Acerca del contenido de seguridad de iOS 13.2 y iPadOS 13.2

En este documento se describe el contenido de seguridad de iOS 13.2 y iPadOS 13.2.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

iOS 13.2 y iPadOS 13.2

Publicado el 28 de octubre de 2019

Cuentas

Disponible para: iPhone 6s y versiones posteriores, iPad Air 2 y versiones posteriores, iPad mini 4 y versiones posteriores, y iPod touch 7.ª generación

Impacto: un atacante remoto podría filtrar memoria.

Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.

CVE-2019-8787: Steffen Klee de Secure Mobile Networking Lab en Technische Universität Darmstadt

App Store

Disponible para: iPhone 6s y versiones posteriores, iPad Air 2 y versiones posteriores, iPad mini 4 y versiones posteriores, y iPod touch 7.ª generación

Impacto: Un atacante local podría iniciar sesión en la cuenta de un usuario que haya iniciado sesión previamente sin credenciales válidas.

Descripción: se ha solucionado el problema de autenticación mejorando la gestión del estado.

CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)

Dominios asociados

Disponible para: iPhone 6s y versiones posteriores, iPad Air 2 y versiones posteriores, iPad mini 4 y versiones posteriores, y iPod touch 7.ª generación

Impacto: un procesamiento inadecuado de URL podría producir la filtración de datos

Descripción: existía un problema en el análisis de las URL de Se ha solucionado el problema mejorando la validación de las entradas.

CVE-2019-8788: Juha Lindstedt de Pakastin, Mirko Tanania, Rauli Rikama de Zero Keyboard Ltd

Audio

Disponible para: iPhone 6s y versiones posteriores, iPad Air 2 y versiones posteriores, iPad mini 4 y versiones posteriores, y iPod touch 7.ª generación

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de sistema

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2019-8785: Ian Beer de Google Project Zero

CVE-2019-8797: 08Tc3wBB en colaboración con SSD Secure Disclosure

AVEVideoEncoder

Disponible para: iPhone 6s y versiones posteriores, iPad Air 2 y versiones posteriores, iPad mini 4 y versiones posteriores, y iPod touch 7.ª generación

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de sistema

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2019-8795: 08Tc3wBB en colaboración con SSD Secure Disclosure

Libros

Disponible para: iPhone 6s y versiones posteriores, iPad Air 2 y versiones posteriores, iPad mini 4 y versiones posteriores, y iPod touch 7.ª generación

Impacto: analizar un archivo de iBooks creado con fines malintencionados podría provocar la revelación de la información de los usuarios

Descripción: había un problema de validación en la gestión de los enlaces simbólicos. Se ha resuelto este problema con la mejora de la validación de los enlaces simbólicos.

CVE-2019-8789: Gertjan Franken de imec-DistriNet, KU Leuven

Contactos

Disponible para: iPhone 6s y versiones posteriores, iPad Air 2 y versiones posteriores, iPad mini 4 y versiones posteriores, y iPod touch 7.ª generación

Impacto: el procesamiento de un contacto creado con fines malintencionados podría provocar la suplantación de la interfaz del usuario

Descripción: se ha solucionado un problema de inconsistencia en la interfaz del usuario mediante la mejora de la gestión del estado.

CVE-2017-7152: Oliver Paukstadt de Thinking Objects GmbH (to.com)

Eventos del sistema de archivos

Disponible para: iPhone 6s y versiones posteriores, iPad Air 2 y versiones posteriores, iPad mini 4 y versiones posteriores, y iPod touch 7.ª generación

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de sistema

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2019-8798: ABC Research s.r.o. en colaboración con Zero Day Initiative de Trend Micro

Driver de gráficos

Disponible para: iPhone 6s y versiones posteriores, iPad Air 2 y versiones posteriores, iPad mini 4 y versiones posteriores, y iPod touch 7.ª generación

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de sistema

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2019-8784: Vasiliy Vasilyev e Ilya Finogeev de Webinar, LLC

Kernel

Disponible para: iPhone 6s y versiones posteriores, iPad Air 2 y versiones posteriores, iPad mini 4 y versiones posteriores, y iPod touch 7.ª generación

Impacto: una aplicación podría leer la memoria restringida

Descripción: se ha solucionado un problema de validación mejorando el saneamiento de entrada.

CVE-2019-8794: 08Tc3wBB en colaboración con SSD Secure Disclosure

Kernel

Disponible para: iPhone 6s y versiones posteriores, iPad Air 2 y versiones posteriores, iPad mini 4 y versiones posteriores, y iPod touch 7.ª generación

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2019-8786: investigador anónimo

Asistente de configuración

Disponible para: iPhone 6s y versiones posteriores, iPad Air 2 y versiones posteriores, iPad mini 4 y versiones posteriores, y iPod touch 7.ª generación

Impacto: un atacante físicamente próximo podría forzar a un usuario a conectarse a una red Wi-Fi creada con fines malintencionados durante la configuración del dispositivo

Descripción: se ha solucionado una incoherencia en la configuración de la red Wi-Fi.

CVE-2019-8804: Christy Philip Mathew de Zimperium, Inc

Grabación de pantalla

Disponible para: iPhone 6s y versiones posteriores, iPad Air 2 y versiones posteriores, iPad mini 4 y versiones posteriores, y iPod touch 7.ª generación

Impacto: un usuario local podría grabar la pantalla sin que haya un indicador de grabación de pantalla visible

Descripción: había un problema de coherencia al decidir cuándo mostrar el indicador de grabación de pantalla. Este problema se ha resuelto mejorando la gestión del estado.

CVE-2019-8793: Ryan Jenkins de Lake Forrest Prep School

WebKit

Disponible para: iPhone 6s y versiones posteriores, iPad Air 2 y versiones posteriores, iPad mini 4 y versiones posteriores, y iPod touch 7.ª generación

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución universal de secuencias de comandos entre sitios.

Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.

CVE-2019-8813: investigador anónimo

WebKit

Disponible para: iPhone 6s y versiones posteriores, iPad Air 2 y versiones posteriores, iPad mini 4 y versiones posteriores, y iPod touch 7.ª generación

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.

Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.

CVE-2019-8782: Cheolung Lee de LINE+ Security Team

CVE-2019-8783: Cheolung Lee de LINE+ Security Team

CVE-2019-8808: detectado por OSS-Fuzz

CVE-2019-8811: Soyeon Park de SSLab en Georgia Tech

CVE-2019-8812: investigador anónimo

CVE-2019-8814: Cheolung Lee de LINE+ Security Team

CVE-2019-8816: Soyeon Park de SSLab en Georgia Tech

CVE-2019-8819: Cheolung Lee de LINE+ Security Team

CVE-2019-8820: Samuel Groß de Google Project Zero

CVE-2019-8821: Sergei Glazunov de Google Project Zero

CVE-2019-8822: Sergei Glazunov de Google Project Zero

CVE-2019-8823: Sergei Glazunov de Google Project Zero

Modelo de procesos WebKit

Disponible para: iPhone 6s y versiones posteriores, iPad Air 2 y versiones posteriores, iPad mini 4 y versiones posteriores, y iPod touch 7.ª generación

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.

Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.

CVE-2019-8815: Apple

Otros agradecimientos

CFNetwork

Queremos dar las gracias por su ayuda a Lily Chen de Google.

Kernel

Queremos dar las gracias por su ayuda a Jann Horn de Google Project Zero.

WebKit

Queremos dar las gracias por su ayuda a Dlive de Tencent's Xuanwu Lab y Zhiyi Zhang de Codesafe Team of Legendsec en Qi'anxin Group.

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se proporciona sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, rendimiento o uso de sitios web o productos de terceros. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Ponte en contacto con el proveedor para obtener información adicional. Otros nombres de empresas o productos pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: