Acerca del contenido de seguridad de iOS 15.7 y iPadOS 15.7

En este documento se describe el contenido de seguridad de iOS 15.7 y iPadOS 15.7.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

iOS 15.7 y iPadOS 15.7

Disponible el 12 de septiembre de 2022

Apple Neural Engine

Disponible para: iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y modelos posteriores, iPad (5.ª generación) y modelos posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.ª generación)

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2022-32898: Mohamed Ghannam (@_simo36)

CVE-2022-32899: Mohamed Ghannam (@_simo36)

Entrada añadida el 27 de octubre de 2022

Audio

Impacto: una app podría obtener privilegios de alto nivel.

Descripción: el problema se ha solucionado eliminando el código vulnerable.

CVE-2022-42796: Mickey Jin (@patch1t)

Entrada añadida el 27 de octubre de 2022 y actualizada el 1 de mayo de 2023

Backup

Impacto: una app podría ser capaz de acceder a las copias de seguridad de iOS.

Descripción: se ha solucionado un problema de permisos con restricciones adicionales.

CVE-2022-32929: Csaba Fitzl (@theevilbit) de Offensive Security

Entrada añadida el 27 de octubre de 2022

Contacts

Impacto: una app creada podría evitar las preferencias de privacidad.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2022-32854: Holger Fuhrmannek de Deutsche Telekom Security

Kernel

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2022-32911: Zweig of Kunlun Lab

Kernel

Impacto: una app podría divulgar datos de la memoria de kernel.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2022-32864: Linus Henze de Pinauten GmbH (pinauten.de)

Kernel

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel. Apple tiene conocimiento de que este problema se ha explotado activamente.

Descripción: el problema se ha solucionado mediante la mejora de la comprobación de límites.

CVE-2022-32917: investigador anónimo

Maps

Impacto: una app podría leer información de ubicación confidencial.

Descripción: se ha solucionado un problema de lógica mejorando las restricciones.

CVE-2022-32883: Ron Masas, breakpointhq.com

MediaLibrary

Impacto: un usuario podría ser capaz de elevar los privilegios.

Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.

CVE-2022-32908: investigador anónimo

Notifications

Impacto: un usuario con acceso físico a un dispositivo podría acceder a los contactos desde la pantalla bloqueada.

Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.

CVE-2022-32879: Ubeydullah Sümer

Entrada añadida el 27 de octubre de 2022

Safari

Impacto: visitar un sitio web creado con fines malintencionados podría provocar la suplantación de la barra de direcciones.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2022-32795: Narendra Bhati de Suma Soft Pvt. Ltd. Pune (India) @imnarendrabhati

Safari Extensions

Impacto: un sitio web podría rastrear los usuarios a través de las extensiones web de Safari.

Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.

WebKit Bugzilla: 242278
CVE-2022-32868: Michael

Security

Impacto: una aplicación podría ser capaz de evitar las comprobaciones de firma de código.

Descripción: se ha solucionado un problema en la validación de las firmas de código con una mejora de las comprobaciones.

CVE-2022-42793: Linus Henze de Pinauten GmbH (pinauten.de)

Entrada añadida el 27 de octubre de 2022

Shortcuts

Impacto: una persona con acceso físico a un dispositivo iOS podría acceder a las fotos desde la pantalla bloqueada.

Descripción: se ha solucionado un problema de lógica mejorando las restricciones.

CVE-2022-32872: Elite Tech Guru

Sidecar

Impacto: un usuario podría ver contenido restringido desde la pantalla de bloqueo.

Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.

CVE-2022-42790: Om kothawade de Zaprico Digital

Entrada añadida el 27 de octubre de 2022

WebKit

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.

Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.

WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)

Entrada añadida el 27 de octubre de 2022

WebKit

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.

Descripción: se ha solucionado un problema de desbordamiento de búfer mejorando la gestión de la memoria.

WebKit Bugzilla: 241969
CVE-2022-32886: P1umer, afang5472, xmzyshypnc

WebKit

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.

Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.

WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a) en Theori trabajando con Trend Micro Zero Day Initiative

WebKit Sandboxing

Impacto: un proceso aislado podría ser capaz de eludir las restricciones de la zona protegida

Descripción: se ha solucionado un problema de acceso mediante la mejora de la zona restringida.

WebKit Bugzilla: 243181
CVE-2022-32892: @18楼梦想改造家 y @jq0904 del laboratorio WeBin de DBAppSecurity

Entrada añadida el 27 de octubre de 2022

Otros agradecimientos

AppleCredentialManager

Nos gustaría dar las gracias a @jonathandata1 por su ayuda.

Entrada añadida el 27 de octubre de 2022

FaceTime

Queremos dar las gracias a un investigador anónimo por su ayuda.

Entrada añadida el 27 de octubre de 2022

Game Center

Queremos dar las gracias a Joshua Jones por su ayuda.

Identity Services

Queremos dar las gracias a Joshua Jones por su ayuda.

Kernel

Queremos dar las gracias a un investigador anónimo por su ayuda.

Entrada añadida el 27 de octubre de 2022

WebKit

Queremos dar las gracias a un investigador anónimo por su ayuda.

Entrada añadida el 27 de octubre de 2022

WebRTC

Queremos dar las gracias a un investigador anónimo por su ayuda.

Entrada añadida el 27 de octubre de 2022

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Fecha de publicación: 11 de diciembre de 2023

Acerca del contenido de seguridad de iOS 15.7 y iPadOS 15.7

Acerca de las actualizaciones de seguridad de Apple

iOS 15.7 y iPadOS 15.7

Otros agradecimientos

Inicia una conversación en las Comunidades de soporte de Apple