Acerca del contenido de seguridad de iOS 17.7 y iPadOS 17.7

En este documento, se describe el contenido de seguridad de iOS 17.7 y iPadOS 17.7.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Los lanzamientos recientes aparecen en la página Versiones de seguridad de Apple.

Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.

Para obtener más información sobre los aspectos de seguridad, consulta la página de seguridad de los productos Apple.

iOS 17.7 y iPadOS 17.7

Publicado el 16 de septiembre de 2024

Accessibility

Disponible para los siguientes modelos: iPhone XS y modelos posteriores, iPad Pro de 13 pulgadas, iPad Pro de segunda generación de 12,9 pulgadas y modelos posteriores, iPad Pro de 10,5 pulgadas, iPad Pro de primera generación de 11 pulgadas y modelos posteriores, iPad Air de tercera generación y modelos posteriores, iPad de sexta generación y modelos posteriores, y iPad mini de quinta generación y modelos posteriores

Impacto: Un atacante con acceso físico a un dispositivo bloqueado podía controlar los dispositivos cercanos mediante funciones de accesibilidad.

Descripción: Para solucionar este problema, se mejoró la administración del estado.

CVE-2024-44171: Jake Derouin (jakederouin.com)

Entrada actualizada el 3 de marzo de 2025

ARKit

Impacto: Es posible que el procesamiento de un archivo creado con fines malintencionados pueda generar daños en la memoria del montón

Descripción: Para solucionar este problema, se mejoró la comprobación.

CVE-2024-44126: Holger Fuhrmannek

Entrada agregada el 28 de octubre de 2024

Compression

Impacto: Abrir un archivo creado con fines malintencionados podía permitir que un atacante escribiera archivos arbitrarios.

Descripción: Para solucionar un problema de condición de carrera, se mejoró el bloqueo.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Game Center

Impacto: Es posible que una app pueda acceder a información confidencial del usuario

Descripción: Se mejoró la validación de entradas para solucionar un problema de acceso a archivos.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Impacto: Es posible que el procesamiento de un archivo creado con fines malintencionados pueda provocar el cierre inesperado de la app.

Descripción: Se mejoró la validación de entradas para solucionar un problema de lectura fuera de los límites.

CVE-2024-27880: Junsung Lee

ImageIO

Impacto: El procesamiento de una imagen podía provocar una denegación de servicio

Descripción: Se mejoró la comprobación de límites para solucionar un problema de acceso fuera de los límites.

CVE-2024-44176: dw0r de ZeroPointer Lab en colaboración con el programa Zero Day Initiative de Trend Micro, un investigador anónimo

IOSurfaceAccelerator

Impacto: Una app podía provocar el cierre inesperado del sistema.

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2024-44169: Antonio Zekić

Kernel

Impacto: El tráfico de red podía irse por un túnel de la VPN.

Descripción: Se mejoraron las comprobaciones para solucionar un problema de lógica.

CVE-2024-44165: Andrew Lytvynov

Kernel

Impacto: Es posible que una app obtenga acceso no autorizado a Bluetooth

Descripción: Para solucionar este problema, se mejoró la administración del estado.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) y Mathy Vanhoef

Mail Accounts

Impacto: Es posible que una app acceda a información sobre los contactos de un usuario

Descripción: Para solucionar un problema de privacidad, se mejoró la redacción de datos privados para las entradas de registro.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

mDNSResponder

Impacto: Una app podía provocar una denegación de servicio.

Descripción: Se mejoró la administración de errores para solucionar un problema de lógica.

CVE-2024-44183: Olivier Levon

Safari Private Browsing

Impacto: Es posible que se pueda ingresar a pestañas de navegación privada sin autenticación.

Descripción: Para solucionar este problema, se mejoró la administración del estado.

CVE-2024-44127: Anamika Adhikari

Shortcuts

Impacto: Un atajo podía emitir datos confidenciales del usuario sin su consentimiento.

Descripción: Para solucionar este problema, se mejoró la redacción de información confidencial.

CVE-2024-44158: Kirin (@Pwnrin)

Shortcuts

Impacto: Una app podía observar los datos que Atajos muestra al usuario.

Descripción: Se solucionó un problema de privacidad con la mejora del manejo de archivos temporales.

CVE-2024-40844: Kirin (@Pwnrin) y luckyu (@uuulucky) de NorthSea

Siri

Impacto: Un atacante con acceso físico a un dispositivo podía leer los números de contacto desde la pantalla de bloqueo.

Descripción: Para solucionar este problema, se restringieron las opciones que se ofrecían en un dispositivo bloqueado.

CVE-2024-44179: Bistrit Dahal, Matej Moravec (@MacejkoMoravec)

Entrada agregada el 3 de marzo de 2025

Sync Services

Impacto: Es posible que una app pueda omitir las preferencias de privacidad.

Descripción: Para solucionar este problema, se mejoraron las comprobaciones.

CVE-2024-44164: Mickey Jin (@patch1t)

Transparency

Impacto: Es posible que una app pueda acceder a información confidencial del usuario

Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

UIKit

Impacto: Un atacante podía provocar el cierre inesperado de la app.

Descripción: Para solucionar este problema, se mejoró la comprobación de los límites.

CVE-2024-27879: Justin Cohen