Acerca del contenido de seguridad de iOS 17.2 y iPadOS 17.2
En este documento se describe el contenido de seguridad de iOS 17.2 y iPadOS 17.2.
Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
iOS 17.2 y iPadOS 17.2
Publicado el 11 de diciembre de 2023
Accessibility
Disponible para: iPhone XS y modelos posteriores, iPad Pro de 12,9 pulgadas (2.ª generación y modelos posteriores), iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores), iPad Air (3.ª generación y modelos posteriores), iPad (6.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores).
Impacto: una app podría acceder a la información confidencial del usuario.
Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.
CVE-2023-42937: Noah Roskin-Frazee y Prof. J. (ZeroClicks.ai Lab)
Entrada añadida el 22 de enero de 2024
Accounts
Disponible para: iPhone XS y modelos posteriores, iPad Pro de 12,9 pulgadas (2.ª generación y modelos posteriores), iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores), iPad Air (3.ª generación y modelos posteriores), iPad (6.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores).
Impacto: una app podría acceder a la información confidencial del usuario.
Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.
CVE-2023-42919: Kirin (@Pwnrin)
Assets
Disponible para: iPhone XS y modelos posteriores, iPad Pro de 12,9 pulgadas (2.ª generación y modelos posteriores), iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores), iPad Air (3.ª generación y modelos posteriores), iPad (6.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores).
Impacto: una app malintencionada podría modificar las partes protegidas del sistema de archivos.
Descripción: se ha corregido un problema con una gestión mejorada de los archivos temporales.
CVE-2023-42896: Mickey Jin (@patch1t)
Entrada añadida el 22 de marzo de 2024
AVEVideoEncoder
Disponible para: iPhone XS y modelos posteriores, iPad Pro de 12,9 pulgadas (2.ª generación y modelos posteriores), iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores), iPad Air (3.ª generación y modelos posteriores), iPad (6.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores).
Impacto: una app podría divulgar datos de la memoria de kernel.
Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.
CVE-2023-42884: investigador anónimo
Bluetooth
Disponible para: iPhone XS y modelos posteriores, iPad Pro de 12,9 pulgadas (2.ª generación y modelos posteriores), iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores), iPad Air (3.ª generación y modelos posteriores), iPad (6.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores).
Impacto: un atacante en una posición de red privilegiada puede introducir pulsaciones de tecla suplantando un teclado.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-45866: Marc Newlin de SkySafe
Entrada añadida el 11 de diciembre de 2023
Bluetooth
Disponible para: iPhone XS y modelos posteriores, iPad Pro de 12,9 pulgadas (2.ª generación y modelos posteriores), iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores), iPad Air (3.ª generación y modelos posteriores), iPad (6.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores).
Impacto: un atacante en una posición de red privilegiada podría implementar un ataque de denegación de servicio mediante paquetes Bluetooth creados.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-42941: Christopher Reynolds
Entrada añadida el 10 de enero de 2024
CallKit
Disponible para: iPhone XS y modelos posteriores, iPad Pro de 12,9 pulgadas (2.ª generación y modelos posteriores), iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores), iPad Air (3.ª generación y modelos posteriores), iPad (6.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores).
Impacto: un atacante remoto podría ser capaz de provocar una denegación del servicio
Descripción: este problema se ha solucionado mejorando las comprobaciones
CVE-2023-42962: Aymane Chabat
Entrada añadida el 22 de marzo de 2024
Find My
Disponible para: iPhone XS y modelos posteriores, iPad Pro de 12,9 pulgadas (2.ª generación y modelos posteriores), iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores), iPad Air (3.ª generación y modelos posteriores), iPad (6.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores).
Impacto: es posible que una app pueda leer información de ubicación confidencial.
Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.
CVE-2023-42922: Wojciech Regula de SecuRing (wojciechregula.blog)
ImageIO
Disponible para: iPhone XS y modelos posteriores, iPad Pro de 12,9 pulgadas (2.ª generación y modelos posteriores), iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores), iPad Air (3.ª generación y modelos posteriores), iPad (6.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores).
Impacto: procesar una imagen podría provocar la ejecución de código arbitrario.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-42898: Zhenjiang Zhao de Pangu Team, Qianxin y Junsung Lee
CVE-2023-42899: Meysam Firouzi @R00tkitSMM y Junsung Lee
Entrada actualizada el 22 de marzo de 2024
ImageIO
Disponible para: iPhone XS y modelos posteriores, iPad Pro de 12,9 pulgadas (2.ª generación y modelos posteriores), iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores), iPad Air (3.ª generación y modelos posteriores), iPad (6.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores).
Impacto: procesar una imagen creada con fines malintencionados podría provocar la revelación de la memoria de procesos.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-42888: Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative
Entrada añadida el 22 de enero de 2024
IOUSBDeviceFamily
Disponible para: iPhone XS y modelos posteriores, iPad Pro de 12,9 pulgadas (2.ª generación y modelos posteriores), iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores), iPad Air (3.ª generación y modelos posteriores), iPad (6.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores).
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de condición de carrera mediante la mejora de la gestión del estado.
CVE-2023-42974: Pan ZhenPeng (@Peterpan0927) de STAR Labs SG Pte. Ltd.
Entrada actualizada el 22 de marzo de 2024
Kernel
Disponible para: iPhone XS y modelos posteriores, iPad Pro de 12,9 pulgadas (2.ª generación y modelos posteriores), iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores), iPad Air (3.ª generación y modelos posteriores), iPad (6.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores).
Impacto: una app podría salir de su zona protegida.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) de Synacktiv (@Synacktiv)
Libsystem
Disponible para: iPhone XS y modelos posteriores, iPad Pro de 12,9 pulgadas (2.ª generación y modelos posteriores), iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores), iPad Air (3.ª generación y modelos posteriores), iPad (6.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores).
Impacto: una app podría acceder a la información protegida del usuario.
Descripción: se ha solucionado un problema de permisos eliminando código vulnerable y añadiendo comprobaciones adicionales.
CVE-2023-42893
Entrada añadida el 22 de marzo de 2024
Safari Private Browsing
Disponible para: iPhone XS y modelos posteriores, iPad Pro de 12,9 pulgadas (2.ª generación y modelos posteriores), iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores), iPad Air (3.ª generación y modelos posteriores), iPad (6.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores).
Impacto: se puede acceder a las pestañas de navegación privada sin autenticación
Descripción: para resolver este problema se ha mejorado la gestión del estado.
CVE-2023-42923: ARJUN S D
Sandbox
Disponible para: iPhone XS y modelos posteriores, iPad Pro de 12,9 pulgadas (2.ª generación y modelos posteriores), iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores), iPad Air (3.ª generación y modelos posteriores), iPad (6.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores).
Impacto: una app podría acceder a datos confidenciales de los usuarios.
Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.
CVE-2023-42936: Csaba Fitzl (@theevilbit) de OffSec
Entrada añadida el 22 de marzo de 2024 y actualizada el 16 de julio de 2024
Siri
Disponible para: iPhone XS y modelos posteriores, iPad Pro de 12,9 pulgadas (2.ª generación y modelos posteriores), iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores), iPad Air (3.ª generación y modelos posteriores), iPad (6.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores).
Impacto: un atacante con acceso físico puede ser capaz de utilizar Siri para acceder a datos sensibles del usuario
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-42897: Andrew Goldberg de The McCombs School of Business, The University of Texas en Austin (linkedin.com/andrew-goldberg-/)
TCC
Disponible para: iPhone XS y modelos posteriores, iPad Pro de 12,9 pulgadas (2.ª generación y modelos posteriores), iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores), iPad Air (3.ª generación y modelos posteriores), iPad (6.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores).
Impacto: una app podría salir de su zona protegida.
Descripción: se ha solucionado un problema de gestión de las rutas mejorando la validación.
CVE-2023-42947: Zhongquan Li (@Guluisacat) de Dawn Security Lab de JingDong
Entrada añadida el 22 de marzo de 2024
Transparency
Disponible para: iPhone XS y modelos posteriores, iPad Pro de 12,9 pulgadas (2.ª generación y modelos posteriores), iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores), iPad Air (3.ª generación y modelos posteriores), iPad (6.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores).
Impacto: una app podría acceder a la información confidencial del usuario.
Descripción: el problema se solucionó con una restricción mejorada del acceso al contenedor de datos.
CVE-2023-40389: Csaba Fitzl (@theevilbit) de Offensive Security y Joshua Jewett (@JoshJewett33)
Entrada añadida el 16 de julio de 2024
WebKit
Disponible para: iPhone XS y modelos posteriores, iPad Pro de 12,9 pulgadas (2.ª generación y modelos posteriores), iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores), iPad Air (3.ª generación y modelos posteriores), iPad (6.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores).
Impacto: procesar contenido web puede provocar la ejecución de código arbitrario
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
WebKit Bugzilla: 259830
CVE-2023-42890: Pwn2car
WebKit
Disponible para: iPhone XS y modelos posteriores, iPad Pro de 12,9 pulgadas (2.ª generación y modelos posteriores), iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores), iPad Air (3.ª generación y modelos posteriores), iPad (6.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores).
Impacto: procesar una imagen podría provocar una denegación de servicio.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
WebKit Bugzilla: 263349
CVE-2023-42883: Zoom Offensive Security Team
WebKit
Disponible para: iPhone XS y modelos posteriores, iPad Pro de 12,9 pulgadas (2.ª generación y modelos posteriores), iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores), iPad Air (3.ª generación y modelos posteriores), iPad (6.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores).
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de código arbitrario.
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
WebKit Bugzilla: 263682
CVE-2023-42950: Nan Wang (@eternalsakura13) de 360 Vulnerability Research Institute y Rushikesh Nandedkar
Entrada añadida el 22 de marzo de 2024
WebKit
Disponible para: iPhone XS y modelos posteriores, iPad Pro de 12,9 pulgadas (2.ª generación y modelos posteriores), iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores), iPad Air (3.ª generación y modelos posteriores), iPad (6.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores).
Impacto: procesar contenido web podría provocar una denegación de servicio.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
WebKit Bugzilla: 263989
CVE-2023-42956: SungKwon Lee (Demon.Team)
Entrada añadida el 22 de marzo de 2024
Otros agradecimientos
Safari Private Browsing
Queremos dar las gracias a Joshua Lund de Signal Technology Foundation y a Iakovos Gurulian por su ayuda.
Entrada actualizada el 22 de marzo de 2024
Setup Assistant
Queremos dar las gracias a Aaron Gregory de Acoustic.com y a la Eastern Illinois University - Graduate School of Technology por su ayuda.
WebKit
Queremos dar las gracias por su ayuda a 椰椰.
WebSheet
Queremos dar las gracias a Paolo Ruggero de e-phors S.p.A. (una empresa de FINCANTIERI S.p.A.) por su ayuda.
Entrada añadida el 22 de marzo de 2024
Wi-Fi
Queremos dar las gracias a Noah Roskin-Frazee y al profesor J. (ZeroClicks.ai Lab) por su ayuda.
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.