Acerca del contenido de seguridad de iOS 16.7.6 y iPadOS 16.7.6
En este documento, se describe el contenido de seguridad de iOS 16.7.6 y iPadOS 16.7.6.
Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Las versiones más recientes se pueden encontrar en la página Versiones de seguridad de Apple.
Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.
Para obtener más información sobre la seguridad, consulta la página de seguridad de los productos Apple.
iOS 16.7.6 y iPadOS 16.7.6
Publicado el 5 de marzo de 2024
Accessibility
Disponible para iPhone 8, iPhone 8 Plus, iPhone X, iPad (quinta generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (primera generación)
Impacto: Es posible que una app pueda suplantar las notificaciones del sistema y la interfaz de usuario
Descripción: Para solucionar este problema, se realizaron más comprobaciones de titularidad.
CVE-2024-23262: Guilherme Rambo de Best Buddy Apps (rambo.codes)
Entrada agregada el 7 de marzo de 2024
CoreCrypto
Disponible para iPhone 8, iPhone 8 Plus, iPhone X, iPad (quinta generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (primera generación)
Impacto: Un atacante podría descifrar textos cifrados RSA PKCS#1 v1.5 heredados sin la clave privada
Descripción: Se solucionó un problema del canal lateral de temporización con mejoras en el cálculo de tiempo constante en funciones criptográficas.
CVE-2024-23218: Clemens Lang
Entrada agregada el 7 de marzo de 2024
ImageIO
Disponible para iPhone 8, iPhone 8 Plus, iPhone X, iPad (quinta generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (primera generación)
Impacto: Es posible que el procesamiento de una imagen pueda ocasionar la ejecución de código arbitrario
Descripción: Se mejoró el manejo de la memoria para solucionar un problema de desbordamiento de búferes.
CVE-2024-23286: Junsung Lee en colaboración con el programa Zero Day Initiative de Trend Micro, Amir Bazine y Karsten König de CrowdStrike Counter Adversary Operations, Dohyun Lee (@l33d0hyun) y Lyutoon y Mr.R
Entrada agregada el 7 de marzo de 2024 y actualizada el 29 de mayo de 2024
ImageIO
Disponible para iPhone 8, iPhone 8 Plus, iPhone X, iPad (quinta generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (primera generación)
Impacto: Es posible que el procesamiento de una imagen pueda provocar la divulgación de la memoria de un proceso
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
CVE-2024-23257: Junsung Lee en colaboración con el programa Zero Day Initiative de Trend Micro
Entrada agregada el 7 de marzo de 2024
Kernel
Disponible para iPhone 8, iPhone 8 Plus, iPhone X, iPad (quinta generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (primera generación)
Impacto: Es posible que un atacante con una función de lectura y escritura arbitraria del kernel pueda omitir las protecciones de memoria del kernel. Apple está al tanto de que este problema podría haberse explotado.
Descripción: Se mejoró la validación para solucionar un problema de daños en la memoria.
CVE-2024-23225
Kernel
Disponible para iPhone 8, iPhone 8 Plus, iPhone X, iPad (quinta generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (primera generación)
Impacto: Es posible que una app pueda acceder a información confidencial del usuario
Descripción: Se solucionó un problema de condición de carrera mediante validaciones adicionales.
CVE-2024-23235
Entrada agregada el 7 de marzo de 2024
Kernel
Disponible para iPhone 8, iPhone 8 Plus, iPhone X, iPad (quinta generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (primera generación)
Impacto: Una app podía provocar el cierre inesperado del sistema o escribir la memoria del kernel.
Descripción: Se solucionó un problema de vulnerabilidad de daños en la memoria mejorando el bloqueo.
CVE-2024-23265: Xinru Chi de Pangu Lab
Entrada agregada el 7 de marzo de 2024
libxpc
Disponible para iPhone 8, iPhone 8 Plus, iPhone X, iPad (quinta generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (primera generación)
Impacto: Es posible que una app pueda salir de su zona protegida
Descripción: Para solucionar este problema, se mejoró la comprobación.
CVE-2024-23278: Un investigador anónimo
Entrada agregada el 7 de marzo de 2024
MediaRemote
Disponible para iPhone 8, iPhone 8 Plus, iPhone X, iPad (quinta generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (primera generación)
Impacto: Una app podía acceder a datos confidenciales del usuario.
Descripción: Para solucionar este problema, se mejoró la redacción de información confidencial.
CVE-2023-28826: Meng Zhang (鲸落) de NorthSea
Entrada agregada el 7 de marzo de 2024
Metal
Disponible para iPhone 8, iPhone 8 Plus, iPhone X, iPad (quinta generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (primera generación)
Impacto: Es posible que una app pueda leer la memoria restringida
Descripción: Se mejoró el saneamiento de entradas para solucionar un problema de validación.
CVE-2024-23264: Meysam Firouzi (@R00tkitsmm) en colaboración con el programa Zero Day Initiative de Trend Micro
Entrada agregada el 7 de marzo de 2024
Notes
Disponible para iPhone 8, iPhone 8 Plus, iPhone X, iPad (quinta generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (primera generación)
Impacto: Es posible que una app pueda acceder a información confidencial del usuario
Descripción: Para solucionar un problema de privacidad, se mejoró la redacción de datos privados para las entradas de registro.
CVE-2024-23283
Entrada agregada el 7 de marzo de 2024
Safari
Disponible para iPhone 8, iPhone 8 Plus, iPhone X, iPad (quinta generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (primera generación)
Impacto: El procesamiento de contenido web podía provocar una denegación de servicio.
Descripción: Para solucionar este problema, se mejoró la comprobación.
CVE-2024-23259: Lyra Rebane (rebane2001)
Entrada agregada el 7 de marzo de 2024
Share Sheet
Disponible para iPhone 8, iPhone 8 Plus, iPhone X, iPad (quinta generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (primera generación)
Impacto: Es posible que una app pueda acceder a información confidencial del usuario
Descripción: Para solucionar un problema de privacidad, se mejoró la redacción de datos privados para las entradas de registro.
CVE-2024-23231: Kirin (@Pwnrin) y luckyu (@uuulucky)
Entrada agregada el 7 de marzo de 2024
Shortcuts
Disponible para iPhone 8, iPhone 8 Plus, iPhone X, iPad (quinta generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (primera generación)
Impacto: Es posible que un acceso directo pueda usar los datos confidenciales con determinadas acciones sin solicitarle al usuario
Descripción: Se agregaron más comprobaciones de permisos para solucionar el problema.
CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)
CVE-2024-23203: Un investigador anónimo
Entrada agregada el 7 de marzo de 2024
Siri
Disponible para iPhone 8, iPhone 8 Plus, iPhone X, iPad (quinta generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (primera generación)
Impacto: Es posible que una persona con acceso físico a un dispositivo pueda usar Siri para acceder a información privada del calendario.
Descripción: Se mejoró la administración de estados para solucionar un problema de bloqueo de pantalla.
CVE-2024-23289: Lewis Hardy
Entrada agregada el 7 de marzo de 2024
UIKit
Disponible para iPhone 8, iPhone 8 Plus, iPhone X, iPad (quinta generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (primera generación)
Impacto: Es posible que una app pueda salir de su zona protegida
Descripción: Este problema se solucionó mediante la eliminación del código vulnerable.
CVE-2024-23246: Deutsche Telekom Security GmbH patrocinado por Bundesamt für Sicherheit in der Informationstechnik
Entrada agregada el 7 de marzo de 2024
WebKit
Disponible para iPhone 8, iPhone 8 Plus, iPhone X, iPad (quinta generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (primera generación)
Impacto: El procesamiento de contenido web creado con fines malintencionados podía impedir que se aplicaran las políticas de seguridad del contenido
Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.
WebKit Bugzilla: 267241
CVE-2024-23284: Georg Felber y Marco Squarcina
Entrada agregada el 7 de marzo de 2024
WebKit
Disponible para iPhone 8, iPhone 8 Plus, iPhone X, iPad (quinta generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (primera generación)
Impacto: El procesamiento de contenido web creado con fines malintencionados podía impedir que se aplicaran las políticas de seguridad del contenido
Descripción: Se mejoró la validación para solucionar un problema de lógica.
WebKit Bugzilla: 264811
CVE-2024-23263: Johan Carlsson (joaxcar)
Entrada agregada el 7 de marzo de 2024
La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.