Acerca del contenido de seguridad de iOS 9.1

Este documento describe el contenido de seguridad de iOS 9.1.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.

Para obtener información sobre la clave de seguridad PGP de los productos de Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.

Siempre que sea posible, se utilizan ID de CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

iOS 9.1

  • Accelerate Framework

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: visitar un sitio web creado con fines malintencionados podría provocar la ejecución de código arbitrario

    Descripción: había un problema de corrupción de la memoria en Accelerate Framework en modo de encadenamiento múltiple. Este problema se ha solucionado mejorando la validación del elemento del programa de acceso y el bloqueo de objetos.

    ID CVE

    CVE-2015-5940: Apple

  • BOM

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: descomprimir un archivo creado con fines malintencionados podría provocar la ejecución de código arbitrario

    Descripción: existía una vulnerabilidad de archivo indebido en la gestión de archivos CPIO. Este problema se ha solucionado mejorando la validación de los metadatos.

    ID CVE

    CVE-2015-7006: Mark Dowd de Azimuth Security

  • CFNetwork

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: visitar un sitio web creado con fines malintencionados podría provocar la sobrescritura de las cookies

    Descripción: había un problema de análisis en la gestión de las cookies que utilizan letras mayúsculas y minúsculas. Este problema se ha solucionado mejorando el análisis.

    ID CVE

    CVE-2015-7023: Marvin Scholz y Michael Lutonsky; Xiaofeng Zheng y Jinjin Liang de la Universidad de Tsinghua, Jian Jiang de la Universidad de California en Berkeley, Haixin Duan de la Universidad de Tsinghua y el International Computer Science Institute, Shuo Chen de Microsoft Research Redmond, Tao Wan de Huawei Canada, Nicholas Weaver del International Computer Science Institute y la Universidad de California en Berkeley, con la coordinación de CERT/CC

  • configd

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una aplicación creada con fines malintencionados podría ser capaz de elevar los privilegios

    Descripción: había un problema de desbordamiento del buffer basado en la memoria dinámica en la biblioteca de cliente DNS. Una aplicación creada con fines malintencionados con la capacidad de suplantar las respuestas del servicio configd local podría ser capaz de provocar la ejecución de código arbitrario en clientes DNS.

    ID CVE

    CVE-2015-7015: PanguTeam

  • CoreGraphics

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: visitar un sitio web creado con fines malintencionados podría provocar la ejecución de código arbitrario

    Descripción: había varios problemas de corrupción de la memoria en CoreGraphics. Estos problemas se han solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-5925: Apple

    CVE-2015-5926: Apple

  • CoreText

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: el procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar la ejecución de código arbitrario

    Descripción: había varios problemas de corrupción de la memoria en la gestión de archivos de tipo de letra. Estos problemas se han solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2015-6975: John Villamil (@day6reak) de Yahoo Pentest Team

    CVE-2015-6992: John Villamil (@day6reak) de Yahoo Pentest Team

    CVE-2015-7017: John Villamil (@day6reak) de Yahoo Pentest Team

  • Imágenes de disco

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: había un problema de corrupción de la memoria en el análisis de las imágenes de disco. Este problema se ha solucionado mediante la mejora de la gestión de la memoria.

    ID CVE

    CVE-2015-6995: Ian Beer de Google Project Zero

  • FontParser

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: el procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar la ejecución de código arbitrario

    Descripción: había varios problemas de corrupción de la memoria en la gestión de archivos de tipo de letra. Estos problemas se han solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2015-5927: Apple

    CVE-2015-5942

    CVE-2015-6976: John Villamil (@day6reak) de Yahoo Pentest Team

    CVE-2015-6977: John Villamil (@day6reak) de Yahoo Pentest Team

    CVE-2015-6978: Jaanus Kp de Clarified Security, en colaboración con la Zero Day Initiative de HP

    CVE-2015-6990: John Villamil (@day6reak) de Yahoo Pentest Team

    CVE-2015-6991: John Villamil (@day6reak) de Yahoo Pentest Team

    CVE-2015-6993: John Villamil (@day6reak) de Yahoo Pentest Team

    CVE-2015-7008: John Villamil (@day6reak) de Yahoo Pentest Team

    CVE-2015-7009: John Villamil (@day6reak) de Yahoo Pentest Team

    CVE-2015-7010: John Villamil (@day6reak) de Yahoo Pentest Team

    CVE-2015-7018: John Villamil (@day6reak) de Yahoo Pentest Team

  • GasGauge

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel

    Descripción: había un problema de corrupción de la memoria en el kernel. Este problema se ha solucionado mediante la mejora de la gestión de la memoria.

    ID CVE

    CVE-2015-6979: PanguTeam

  • Grand Central Dispatch

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: procesar un paquete creado con fines malintencionados podría provocar la ejecución de código arbitrario

    Descripción: había un problema de corrupción de la memoria en la gestión de las llamadas de reparto. Este problema se ha solucionado mediante la mejora de la gestión de la memoria.

    ID CVE

    CVE-2015-6989: Apple

  • Driver de gráficos

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: la ejecución de una aplicación creada con fines malintencionados podía provocar la ejecución de código arbitrario en el kernel

    Descripción: había un problema de confusión de tipos en AppleVXD393. Este problema se ha solucionado mediante la mejora de la gestión de la memoria.

    ID CVE

    CVE-2015-6986: Proteas de Qihoo 360 Nirvan Team

  • ImageIO

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: la visualización de un archivo de imagen creado con fines malintencionados podría provocar la ejecución de código arbitrario

    Descripción: había varios problemas de corrupción de la memoria en el análisis de los metadatos de imagen. Estos problemas se han solucionado mejorando la validación de los metadatos.

    ID CVE

    CVE-2015-5935: Apple

    CVE-2015-5936: Apple

    CVE-2015-5937: Apple

    CVE-2015-5939: Apple

  • IOAcceleratorFamily

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: había un problema de corrupción de la memoria en IOAcceleratorFamily. Este problema se ha solucionado mediante la mejora de la gestión de la memoria.

    ID CVE

    CVE-2015-6996: Ian Beer de Google Project Zero

  • IOHIDFamily

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel

    Descripción: había un problema de corrupción de la memoria en el kernel. Este problema se ha solucionado mediante la mejora de la gestión de la memoria.

    ID CVE

    CVE-2015-6974: Luca Todesco (@qwertyoruiop)

  • Kernel

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una aplicación local podría ser capaz de provocar la denegación de servicio

    Descripción: había un problema de validación de las entradas en el kernel. Este problema se ha solucionado mejorando la validación de las entradas.

    ID CVE

    CVE-2015-7004: Sergi Alvarez (pancake) de NowSecure Research Team

  • Kernel

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: un atacante con una posición de red privilegiada podría ejecutar código arbitrario

    Descripción: había un problema de memoria no inicializada en el kernel. Este problema se ha solucionado mejorando la inicialización de la memoria.

    ID CVE

    CVE-2015-6988: The Brainy Code Scanner (m00nbsd)

  • Kernel

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una aplicación local podría ser capaz de provocar la denegación de servicio

    Descripción: había un problema al reutilizar la memoria virtual. Este problema se ha solucionado mejorando la validación.

    ID CVE

    CVE-2015-6994: Mark Mentovai de Google Inc.

  • mDNSResponder

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: un atacante remoto podría ser capaz de provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: había varios problemas de corrupción de memoria en el análisis de datos DNS. Estos problemas se han solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2015-7987 : Alexandre Helie

  • mDNSResponder

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una aplicación local podría ser capaz de provocar la denegación de servicio

    Descripción: se solucionó un problema de falta de referencia a un puntero nulo mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-7988 : Alexandre Helie

  • Centro de notificaciones

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: las notificaciones de Teléfono y Mensajes podrían aparecer en la pantalla bloqueada, incluso aunque estén desactivadas

    Descripción: cuando la opción "Ver en la pantalla bloqueada" se desactivaba para Teléfono o Mensajes, los cambios de la configuración no se aplicaban de inmediato. Este problema se ha solucionado mejorando la gestión de estado.

    ID CVE

    CVE-2015-7000: William Redwood de Hampton School

  • OpenGL

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: visitar un sitio web creado con fines malintencionados podría provocar la ejecución de código arbitrario

    Descripción: había un problema de corrupción de la memoria en OpenGL. Este problema se ha solucionado mediante la mejora de la gestión de la memoria.

    ID CVE

    CVE-2015-5924: Apple

  • Seguridad

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: procesar un certificado creado con fines malintencionados podría provocar la ejecución de código arbitrario.

    Descripción: existían múltiples problemas de corrupción de la memoria en la herramienta de decodificación ASN.1. Estos problemas se han solucionado mejorando la validación de las entradas.

    ID CVE

    CVE-2015-7059: David Keeler de Mozilla

    CVE-2015-7060: Tyson Smith de Mozilla

    CVE-2015-7061: Ryan Sleevi de Google

  • Seguridad

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una aplicación creada con fines malintencionados podría ser capaz de sobrescribir archivos arbitrarios

    Descripción: había un problema de "double free" en la gestión de descriptores AtomicBufferedFile. Este problema se ha solucionado mejorando la validación de descriptores AtomicBufferedFile.

    ID CVE

    CVE-2015-6983: David Benjamin, Greg Kerr, Mark Mentovai y Sergey Ulanov de Chrome Team

  • Seguridad

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: un atacante podría ser capaz de hacer que un certificado revocado parezca válido

    Descripción: había un problema de validación en el cliente OCSP. Este problema se ha solucionado comprobando la fecha de caducidad del certificado OCSP.

    ID CVE

    CVE-2015-6999: Apple

  • Seguridad

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una evaluación de confianza configurada para requerir la comprobación de la revocación podría considerarse satisfactoria incluso aunque se produjeran fallos en la comprobación de revocación

    Descripción: se especificó el indicador kSecRevocationRequirePositiveResponse pero no se implementó. Este problema se ha solucionado implementando el indicador.

    ID CVE

    CVE-2015-6997: Apple

  • Telefonía

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una aplicación creada con fines malintencionados podía filtrar información confidencial de los usuarios

    Descripción: había un problema en las comprobaciones de las autorizaciones durante la consulta del estado de las llamadas telefónicas. Este problema se ha solucionado incorporando consultas del estado de las autorizaciones.

    ID CVE

    CVE-2015-7022: Andreas Kurtz de NESO Security Labs

  • WebKit

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: visitar un sitio web creado con fines malintencionados podría provocar la ejecución de código arbitrario

    Descripción: existían varios problemas de corrupción de memoria en WebKit. Estos problemas se han solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-5928: Apple

    CVE-2015-5929: Apple

    CVE-2015-5930: Apple

    CVE-2015-6981

    CVE-2015-6982

    CVE-2015-7002: Apple

    CVE-2015-7005: Apple

    CVE-2015-7012: Apple

    CVE-2015-7014

    CVE-2015-7104: Apple

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se proporciona sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, rendimiento o uso de sitios web o productos de terceros. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Ponte en contacto con el proveedor para obtener información adicional. Otros nombres de empresas o productos pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: