Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
iOS 15.7 y iPadOS 15.7
Disponible el 12 de septiembre de 2022
Apple Neural Engine
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2022-32898: Mohamed Ghannam (@_simo36)
CVE-2022-32899: Mohamed Ghannam (@_simo36)
Entrada añadida el 27 de octubre de 2022
Audio
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: una app podría obtener privilegios de alto nivel.
Descripción: el problema se ha solucionado eliminando el código vulnerable.
CVE-2022-42796: Mickey Jin (@patch1t)
Entrada añadida el 27 de octubre de 2022 y actualizada el 1 de mayo de 2023
Backup
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: una app podría ser capaz de acceder a las copias de seguridad de iOS.
Descripción: se ha solucionado un problema de permisos con restricciones adicionales.
CVE-2022-32929: Csaba Fitzl (@theevilbit) de Offensive Security
Entrada añadida el 27 de octubre de 2022
Contacts
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: una app creada podría evitar las preferencias de privacidad.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2022-32854: Holger Fuhrmannek de Deutsche Telekom Security
Kernel
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2022-32911: Zweig of Kunlun Lab
Kernel
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: una app podría divulgar datos de la memoria de kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2022-32864: Linus Henze de Pinauten GmbH (pinauten.de)
Kernel
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel. Apple tiene conocimiento de que este problema se ha explotado activamente.
Descripción: el problema se ha solucionado mediante la mejora de la comprobación de límites.
CVE-2022-32917: investigador anónimo
Maps
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: una app podría leer información de ubicación confidencial.
Descripción: se ha solucionado un problema de lógica mejorando las restricciones.
CVE-2022-32883: Ron Masas, breakpointhq.com
MediaLibrary
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: un usuario podría ser capaz de elevar los privilegios.
Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.
CVE-2022-32908: investigador anónimo
Notifications
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: un usuario con acceso físico a un dispositivo podría acceder a los contactos desde la pantalla bloqueada.
Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.
CVE-2022-32879: Ubeydullah Sümer
Entrada añadida el 27 de octubre de 2022
Safari
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: visitar un sitio web creado con fines malintencionados podría provocar la suplantación de la barra de direcciones.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2022-32795: Narendra Bhati de Suma Soft Pvt. Ltd. Pune (India) @imnarendrabhati
Safari Extensions
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: un sitio web podría rastrear los usuarios a través de las extensiones web de Safari.
Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.
WebKit Bugzilla: 242278
CVE-2022-32868: Michael
Security
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: una aplicación podría ser capaz de evitar las comprobaciones de firma de código.
Descripción: se ha solucionado un problema en la validación de las firmas de código con una mejora de las comprobaciones.
CVE-2022-42793: Linus Henze de Pinauten GmbH (pinauten.de)
Entrada añadida el 27 de octubre de 2022
Shortcuts
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: una persona con acceso físico a un dispositivo iOS podría acceder a las fotos desde la pantalla bloqueada.
Descripción: se ha solucionado un problema de lógica mejorando las restricciones.
CVE-2022-32872: Elite Tech Guru
Sidecar
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: un usuario podría ver contenido restringido desde la pantalla de bloqueo.
Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.
CVE-2022-42790: Om kothawade de Zaprico Digital
Entrada añadida el 27 de octubre de 2022
WebKit
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.
WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)
Entrada añadida el 27 de octubre de 2022
WebKit
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de desbordamiento de búfer mejorando la gestión de la memoria.
WebKit Bugzilla: 241969
CVE-2022-32886: P1umer, afang5472, xmzyshypnc
WebKit
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.
WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a) en Theori trabajando con Trend Micro Zero Day Initiative
WebKit Sandboxing
Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)
Impacto: un proceso aislado podría ser capaz de eludir las restricciones de la zona protegida
Descripción: se ha solucionado un problema de acceso mediante la mejora de la zona restringida.
WebKit Bugzilla: 243181
CVE-2022-32892: @18楼梦想改造家 y @jq0904 del laboratorio WeBin de DBAppSecurity
Entrada añadida el 27 de octubre de 2022
Otros agradecimientos
AppleCredentialManager
Nos gustaría dar las gracias a @jonathandata1 por su ayuda.
Entrada añadida el 27 de octubre de 2022
FaceTime
Queremos dar las gracias a un investigador anónimo por su ayuda.
Entrada añadida el 27 de octubre de 2022
Game Center
Queremos dar las gracias a Joshua Jones por su ayuda.
Identity Services
Queremos dar las gracias a Joshua Jones por su ayuda.
Kernel
Queremos dar las gracias a un investigador anónimo por su ayuda.
Entrada añadida el 27 de octubre de 2022
WebKit
Queremos dar las gracias a un investigador anónimo por su ayuda.
Entrada añadida el 27 de octubre de 2022
WebRTC
Queremos dar las gracias a un investigador anónimo por su ayuda.
Entrada añadida el 27 de octubre de 2022