Acerca del contenido de seguridad de iOS 13.1 y iPadOS 13.1
En este documento se describe el contenido de seguridad de iOS 13.1 y iPadOS 13.1.
Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
iOS 13.1 y iPadOS 13.1
iOS 13.1 y iPadOS 13.1 incluyen el contenido de seguridad de iOS 13.
AppleFirmwareUpdateKext
Disponible para: iPhone 6s y modelos posteriores, iPad Air 2 y modelos posteriores, iPad mini 4 y modelos posteriores, y iPod touch de 7.ª generación
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel
Descripción: se trató una vulnerabilidad de corrupción de la memoria mejorando el bloqueo.
CVE-2019-8747: Mohamed Ghannam (@_simo36)
Audio
Disponible para: iPhone 6s y modelos posteriores, iPad Air 2 y modelos posteriores, iPad mini 4 y modelos posteriores, y iPod touch de 7.ª generación
Impacto: el procesamiento de un archivo de audio creado con fines malintencionados podría provocar la ejecución arbitraria de código
Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
CVE-2019-8706: Yu Zhou de Ant-financial Light-Year Security Lab
Audio
Disponible para: iPhone 6s y modelos posteriores, iPad Air 2 y modelos posteriores, iPad mini 4 y modelos posteriores, y iPod touch de 7.ª generación
Impacto: procesar un archivo de audio creado con fines malintencionados podría mostrar memoria restringida
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2019-8850: anónimo en colaboración con Zero Day Initiative de Trend Micro
Libros
Disponible para: iPhone 6s y modelos posteriores, iPad Air 2 y modelos posteriores, iPad mini 4 y modelos posteriores, y iPod touch de 7.ª generación
Impacto: el análisis de un archivo de iBooks creado con fines malintencionados podría provocar una denegación de servicio persistente
Descripción: se ha solucionado un problema de falta de recursos mejorando la validación de entrada.
CVE-2019-8774: Gertjan Franken imec-DistriNet de la KU Leuven
Kernel
Disponible para: iPhone 6s y modelos posteriores, iPad Air 2 y modelos posteriores, iPad mini 4 y modelos posteriores, y iPod touch de 7.ª generación
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel
Descripción: se trató una vulnerabilidad de corrupción de la memoria mejorando el bloqueo.
CVE-2019-8740: Mohamed Ghannam (@_simo36)
Kernel
Disponible para: iPhone 6s y modelos posteriores, iPad Air 2 y modelos posteriores, iPad mini 4 y modelos posteriores, y iPod touch de 7.ª generación
Impacto: una aplicación local podría ser capaz de leer un identificador de cuenta persistente.
Descripción: se ha solucionado un problema de validación mejorando la lógica.
CVE-2019-8809: Apple
Kernel
Disponible para: iPhone 6s y modelos posteriores, iPad Air 2 y modelos posteriores, iPad mini 4 y modelos posteriores, y iPod touch de 7.ª generación
Impacto: una aplicación creada con fines malintencionados podría determinar el diseño de la memoria de kernel
Descripción: se ha solucionado el problema mejorando la lógica de los permisos.
CVE-2019-8780: Siguza
libxslt
Disponible para: iPhone 6s y modelos posteriores, iPad Air 2 y modelos posteriores, iPad mini 4 y modelos posteriores, y iPod touch de 7.ª generación
Impacto: varios problemas en libxslt.
Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la validación de las entradas.
CVE-2019-8750: detectado por OSS-Fuzz
mDNSResponder
Disponible para: iPhone 6s y modelos posteriores, iPad Air 2 y modelos posteriores, iPad mini 4 y modelos posteriores, y iPod touch de 7.ª generación
Impacto: un atacante en proximidad física puede observar pasivamente los nombres de los dispositivos en las comunicaciones AWDL.
Descripción: este problema se ha resuelto reemplazando los nombres de los dispositivos con un identificador aleatorio.
CVE-2019-8799: David Kreitschmann y Milan Stute de Secure Mobile Networking Lab, de la Universidad Técnica de Darmstadt
Atajos
Disponible para: iPhone 6s y modelos posteriores, iPad Air 2 y modelos posteriores, iPad mini 4 y modelos posteriores, y iPod touch de 7.ª generación
Impacto: un atacante que se encontrase en una posición de red privilegiada podría interceptar el tráfico SSH de la acción “Ejecutar script a través de SSH”
Descripción: este problema se ha solucionado comprobando las claves del host al conectarse a un servidor SSH previamente conocido.
CVE-2019-8901: investigador anónimo
UIFoundation
Disponible para: iPhone 6s y modelos posteriores, iPad Air 2 y modelos posteriores, iPad mini 4 y modelos posteriores, y iPod touch de 7.ª generación
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de sistema
Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.
CVE-2019-8831: riusksk de VulWar Corp en colaboración con Zero Day Initiative de Trend Micro
VoiceOver
Disponible para: iPhone 6s y modelos posteriores, iPad Air 2 y modelos posteriores, iPad mini 4 y modelos posteriores, y iPod touch de 7.ª generación
Impacto: una persona con acceso físico a un dispositivo iOS podría acceder a los contactos desde la pantalla bloqueada.
Descripción: este problema se ha solucionado restringiendo las opciones que se ofrecen en un dispositivo bloqueado.
CVE-2019-8775: videosdebarraquito
WebKit
Disponible para: iPhone 6s y modelos posteriores, iPad Air 2 y modelos posteriores, iPad mini 4 y modelos posteriores, y iPod touch de 7.ª generación
Impacto: la visita a un sitio web creado con fines malintencionados podría revelar el historial de navegación.
Descripción: existía un problema a la hora de dibujar elementos de páginas web. El problema se ha solucionado mejorando la lógica.
CVE-2019-8769: Piérre Reimertz (@reimertz)
WebKit
Disponible para: iPhone 6s y modelos posteriores, iPad Air 2 y modelos posteriores, iPad mini 4 y modelos posteriores, y iPod touch de 7.ª generación
Impacto: al procesarse contenido web creado con fines malintencionados podría ejecutarse código arbitrario.
Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.
CVE-2019-8710: detectado por OSS-Fuzz
CVE-2019-8743: zhunki del equipo Codesafe de Legendsec en el Grupo Qi’anxin
CVE-2019-8751: Dongzhuo Zhao en colaboración con ADLab de Venustech
CVE-2019-8752: Dongzhuo Zhao en colaboración con ADLab de Venustech
CVE-2019-8763: Sergei Glazunov de Google Project Zero
CVE-2019-8765: Samuel Groß de Google Project Zero
CVE-2019-8766: detectado por OSS-Fuzz
CVE-2019-8773: detectado por OSS-Fuzz
WebKit
Disponible para: iPhone 6s y modelos posteriores, iPad Air 2 y modelos posteriores, iPad mini 4 y modelos posteriores, y iPod touch de 7.ª generación
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución universal de secuencias de comandos entre sitios.
Descripción: se ha solucionado un problema de validación mejorando la lógica.
CVE-2019-8762: Sergei Glazunov de Google Project Zero
WebKit
Disponible para: iPhone 6s y modelos posteriores, iPad Air 2 y modelos posteriores, iPad mini 4 y modelos posteriores, y iPod touch de 7.ª generación
Impacto: al procesarse contenido web creado con fines malintencionados podría ejecutarse código arbitrario.
Descripción: se ha solucionado un problema de memoria mejorando la validación.
CVE-2020-9932: Dongzhuo Zhao en colaboración con ADLab de Venustech
Otros agradecimientos
boringssl
Queremos dar las gracias por su ayuda a Nimrod Aviram de la Universidad de Tel Aviv, Robert Merget de la Universidad de Ruhr en Bochum y Juraj Somorovsky de la Universidad de Ruhr en Bochum.
Buscar mi iPhone
Queremos dar las gracias a un investigador anónimo por su ayuda.
Servicio de identidad
Queremos dar las gracias a Yiğit Can YILMAZ (@yilmazcanyigit) por su ayuda.
Kernel
Nos gustaría agradecer a Vlad Tsyrklevich su ayuda.
Notas
Queremos dar las gracias a un investigador anónimo por su ayuda.
Fotos
Queremos dar las gracias a Peter Scott, de Sídney, Australia, por su ayuda.
Hoja para compartir
Queremos dar las gracias a Milan Stute de Secure Mobile Networking Lab en la Universidad Técnica de Darmstadt por su ayuda.
Barra de estado
Queremos dar las gracias a Isaiah Kahler, Mohammed Adham y a un investigador anónimo por su ayuda.
Telefonía
Queremos dar las gracias a Yiğit Can YILMAZ (@yilmazcanyigit) por su ayuda.
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.