Acerca del contenido de seguridad de iOS 16.7.8 y iPadOS 16.7.8

En este documento se describe el contenido de seguridad de iOS 16.7.8 y iPadOS 16.7.8.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

iOS 16.7.8 y iPadOS 16.7.8

Publicado el 13 de mayo de 2024

Core Data

Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se ha solucionado un problema mejorando la validación de las variables de entorno.

CVE-2024-27805: Kirin (@Pwnrin) y 小来来 (@Smi1eSEC)

Entrada añadida el 10 de junio de 2024

CoreMedia

Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2024-27817: pattern-f (@pattern_F_) de Ant Security Light-Year Lab

Entrada añadida el 10 de junio de 2024

CoreMedia

Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)

Impacto: el procesamiento de un archivo puede provocar el cierre inesperado de la app o la ejecución de código arbitrario.

Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la validación de las entradas.

CVE-2024-27831: Amir Bazine y Karsten König de CrowdStrike Counter Adversary Operations

Entrada añadida el 10 de junio de 2024

Foundation

Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)

Impacto: una app podría acceder a datos confidenciales de los usuarios.

Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.

CVE-2024-27789: Mickey Jin (@patch1t)

IOHIDFamily

Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)

Impacto: una app sin privilegios podía ser capaz de registrar pulsaciones de teclas en otras apps, incluidas las que utilizan el modo de entrada seguro.

Descripción: este problema se ha solucionado incrementando las comprobaciones de derechos.

CVE-2024-27799: investigador anónimo

Entrada añadida el 10 de junio de 2024

Kernel

Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)

Impacto: un usuario podría provocar el cierre inesperado de una app o la ejecución de código arbitrario.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2024-27818: pattern-f (@pattern_F_) de Ant Security Light-Year Lab

Entrada añadida el 10 de junio de 2024

Kernel

Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)

Impacto: un atacante que haya conseguido ejecutar el código de kernel puede ser capaz de omitir las protecciones de la memoria del kernel.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2024-27840: investigador anónimo

Entrada añadida el 10 de junio de 2024

Mail

Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)

Impacto: un atacante con acceso físico podría filtrar las credenciales de la cuenta de Mail.

Descripción: se ha solucionado el problema de autenticación mejorando la gestión del estado.

CVE-2024-23251: Gil Pedersen

Entrada añadida el 10 de junio de 2024

Mail

Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)

Impacto: un correo electrónico creado con fines malintencionados podría ser capaz de iniciar llamadas de FaceTime sin autorización del usuario.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2024-23282: Dohyun Lee (@l33d0hyun)

Entrada añadida el 10 de junio de 2024

Messages

Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)

Impacto: el procesamiento de un mensaje creado con fines malintencionados podría provocar una denegación de servicio.

Descripción: el problema se ha solucionado eliminando el código vulnerable.

CVE-2024-27800: Daniel Zajork y Joshua Zajork

Entrada añadida el 10 de junio de 2024

Metal

Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)

Impacto: el procesamiento de un archivo diseñado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.

Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.

CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) en colaboración con Trend Micro Zero Day Initiative

Entrada añadida el 10 de junio de 2024

RTKit

Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)

Impacto: un atacante que tenga funciones arbitrarias de lectura y escritura de kernel podría ser capaz de omitir las protecciones de la memoria del kernel. Apple tiene conocimiento de que este problema se ha explotado.

Descripción: se ha solucionado un problema de memoria mejorando la validación.

CVE-2024-23296

Shortcuts

Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)

Impacto: un acceso directo podría utilizar información confidencial mediante ciertas acciones sin preguntar al usuario.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2024-27855: investigador anónimo

Entrada añadida el 10 de junio de 2024

Spotlight

Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: este problema se ha solucionado mejorando el saneamiento del entorno.

CVE-2024-27806

Entrada añadida el 10 de junio de 2024

Symptom Framework

Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)

Impacto: una app podría eludir el registro del informe de privacidad de las apps.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2024-27807: Romy R.

Entrada añadida el 10 de junio de 2024

Sync Services

Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)

Impacto: una app podría evitar las preferencias de privacidad.

Descripción: este problema se ha solucionado mejorando las comprobaciones

CVE-2024-27847: Mickey Jin (@patch1t)

Entrada añadida el 10 de junio de 2024

Voice Control

Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)

Impacto: un usuario podría ser capaz de elevar los privilegios

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2024-27796: ajajfxhj

Entrada añadida el 10 de junio de 2024

WebKit

Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)

Impacto: una página web con fines malintencionados podría aprovechar la huella del usuario.

Descripción: se ha solucionado el problema añadiendo lógica adicional.

WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos de Mozilla

Entrada añadida el 10 de junio de 2024

WebKit

Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de código arbitrario.

Descripción: se ha solucionado un desbordamiento de enteros mediante la mejora de la validación de las entradas.

WebKit Bugzilla: 271491
CVE-2024-27833: Manfred Paul (@_manfp) en colaboración con Trend Micro Zero Day Initiative

Entrada añadida el 10 de junio de 2024

WebKit

Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)

Impacto: un atacante malintencionado que tenga funciones arbitrarias de lectura y escritura podría ser capaz de omitir la autenticación de puntero.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) en colaboración con Zero Day Initiative de Trend Micro

Entrada añadida el 10 de junio de 2024

WebKit Web Inspector

Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)

Impacto: procesar contenido web podría provocar la ejecución de código arbitrario

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson de underpassapp.com

Entrada añadida el 10 de junio de 2024

 

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Fecha de publicación: