Acerca del contenido de seguridad de iOS 15.6 y iPadOS 15.6
En este documento se describe el contenido de seguridad de iOS 15.6 y iPadOS 15.6.
Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
iOS 15.6 y iPadOS 15.6
APFS
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: una app con privilegios de raíz podría ser capaz de ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2022-32832: Tommy Muir (@Muirey03)
AppleAVD
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: un usuario remoto podría causar la ejecución de código del núcleo.
Descripción: se ha solucionado un desbordamiento de búfer mejorando la comprobación de límites.
CVE-2022-32788: Natalie Silvanovich de Google Project Zero
AppleAVD
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: una app podría divulgar datos de la memoria de kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2022-32824: Antonio Zekic (@antoniozekic) y John Aakerblom (@jaakerblom)
AppleMobileFileIntegrity
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: una app podría obtener privilegios de raíz.
Descripción: se ha solucionado el problema de autorización mejorando la gestión del estado.
CVE-2022-32826: Mickey Jin (@patch1t) de Trend Micro
Apple Neural Engine
Disponible para dispositivos con Apple Neural Engine: iPhone 8 y modelos posteriores, iPad Pro (3.ª generación) y modelos posteriores, iPad Air (3.ª generación) y modelos posteriores y iPad mini (5.ª generación)
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un desbordamiento de enteros mediante la mejora de la validación de las entradas.
CVE-2022-42805: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Disponible para dispositivos con Apple Neural Engine: iPhone 8 y modelos posteriores, iPad Pro (3.ª generación) y modelos posteriores, iPad Air (3.ª generación) y modelos posteriores y iPad mini (5.ª generación)
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.
CVE-2022-32948: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Disponible para dispositivos con Apple Neural Engine: iPhone 8 y modelos posteriores, iPad Pro (3.ª generación) y modelos posteriores, iPad Air (3.ª generación) y modelos posteriores y iPad mini (5.ª generación)
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.
CVE-2022-32845: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Disponible para dispositivos con Apple Neural Engine: iPhone 8 y modelos posteriores, iPad Pro (3.ª generación) y modelos posteriores, iPad Air (3.ª generación) y modelos posteriores y iPad mini (5.ª generación)
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2022-32840: Mohamed Ghannam (@_simo36)
CVE-2022-32829: Tingting Yin de la Universidad Tsinghua y Min Zheng de Ant Group
Apple Neural Engine
Disponible para dispositivos con Apple Neural Engine: iPhone 8 y modelos posteriores, iPad Pro (3.ª generación) y modelos posteriores, iPad Air (3.ª generación) y modelos posteriores y iPad mini (5.ª generación)
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2022-32810: Mohamed Ghannam (@_simo36)
Audio
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de escritura fuera de los límites al mejorar la validación de las entradas.
CVE-2022-32820: un investigador anónimo
Audio
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: una app podría divulgar datos de la memoria de kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2022-32825: John Aakerblom (@jaakerblom)
CoreMedia
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: una app podría divulgar datos de la memoria de kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2022-32828: Antonio Zekic (@antoniozekic) y John Aakerblom (@jaakerblom)
CoreText
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: un usuario remoto podría hacer que una app se cierre de forma inesperada o se ejecute código arbitrario.
Descripción: el problema se ha solucionado mediante la mejora de la comprobación de límites.
CVE-2022-32839: STAR Labs (@starlabs_sg)
File System Events
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: una app podría obtener privilegios de raíz.
Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.
CVE-2022-32819: Joshua Mason de Mandiant
GPU Drivers
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: una app podría divulgar datos de la memoria de kernel.
Descripción: se han solucionado varios problemas de escritura fuera de límites mediante la mejora de la comprobación de límites.
CVE-2022-32793: un investigador anónimo
GPU Drivers
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de memoria mejorando la validación.
CVE-2022-32821: John Aakerblom (@jaakerblom)
Home
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: un usuario podría ver contenido restringido desde la pantalla de bloqueo.
Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.
CVE-2022-32855: Zitong Wu (吴梓桐) de la escuela secundaria Zhuhai No.1 (珠海市第一中学)
iCloud Photo Library
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: una app podría acceder a la información confidencial del usuario.
Descripción: se ha solucionado un problema de divulgación de información eliminando el código vulnerable.
CVE-2022-32849: Joshua Jones
ICU
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.
CVE-2022-32787: Dohyun Lee (@l33d0hyun) de SSD Secure Disclosure Labs y DNSLab, Univ. de Corea
ImageIO
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: procesar una imagen creada con fines malintencionados podría provocar la revelación de la memoria de procesos.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2022-32841: hjy79425575
ImageIO
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: procesar un archivo creado con fines malintencionados podría provocar la ejecución de código arbitrario.
Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.
CVE-2022-32802: Ivan Fratric de Google Project Zero, Mickey Jin (@patch1t)
ImageIO
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: procesar una imagen creada con fines malintencionados podría hacer que se revelase información del usuario.
Descripción: se ha solucionado un problema de lectura fuera de los límites al mejorar la comprobación de los límites.
CVE-2022-32830: Ye Zhang (@co0py_Cat) de Baidu Security
ImageIO
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: procesar una imagen podría provocar una denegación de servicio.
Descripción: se ha solucionado una falta de referencia a un puntero nulo mediante la mejora de la validación.
CVE-2022-32785: Yiğit Can YILMAZ (@yilmazcanyigit)
IOMobileFrameBuffer
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
CVE-2022-26768: investigador anónimo
JavaScriptCore
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: procesar contenido web puede provocar la ejecución de código arbitrario.
Descripción: el problema se ha solucionado mediante la mejora de la comprobación de límites.
CVE-2022-48503: Dongzhuo Zhao en colaboración con ADLab de Venustech y ZhaoHai de Cyberpeace Tech Co., Ltd.
Kernel
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: una app con privilegios de raíz podría ser capaz de ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2022-32813: Xinru Chi de Pangu Lab
CVE-2022-32815: Xinru Chi de Pangu Lab
Kernel
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: una app podría divulgar datos de la memoria de kernel.
Descripción: se ha solucionado un problema de lectura fuera de los límites al mejorar la comprobación de los límites.
CVE-2022-32817: Xinru Chi de Pangu Lab
Kernel
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: una app que tenga funciones arbitrarias de lectura y escritura de kernel podría ser capaz de omitir la autenticación de puntero.
Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.
CVE-2022-32844: Sreejith Krishnan R (@skr0x1c0)
Kernel
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: una app que tenga funciones arbitrarias de lectura y escritura de kernel podría ser capaz de omitir la autenticación de puntero.
Descripción: se ha solucionado un problema de condición de carrera mediante la mejora de la gestión del estado.
CVE-2022-32844: Sreejith Krishnan R (@skr0x1c0)
Liblouis
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: una app podría hacer que una app se cierre de forma inesperada o se ejecute código arbitrario.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2022-26981: Hexhive (hexhive.epfl.ch), NCNIPC de China continental (nipc.org.cn)
libxml2
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: una app podría filtrar información confidencial del usuario.
Descripción: se ha solucionado un problema de inicialización de memoria mejorando la gestión de la memoria.
CVE-2022-32823
Multi-Touch
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de confusión de tipo mejorando la gestión del estado.
CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)
PluginKit
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: una app podría leer archivos arbitrarios.
Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.
CVE-2022-32838: Mickey Jin (@patch1t) de Trend Micro
Safari Extensions
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: al visitar un sitio web creado con fines malintencionados podría filtrarse información sensible.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la interfaz de usuario.
CVE-2022-32784: Young Min Kim de CompSec Lab de la Universidad Nacional de Seúl
Software Update
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: un usuario con una posición de red con privilegios puede rastrear la actividad de un usuario.
Descripción: este problema se ha solucionado mediante el uso de HTTPS al enviar información a través de la red.
CVE-2022-32857: Jeffrey Paul (sneak.berlin)
WebKit
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de memoria mejorando la validación.
CVE-2022-32885: P1umer(@p1umer) y Q1IQ(@q1iqF)
WebKit
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
CVE-2022-32863: P1umer(@p1umer), afang(@afang5472) y xmzyshypnc(@xmzyshypnc1)
WebKit
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: visitar un sitio web que incluye contenido malintencionado podría provocar la suplantación de la interfaz del usuario.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la interfaz de usuario.
CVE-2022-32816: Dohyun Lee (@l33d0hyun) de SSD Secure Disclosure Labs y DNSLab, Univ. de Corea
WebKit
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de escritura fuera de los límites al mejorar la validación de las entradas.
CVE-2022-32792: Manfred Paul (@_manfp) en colaboración con Zero Day Initiative de Trend Micro
WebRTC
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
CVE-2022-2294: Jan Vojtesek del equipo Avast Threat Intelligence
Wi-Fi
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la validación de las entradas.
CVE-2022-32860: Wang Yu de Cyberserval
Wi-Fi
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: una app podría provocar el cierre inesperado del sistema o la escritura de la memoria del kernel.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2022-32837: Wang Yu, de Cyberserval
Wi-Fi
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: un usuario remoto podría provocar el cierre inesperado del sistema o dañar la memoria del kernel.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2022-32847: Wang Yu, de Cyberserval
Otros agradecimientos
802.1X
Queremos dar las gracias a Shin Sun de la Universidad Nacional de Taiwán por su ayuda.
AppleMobileFileIntegrity
Queremos dar las gracias a Csaba Fitzl (@theevilbit) de Offensive Security, a Mickey Jin (@patch1t) de Trend Micro y a Wojciech Reguła (@_r3ggi) de SecuRing por su ayuda.
configd
Queremos dar las gracias a Csaba Fitzl (@theevilbit) de Offensive Security, a Mickey Jin (@patch1t) de Trend Micro y a Wojciech Reguła (@_r3ggi) de SecuRing por su ayuda.
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.