Acerca del contenido de seguridad de iOS 9.3

Este documento describe el contenido de seguridad de iOS 9.3.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.

Para obtener información sobre la clave de seguridad PGP de los productos de Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.

Siempre que sea posible, se utilizan ID de CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

iOS 9.3

  • AppleUSBNetworking

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: un dispositivo USB podría ser capaz de provocar la denegación de servicio

    Descripción: existía un problema de gestión de errores en la validación de paquetes. Este problema se ha solucionado mejorando la gestión de errores.

    ID CVE

    CVE-2016-1734: Andrea Barisani y Andrej Rosano de Inverse Path

  • FontParser

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: la apertura de un archivo PDF creado de manera malintencionada puede ocasionar la terminación inesperada de la aplicación o la ejecución de un código arbitrario

    Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

    ID CVE

    CVE-2016-1740 : HappilyCoded (ant4g0nist y r3dsm0k3) trabajando con Zero Day Initiative (ZDI) de Trend Micro

  • HTTPProtocol

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: un atacante remoto podría provocar la ejecución de un código arbitrario

    Descripción: existían varias vulnerabilidades en versiones de nghttp2 anteriores a la 1.6.0, la más grave de las cuales podría provocar la ejecución remota de código. Estos problemas se han solucionado actualizando nghttp2 a la versión 1.6.0.

    ID CVE

    CVE-2015-8659

  • IOHIDFamily

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una aplicación podría ser capaz de determinar el diseño de la memoria de kernel

    Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

    ID CVE

    CVE-2016-1748 : Brandon Azad

  • Kernel

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una aplicación podría ser capaz de provocar la denegación de servicio

    Descripción: se ha solucionado un problema de denegación de servicio mejorando la validación.

    ID CVE

    CVE-2016-1752 : CESG

  • Kernel

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una aplicación podría ejecutar un código arbitrario con privilegios de kernel

    Descripción: se ha solucionado un problema de uso después de liberación mejorando la gestión de la memoria.

    ID CVE

    CVE-2016-1750 : CESG

  • Kernel

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una aplicación podría ejecutar un código arbitrario con privilegios de kernel

    Descripción: se han solucionado varios desbordamientos de enteros mejorando la validación de las entradas.

    ID CVE

    CVE-2016-1753 : Juwei Lin Trend Micro trabajando con Zero Day Initiative (ZDI) de Trend Micro

  • Kernel

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una aplicación podría omitir la firma de código

    Descripción: existía un problema de permisos en el cual se concedía incorrectamente el permiso de ejecución. Este problema se ha solucionado mejorando la validación de los permisos.

    ID CVE

    CVE-2016-1751 : Eric Monti de Square Mobile Security

  • Kernel

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una aplicación podría ejecutar un código arbitrario con privilegios de kernel

    Descripción: existía una condición de carrera durante la creación de los nuevos procesos. Esto se ha solucionado mejorando la gestión de estado.

    ID CVE

    CVE-2016-1757 : Ian Beer de Google Project Zero y Pedro Vilaça

  • Kernel

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una aplicación podría ejecutar un código arbitrario con privilegios de kernel

    Descripción: se ha solucionado una falta de referencia a un puntero nulo mejorando la validación de entrada.

    ID CVE

    CVE-2016-1756 : Lufeng Li de Qihoo 360 Vulcan Team

  • Kernel

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una aplicación podría ejecutar un código arbitrario con privilegios de kernel

    Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.

    ID CVE

    CVE-2016-1754 : Lufeng Li de Qihoo 360 Vulcan Team

    CVE-2016-1755 : Ian Beer de Google Project Zero

  • Kernel

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una aplicación podría ser capaz de determinar el diseño de la memoria de kernel

    Descripción: existía un problema de lectura fuera de los límites que provocaba la divulgación del contenido de la memoria de kernel. Esto se ha solucionado mejorando la validación de las entradas.

    ID CVE

    CVE-2016-1758 : Brandon Azad

  • LaunchServices

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: una aplicación podría ser capaz de modificar eventos de otras aplicaciones

    Descripción: existía un problema de validación de gestor de eventos en la API de servicios XPC. Este problema se ha solucionado mejorando la validación de mensajes.

    ID CVE

    CVE-2016-1760: Proteas de Qihoo 360 Nirvan Team

  • libxml2

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: procesar un XML creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-1819

    CVE-2015-5312 : David Drysdale de Google

    CVE-2015-7499

    CVE-2015-7500 : Kostya Serebryany de Google

    CVE-2015-7942 : Kostya Serebryany de Google

    CVE-2015-8035 : gustavo.grieco

    CVE-2015-8242 : Hugh Davenport

    CVE-2016-1761 : wol0xff trabajando con Zero Day Initiative (ZDI) de Trend Micro

    CVE-2016-1762

  • Mensajes

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: visitar un sitio web creado con fines malintencionados podría autocompletar texto en otros hilos de mensajes

    Descripción: existía un problema en el análisis de las URL de SMS. Este problema se ha solucionado mejorando la validación de las direcciones URL.

    ID CVE

    CVE-2016-1763 : CityTog

  • Mensajes

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: un atacante que puede sortear la colocación de certificado de Apple, interceptar conexiones TLS, inyectar mensajes y grabar mensajes cifrados tipo adjunto, podría leer los datos adjuntos

    Descripción: se ha solucionado un problema criptográfico al rechazar mensajes duplicados en el cliente.

    ID CVE

    CVE-2016-1788 : Christina Garman, Matthew Green, Gabriel Kaptchuk, Ian Miers y Michael Rushanan de Johns Hopkins University

  • Perfiles

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: un perfil MDM que no es de confianza se podría mostrar incorrectamente como verificado

    Descripción: existía un problema de validación de resultados en perfiles MDM. Esto se ha solucionado mediante comprobaciones adicionales.

    ID CVE

    CVE-2016-1766 : Taylor Boyko trabajando con Zero Day Initiative (ZDI) de Trend Micro

  • Seguridad

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: procesar un certificado creado con fines malintencionados podría provocar la ejecución de un código arbitrario

    Descripción: existía un problema de corrupción de la memoria en el decodificador ASN.1. Este problema se ha solucionado mejorando la validación de las entradas.

    ID CVE

    CVE-2016-1950 : Francis Gabriel de Quarkslab

  • TrueTypeScaler

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: el procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar la ejecución de código arbitrario

    Descripción: existía un problema de corrupción de memoria en el procesamiento de archivos de tipo de letra. Este problema se ha solucionado mejorando la validación de las entradas.

    ID CVE

    CVE-2016-1775 : 0x1byte trabajando con Zero Day Initiative (ZDI) de Trend Micro

  • WebKit

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: el procesamiento de contenido web con fines malintencionados puede provocar la ejecución de un código arbitrario

    Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.

    ID CVE

    CVE-2016-1778 : 0x1byte trabajando con Zero Day Initiative (ZDI) de Trend Micro y Yang Zhao de CM Security

    CVE-2016-1783 : Mihai Parparita de Google

  • WebKit

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: un sitio web podría rastrear información confidencial sobre los usuarios

    Descripción: existía un problema en la gestión de las URL de adjuntos. Este problema se ha solucionado mejorando la gestión de las URL.

    ID CVE

    CVE-2016-1781 : Devdatta Akhawe de Dropbox, Inc.

  • WebKit

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: un sitio web podría rastrear información confidencial sobre los usuarios

    Descripción: una página web oculta podría tener acceso a datos de orientación de dispositivos y movimiento de dispositivos. Este problema se ha solucionado suspendiendo la disponibilidad de estos datos cuando la vista web está oculta.

    ID CVE

    CVE-2016-1780 : Maryam Mehrnezhad, Ehsan Toreini, Siamak F. Shahandashti y Feng Hao de la School of Computing Science, Newcastle University, UK

  • WebKit

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: la visita a un sitio web creado con fines malintencionados podría revelar la ubicación actual de un usuario

    Descripción: existía un problema en el análisis de las solicitudes de geolocalización. Esto se ha solucionado mediante validación mejorada del origen de seguridad para solicitudes de geolocalización.

    ID CVE

    CVE-2016-1779 : xisigr de Tencent's Xuanwu Lab (http://www.tencent.com)

  • WebKit

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: un sitio web creado con fines malintencionados podría tener acceso a puertos restringidos en servidores arbitrarios

    Descripción: se ha solucionado un problema de redireccionamiento de puertos mediante validación de puertos adicional.

    ID CVE

    CVE-2016-1782 : Muneaki Nishimura (nishimunea) de Recruit Technologies Co.,Ltd.

  • WebKit

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: el acceso a una URL creada con fines malintencionados podría ocasionar la divulgación de información confidencial

    Descripción: se produce un problema en el redireccionamiento de la URL cuando XSS Auditor se utiliza en modo de bloqueo. Este problema se ha solucionado mejorando la navegación URL.

    ID CVE

    CVE-2016-1864 : Takeshi Terada de Mitsui Bussan Secure Directions, Inc.

  • Historial de WebKit

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado en Safari

    Descripción: se ha solucionado un problema de falta de recursos mejorando la validación de entrada.

    ID CVE

    CVE-2016-1784 : Moony Li and Jack Tang de TrendMicro y 李普君 de 无声信息技术PKAV Team (PKAV.net)

  • Carga de páginas de WebKit

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: visitar un sitio web creado con fines malintencionados podría provocar la suplantación de la interfaz del usuario

    Descripción: las respuestas de redireccionamiento han permitido que un sitio web creado con fines malintencionados muestre una URL arbitraria y lea contenido almacenado en caché del origen del destino. Este problema se ha solucionado mejorando la lógica de visualización de las URL.

    ID CVE

    CVE-2016-1786 : ma.la de LINE Corporation

  • Carga de páginas de WebKit

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: un sitio web creado con fines malintencionados podría ocasionar el filtrado de datos en orígenes cruzados

    Descripción: existía un problema de caché con la codificación de caracteres. Esto se ha solucionado mediante comprobación de solicitudes adicional.

    ID CVE

    CVE-2016-1785 : investigador anónimo

  • Wi-Fi

    Disponible para: iPhone 4s y posterior, iPod touch (5.ª generación) y posterior, iPad 2 y posterior

    Impacto: un atacante con una posición de red privilegiada podría ejecutar código arbitrario

    Descripción: existía un problema de corrupción de memoria y validación de marco para un ethertype determinado. Este problema se ha solucionado mediante validación de ethertype adicional y gestión de memoria mejorada.

    ID CVE

    CVE-2016-0801 : investigador anónimo

    CVE-2016-0802 : investigador anónimo

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se proporciona sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, rendimiento o uso de sitios web o productos de terceros. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Ponte en contacto con el proveedor para obtener información adicional. Otros nombres de empresas o productos pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: