Acerca del contenido de seguridad de iOS 17.1 y iPadOS 17.1

En este documento se describe el contenido de seguridad de iOS 17.1 y iPadOS 17.1.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

iOS 17.1 y iPadOS 17.1

Disponible el 25 de octubre de 2023

Automation

Disponible para: iPhone XS y versiones posteriores, iPad Pro de 12,9 pulgadas (2.ª generación) y versiones posteriores, iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas (1.ª generación) y versiones posteriores, iPad Air (3.ª generación) y versiones posteriores, iPad (6.ª generación) y versiones posteriores y iPad mini (5.ª generación) y versiones posteriores.

Impacto: una aplicación con privilegios de raíz podría ser capaz de acceder a información privada.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2023-42952: Zhipeng Huo (@R3dF09) de Tencent Security Xuanwu Lab (xlab.tencent.com)

Entrada añadida el 16 de febrero de 2024

Contacts

Impacto: una app puede acceder a la información confidencial del usuario.

Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.

CVE-2023-41072: Wojciech Regula de SecuRing (wojciechregula.blog) y Csaba Fitzl (@theevilbit) de Offensive Security

CVE-2023-42857: Noah Roskin-Frazee and Prof. J. (ZeroClicks.ai Lab)

CoreAnimation

Impacto: una aplicación puede provocar una denegación de servicio.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2023-40449: Tomi Tokics (@tomitokics) de iTomsn0w

Core Recents

Impacto: una app podría acceder a datos confidenciales de los usuarios.

Descripción: el problema se ha resuelto al sanear el registro.

CVE-2023-42823

Entrada añadida el 16 de febrero de 2024

FairPlay

Impacto: una app podría obtener privilegios de alto nivel.

Descripción: el problema se ha solucionado mediante la mejora de la comprobación de límites.

CVE-2023-42928: Peter Nguyễn Vũ Hoàng (@peternguyen14) de STAR Labs SG Pte. Ltd.

Entrada añadida el 16 de febrero de 2024

Find My

Impacto: es posible que una app pueda leer información de ubicación confidencial.

Descripción: el problema se ha solucionado mediante la mejora de la gestión de las cachés.

CVE-2023-40413: Adam M.

Find My

Impacto: una app puede acceder a la información confidencial del usuario.

Descripción: se ha solucionado un problema de privacidad mejorando la gestión de los archivos.

CVE-2023-42834: Csaba Fitzl (@theevilbit) de Offensive Security

Entrada añadida el 16 de febrero de 2024

Game Center

Impacto: una app puede acceder a la información confidencial del usuario.

Descripción: se ha solucionado un problema de permisos con restricciones adicionales.

CVE-2023-42953: Michael (Biscuit) Thomas (@biscuit@social.lol)

Entrada añadida el 16 de febrero de 2024

ImageIO

Impacto: procesar una imagen podría provocar la revelación de la memoria de procesos.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2023-40416: JZ

ImageIO

Impacto: procesar una imagen creada con fines maliciosos puede provocar daños en la memoria heap.

Descripción: el problema se ha solucionado mediante la mejora de la comprobación de límites.

CVE-2023-42848: JZ

Entrada añadida el 16 de febrero de 2024

IOTextEncryptionFamily

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2023-40423: investigador anónimo

Kernel

Impacto: un atacante que haya conseguido ejecutar el código de kernel puede ser capaz de omitir las soluciones de la memoria del kernel.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2023-42849: Linus Henze de Pinauten GmbH (pinauten.de)

libc

Impacto: el procesamiento de una entrada creada con fines malintencionados puede provocar la ejecución de código arbitrario en las apps instaladas por el usuario.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2023-40446: inooo

Entrada añadida el viernes 3 de noviembre de 2023

libxpc

Impacto: una app maliciosa podría ser capaz de obtener privilegios de raíz

Descripción: se ha solucionado el problema mejorando la gestión de los enlaces simbólicos.

CVE-2023-42942: Mickey Jin (@patch1t)

Entrada añadida el 16 de febrero de 2024

Mail Drafts

Impacto: ocultar mi correo electrónico puede desactivarse de forma inesperada.

Descripción: se ha solucionado un problema de inconsistencia en la interfaz del usuario mediante la mejora de la gestión del estado.

CVE-2023-40408: Grzegorz Riegel

mDNSResponder

Impacto: la dirección MAC wifi de un dispositivo podría hacer un seguimiento pasivo de este.

Descripción: el problema se ha solucionado eliminando el código vulnerable.

CVE-2023-42846: Talal Haj Bakry y Tommy Mysk de Mysk Inc. @mysk_co

Passkeys

Impacto: un atacante puede acceder a las llaves de acceso sin autenticación.

Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.

CVE-2023-42847: investigador anónimo

Photos

Impacto: las fotos del álbum de fotos Oculto se pueden ver sin autenticación.

Descripción: se ha solucionado el problema de autenticación mejorando la gestión del estado.

CVE-2023-42845: Bistrit Dahal

Entrada actualizada el 16 de febrero de 2024

Pro Res

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu y Guang Gong de 360 Vulnerability Research Institute

Pro Res

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: el problema se ha solucionado mediante la mejora de la comprobación de límites.

CVE-2023-42873: Mingxuan Yang (@PPPF00L), happybabywu y Guang Gong de 360 Vulnerability Research Institute

Entrada añadida el 16 de febrero de 2024

Safari

Impacto: un usuario podría no ser capaz de eliminar elementos del historial de navegación.

Descripción: el problema se ha solucionado mediante la mejora de la gestión de las cachés.

CVE-2023-42951: Adis Alic

Entrada añadida el 16 de febrero de 2024

Sandbox

Impacto: un atacante podría acceder a los volúmenes de red conectados montados en el directorio de inicio

Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.

CVE-2023-42836: Yiğit Can YILMAZ (@yilmazcanyigit)

Entrada añadida el 16 de febrero de 2024

Sandbox

Impacto: una app puede acceder a la información confidencial del usuario.

Descripción: este problema se ha solucionado con la mejora de la gestión del estado.

CVE-2023-42839: Yiğit Can YILMAZ (@yilmazcanyigit)

Entrada añadida el 16 de febrero de 2024

Setup Assistant

Impacto: un atacante con acceso físico podría guardar de forma persistente un ID de Apple en un dispositivo borrado sin que se detecte

Descripción: este problema se ha solucionado con la mejora de la gestión del estado.

CVE-2023-42855: Sam Lakmaker

Entrada añadida el 16 de febrero de 2024

Share Sheet

Impacto: una app puede acceder a la información confidencial del usuario.

Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.

CVE-2023-42878: Kirin (@Pwnrin) y Wojciech Regula de SecuRing (wojciechregula.blog), y Cristian Dinca de Instituto Nacional de Informática “Tudor Vianu”, Rumanía

Entrada añadida el 16 de febrero de 2024

Siri

Impacto: un atacante con acceso físico puede ser capaz de utilizar Siri para acceder a datos sensibles del usuario

Descripción: este problema se ha solucionado restringiendo las opciones que se ofrecen en un dispositivo bloqueado.

CVE-2023-41982: Bistrit Dahal

CVE-2023-41997: Bistrit Dahal

CVE-2023-41988: Bistrit Dahal

Entrada actualizada el 16 de febrero de 2024

Siri

Impacto: una app podría filtrar información confidencial del usuario.

Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.

CVE-2023-42946

Entrada añadida el 16 de febrero de 2024

Status Bar

Impacto: un dispositivo puede no bloquearse de forma persistente.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la interfaz de usuario.

CVE-2023-40445: Ting Ding, James Mancz, Omar Shibli, un investigador anónimo, Lorenzo Cavallaro y Harry Lewandowski

Weather

Impacto: una app puede acceder a la información confidencial del usuario.

Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.

CVE-2023-41254: Cristian Dinca del Tudor Vianu National High School of Computer Science, Rumanía

WebKit

Impacto: procesar contenido web puede provocar la ejecución de código arbitrario

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

WebKit Bugzilla: 259836
CVE-2023-40447: 이준성(Junsung Lee) de Cross Republic

WebKit

Impacto: procesar contenido web puede provocar la ejecución de código arbitrario.

Descripción: se ha solucionado un problema de uso después de estar libre mediante la mejora de la gestión de la memoria.

WebKit Bugzilla: 259890
CVE-2023-41976: 이준성(Junsung Lee)

WebKit

Impacto: procesar contenido web puede provocar la ejecución de código arbitrario

Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.

WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) y Vitor Pedreira (@0xvhp_) de Agile Information Security

Entrada actualizada el 16 de febrero de 2024

WebKit

Impacto: visitar un sitio web creado con fines malintencionados podría provocar la suplantación de la barra de direcciones.

Descripción: se ha solucionado un problema de incoherencia en la interfaz del usuario mediante la mejora de la gestión del estado.

WebKit Bugzilla: 260046
CVE-2023-42843: Kacper Kwapisz (@KKKas_)

Entrada añadida el 16 de febrero de 2024

WebKit

Impacto: es posible que al actividad de navegación privada de un usuario se guarde de forma imprevista en el Informe de privacidad de las apps

Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.

CVE-2023-42939: Abhay Kailasia (@abhay_kailasia) de la Universidad técnica de Lakshmi Narain en Bhopal

Entrada añadida el 16 de febrero de 2024

WebKit Process Model

Impacto: procesar contenido web podría provocar una denegación de servicio.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

WebKit Bugzilla: 260757
CVE-2023-41983: 이준성(Junsung Lee)

Otros agradecimientos

libarchive

Queremos dar las gracias a Bahaa Naamneh por su ayuda.

libxml2

Queremos dar las gracias por su ayuda a OSS-Fuzz y Ned Williamson de Google Project Zero.

Power Manager

Queremos dar las gracias por su ayuda a Xia0o0o0o (@Nyaaaaa_ovo) de la University of California, San Diego.

ReplayKit

Queremos dar las gracias por su ayuda a Abhay Kailasia (@abhay_kailasia) de la Universidad técnica de Lakshmi Narain en Bhopal.

Entrada añadida el 16 de febrero de 2024

VoiceOver

Queremos dar las gracias por su ayuda a Abhay Kailasia (@abhay_kailasia) de la universidad técnica de Lakshmi Narain en Bhopal, India.

WebKit

Queremos dar las gracias a un investigador anónimo por su ayuda.

WebKit

Nos gustaría dar las gracias por su ayuda a Gishan Don Ranasinghe y a un investigador anónimo.

Entrada añadida el 16 de febrero de 2024

WidgetKit

Queremos dar las gracias por su ayuda a Abhay Kailasia (@abhay_kailasia) de la universidad técnica de Lakshmi Narain en Bhopal, India.

Entrada añadida el 16 de febrero de 2024

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Fecha de publicación: 27 de febrero de 2024

Acerca del contenido de seguridad de iOS 17.1 y iPadOS 17.1

Acerca de las actualizaciones de seguridad de Apple

iOS 17.1 y iPadOS 17.1

Otros agradecimientos

Inicia una conversación en las Comunidades de soporte de Apple