Acerca del contenido de seguridad de iOS 14.8.1 y iPadOS 14.8.1
En este documento se describe el contenido de seguridad de iOS 14.8.1 y iPadOS 14.8.1.
Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
iOS 14.8.1 y iPadOS 14.8.1
Audio
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: una aplicación maliciosa podría elevar los privilegios.
Descripción: se ha solucionado un desbordamiento de enteros mejorando la validación de las entradas.
CVE-2021-30907: Zweig de Kunlun Lab
ColorSync
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha abordado un problema de corrupción de la memoria en el procesamiento de perfiles ICC mejorando la validación de entrada.
CVE-2021-30926: Jeremy Brown
ColorSync
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: existía un problema de corrupción de memoria en el procesamiento de perfiles ICC. Se ha solucionado el problema mejorando la validación de las entradas.
CVE-2021-30917: Alexandru-Vlad Niculae y Mateusz Jurczyk de Google Project Zero
Continuity Camera
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: un atacante local podría ser capaz de provocar el cierre inesperado de una aplicación o la ejecución arbitraria de código
Descripción: se ha abordado un problema de cadena de formato sin control mejorando la validación de entrada.
CVE-2021-30903: Gongyu Ma de la Universidad Hangzhou Dianzi
CoreGraphics
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: procesar un PDF creado con fines malintencionados podría provocar la ejecución de código arbitrario.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la validación de las entradas.
CVE-2021-30919
GPU Drivers
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.
CVE-2021-30900: Yinyi Wu (@3ndy1) de Ant Security Light-Year Lab
IOMobileFrameBuffer
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel. Apple tiene conocimiento de que este problema se ha explotado activamente.
Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.
CVE-2021-30883: un investigador anónimo
Kernel
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.
CVE-2021-30909: Zweig de Kunlun Lab
Kernel
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.
CVE-2021-30916: Zweig de Kunlun Lab
Sidecar
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: un atacante local podría ser capaz de provocar el cierre inesperado de una aplicación o la ejecución arbitraria de código
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2021-30903: un investigador anónimo
Status Bar
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: un usuario podría ver contenido restringido desde la pantalla de bloqueo.
Descripción: se ha solucionado un problema de bloqueo de pantalla mejorando la gestión del estado.
CVE-2021-30918: videosdebarraquito
Voice Control
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: un atacante local podría ser capaz de provocar el cierre inesperado de una aplicación o la ejecución arbitraria de código
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
CVE-2021-30902: 08Tc3wBB de ZecOps Mobile EDR Team
WebKit
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: Un sitio web malintencionado que utiliza informes de política de seguridad de contenido podría filtrar información mediante un comportamiento de redirección.
Descripción: se ha solucionado un problema de fuga de información.
CVE-2021-30888: Prakash (@1lastBr3ath)
Otros agradecimientos
WebKit
Queremos dar las gracias por su ayuda a Ivan Fratric de Google Project Zero.
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.