple

    CVE-2015-7066: Tongbo Luo y Bo Qu de Palo Alto Networks

  • Fotos

    Disponible para: iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.

    Impacto: Un atacante podría usar el sistema de respaldo para acceder a áreas restringidas del sistema de archivos.

    Descripción: Existía un problema de validación de ruta en Mobile Backup. Para solucionar esto, se mejoró el saneamiento del entorno.

    ID CVE

    CVE-2015-7037: PanguTeam

  • QuickLook

    Disponible para: iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.

    Impacto: Abrir un archivo iWork creado con fines malintencionados podría provocar la ejecución de código arbitrario.

    Descripción: Existía un problema de daños en la memoria en el manejo de archivos iWork. Para solucionar este problema se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-7107

  • Safari

    Disponible para: iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.

    Impacto: Visitar un sitio web creado con fines malintencionados podía provocar la suplantación de la interfaz de usuario.

    Descripción: Un problema podría haber permitido que una página web mostrara el contenido de una URL de un sitio web diferente. Para solucionar este problema se mejoró la manipulación de las URL.

    ID CVE

    CVE-2015-7093: xisigr de Tencent's Xuanwu LAB (www.tencent.com)

  • Sandbox

    Disponible para: iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.

    Impacto: Una aplicación malintencionada con privilegios de raíz podía desviar la distribución aleatoria del espacio de direcciones de kernel.

    Descripción: Existía un problema de separación de privilegios insuficiente en xnu. Este problema se resolvió al mejorar la comprobación de autorizaciones.

    ID CVE

    CVE-2015-7046: Apple

  • Seguridad

    Disponible para: iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.

    Impacto: Un atacante remoto podía ocasionar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    Descripción: Existía un problema de errores de memoria en el manejo de protocolos de enlace SSL. Para solucionar este problema se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-7073: Benoit Foucher de ZeroC, Inc.

  • Seguridad

    Disponible para: iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.

    Impacto: Una aplicación malintencionada podría obtener acceso a elementos del llavero de un usuario.

    Descripción: Existía un problema en la validación de listas de control de acceso para elementos del llavero. Este problema se solucionó mejorando las verificaciones de las listas de control de acceso.

    ID CVE

    CVE-2015-7058

  • Siri

    Disponible para: iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.

    Impacto: Una persona con acceso físico a un dispositivo iOS podría usar Siri para leer notificaciones de contenido acerca del cual se estableció que no se mostrara en la pantalla de bloqueo.

    Descripción: Al pedirle algo a Siri, el servidor no comprobaba las restricciones del lado del cliente. Este problema se solucionó mejorando la comprobación de las restricciones.

    ID CVE

    CVE-2015-7080: O Safran (www.linkedin.com/profile/view?id=33912591)

  • WebKit

    Disponible para: iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.

    Impacto: Visitar un sitio web creado con fines malintencionados podía provocar la ejecución de código arbitrario.

    Descripción: Existían varios problemas de errores de memoria en WebKit. Estos problemas se solucionaron mejorando la administración de la memoria.

    ID CVE

    CVE-2015-7048: Apple

    CVE-2015-7095: Apple

    CVE-2015-7096: Apple

    CVE-2015-7097: Apple

    CVE-2015-7098: Apple

    CVE-2015-7099: Apple

    CVE-2015-7100: Apple

    CVE-2015-7101: Apple

    CVE-2015-7102: Apple

    CVE-2015-7103: Apple

  • WebKit

    Disponible para: iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.

    Impacto: Visitar un sitio web creado con fines malintencionados puede revelar el historial de búsqueda del usuario.

    Descripción: Existía un problema de verificación de entrada insuficiente en el bloqueo de contenido. Este problema se solucionó mejorando el análisis de la extensión de contenido.

    ID CVE

    CVE-2015-7050: Luke Li y Jonathan Metzman

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados o probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o productos de otros fabricantes. Apple no ofrece ninguna representación con relación a la precisión o fiabilidad de los sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Comunícate con el proveedor para obtener información adicional. Otros nombres de compañías y productos mencionados pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: