Acerca del contenido de seguridad de iOS 16.7.6 y iPadOS 16.7.6

En este documento, se describe el contenido de seguridad de iOS 16.7.6 y iPadOS 16.7.6.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Las versiones más recientes se pueden encontrar en la página Versiones de seguridad de Apple.

Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.

Para obtener más información sobre la seguridad, consulta la página de seguridad de los productos Apple.

iOS 16.7.6 y iPadOS 16.7.6

Publicado el 5 de marzo de 2024

Accessibility

Disponible para iPhone 8, iPhone 8 Plus, iPhone X, iPad (quinta generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (primera generación)

Impacto: Es posible que una app pueda suplantar las notificaciones del sistema y la interfaz de usuario

Descripción: Para solucionar este problema, se realizaron más comprobaciones de titularidad.

CVE-2024-23262: Guilherme Rambo de Best Buddy Apps (rambo.codes)

Entrada agregada el 7 de marzo de 2024

CoreCrypto

Disponible para iPhone 8, iPhone 8 Plus, iPhone X, iPad (quinta generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (primera generación)

Impacto: Un atacante podría descifrar textos cifrados RSA PKCS#1 v1.5 heredados sin la clave privada

Descripción: Se solucionó un problema del canal lateral de temporización con mejoras en el cálculo de tiempo constante en funciones criptográficas.

CVE-2024-23218: Clemens Lang

Entrada agregada el 7 de marzo de 2024

ImageIO

Disponible para iPhone 8, iPhone 8 Plus, iPhone X, iPad (quinta generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (primera generación)

Impacto: Es posible que el procesamiento de una imagen pueda ocasionar la ejecución de código arbitrario

Descripción: Se mejoró el manejo de la memoria para solucionar un problema de desbordamiento de búferes.

CVE-2024-23286: Junsung Lee en colaboración con el programa Zero Day Initiative de Trend Micro, Amir Bazine y Karsten König de CrowdStrike Counter Adversary Operations, Dohyun Lee (@l33d0hyun) y Lyutoon y Mr.R

Entrada agregada el 7 de marzo de 2024 y actualizada el 29 de mayo de 2024

ImageIO

Disponible para iPhone 8, iPhone 8 Plus, iPhone X, iPad (quinta generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (primera generación)

Impacto: Es posible que el procesamiento de una imagen pueda provocar la divulgación de la memoria de un proceso

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2024-23257: Junsung Lee en colaboración con el programa Zero Day Initiative de Trend Micro

Entrada agregada el 7 de marzo de 2024

Kernel

Disponible para iPhone 8, iPhone 8 Plus, iPhone X, iPad (quinta generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (primera generación)

Impacto: Es posible que un atacante con una función de lectura y escritura arbitraria del kernel pueda omitir las protecciones de memoria del kernel. Apple está al tanto de que este problema podría haberse explotado.

Descripción: Se mejoró la validación para solucionar un problema de daños en la memoria.

CVE-2024-23225

Kernel

Disponible para iPhone 8, iPhone 8 Plus, iPhone X, iPad (quinta generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (primera generación)

Impacto: Es posible que una app pueda acceder a información confidencial del usuario

Descripción: Se solucionó un problema de condición de carrera mediante validaciones adicionales.

CVE-2024-23235

Entrada agregada el 7 de marzo de 2024

Kernel

Disponible para iPhone 8, iPhone 8 Plus, iPhone X, iPad (quinta generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (primera generación)

Impacto: Una app podía provocar el cierre inesperado del sistema o escribir la memoria del kernel.

Descripción: Se solucionó un problema de vulnerabilidad de daños en la memoria mejorando el bloqueo.

CVE-2024-23265: Xinru Chi de Pangu Lab

Entrada agregada el 7 de marzo de 2024

libxpc

Disponible para iPhone 8, iPhone 8 Plus, iPhone X, iPad (quinta generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (primera generación)

Impacto: Es posible que una app pueda salir de su zona protegida

Descripción: Para solucionar este problema, se mejoró la comprobación.

CVE-2024-23278: Un investigador anónimo

Entrada agregada el 7 de marzo de 2024

MediaRemote

Disponible para iPhone 8, iPhone 8 Plus, iPhone X, iPad (quinta generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (primera generación)

Impacto: Una app podía acceder a datos confidenciales del usuario.

Descripción: Para solucionar este problema, se mejoró la redacción de información confidencial.

CVE-2023-28826: Meng Zhang (鲸落) de NorthSea

Entrada agregada el 7 de marzo de 2024

Metal

Disponible para iPhone 8, iPhone 8 Plus, iPhone X, iPad (quinta generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (primera generación)

Impacto: Es posible que una app pueda leer la memoria restringida

Descripción: Se mejoró el saneamiento de entradas para solucionar un problema de validación.

CVE-2024-23264: Meysam Firouzi (@R00tkitsmm) en colaboración con el programa Zero Day Initiative de Trend Micro

Entrada agregada el 7 de marzo de 2024

Notes

Disponible para iPhone 8, iPhone 8 Plus, iPhone X, iPad (quinta generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (primera generación)

Impacto: Es posible que una app pueda acceder a información confidencial del usuario

Descripción: Para solucionar un problema de privacidad, se mejoró la redacción de datos privados para las entradas de registro.

CVE-2024-23283

Entrada agregada el 7 de marzo de 2024

Safari

Disponible para iPhone 8, iPhone 8 Plus, iPhone X, iPad (quinta generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (primera generación)

Impacto: El procesamiento de contenido web podía provocar una denegación de servicio.

Descripción: Para solucionar este problema, se mejoró la comprobación.

CVE-2024-23259: Lyra Rebane (rebane2001)

Entrada agregada el 7 de marzo de 2024

Share Sheet

Disponible para iPhone 8, iPhone 8 Plus, iPhone X, iPad (quinta generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (primera generación)

Impacto: Es posible que una app pueda acceder a información confidencial del usuario

Descripción: Para solucionar un problema de privacidad, se mejoró la redacción de datos privados para las entradas de registro.

CVE-2024-23231: Kirin (@Pwnrin) y luckyu (@uuulucky)

Entrada agregada el 7 de marzo de 2024

Shortcuts

Disponible para iPhone 8, iPhone 8 Plus, iPhone X, iPad (quinta generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (primera generación)

Impacto: Es posible que un acceso directo pueda usar los datos confidenciales con determinadas acciones sin solicitarle al usuario

Descripción: Se agregaron más comprobaciones de permisos para solucionar el problema.

CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)

CVE-2024-23203: Un investigador anónimo

Entrada agregada el 7 de marzo de 2024

Siri

Disponible para iPhone 8, iPhone 8 Plus, iPhone X, iPad (quinta generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (primera generación)

Impacto: Es posible que una persona con acceso físico a un dispositivo pueda usar Siri para acceder a información privada del calendario.

Descripción: Se mejoró la administración de estados para solucionar un problema de bloqueo de pantalla.

CVE-2024-23289: Lewis Hardy

Entrada agregada el 7 de marzo de 2024

UIKit

Disponible para iPhone 8, iPhone 8 Plus, iPhone X, iPad (quinta generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (primera generación)

Impacto: Es posible que una app pueda salir de su zona protegida

Descripción: Este problema se solucionó mediante la eliminación del código vulnerable.

CVE-2024-23246: Deutsche Telekom Security GmbH patrocinado por Bundesamt für Sicherheit in der Informationstechnik

Entrada agregada el 7 de marzo de 2024

WebKit

Disponible para iPhone 8, iPhone 8 Plus, iPhone X, iPad (quinta generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (primera generación)

Impacto: El procesamiento de contenido web creado con fines malintencionados podía impedir que se aplicaran las políticas de seguridad del contenido

Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.

WebKit Bugzilla: 267241

CVE-2024-23284: Georg Felber y Marco Squarcina

Entrada agregada el 7 de marzo de 2024

WebKit

Disponible para iPhone 8, iPhone 8 Plus, iPhone X, iPad (quinta generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (primera generación)

Impacto: El procesamiento de contenido web creado con fines malintencionados podía impedir que se aplicaran las políticas de seguridad del contenido

Descripción: Se mejoró la validación para solucionar un problema de lógica.

WebKit Bugzilla: 264811

CVE-2024-23263: Johan Carlsson (joaxcar)

Entrada agregada el 7 de marzo de 2024

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.

Fecha de publicación: