Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
iOS 16.7.9 y iPadOS 16.7.9
Publicado el 29 de julio de 2024
CoreGraphics
Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)
Impacto: el procesamiento de un archivo creado con fines malintencionados podría provocar el cierre inesperado de la app.
Descripción: se ha solucionado un problema de lectura fuera de los límites al mejorar la validación de las entradas.
CVE-2024-40799: D4m0n
CoreMedia
Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)
Impacto: procesar un archivo de vídeo creado con fines malintencionados podría provocar el cierre inesperado de la app.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la validación de las entradas.
CVE-2024-27873: Amir Bazine y Karsten König de CrowdStrike Counter Adversary Operations
ImageIO
Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)
Impacto: procesar una imagen podría provocar una denegación de servicio.
Descripción: se trata de una vulnerabilidad en el código fuente abierto y el Software Apple se encuentra entre los proyectos afectados. El CVE-ID fue asignado por un tercero. Más información sobre el tema y el CVE-ID en cve.org.
CVE-2023-6277
CVE-2023-52356
ImageIO
Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)
Impacto: el procesamiento de un archivo creado con fines malintencionados podría provocar el cierre inesperado de la app.
Descripción: se ha solucionado un problema de lectura fuera de los límites al mejorar la validación de las entradas.
CVE-2024-40806: Yisumi
ImageIO
Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)
Impacto: el procesamiento de un archivo creado con fines malintencionados podría provocar el cierre inesperado de la app.
Descripción: se ha solucionado un desbordamiento de enteros mediante la mejora de la validación de las entradas.
CVE-2024-40784: Junsung Lee en colaboración con Trend Micro Zero Day Initiative y Gandalf4a
Kernel
Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)
Impacto: un atacante local podría provocar un apagado inesperado del sistema.
Descripción: se ha solucionado un problema de confusión de tipo mejorando la gestión de la memoria.
CVE-2024-40788: Minghao Lin y Jiaxun Zhu de Zhejiang University
NetworkExtension
Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)
Impacto: la navegación privada puede filtrar parte del historial de navegación.
Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.
CVE-2024-40796: Adam M.
Photos Storage
Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)
Impacto: las fotos del álbum de fotos Oculto se pueden ver sin autenticación.
Descripción: se ha solucionado el problema de autenticación mejorando la gestión del estado.
CVE-2024-40778: Mateen Alinaghi
Security
Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)
Impacto: una app puede ser capaz de leer el historial de navegación de Safari.
Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.
CVE-2024-40798: Adam M.
Shortcuts
Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)
Impacto: un acceso directo podría utilizar información confidencial mediante ciertas acciones sin preguntar al usuario.
Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.
CVE-2024-40833: investigador anónimo
CVE-2024-40835: investigador anónimo
CVE-2024-40836: investigador anónimo
Shortcuts
Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)
Impacto: una app podría acceder a datos confidenciales de los usuarios.
Descripción: el problema se ha solucionado eliminando el código vulnerable.
CVE-2024-40793: Kirin (@Pwnrin)
Shortcuts
Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)
Impacto: un acceso directo podría ser capaz de omitir los requisitos de permisos de internet.
Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.
CVE-2024-40809: investigador anónimo
CVE-2024-40812: investigador anónimo
Siri
Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)
Impacto: un atacante con acceso físico puede ser capaz de utilizar Siri para acceder a datos sensibles del usuario
Descripción: este problema se ha solucionado restringiendo las opciones que se ofrecen en un dispositivo bloqueado.
CVE-2024-40818: Bistrit Dahal y Srijan Poudel
Siri
Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)
Impacto: un atacante podría ser capaz de ver información confidencial de los usuarios.
Descripción: para resolver este problema se ha mejorado la gestión del estado.
CVE-2024-40786: Bistrit Dahal
Siri
Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)
Impacto: un atacante con acceso físico a un dispositivo podría acceder a los contactos desde la pantalla bloqueada.
Descripción: este problema se ha solucionado restringiendo las opciones que se ofrecen en un dispositivo bloqueado.
CVE-2024-40822: Srijan Poudel
VoiceOver
Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)
Impacto: un atacante podría ver contenido restringido desde la pantalla de bloqueo.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2024-40829: Abhay Kailasia (@abhay_kailasia) de la Universidad técnica de Lakshmi Narain en Bhopal, India
WebKit
Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)
Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso.
Descripción: se ha solucionado un problema de acceso fuera de los límites al mejorar la comprobación de los límites.
CVE-2024-40789: Seunghyun Lee (@0x10n) de KAIST Hacking Lab en colaboración con Trend Micro Zero Day Initiative
WebKit
Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)
Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso.
Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.
WebKit Bugzilla: 273176
CVE-2024-40776: Huang Xilin de Ant Group Light-Year Security Lab
WebKit Bugzilla: 268770
CVE-2024-40782: Maksymilian Motyl
WebKit
Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)
Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.
WebKit Bugzilla: 275431
CVE-2024-40779: Huang Xilin de Ant Group Light-Year Security Lab
WebKit Bugzilla: 275273
CVE-2024-40780: Huang Xilin de Ant Group Light-Year Security Lab
WebKit
Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar un ataque de ejecución de secuencias de comandos entre sitios
Descripción: este problema se ha solucionado mejorando las comprobaciones.
WebKit Bugzilla: 273805
CVE-2024-40785: Johan Carlsson (joaxcar)
Otros agradecimientos
Shortcuts
Queremos dar las gracias a un investigador anónimo por su ayuda.