Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
iOS 16.4 y iPadOS 16.4
Disponible el 27 de marzo de 2023
Accessibility
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: una app podría ser capaz de acceder a la información sobre los contactos de un usuario.
Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.
CVE-2023-23541: Csaba Fitzl (@theevilbit) de Offensive Security
App Store
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: es posible que una app pueda leer información de ubicación confidencial.
Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.
CVE-2023-42830: Adam M.
Entrada añadida el 31 de octubre de 2023 y actualizada el 16 de julio de 2024
Apple Neural Engine
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-23540: Mohamed GHANNAM (@_simo36)
CVE-2023-27959: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.
CVE-2023-27970: Mohamed GHANNAM
Apple Neural Engine
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: una app podría salir de su zona protegida.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2023-23532: Mohamed Ghannam (@_simo36)
AppleMobileFileIntegrity
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: un usuario podría obtener acceso a partes protegidas del sistema de archivos.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-23527: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: una app podría acceder a datos confidenciales de los usuarios.
Descripción: el problema se ha solucionado eliminando el código vulnerable.
CVE-2023-27931: Mickey Jin (@patch1t)
Calendar
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: la importación de una invitación de calendario diseñada con fines malintencionados podría filtrar información del usuario.
Descripción: se han solucionado varios problemas de validación mejorando el saneamiento de las entradas.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
Camera
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: una aplicación de una zona protegida podría determinar qué aplicación está utilizando la cámara.
Descripción: el problema se solucionó con restricciones adicionales para la observabilidad de los estados de la aplicación.
CVE-2023-23543: Yiğit Can YILMAZ (@yilmazcanyigit)
CarPlay
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: un usuario que se encontrase en una posición de red privilegiada podría causar una denegación de servicio.
Descripción: se ha solucionado un desbordamiento de búfer mejorando la comprobación de límites.
CVE-2023-23494: Itay Iellin de General Motors Product Cyber Security
ColorSync
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: una app podría leer archivos arbitrarios.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-27955: JeongOhKyea
Core Bluetooth
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: procesar un paquete de Bluetooth creado con fines malintencionados podría provocar la revelación de la memoria de procesos.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.
CVE-2023-23528: Jianjun Dai y Guang Gong del 360 Vulnerability Research Institute
CoreCapture
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-28181: Tingting Yin de la Universidad Tsinghua
CoreServices
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: un proceso aislado podría ser capaz de eludir las restricciones de la zona protegida
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2023-40398: Mickey Jin (@patch1t)
Entrada añadida el 16 de julio de 2024
Find My
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: es posible que una app pueda leer información de ubicación confidencial.
Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.
CVE-2023-28195: Adam M.
CVE-2023-23537: Adam M.
Entrada actualizada el 21 de diciembre de 2023
FontParser
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: el procesamiento de un archivo de tipo de letra podría provocar la ejecución de código arbitrario
Descripción: se ha solucionado un problema de escritura fuera de los límites al mejorar la validación de las entradas.
CVE-2023-32366: Ye Zhang (@VAR10CK) de Baidu Security
Entrada añadida el 31 de octubre de 2023
FontParser
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: procesar una imagen creada con fines malintencionados podría provocar la revelación de la memoria de procesos.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-27956: Ye Zhang (@VAR10CK) de Baidu Security
Entrada actualizada el 31 de octubre de 2023
Foundation
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: analizar un archivo de tipos de letra creado con fines malintencionados provocaba el cierre inesperado de una aplicación o la ejecución de código arbitrario.
Descripción: se ha solucionado un desbordamiento de enteros mediante la mejora de la validación de las entradas.
CVE-2023-27937: investigador anónimo
iCloud
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: un archivo de una carpeta de iCloud compartida por mí podría evitar Gatekeeper.
Descripción: este problema se ha solucionado realizando comprobaciones adicionales de Gatekeeper en los archivos descargados de una carpeta de iCloud compartida por mí.
CVE-2023-23526: Jubaer Alnazi de TRS Group of Companies
Identity Services
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: una app podría ser capaz de acceder a la información sobre los contactos de un usuario.
Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.
CVE-2023-27928: Csaba Fitzl (@theevilbit) de Offensive Security
ImageIO
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: procesar una imagen creada con fines malintencionados podría provocar la revelación de la memoria de procesos.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-23535: ryuzaki
ImageIO
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: procesar una imagen creada con fines malintencionados podría provocar la revelación de la memoria de procesos.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2023-27929: Meysam Firouzi (@R00tkitSMM) de Mbition Mercedes-Benz Innovation Lab y jzhu en colaboración con Trend Micro Zero Day Initiative
ImageIO
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: procesar una imagen podría provocar la revelación de la memoria de procesos.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2023-42862: Meysam Firouzi (@R00tkitSMM) de Mbition Mercedes-Benz Innovation Lab
CVE-2023-42865: jzhu en colaboración con Trend Micro Zero Day Initiative y Meysam Firouzi (@R00tkitSMM) de Mbition Mercedes-Benz Innovation Lab
Entrada añadida el 21 de diciembre de 2023
Kernel
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: un usuario podría provocar que se denegase el servicio.
Descripción: este problema se ha solucionado con la mejora de la gestión del estado.
CVE-2023-28187: Pan ZhenPeng (@Peterpan0927) de STAR Labs SG Pte. Ltd.
Entrada añadida el 31 de octubre de 2023
Kernel
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: una aplicación puede provocar una denegación de servicio.
Descripción: se ha solucionado un desbordamiento de enteros mejorando la validación de las entradas.
CVE-2023-28185: Pan ZhenPeng de STAR Labs SG Pte. Ltd.
Entrada añadida el 31 de octubre de 2023
Kernel
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: un atacante que haya conseguido ejecutar el código de kernel puede ser capaz de omitir las soluciones de la memoria del kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-32424: Zechao Cai (@Zech4o) de la Universidad de Zhejiang
Entrada añadida el 31 de octubre de 2023
Kernel
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
CVE-2023-27969: Adam Doupé de ASU SEFCOM
Kernel
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: una app con privilegios de raíz podría ser capaz de ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2023-27933: sqrtpwn
Kernel
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: el problema se ha solucionado mediante la mejora de la comprobación de límites.
CVE-2023-23536: Félix Poulin-Bélanger y David Pan Ogea
Entrada añadida el 1 de mayo de 2023 y actualizada el 31 de octubre de 2023
LaunchServices
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: puede que archivos descargados de Internet no tengan la marca de cuarentena aplicada.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2023-27943: un investigador anónimo, Brandon Dalton (@partyD0lphin) de Red Canary, Milan Tenk y Arthur Valiev de F-Secure Corporation
Entrada actualizada el 31 de octubre de 2023
LaunchServices
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: una app podría obtener privilegios de raíz.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2023-23525: Mickey Jin (@patch1t)
libpthread
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de confusión de tipo mediante la mejora de las comprobaciones.
CVE-2023-41075: Zweig de Kunlun Lab
Entrada añadida el 21 de diciembre de 2023
Magnifier
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: una persona con acceso físico a un dispositivo iOS podría ver la última imagen usada en Lupa en la pantalla de bloqueo.
Descripción: este problema se ha solucionado restringiendo las opciones que se ofrecen en un dispositivo bloqueado.
CVE-2022-46724: Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College Of Technology Bhopal
Entrada añadida el 1 de agosto de 2023
NetworkExtension
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: un usuario en una posición de red privilegiada puede suplantar un host VPN configurado con una autenticación solo EAP en un dispositivo.
Descripción: el problema se ha solucionado mejorando la autenticación.
CVE-2023-28182: Zhuowei Zhang
Photos
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: las fotos del álbum Oculto de Fotos podían verse sin autenticarse a través del Buscador visual.
Descripción: se ha solucionado un problema de lógica mejorando las restricciones.
CVE-2023-23523: developStorm
Podcasts
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: una app podría acceder a datos confidenciales de los usuarios.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-27942: Mickey Jin (@patch1t)
Safari
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: una app podría ser capaz de crear de forma inesperada un marcador en la pantalla de inicio.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2023-28194: Anton Spivak
Sandbox
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: una app podría evitar las preferencias de privacidad.
Descripción: se ha solucionado un problema de lógica mejorando la validación.
CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)
Shortcuts
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: un acceso directo podría utilizar información confidencial mediante ciertas acciones sin preguntar al usuario.
Descripción: se ha solucionado el problema con comprobaciones de permisos adicionales.
CVE-2023-27963: Jubaer Alnazi Jabin de TRS Group Of Companies, y Wenchao Li y Xiaolong Bai de Alibaba Group
TCC
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: una app podría acceder a datos confidenciales de los usuarios.
Descripción: el problema se ha solucionado eliminando el código vulnerable.
CVE-2023-27931: Mickey Jin (@patch1t)
TextKit
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: un usuario remoto puede causar una denegación de servicio.
Descripción: se ha solucionado un problema de denegación de servicio mediante la mejora de la validación de las entradas.
CVE-2023-28188: Xin Huang (@11iaxH)
Entrada añadida el 31 de octubre de 2023
WebKit
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: la política de seguridad de contenido podría fallar a la hora de bloquear dominios con comodines.
Descripción: se ha solucionado un problema de lógica mejorando la validación.
WebKit Bugzilla: 250709
CVE-2023-32370: Gertjan Franken de imec-DistriNet, KU Leuven
Entrada añadida el 31 de octubre de 2023
WebKit
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: procesar contenido web puede provocar la ejecución de código arbitrario.
Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.
WebKit Bugzilla: 250429
CVE-2023-28198: hazbinhotel en colaboración con Zero Day Initiative de Trend Micro
Entrada añadida el 1 de agosto de 2023
WebKit
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: visitar un sitio web creado con fines malintencionados podría provocar la suplantación de la barra de direcciones.
Descripción: existía un problema de suplantación en la gestión de direcciones URL. Se ha solucionado el problema mejorando la validación de las entradas.
WebKit Bugzilla: 247289
CVE-2022-46725: Hyeon Park (@tree_segment) de ApplePIE
Entrada añadida el 1 de agosto de 2023 y actualizada el 21 de diciembre de 2023
WebKit
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: el procesamiento de contenido web puede provocar la ejecución de código arbitrario. Apple está al tanto de un informe que indica que este problema puede haber sido explotado activamente contra versiones de iOS lanzadas antes de iOS 15.7.
Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
WebKit Bugzilla: 251890
CVE-2023-32435: Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_), Boris Larin (@oct0xor) y Valentin Pashkov de Kaspersky
Entrada añadida el 21 de junio de 2023; actualizada el 1 de agosto de 2023
WebKit
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: el procesamiento de contenido web creado con fines malintencionados podría omitir la política de mismo origen.
Descripción: este problema se ha solucionado con la mejora de la gestión del estado.
WebKit Bugzilla: 248615
CVE-2023-27932: investigador anónimo
WebKit
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: un sitio web puede rastrear información confidencial sobre los usuarios.
Descripción: se ha solucionado el problema eliminando la información del origen.
WebKit Bugzilla: 250837
CVE-2023-27954: investigador anónimo
WebKit
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: visitar un sitio web creado con fines malintencionados podría provocar la suplantación de la barra de direcciones.
Descripción: existía un problema de suplantación en la gestión de direcciones URL. Se ha solucionado el problema mejorando la validación de las entradas.
WebKit Bugzilla: 247287
CVE-2022-46705: Hyeon Park (@tree_segment) de ApplePIE
Entrada añadida el 1 de mayo de 2023 y actualizada el 21 de diciembre de 2023
WebKit
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: el procesamiento de un archivo podría generar una denegación de servicio o una posible revelación del contenido de la memoria.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
WebKit Bugzilla: 249434
CVE-2014-1745: un investigador anónimo
Entrada añadida el 21 de diciembre de 2023
WebKit PDF
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: procesar contenido web puede provocar la ejecución de código arbitrario.
Descripción: se ha solucionado un problema de confusión de tipo mediante la mejora de las comprobaciones.
WebKit Bugzilla: 249169
CVE-2023-32358: anónimo en colaboración con Zero Day Initiative de Trend Micro
Entrada añadida el 1 de agosto de 2023
WebKit Web Inspector
Disponible para: iPhone 8 y modelos posteriores, iPad Pro (todos los modelos), iPad Air 3.ª generación y modelos posteriores, iPad 5.ª generación y modelos posteriores, y iPad mini 5.ª generación y modelos posteriores.
Impacto: un atacante remoto podría ser capaz de provocar el cierre inesperado de una app o la ejecución de código arbitrario.
Descripción: este problema se ha solucionado con la mejora de la gestión del estado.
CVE-2023-28201: Dohyun Lee (@l33d0hyun) y crixer (@pwning_me) de SSD Labs
Entrada añadida el 1 de mayo de 2023
Otros agradecimientos
Activation Lock
Queremos dar las gracias a Christian Mina por su ayuda.
CFNetwork
Queremos dar las gracias a un investigador anónimo por su ayuda.
Core Location
Queremos dar las gracias a IL, Diego Carvalho, Hamza Toğmuş, Liang Liu, Alex Tippets, WGM, Dennis, Dalton Gould, Alejandro Tejada Borges, Cosmin Iconaru, Chase Bigsby, Bikesh Bimali, Cal Rookard, Bashar Ajlani y Robert Kott por su ayuda.
Entrada añadida el 1 de mayo de 2023
CoreServices
Queremos dar las gracias a Mickey Jin (@patch1t) por su ayuda.
file_cmds
Queremos dar las gracias a Lukas Zronek por su ayuda.
Heimdal
Queremos dar las gracias a Evgeny Legerov de Intevydis por su ayuda.
ImageIO
Queremos dar las gracias a Meysam Firouzi @R00tkitSMM por su ayuda.
Kernel
Queremos dar las gracias a Tim Michaud (@TimGMichaud) de Moveworks.ai por su ayuda.
Entrada añadida el 16 de julio de 2024
lldb
Queremos dar las gracias a James Duffy (mangoSecure) por su ayuda.
Entrada añadida el 1 de mayo de 2023
Queremos dar las gracias a Chen Zhang, Fabian Ising de la Universidad de Ciencias Aplicadas de Münster, Damian Poddebniak de la Universidad de Ciencias Aplicadas de Münster, Tobias Kappert de la Universidad de Ciencias Aplicadas de Münster, Christoph Saatjohann de la Universidad de Ciencias Aplicadas de Münster, Sebastian Schinzel de la Universidad de Ciencias Aplicadas de Münster y Merlin Chlosta de CISPA Helmholtz Center for Information Security por su ayuda.
Entrada actualizada el 1 de mayo de 2023
Mensajes
Queremos dar las gracias a Idriss Riouak, Anıl özdil y Gurusharan Singh por su ayuda.
Entrada añadida el 1 de mayo de 2023
Password Manager
Queremos dar las gracias a OCA Creations LLC y Sebastian S. Andersen por su ayuda.
Entrada añadida el 1 de mayo de 2023
Descargas de Safari
Queremos dar las gracias a Andrew Gonzalez por su ayuda.
Status Bar
Queremos dar las gracias a N and jiaxu li por su ayuda.
Entrada actualizada el 21 de diciembre de 2023
Telephony
Queremos dar las gracias por su ayuda a CheolJun Park de KAIST SysSec Lab.
WebKit
Queremos dar las gracias a un investigador anónimo por su ayuda.
WebKit Web Inspector
Queremos dar las gracias a Dohyun Lee (@l33d0hyun) y crixer (@pwning_me) de SSD Labs por su ayuda.