Acerca del contenido de seguridad de iOS 9

En este documento, se describe el contenido de seguridad de iOS 9.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web de seguridad de los productos Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta el artículo Cómo utilizar la clave PGP de seguridad de los productos de Apple.

A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.

Para obtener información acerca de otras actualizaciones de seguridad, consulta el artículo Actualizaciones de seguridad de Apple.

iOS 9

  • Apple Pay

    Disponible para iPhone 6 y iPhone 6 Plus

    Impacto: Algunas tarjetas podían permitir que un terminal recuperara información limitada acerca de transacciones recientes al realizar un pago.

    Descripción: La funcionalidad de registro de transacciones se habilitó en ciertas configuraciones. Para solucionar este problema, se eliminó la funcionalidad de registro de transacciones. Este problema no afectó a los dispositivos iPad.

    ID CVE

    CVE-2015-5916

  • AppleKeyStore

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Un atacante local podía restablecer los intentos fallidos de ingreso del código de acceso con una copia de seguridad de iOS.

    Descripción: Existía un problema en el restablecimiento de intentos fallidos de ingreso del código de acceso con una copia de seguridad del dispositivo iOS. Esto se solucionó mejorando la lógica de falla de código de acceso.

    ID CVE

    CVE-2015-5850: Un investigador anónimo

  • App Store

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Hacer clic en un enlace ITMS creado con fines malintencionados podía ocasionar una denegación de servicio en una aplicación firmada por una empresa.

    Descripción: Existía un problema con la instalación mediante enlaces ITMS. Esto se solucionó mediante la verificación adicional de la instalación.

    ID CVE

    CVE-2015-5856: Zhaofeng Chen, Hui Xue y Tao (Lenx) Wei de FireEye, Inc.

  • Audio

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: La reproducción de un archivo de audio creado con fines malintencionados podía ocasionar el cierre inesperado de la aplicación.

    Descripción: Existía un problema de daños en la memoria en el manejo de archivos de audio. Este problema se solucionó mejorando el manejo de la memoria.

    ID CVE

    CVE-2015-5862: YoungJin Yoon de Information Security Lab. (Asesor:Prof. Taekyoung Kwon), Universidad Yonsei, Seúl, Corea del Sur

  • Política de confianza en certificados

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Actualización en la política de confianza en certificados.

    Descripción: La política de confianza en certificados se actualizó. Puedes ver la lista completa de certificados en https://support.apple.com/es-lamr/HT204132.

  • CFNetwork

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Una URL creada con fines malintencionados podía omitir la seguridad de transporte HTTP estricta (HSTS) y ocasionar la divulgación de datos confidenciales.

    Descripción: Existía una vulnerabilidad de análisis de URL en la administración de HSTS. Este problema se solucionó mejorando el análisis de URL.

    ID CVE

    CVE-2015-5858: Xiaofeng Zheng de Blue Lotus Team, Universidad Tsinghua

  • CFNetwork

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Un sitio web creado con fines malintencionados podía seguir a los usuarios en Safari incluso con la navegación privada activada.

    Descripción: Existía un problema en la administración del estado de HSTS en el modo de navegación privada de Safari. Para solucionar este problema, se mejoró el procesamiento de los estados.

    ID CVE

    CVE-2015-5860: Sam Greenhalgh de RadicalResearch Ltd

  • CFNetwork

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Una persona con acceso físico a un dispositivo iOS podía leer los datos en caché de las aplicaciones de Apple.

    Descripción: Los datos en caché estaban encriptados con una clave protegida únicamente por el UID de hardware. Este problema se solucionó encriptando los datos en caché con una clave protegida por el UID de hardware y el código de acceso del usuario.

    ID CVE

    CVE-2015-5898: Andreas Kurtz de NESO Security Labs

  • Cookies de CFNetwork

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Un atacante con una posición de red privilegiada puede realizar un seguimiento de la actividad de un usuario.

    Descripción: Existía un problema de cookies entre dominios en la administración de dominios de nivel superior. El problema se solucionó mejorando las restricciones de creación de cookies.

    ID CVE

    CVE-2015-5885: Xiaofeng Zheng de Blue Lotus Team, Universidad Tsinghua

  • Cookies de CFNetwork

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Un atacante podía crear cookies no deseadas para un sitio web.

    Descripción: WebKit aceptaría que se establecieran varias cookies en la API document.cookie. Este problema se solucionó mejorando el análisis.

    ID CVE

    CVE-2015-3801: Erling Ellingsen de Facebook

  • FTPProtocol de CFNetwork

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Los servidores FTP creados con fines malintencionados podían ocasionar que el cliente realizara el reconocimiento en otros hosts.

    Descripción: Existía un problema en la administración de los paquetes de FTP al usar el comando PASV. Este problema se solucionó mejorando la validación.

    ID CVE

    CVE-2015-5912: Amit Klein

  • CFNetwork HTTPProtocol

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Un atacante con una posición de red privilegiada podía interceptar el tráfico de red.

    Descripción: Existía un problema en el manejo de las entradas de lista de precarga de HSTS en el modo de navegación privada de Safari. Para solucionar este problema, se mejoró el procesamiento de los estados.

    ID CVE

    CVE-2015-5859: Rosario Giustolisi de la Universidad de Luxemburgo

  • Proxies de CFNetwork

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: La conexión a un proxy web creado con fines malintencionados podía establecer cookies creadas con fines malintencionados para un sitio web.

    Descripción: Existía un problema en la administración de las respuestas de conexión de los proxies. Este problema se solucionó eliminando la cabecera set-cookie al analizar la respuesta de conexión.

    ID CVE

    CVE-2015-5841: Xiaofeng Zheng de Blue Lotus Team, Universidad Tsinghua

  • CFNetwork SSL

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Un atacante con una posición de red privilegiada podía interceptar conexiones SSL/TLS.

    Descripción: Existía un problema de validación de certificados en NSURL cuando un certificado cambiaba. Este problema se solucionó mejorando la validación de certificados.

    ID CVE

    CVE-2015-5824: Timothy J. Wood de The Omni Group

  • CFNetwork SSL

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Un atacante podía desencriptar datos protegidos mediante SSL.

    Descripción: Existen ataques conocidos a la confidencialidad de RC4. Un atacante podía forzar el uso de RC4, incluso si el servidor prefería mejores encriptaciones, mediante el bloqueo de las conexiones con TLS 1.0 y superiores hasta que CFNetwork probara SSL 3.0, que solo admite RC4. Este problema se solucionó eliminando el respaldo para SSL 3.0.

  • CoreAnimation

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Una aplicación creada con fines malintencionados podía divulgar información confidencial del usuario.

    Descripción: Las aplicaciones podían acceder al framebuffer de la pantalla mientras estaban en el fondo. Este problema se solucionó mejorando el control de acceso en IOSurfaces.

    ID CVE

    CVE-2015-5880: Jin Han, Su Mon Kywe, Qiang Yan, Robert Deng, Debin Gao, Yingjiu Li de la Facultad de Sistemas Informáticos de la Universidad de Administración de Singapur; Feng Bao y Jianying Zhou del Departamento de Criptografía y Seguridad del Instituto de Investigación de Infocomm

  • CoreCrypto

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Un atacante podía determinar una clave privada.

    Descripción: Mediante la observación de muchos intentos de firma o de desencriptación, un atacante podía haber determinado la clave RSA privada. Este problema se solucionó mejorando los algoritmos de encriptación.

  • CoreText

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

    Descripción: Existía un problema de daños en la memoria en el procesamiento de archivos de fuente. Este problema se solucionó mejorando la validación de entradas.

    ID CVE

    CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team

  • Data Detectors Engine

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: El procesamiento de un archivo de texto creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

    Descripción: Existían problemas de daños en la memoria en el procesamiento de los archivos de texto. Estos problemas se solucionaron mejorando la comprobación de límites.

    ID CVE

    CVE-2015-5829: M1x7e1 de Safeye Team (www.safeye.org)

  • Dev Tools

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Una aplicación creada con fines malintencionados podía ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un problema de daños en la memoria en dyld. Este problema se solucionó mejorando el manejo de la memoria.

    ID CVE

    CVE-2015-5876: beist de grayhash

  • Imágenes de disco

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Un usuario local podía ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un problema de daños en la memoria en DiskImages. Este problema se solucionó mejorando el manejo de la memoria.

    ID CVE

    CVE-2015-5847: Filippo Bigarella, Luca Todesco

  • dyld

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Una aplicación podía omitir la firma de código.

    Descripción: Existía un problema con la validación de la firma de códigos de ejecutables. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team

  • Game Center

    • Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

      Impacto: Una aplicación de Game Center creada con fines malintencionados podía acceder a la dirección de correo electrónico de un jugador.

      Descripción: Existía un problema en la administración del correo electrónico de un jugador por parte de Game Center. El problema se solucionó mejorando las restricciones de acceso.

      ID CVE

      CVE-2015-5855: Nasser Alnasser

  • ICU

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Varias vulnerabilidades en ICU.

    Descripción: Existían varias vulnerabilidades en las versiones de ICU anteriores a la 53.1.0. Se solucionaron actualizando ICU a la versión 55.1.

    ID CVE

    CVE-2014-8146: Marc Deslauriers

    CVE-2014-8147: Marc Deslauriers

    CVE-2015-5922: Mark Brand de Google Project Zero

  • IOAcceleratorFamily

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Una aplicación creada con fines malintencionados podía determinar la distribución de la memoria del kernel.

    Descripción: Existía un problema que ocasionó la divulgación de contenido de la memoria del kernel. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2015-5834: Cererdlong de Alibaba Mobile Security Team

  • IOAcceleratorFamily

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Un usuario local podía ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un problema de daños en la memoria en IOAcceleratorFamily. Este problema se solucionó mejorando el manejo de la memoria.

    ID CVE

    CVE-2015-5848: Filippo Bigarella

  • IOHIDFamily

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Una aplicación creada con fines malintencionados podía ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un problema de daños en la memoria en IOHIDFamily. Este problema se solucionó mejorando el manejo de la memoria.

    ID CVE

    CVE-2015-5867: Moony li de Trend Micro

  • IOKit

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Una aplicación creada con fines malintencionados podía ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un problema de daños en la memoria del kernel. Este problema se solucionó mejorando el manejo de la memoria.

    ID CVE

    CVE-2015-5844: Filippo Bigarella

    CVE-2015-5845: Filippo Bigarella

    CVE-2015-5846: Filippo Bigarella

  • IOMobileFrameBuffer

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Un usuario local podía ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un problema de daños en la memoria en IOMobileFrameBuffer. Este problema se solucionó mejorando el manejo de la memoria.

    ID CVE

    CVE-2015-5843: Filippo Bigarella

  • IOStorageFamily

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Un atacante local podía leer la memoria del kernel.

    Descripción: Existía un problema de inicialización de memoria en el kernel. Este problema se solucionó mejorando el manejo de la memoria.

    ID CVE

    CVE-2015-5863: Ilja van Sprundel de IOActive

  • iTunes Store

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Las credenciales de la Apple ID podían permanecer en el llavero después de cerrar la sesión.

    Descripción: Existía un problema en el borrado del llavero. Este problema se solucionó mejorando la limpieza de cuentas.

    ID CVE

    CVE-2015-5832: Kasif Dekel de Check Point Software Technologies

  • JavaScriptCore

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía provocar la ejecución de código arbitrario.

    Descripción: Existían problemas de daños en la memoria en WebKit. Estos problemas se solucionaron mejorando el manejo de la memoria.

    ID CVE

    CVE-2015-5791: Apple

    CVE-2015-5793: Apple

    CVE-2015-5814: Apple

    CVE-2015-5816: Apple

    CVE-2015-5822: Mark S. Miller de Google

    CVE-2015-5823: Apple

  • Kernel

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Un usuario local podía ejecutar código arbitrario con privilegios del kernel.

    Descripción: Existía un problema de daños en la memoria del kernel. Este problema se solucionó mejorando el manejo de la memoria.

    ID CVE

    CVE-2015-5868: Cererdlong de Alibaba Mobile Security Team

    CVE-2015-5896: Maxime Villard de m00nbsd

    CVE-2015-5903: CESG

    Entrada actualizada el 21 de diciembre de 2016

  • Kernel

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Un atacante local podía controlar el valor de las cookies de pila.

    Descripción: Existían varias debilidades en la generación de cookies de pila del espacio del usuario. Esto se solucionó mejorando la generación de cookies de pila.

    ID CVE

    CVE-2013-3951: Stefan Esser

  • Kernel

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Un proceso local puede modificar otros procesos sin comprobaciones de autorizaciones.

    Descripción: Existía un problema por el cual los procesos root que utilizaban la API processor_set_tasks podían recuperar los puertos de tareas de otros procesos. Este problema se solucionó mediante la comprobación adicional de autorizaciones.

    ID CVE

    CVE-2015-5882: Pedro Vilaça, a partir de la investigación previa de Ming-chieh Pan y Sung-ting Tsai; Jonathan Levin

  • Kernel

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Un atacante podía lanzar ataques de denegación de servicio en conexiones TCP específicas sin conocer el número de secuencia correcto.

    Descripción: Existía un problema en la validación de cabeceras de paquetes TCP por parte de xnu. El problema se solucionó mejorando la validación de cabeceras de paquetes TCP.

    ID CVE

    CVE-2015-5879: Jonathan Looney

  • Kernel

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Un atacante en un segmento LAN local podía desactivar el enrutamiento IPv6.

    Descripción: Existía un problema de validación insuficiente en la administración de los anuncios de router de IPv6 que permitía que un atacante estableciera el límite de saltos en un valor arbitrario. Este problema se solucionó aplicando un límite mínimo de saltos.

    ID CVE

    CVE-2015-5869: Dennis Spindel Ljungmark

  • Kernel

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Un usuario local podía determinar el diseño de memoria del kernel.

    Descripción: Existía un problema en XNU que ocasionó la divulgación de contenido de la memoria del kernel. Esto se solucionó mejorando la inicialización de las estructuras de memoria del kernel.

    ID CVE

    CVE-2015-5842: beist de grayhash

  • Kernel

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Un usuario local podía provocar una denegación de servicio del sistema.

    Descripción: Existía un problema en el montaje de la unidad HFS. Esto se solucionó agregando más comprobaciones de validación.

    ID CVE

    CVE-2015-5748: Maxime Villard de m00nbsd

  • libc

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Un atacante remoto podía causar la ejecución de códigos arbitrarios.

    Descripción: Existía un problema de daños en la memoria en la función fflush. Este problema se solucionó mejorando el manejo de la memoria.

    ID CVE

    CVE-2014-8611: Adrian Chadd y Alfred Perlstein de Norse Corporation

  • libpthread

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Un usuario local podía ejecutar código arbitrario con privilegios del kernel.

    Descripción: Existía un problema de daños en la memoria del kernel. Este problema se solucionó mejorando el manejo de la memoria.

    ID CVE

    CVE-2015-5899: Lufeng Li de Qihoo 360 Vulcan Team

  • Mail

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Un atacante puede enviar un correo electrónico que parece provenir de un contacto de la libreta de direcciones del destinatario.

    Descripción: Existía un problema en la administración de la dirección del remitente. Este problema se solucionó mejorando la validación.

    ID CVE

    CVE-2015-5857: Emre Saglam de salesforce.com

  • Conexión multipunto

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Un atacante local podía observar los datos multipunto no protegidos.

    Descripción: Existía un problema en el manejo del inicializador de conveniencia por el cual una sesión encriptada podía pasar activamente a ser una sesión no encriptada. Este problema se solucionó modificando el inicializador de conveniencia para que requiera la encriptación.

    ID CVE

    CVE-2015-5851: Alban Diquet (@nabla_c0d3) de Data Theorem

  • NetworkExtension

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Una aplicación creada con fines malintencionados podía determinar la distribución de la memoria del kernel.

    Descripción: Un problema de memoria no inicializada en el kernel ocasionó la divulgación del contenido de la memoria del kernel. Este problema se solucionó mediante la inicialización de la memoria.

    ID CVE

    CVE-2015-5831: Maxime Villard de m00nbsd

  • OpenSSL

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Varias vulnerabilidades en OpenSSL.

    Descripción: Existían varias vulnerabilidades en las versiones de OpenSSL anteriores a 0.9.8zg. Para solucionar esto, se actualizó OpenSSL a la versión 0.9.8zg.

    ID CVE

    CVE-2015-0286

    CVE-2015-0287

  • PluginKit

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Una aplicación empresarial creada con fines malintencionados puede instalar extensiones antes de que la aplicación se establezca como confiable.

    Descripción: Existía un problema en la validación de las extensiones durante la instalación. Esto se solucionó mejorando la comprobación de las aplicaciones.

    ID CVE

    CVE-2015-5837: Zhaofeng Chen, Hui Xue y Tao (Lenx) Wei de FireEye, Inc.

  • removefile

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: El procesamiento de datos creados con fines malintencionados podía ocasionar el cierre inesperado de la aplicación.

    Descripción: Existía un error de desbordamiento en las rutinas de división checkint. Este problema se solucionó mejorando las rutinas de división.

    ID CVE

    CVE-2015-5840: Investigador anónimo

  • Safari

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Un usuario local podía leer los favoritos de Safari en un dispositivo iOS bloqueado sin un código de acceso.

    Descripción: Los datos de favoritos de Safari estaban encriptados con una clave protegida únicamente por el UID de hardware. Este problema se solucionó encriptando los datos de favoritos de Safari con una clave protegida por el UID de hardware y el código de acceso del usuario.

    ID CVE

    CVE-2015-7118: Jonathan Zdziarski

    Entrada actualizada el 21 de diciembre de 2016

  • Safari

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía ocasionar la suplantación de la interfaz del usuario.

    Descripción: Un problema podía haber permitido que una página web mostrara el contenido de una URL de un sitio web diferente. Este problema se solucionó mejorando el manejo de las URL.

    ID CVE

    CVE-2015-5904: Erling Ellingsen de Facebook, Łukasz Pilorz

  • Safari

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía ocasionar la suplantación de la interfaz del usuario.

    Descripción: La navegación en un sitio web creado con fines malintencionados con una ventana padre incorrecta podía permitir la visualización de URL arbitrarias. Este problema se solucionó mejorando la administración de las ventanas padre.

    ID CVE

    CVE-2015-5905: Keita Haga de keitahaga.com

  • Safari

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Los sitios web creados con fines malintencionados podían realizar un seguimiento de los usuarios con certificados de cliente.

    Descripción: Existía un problema en la identificación del certificado de cliente de Safari para la autenticación de SSL. Este problema se solucionó mejorando la identificación de certificados de cliente válidos.

    ID CVE

    CVE-2015-1129: Stefan Kraus de fluid Operations AG, Sylvain Munaut de Whatever s.a.

  • Safari

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía ocasionar la suplantación de la interfaz del usuario.

    Descripción: Varias incoherencias en la interfaz del usuario podían permitir que un sitio web creado con fines malintencionados mostrara una URL arbitraria. Los problemas se solucionaron mejorando la lógica de visualización de URL.

    • ID CVE

      CVE-2015-5764: Antonio Sanso (@asanso) de Adobe

      CVE-2015-5765: Ron Masas

      CVE-2015-5767: Krystian Kloskowski a través de Secunia, Masato Kinugawa

  • Navegación segura de Safari

    iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: La navegación a la dirección IP de un sitio web creado con fines malintencionados conocido podía no activar una advertencia de seguridad.

    Descripción: La función de navegación segura de Safari no advertía a los usuarios cuando visitaban sitios web creados con fines malintencionados conocidos mediante sus direcciones IP. El problema se solucionó mejorando la detección de sitios creados con fines malintencionados.

    Rahul M de TagsDock

  • Seguridad

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Una aplicación creada con fines malintencionados podía interceptar la comunicación entre aplicaciones.

    Descripción: Existía un problema que permitía que una aplicación creada con fines malintencionados interceptara la comunicación de esquemas de URL entre aplicaciones. Esto se mitigó mostrando un cuadro de diálogo al usar un esquema de URL por primera vez.

    ID CVE

    CVE-2015-5835: Teun van Run de FiftyTwoDegreesNorth B.V., XiaoFeng Wang de la Universidad de Indiana, Luyi Xing de la Universidad de Indiana, Tongxin Li de la Universidad de Pekín, Tongxin Li de la Universidad de Pekín, Xiaolong Bai de la Universidad Tsinghua

  • Siri

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Una persona con acceso físico a un dispositivo iOS podía usar Siri para leer notificaciones de contenido que se configuró para que no se mostrara en la pantalla de bloqueo.

    Descripción: Al pedirle algo a Siri, el servidor no comprobaba las restricciones del lado del cliente. Este problema se solucionó mejorando la comprobación de las restricciones.

    ID CVE

    CVE-2015-5892: Robert S Mozayeni, Joshua Donvito

  • SpringBoard

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Una persona con acceso físico a un dispositivo iOS puede responder un mensaje de audio desde la pantalla de bloqueo cuando las vistas previas de mensajes desde la pantalla de bloqueo están desactivadas.

    Descripción: Un problema de bloqueo de pantalla permitía a los usuarios responder mensajes de audio cuando las vistas previas de mensajes estaban desactivadas. Este problema se solucionó mejorando la administración de estado.

    ID CVE

    CVE-2015-5861: Daniel Miedema de Meridian Apps

  • SpringBoard

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Una aplicación creada con fines malintencionados podía suplantar las ventanas de diálogo de otra aplicación.

    Descripción: Existía un problema de acceso con las llamadas de API privilegiadas. Este problema se solucionó mediante restricciones adicionales.

    ID CVE

    CVE-2015-5838: Min (Spark) Zheng, Hui Xue, Tao (Lenx) Wei, John C.S. Lui

  • SQLite

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Existían varias vulnerabilidades en SQLite v3.8.5.

    Descripción: Existían varias vulnerabilidades en SQLite v3.8.5. Los problemas se solucionaron actualizando SQLite a la versión 3.8.10.2.

    ID CVE

    CVE-2015-3414

    CVE-2015-3415

    CVE-2015-3416

  • tidy

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía provocar la ejecución de código arbitrario.

    Descripción: Existía un problema de daños en la memoria en Tidy. Este problema se solucionó mejorando el manejo de la memoria.

    ID CVE

    CVE-2015-5522: Fernando Muñoz de NULLGroup.com

    CVE-2015-5523: Fernando Muñoz de NULLGroup.com

  • WebKit

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Las referencias a objetos se pueden divulgar entre orígenes aislados en eventos personalizados, eventos de mensajes y eventos popstate.

    Descripción: Un problema de divulgación de objetos rompió el límite de aislamiento entre orígenes. Este problema se solucionó mejorando el aislamiento entre orígenes.

    ID CVE

    CVE-2015-5827: Gildas

  • WebKit

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía provocar la ejecución de código arbitrario.

    Descripción: Existían problemas de daños en la memoria en WebKit. Estos problemas se solucionaron mejorando el manejo de la memoria.

    ID CVE

    CVE-2015-5789: Apple

    CVE-2015-5790: Apple

    CVE-2015-5792: Apple

    CVE-2015-5794: Apple

    CVE-2015-5795: Apple

    CVE-2015-5796: Apple

    CVE-2015-5797: Apple

    CVE-2015-5799: Apple

    CVE-2015-5800: Apple

    CVE-2015-5801: Apple

    CVE-2015-5802: Apple

    CVE-2015-5803: Apple

    CVE-2015-5804: Apple

    CVE-2015-5805

    CVE-2015-5806: Apple

    CVE-2015-5807: Apple

    CVE-2015-5809: Apple

    CVE-2015-5810: Apple

    CVE-2015-5811: Apple

    CVE-2015-5812: Apple

    CVE-2015-5813: Apple

    CVE-2015-5817: Apple

    CVE-2015-5818: Apple

    CVE-2015-5819: Apple

    CVE-2015-5821: Apple

  • WebKit

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía ocasionar el marcado no deseado.

    Descripción: Existía un problema en la administración de las URL tel://, facetime:// y facetime-audio://. Este problema se solucionó mejorando el manejo de las URL.

    ID CVE

    CVE-2015-5820: Andrei Neculaesei, Guillaume Ross

  • WebKit

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: QuickType podía recordar el último carácter de una contraseña en un formulario web completado.

    Descripción: Existía un problema en la administración del contexto de ingreso de contraseña por parte de WebKit. Este problema se solucionó mejorando la administración del contexto de entrada.

    ID CVE

    CVE-2015-5906: Louis Romero de Google Inc.

  • WebKit

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Un atacante con una posición de red privilegiada podía redirigir a un dominio creado con fines malintencionados.

    Descripción: Existía un problema en la administración de las memorias caché de recursos en sitios con certificados no válidos. El problema se solucionó rechazando la memoria caché de la aplicación de los dominios con certificados no válidos.

    ID CVE

    CVE-2015-5907: Yaoqi Jia de la Universidad Nacional de Singapur (NUS)

  • WebKit

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Un sitio web malintencionado podía exfiltrar datos mediante un origen cruzado.

    Descripción: Safari permitía que las hojas de estilo de orígenes cruzados se cargaran con tipos MIME no CSS que se podían usar para la exfiltración de datos de orígenes cruzados. Este problema se solucionó limitando los tipos MIME para las hojas de estilo de orígenes cruzados.

    ID CVE

    CVE-2015-5826: filedescriptor, Chris Evans

  • WebKit

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: La API Performance podía permitir que un sitio web creado con fines malintencionados divulgara el historial de navegación, la actividad de la red y los movimientos del mouse.

    Descripción: La API Performance de WebKit podía permitir que un sitio web creado con fines malintencionados divulgara el historial de navegación, la actividad de la red y los movimientos del mouse realizando una medición del tiempo. Este problema se solucionó limitando la resolución de tiempo.

    ID CVE

    CVE-2015-5825: Yossi Oren y otros del Laboratorio de Seguridad de Redes de la Universidad de Columbia

  • WebKit

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Un atacante con una posición de red privilegiada podía divulgar información confidencial del usuario.

    Descripción: Existía un problema con las cabeceras Content-Disposition que contenían el tipo “attachment”. Este problema se solucionó deshabilitando parte de la funcionalidad para las páginas de tipo “attachment”.

    ID CVE

    CVE-2015-5921: Mickey Shkatov del equipo de investigación de amenazas avanzadas de Intel(r), Daoyuan Wu de la Universidad de Administración de Singapur, Rocky K. C. Chang de la Universidad Politécnica de Hong Kong, Łukasz Pilorz, superhei de www.knownsec.com

  • WebKit Canvas

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía provocar la divulgación de datos de imágenes de otro sitio web.

    Descripción: Existía un problema de orígenes cruzados con las imágenes de elemento “canvas” en WebKit. Esto se solucionó mejorando el seguimiento de los orígenes de seguridad.

    ID CVE

    CVE-2015-5788: Apple

  • Carga de la página WebKit

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: WebSockets podía omitir la aplicación de políticas de contenido mixto.

    • Descripción: Un problema de aplicación insuficiente de políticas permitía que WebSockets cargara contenido mixto. Este problema se solucionó extendiendo la aplicación de políticas de contenido mixto a WebSockets.

      Kevin G. Jones de Higher Logic

FaceTime no está disponible en todos los países o las regiones.

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.

Fecha de publicación: