Acerca del contenido de seguridad de iOS 16.7.2 y iPadOS 16.7.2
En este documento se describe el contenido de seguridad de iOS 16.7.2 y iPadOS 16.7.2.
Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
iOS 16.7.2 y iPadOS 16.7.2
Disponible el 25 de octubre de 2023
CoreAnimation
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: una aplicación puede provocar una denegación de servicio.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-40449: Tomi Tokics (@tomitokics) de iTomsn0w
Core Recents
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: una app podría acceder a datos confidenciales de los usuarios.
Descripción: El problema se ha resuelto limpiando los registros
CVE-2023-42823
Entrada añadida el viernes 16 de febrero de 2024
Find My
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: es posible que una app pueda leer información de ubicación confidencial.
Descripción: el problema se ha solucionado mediante la mejora de la gestión de las cachés.
CVE-2023-40413: Adam M.
ImageIO
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: procesar una imagen podría provocar la revelación de la memoria de procesos.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-40416: JZ
ImageIO
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: procesar una imagen creada con fines maliciosos puede provocar daños en la memoria heap.
Descripción: el problema se ha solucionado mediante la mejora de la comprobación de límites.
CVE-2023-42848: JZ
Entrada añadida el viernes 16 de febrero de 2024
IOTextEncryptionFamily
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-40423: investigador anónimo
Kernel
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: un atacante que haya conseguido ejecutar el código de kernel puede ser capaz de omitir las soluciones de la memoria del kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-42849: Linus Henze de Pinauten GmbH (pinauten.de)
libc
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: el procesamiento de una entrada creada con fines malintencionados puede provocar la ejecución de código arbitrario en las apps instaladas por el usuario.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-40446: inooo
Entrada añadida el viernes 3 de noviembre de 2023
libxpc
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: una app creada con fines malintencionados podría ser capaz de obtener privilegios de raíz.
Descripción: se ha solucionado el problema mejorando la gestión de los enlaces simbólicos.
CVE-2023-42942: Mickey Jin (@patch1t)
Entrada añadida el viernes 16 de febrero de 2024
Mail Drafts
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: ocultar mi correo electrónico puede desactivarse de forma inesperada.
Descripción: se ha solucionado un problema de inconsistencia en la interfaz del usuario mediante la mejora de la gestión del estado.
CVE-2023-40408: Grzegorz Riegel
mDNSResponder
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: la dirección MAC wifi de un dispositivo podría hacer un seguimiento pasivo de este.
Descripción: el problema se ha solucionado eliminando el código vulnerable.
CVE-2023-42846: Talal Haj Bakry y Tommy Mysk de Mysk Inc. @mysk_co
Pro Res
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu y Guang Gong de 360 Vulnerability Research Institute
Pro Res
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: el problema se ha solucionado mediante la mejora de la comprobación de límites.
CVE-2023-42873: Mingxuan Yang (@PPPF00L), happybabywu y Guang Gong de 360 Vulnerability Research Institute
Entrada añadida el viernes 16 de febrero de 2024
Safari
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: la visita a un sitio web creado con fines malintencionados podría revelar el historial de navegación.
Descripción: el problema se ha solucionado mediante la mejora de la gestión de las cachés.
CVE-2023-41977: Alex Renda
Siri
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: un atacante con acceso físico puede ser capaz de utilizar Siri para acceder a datos sensibles del usuario
Descripción: este problema se ha solucionado restringiendo las opciones que se ofrecen en un dispositivo bloqueado.
CVE-2023-41997: Bistrit Dahal
CVE-2023-41982: Bistrit Dahal
Entrada actualizada el 16 de febrero de 2024
Weather
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: una app puede acceder a la información confidencial del usuario.
Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.
CVE-2023-41254: Cristian Dinca del Tudor Vianu National High School of Computer Science, Rumanía
WebKit
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: la contraseña de un usuario puede ser leída en voz alta por VoiceOver.
Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.
WebKit Bugzilla: 248717
CVE-2023-32359: Claire Houston
WebKit
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: procesar contenido web puede provocar la ejecución de código arbitrario.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
WebKit Bugzilla: 259836
CVE-2023-40447: 이준성 (Junsung Lee) de Cross Republic
WebKit
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: procesar contenido web puede provocar la ejecución de código arbitrario.
Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.
WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) y Vitor Pedreira (@0xvhp_) de Agile Information Security
Entrada actualizada el 16 de febrero de 2024
WebKit
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: procesar contenido web puede provocar la ejecución de código arbitrario.
Descripción: se ha solucionado un problema de uso después de estar libre mediante la mejora de la gestión de la memoria.
WebKit Bugzilla: 259890
CVE-2023-41976: 이준성(Junsung Lee)
WebKit
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: visitar un sitio web creado con fines malintencionados podría provocar la suplantación de la barra de direcciones.
Descripción: se ha solucionado un problema de incoherencia en la interfaz del usuario mediante la mejora de la gestión del estado.
WebKit Bugzilla: 260046
CVE-2023-42843: Kacper Kwapisz (@KKKas_)
Entrada añadida el viernes 16 de febrero de 2024
WebKit Process Model
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: procesar contenido web podría provocar una denegación de servicio.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
WebKit Bugzilla: 260757
CVE-2023-41983: 이준성(Junsung Lee)
Otros agradecimientos
libxml2
Queremos dar las gracias por su ayuda a OSS-Fuzz y Ned Williamson de Google Project Zero.
libarchive
Queremos dar las gracias a Bahaa Naamneh por su ayuda.
WebKit
Queremos dar las gracias a un investigador anónimo por su ayuda.
WebKit
Nos gustaría dar las gracias por su ayuda a Gishan Don Ranasinghe y a un investigador anónimo.
Entrada añadida el viernes 16 de febrero de 2024
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.