Acerca del contenido de seguridad de iOS 11.2.5
En este documento se describe el contenido de seguridad de iOS 11.2.5.
Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple. Las comunicaciones con Apple se pueden cifrar mediante la clave PGP de seguridad de los productos Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.
iOS 11.2.5
Audio
Disponible para: iPhone 5s y modelos posteriores, iPad Air y modelos posteriores, y iPod touch 6.ª generación
Impacto: el procesamiento de un archivo de audio creado con fines malintencionados podría provocar la ejecución arbitraria de código
Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.
CVE-2018-4094: Mingi Cho, Seoyoung Kim, Young-Ho Lee, MinSik Shin y Taekyoung Kwon de Information Security Lab, Universidad Yonsei
Core Bluetooth
Disponible para: iPhone 5s y modelos posteriores, iPad Air y modelos posteriores, y iPod touch 6.ª generación
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de sistema
Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.
CVE-2018-4087: Rani Idan (@raniXCH) de Zimperium zLabs Team
CVE-2018-4095: Rani Idan (@raniXCH) de Zimperium zLabs Team
Driver de gráficos
Disponible para: iPhone 5s y modelos posteriores, iPad Air y modelos posteriores, y iPod touch 6.ª generación
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel
Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.
CVE-2018-4109: Adam Donenfeld (@doadam) de Zimperium zLabs Team
Kernel
Disponible para: iPhone 5s y modelos posteriores, iPad Air y modelos posteriores, y iPod touch 6.ª generación
Impacto: una aplicación podría leer la memoria restringida
Descripción: se ha solucionado un problema de inicialización de memoria mejorando la gestión de la memoria.
CVE-2018-4090: Jann Horn de Google Project Zero
Kernel
Disponible para: iPhone 5s y modelos posteriores, iPad Air y modelos posteriores, y iPod touch 6.ª generación
Impacto: una aplicación podría leer la memoria restringida
Descripción: se ha solucionado una condición de carrera con una mejora del bloqueo.
CVE-2018-4092: Stefan Esser de Antid0te UG
Kernel
Disponible para: iPhone 5s y modelos posteriores, iPad Air y modelos posteriores, y iPod touch 6.ª generación
Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel
Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.
CVE-2018-4082: Russ Cox de Google
Kernel
Disponible para: iPhone 5s y modelos posteriores, iPad Air y modelos posteriores, y iPod touch 6.ª generación
Impacto: una aplicación podría leer la memoria restringida
Descripción: se ha solucionado un problema de validación mejorando el saneamiento de entrada.
CVE-2018-4093: Jann Horn de Google Project Zero
Kernel
Disponible para: iPhone 5s y modelos posteriores, iPad Air y modelos posteriores, y iPod touch 6.ª generación
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel
Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.
CVE-2018-4189: investigador anónimo
LinkPresentation
Disponible para: iPhone 5s y modelos posteriores, iPad Air y modelos posteriores, y iPod touch 6.ª generación
Impacto: procesar un mensaje de texto creado con fines malintencionados podría provocar la denegación del servicio
Descripción: se ha solucionado un problema de falta de recursos mejorando la validación de entrada.
CVE-2018-4100: Abraham Masri @cheesecakeufo
QuartzCore
Disponible para: iPhone 5s y modelos posteriores, iPad Air y modelos posteriores, y iPod touch 6.ª generación
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código
Descripción: existía un problema de corrupción de memoria en el procesamiento de contenido web. Se ha solucionado el problema mejorando la validación de las entradas.
CVE-2018-4085: Ret2 Systems Inc. en colaboración con Zero Day Initiative de Trend Micro
Seguridad
Disponible para: iPhone 5s y modelos posteriores, iPad Air y modelos posteriores, y iPod touch 6.ª generación
Impacto: es posible que un certificado tenga restricciones de nombre aplicadas incorrectamente
Descripción: existía un problema de evaluación de certificados en la gestión de las restricciones de nombre. Este problema se ha solucionado mejorando la evaluación de confianza de certificados.
CVE-2018-4086: Ian Haken de Netflix
WebKit
Disponible para: iPhone 5s y modelos posteriores, iPad Air y modelos posteriores, y iPod touch 6.ª generación
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código
Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.
CVE-2018-4088: Jeonghoon Shin de Theori
CVE-2018-4089: Ivan Fratric de Google Project Zero
CVE-2018-4096: detectado por OSS-Fuzz
WebKit
Disponible para: iPhone 5s y modelos posteriores, iPad Air y modelos posteriores, y iPod touch 6.ª generación
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código
Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.
CVE-2018-4147: detectado por OSS-Fuzz
Carga de páginas de WebKit
Disponible para: iPhone 5s y modelos posteriores, iPad Air y modelos posteriores, y iPod touch 6.ª generación
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código
Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.
CVE-2017-7830: Jun Kokatsu (@shhnjk)
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.