Acerca del contenido de seguridad de iOS 17.2 y iPadOS 17.2

En este documento, se describe el contenido de seguridad de iOS 17.2 y iPadOS 17.2.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Las versiones más recientes se pueden encontrar en la página Versiones de seguridad de Apple.

Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.

Para obtener más información sobre la seguridad, consulta la página de seguridad de los productos Apple.

iOS 17.2 y iPadOS 17.2

Publicado el 11 de diciembre de 2023

Accessibility

Disponible para los siguientes modelos: iPhone XS y modelos posteriores, iPad Pro de segunda generación de 12,9 pulgadas y modelos posteriores, iPad Pro de 10,5 pulgadas, iPad Pro de primera generación de 11 pulgadas y modelos posteriores, iPad Air de tercera generación y modelos posteriores, iPad de sexta generación y modelos posteriores, y iPad mini de quinta generación y modelos posteriores

Impacto: Una app podía acceder a datos confidenciales del usuario.

Descripción: Para solucionar un problema de privacidad, se mejoró la redacción de datos privados para las entradas de registro.

CVE-2023-42937: Noah Roskin-Frazee y Prof. J. (ZeroClicks.ai Lab)

Entrada agregada el 22 de enero de 2024

Accounts

Disponible para los siguientes modelos: iPhone XS y modelos posteriores, iPad Pro de segunda generación de 12,9 pulgadas y modelos posteriores, iPad Pro de 10,5 pulgadas, iPad Pro de primera generación de 11 pulgadas y modelos posteriores, iPad Air de tercera generación y modelos posteriores, iPad de sexta generación y modelos posteriores, y iPad mini de quinta generación y modelos posteriores

Impacto: Una app podía acceder a datos confidenciales del usuario.

Descripción: Para solucionar un problema de privacidad, se mejoró la redacción de datos privados para las entradas de registro.

CVE-2023-42919: Kirin (@Pwnrin)

Assets

Disponible para los siguientes modelos: iPhone XS y modelos posteriores, iPad Pro de segunda generación de 12,9 pulgadas y modelos posteriores, iPad Pro de 10,5 pulgadas, iPad Pro de primera generación de 11 pulgadas y modelos posteriores, iPad Air de tercera generación y modelos posteriores, iPad de sexta generación y modelos posteriores, y iPad mini de quinta generación y modelos posteriores

Impacto: Una app podía modificar partes protegidas del sistema de archivos.

Descripción: Se solucionó un problema con la mejora del manejo de archivos temporales.

CVE-2023-42896: Mickey Jin (@patch1t)

Entrada agregada el 22 de marzo de 2024

AVEVideoEncoder

Disponible para los siguientes modelos: iPhone XS y modelos posteriores, iPad Pro de segunda generación de 12,9 pulgadas y modelos posteriores, iPad Pro de 10,5 pulgadas, iPad Pro de primera generación de 11 pulgadas y modelos posteriores, iPad Air de tercera generación y modelos posteriores, iPad de sexta generación y modelos posteriores, y iPad mini de quinta generación y modelos posteriores

Impacto: Una app podía divulgar la memoria del kernel.

Descripción: Para solucionar este problema, se mejoró la redacción de información confidencial.

CVE-2023-42884: Un investigador anónimo

Bluetooth

Disponible para los siguientes modelos: iPhone XS y modelos posteriores, iPad Pro de segunda generación de 12,9 pulgadas y modelos posteriores, iPad Pro de 10,5 pulgadas, iPad Pro de primera generación de 11 pulgadas y modelos posteriores, iPad Air de tercera generación y modelos posteriores, iPad de sexta generación y modelos posteriores, y iPad mini de quinta generación y modelos posteriores

Impacto: Un atacante con una posición de red privilegiada podía inyectar pulsaciones de teclas mediante la suplantación de un teclado.

Descripción: Para solucionar este problema, se mejoró la comprobación.

CVE-2023-45866: Marc Newlin de SkySafe

Entrada agregada el 11 de diciembre de 2023

Bluetooth

Disponible para los siguientes modelos: iPhone XS y modelos posteriores, iPad Pro de segunda generación de 12,9 pulgadas y modelos posteriores, iPad Pro de 10,5 pulgadas, iPad Pro de primera generación de 11 pulgadas y modelos posteriores, iPad Air de tercera generación y modelos posteriores, iPad de sexta generación y modelos posteriores, y iPad mini de quinta generación y modelos posteriores

Impacto: Es posible que un atacante en una posición de red privilegiada pueda realizar un ataque de denegación de servicio mediante paquetes de Bluetooth creados

Descripción: Para solucionar este problema, se mejoró la comprobación.

CVE-2023-42941: Christopher Reynolds

Entrada agregada el 10 de enero de 2024

CallKit

Disponible para los siguientes modelos: iPhone XS y modelos posteriores, iPad Pro de segunda generación de 12,9 pulgadas y modelos posteriores, iPad Pro de 10,5 pulgadas, iPad Pro de primera generación de 11 pulgadas y modelos posteriores, iPad Air de tercera generación y modelos posteriores, iPad de sexta generación y modelos posteriores, y iPad mini de quinta generación y modelos posteriores

Impacto: Un atacante remoto podía provocar una denegación de servicio.

Descripción: Este problema se solucionó mejorando las comprobaciones

CVE-2023-42962: Aymane Chabat

Entrada agregada el 22 de marzo de 2024

Find My

Disponible para los siguientes modelos: iPhone XS y modelos posteriores, iPad Pro de segunda generación de 12,9 pulgadas y modelos posteriores, iPad Pro de 10,5 pulgadas, iPad Pro de primera generación de 11 pulgadas y modelos posteriores, iPad Air de tercera generación y modelos posteriores, iPad de sexta generación y modelos posteriores, y iPad mini de quinta generación y modelos posteriores

Impacto: Es posible que una app pueda obtener acceso a información confidencial de ubicación

Descripción: Para solucionar este problema, se mejoró la redacción de información confidencial.

CVE-2023-42922: Wojciech Regula de SecuRing (wojciechregula.blog)

ImageIO

Disponible para los siguientes modelos: iPhone XS y modelos posteriores, iPad Pro de segunda generación de 12,9 pulgadas y modelos posteriores, iPad Pro de 10,5 pulgadas, iPad Pro de primera generación de 11 pulgadas y modelos posteriores, iPad Air de tercera generación y modelos posteriores, iPad de sexta generación y modelos posteriores, y iPad mini de quinta generación y modelos posteriores

Impacto: El procesamiento de una imagen podía ocasionar la ejecución de código arbitrario.

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2023-42898: Zhenjiang Zhao de Pangu Team, Qianxin y Junsung Lee

CVE-2023-42899: Meysam Firouzi @R00tkitSMM y Junsung Lee

Entrada actualizada el 22 de marzo de 2024

ImageIO

Disponible para los siguientes modelos: iPhone XS y modelos posteriores, iPad Pro de segunda generación de 12,9 pulgadas y modelos posteriores, iPad Pro de 10,5 pulgadas, iPad Pro de primera generación de 11 pulgadas y modelos posteriores, iPad Air de tercera generación y modelos posteriores, iPad de sexta generación y modelos posteriores, y iPad mini de quinta generación y modelos posteriores

Impacto: El procesamiento de una imagen creada con fines malintencionados podía provocar la divulgación de la memoria de un proceso.

Descripción: Para solucionar este problema, se mejoró la comprobación.

CVE-2023-42888: Michael DePlante (@izobashi) del programa Zero Day Initiative de Trend Micro

Entrada agregada el 22 de enero de 2024

IOUSBDeviceFamily

Disponible para los siguientes modelos: iPhone XS y modelos posteriores, iPad Pro de segunda generación de 12,9 pulgadas y modelos posteriores, iPad Pro de 10,5 pulgadas, iPad Pro de primera generación de 11 pulgadas y modelos posteriores, iPad Air de tercera generación y modelos posteriores, iPad de sexta generación y modelos posteriores, y iPad mini de quinta generación y modelos posteriores

Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel.

Descripción: Para solucionar un problema de condición de carrera, se mejoró el manejo de estados.

CVE-2023-42974: Pan ZhenPeng (@Peterpan0927) de STAR Labs SG Pte. Ltd.

Entrada actualizada el 22 de marzo de 2024

Kernel

Disponible para los siguientes modelos: iPhone XS y modelos posteriores, iPad Pro de segunda generación de 12,9 pulgadas y modelos posteriores, iPad Pro de 10,5 pulgadas, iPad Pro de primera generación de 11 pulgadas y modelos posteriores, iPad Air de tercera generación y modelos posteriores, iPad de sexta generación y modelos posteriores, y iPad mini de quinta generación y modelos posteriores

Impacto: Es posible que una app pueda salir de su zona protegida

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) de Synacktiv (@Synacktiv)

Libsystem

Disponible para los siguientes modelos: iPhone XS y modelos posteriores, iPad Pro de segunda generación de 12,9 pulgadas y modelos posteriores, iPad Pro de 10,5 pulgadas, iPad Pro de primera generación de 11 pulgadas y modelos posteriores, iPad Air de tercera generación y modelos posteriores, iPad de sexta generación y modelos posteriores, y iPad mini de quinta generación y modelos posteriores

Impacto: Es posible que una app pueda acceder a datos protegidos del usuario

Descripción: Se eliminó código vulnerable y se agregaron comprobaciones adicionales para solucionar un problema de permisos.

CVE-2023-42893

Entrada agregada el 22 de marzo de 2024

Safari Private Browsing

Disponible para los siguientes modelos: iPhone XS y modelos posteriores, iPad Pro de segunda generación de 12,9 pulgadas y modelos posteriores, iPad Pro de 10,5 pulgadas, iPad Pro de primera generación de 11 pulgadas y modelos posteriores, iPad Air de tercera generación y modelos posteriores, iPad de sexta generación y modelos posteriores, y iPad mini de quinta generación y modelos posteriores

Impacto: Se podía ingresar a pestañas de navegación privada sin autenticación.

Descripción: Para solucionar este problema, se mejoró la administración de estado.

CVE-2023-42923: ARJUN S D

Sandbox

Disponible para los siguientes modelos: iPhone XS y modelos posteriores, iPad Pro de segunda generación de 12,9 pulgadas y modelos posteriores, iPad Pro de 10,5 pulgadas, iPad Pro de primera generación de 11 pulgadas y modelos posteriores, iPad Air de tercera generación y modelos posteriores, iPad de sexta generación y modelos posteriores, y iPad mini de quinta generación y modelos posteriores

Impacto: Es posible que una app pueda acceder a información confidencial del usuario

Descripción: Para solucionar este problema, se mejoró la redacción de información confidencial.

CVE-2023-42936

Entrada agregada el 22 de marzo de 2024

Siri

Disponible para los siguientes modelos: iPhone XS y modelos posteriores, iPad Pro de segunda generación de 12,9 pulgadas y modelos posteriores, iPad Pro de 10,5 pulgadas, iPad Pro de primera generación de 11 pulgadas y modelos posteriores, iPad Air de tercera generación y modelos posteriores, iPad de sexta generación y modelos posteriores, y iPad mini de quinta generación y modelos posteriores

Impacto: Un atacante con acceso físico podía usar Siri para acceder a datos confidenciales del usuario.

Descripción: Para solucionar este problema, se mejoró la comprobación.

CVE-2023-42897: Andrew Goldberg de The McCombs School of Business, Universidad de Texas en Austin (linkedin.com/andrew-goldberg-/)

TCC

Disponible para los siguientes modelos: iPhone XS y modelos posteriores, iPad Pro de segunda generación de 12,9 pulgadas y modelos posteriores, iPad Pro de 10,5 pulgadas, iPad Pro de primera generación de 11 pulgadas y modelos posteriores, iPad Air de tercera generación y modelos posteriores, iPad de sexta generación y modelos posteriores, y iPad mini de quinta generación y modelos posteriores

Impacto: Es posible que una app pueda salir de su zona protegida

Descripción: Se mejoró la validación para solucionar un problema de manejo de rutas.

CVE-2023-42947: Zhongquan Li (@Guluisacat) de Dawn Security Lab de JingDong

Entrada agregada el 22 de marzo de 2024

WebKit

Disponible para los siguientes modelos: iPhone XS y modelos posteriores, iPad Pro de segunda generación de 12,9 pulgadas y modelos posteriores, iPad Pro de 10,5 pulgadas, iPad Pro de primera generación de 11 pulgadas y modelos posteriores, iPad Air de tercera generación y modelos posteriores, iPad de sexta generación y modelos posteriores, y iPad mini de quinta generación y modelos posteriores

Impacto: Es posible que el procesamiento de contenido web creado pueda provocar la ejecución de código arbitrario

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

WebKit Bugzilla: 259830
CVE-2023-42890: Pwn2car

WebKit

Disponible para los siguientes modelos: iPhone XS y modelos posteriores, iPad Pro de segunda generación de 12,9 pulgadas y modelos posteriores, iPad Pro de 10,5 pulgadas, iPad Pro de primera generación de 11 pulgadas y modelos posteriores, iPad Air de tercera generación y modelos posteriores, iPad de sexta generación y modelos posteriores, y iPad mini de quinta generación y modelos posteriores

Impacto: El procesamiento de una imagen podía provocar una denegación de servicio.

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

WebKit Bugzilla: 263349
CVE-2023-42883: Equipo de Seguridad Ofensiva de Zoom

WebKit

Disponible para los siguientes modelos: iPhone XS y modelos posteriores, iPad Pro de segunda generación de 12,9 pulgadas y modelos posteriores, iPad Pro de 10,5 pulgadas, iPad Pro de primera generación de 11 pulgadas y modelos posteriores, iPad Air de tercera generación y modelos posteriores, iPad de sexta generación y modelos posteriores, y iPad mini de quinta generación y modelos posteriores

Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Para solucionar un problema de uso después de liberación, se mejoró la administración de la memoria.

WebKit Bugzilla: 263682
CVE-2023-42950: Nan Wang (@eternalsakura13) de 360 Vulnerability Research Institute y rushikesh nandedkar

Entrada agregada el 22 de marzo de 2024

WebKit

Disponible para los siguientes modelos: iPhone XS y modelos posteriores, iPad Pro de segunda generación de 12,9 pulgadas y modelos posteriores, iPad Pro de 10,5 pulgadas, iPad Pro de primera generación de 11 pulgadas y modelos posteriores, iPad Air de tercera generación y modelos posteriores, iPad de sexta generación y modelos posteriores, y iPad mini de quinta generación y modelos posteriores

Impacto: El procesamiento de contenido web podía provocar una denegación de servicio.

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

WebKit Bugzilla: 263989
CVE-2023-42956: SungKwon Lee (Demon.Team)

Entrada agregada el 22 de marzo de 2024

 

Otros agradecimientos

Safari Private Browsing

Queremos agradecer a Joshua Lund de Signal Technology Foundation y a Iakovos Gurulian por su ayuda.

Entrada actualizada el 22 de marzo de 2024

Setup Assistant

Queremos agradecer a Aaron Gregory de Acoustic.com y Eastern Illinois University – Graduate School of Technology por su ayuda.

WebKit

Queremos agradecer a 椰椰 por su ayuda.

WebSheet

Queremos agradecer a Paolo Ruggero de e-phors S.p.A. (una empresa de FINCANTIERI S.p.A.) por su ayuda.

Entrada agregada el 22 de marzo de 2024

Wi-Fi

Nos gustaría darles las gracias a Noah Roskin-Frazee y Prof. J. (ZeroClicks.ai Lab) por su ayuda.

 

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.

Fecha de publicación: