Acerca del contenido de seguridad de iOS 8.3

En este documento se describe el contenido de seguridad de iOS 8.3.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información acerca de la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.

Para obtener información acerca de la clave PGP de seguridad de los productos Apple, consulta el artículo Cómo usar la clave PGP de seguridad de los productos Apple.

A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.

Para obtener información acerca de las actualizaciones de seguridad, consulta el artículo Actualizaciones de seguridad de Apple.

iOS 8.3

  • AppleKeyStore
    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.
    Impacto: Una aplicación maliciosa podría adivinar el código del usuario.
    Descripción: iOS permitía el acceso a una interfaz que admitía intentos de confirmar el código del usuario. Para resolver este problema, se mejoró la comprobación de autorización.
    ID CVE
    CVE-2015-1085: Elias Limneos
    Entrada actualizada el 17 de mayo de 2017
  • Drivers de audio
    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.
    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema
    Descripción: Existía un problema de validación en los objetos IOKit que usaba un driver de audio. Este problema se solucionó mejorando la validación de metadatos.
    ID CVE
    CVE-2015-1086
  • Respaldo
    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.
    Impacto: Un atacante podría usar el sistema de respaldo para acceder a áreas restringidas del sistema de archivos.
    Descripción: Existía un problema en la lógica de evaluación de la ruta relativa del sistema de respaldo. Para solucionar este problema, se mejoró la evaluación de la ruta.
    ID CVE
    CVE-2015-1087 TaiG Jailbreak Team
  • Política de confianza en certificados
    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.
    Impacto: Actualización en la política de confianza en certificados.
    Descripción: La política de confianza en certificados se actualizó. Se puede ver la lista completa de certificados en http://support.apple.com/es-lamr/HT204132
  • CFNetwork
    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.
    Impacto: Las cookies de un origen podrían enviarse a un origen diferente.
    Descripción: Existía un problema de cookies entre dominios en el manejo de redireccionamiento. Las cookies establecidas en una respuesta de redireccionamiento se podrían haber pasado a un destino de redireccionamiento perteneciente a otro origen. Este problema se solucionó mejorando el manejo de los redireccionamientos.
    ID CVE
    CVE-2015-1089: Niklas Keller (http://kelunik.com)
  • CFNetwork
    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.
    Impacto: Un usuario podía no ser capaz de eliminar el historial de búsqueda por completo.
    Descripción: Al eliminar el historial de Safari, no se elimina el estado de Seguridad de transporte HTTP estricta. Este problema se solucionó mediante la mejora de la eliminación de datos.
    ID CVE
    CVE-2015-1090
  • CFNetwork Session
    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.
    Impacto: Las credenciales de autenticación podrían enviarse a un servidor de otro origen.
    Descripción: Existía un problema con los encabezados de solicitud HTTP entre dominios en el manejo de redireccionamiento. Los encabezados de solicitud HTTP enviados en una respuesta de redireccionamiento pudieron haberse pasado a otro origen. Para solucionar el problema, se mejoró el manejo de los redireccionamientos.
    ID CVE
    CVE-2015-1091: Diego Torres (http://dtorres.me)
  • CFURL
    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.
    Impacto: Visitar un sitio web creado con fines malintencionados podía provocar la ejecución de código arbitrario.
    Descripción: Existía un problema de validación de entradas dentro del procesamiento URL. Este problema se solucionó mejorando la validación de URL.
    ID CVE
    CVE-2015-1088
  • Foundation
    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.
    Impacto: Una aplicación que use NSXMLParser podría emplearse para divulgar información.
    Descripción: Existía un problema con entidades externas XML en el manejo de XML por parte de NSXMLParser. Para solucionar este problema, se detuvo la carga de entidades externas en los orígenes.
    ID CVE
    CVE-2015-1092 Ikuya Fukumoto
  • FontParser
    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.
    Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.
    Descripción: Existían varios problemas de daños en la memoria en el procesamiento de tipos de letra. Estos problemas se solucionaron mejorando la comprobación de límites.
    ID CVE
    CVE-2015-1093: Marc Schoenefeld
  • IOAcceleratorFamily
    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.
    Impacto: Una aplicación malintencionada podría determinar la distribución de la memoria del kernel.
    Descripción: Existía un problema en IOAcceleratorFamily que ocasionaba la divulgación de memoria del kernel. Para solucionar este problema, se eliminó el código innecesario.
    ID CVE
    CVE-2015-1094 Cererdlong de Alibaba Mobile Security Team
  • IOHIDFamily
    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.
    Impacto: Un dispositivo HID malintencionado podía generar la ejecución de código arbitrario.
    Descripción: Existía un problema de daños de la memoria en una API de IOHIDFamily. Este problema se solucionó mejorando el manejo de la memoria.
    ID CVE
    CVE-2015-1095: Andrew Church
  • IOHIDFamily
    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.
    Impacto: Una aplicación malintencionada podría determinar la distribución de la memoria del kernel.
    Descripción: Existía un problema en IOHIDFamily que ocasionaba la divulgación de memoria del kernel. Este problema se solucionó mejorando la comprobación de los límites.
    ID CVE
    CVE-2015-1096: Ilja van Sprundel de IOActive
  • IOMobileFramebuffer
    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.
    Impacto: Una aplicación malintencionada podría determinar la distribución de la memoria del kernel.
    Descripción: Existía un problema en MobileFrameBuffer que ocasionaba la divulgación de memoria del kernel. Este problema se solucionó mejorando la comprobación de los límites.
    ID CVE
    CVE-2015-1097 Barak Gabai del Equipo de Investigación de Seguridad de Aplicaciones X-Force de IBM
  • iWork Viewer
    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.
    Impacto: Abrir un archivo iWork creado con fines malintencionados podría provocar la ejecución de código arbitrario.
    Descripción: Existía un problema de daños en la memoria en el manejo de archivos iWork. Este problema se solucionó mejorando el manejo de la memoria.
    ID CVE
    CVE-2015-1098: Christopher Hickstein
  • Kernel
    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.
    Impacto: Una aplicación maliciosa podría provocar una denegación de servicio del sistema.
    Descripción: Se produjo una condición rara en la llamada de sistema setreuid del kernel. Este problema se solucionó mejorando la administración de estado.
    ID CVE
    CVE-2015-1099: Mark Mentovai de Google Inc.
  • Kernel
    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.
    Impacto: Una aplicación maliciosa podría escalar privilegios utilizando un servicio comprometido diseñado para ejecutar privilegios reducidos.
    Descripción: Las llamadas de sistema setreuid y setregid no podían restringir privilegios de forma permanente. Para solucionar este problema, se restringieron los privilegios de forma correcta.
    ID CVE
    CVE-2015-1117: Mark Mentovai de Google Inc.
  • Kernel
    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.
    Impacto: Una aplicación maliciosa podría provocar el cierre inesperado del sistema o leer la memoria del kernel
    Descripción: Existía un problema de acceso a la memoria fuera de límites en el kernel. Este problema se solucionó mejorando el manejo de la memoria.
    ID CVE
    CVE-2015-1100: Maxime Villard de m00nbsd
  • Kernel
    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.
    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.
    Descripción: Existía un problema de daños en la memoria del kernel. Este problema se solucionó mejorando el manejo de la memoria.
    ID CVE
    CVE-2015-1101: lokihardt@ASRT, en colaboración con Zero Day Initiative de HP
  • Kernel
    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.
    Impacto: Un atacante con una posición de red privilegiada podía provocar una denegación de servicio.
    Descripción: Existía una inconsistencia de estado en el procesamiento de encabezados TCP. Para solucionar este problema se mejoró el procesamiento de los estados.
    ID CVE
    CVE-2015-1102: Andrey Khudyakov y Maxim Zhuravlev de Kaspersky Lab
  • Kernel
    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.
    Impacto: Un atacante con posición de red privilegiada podría redireccionar el tráfico del usuario a hosts arbitrarios.
    Descripción: Se activaban redireccionamientos de ICMP por omisión en iOS. Para solucionar este problema, se desactivaron los redireccionamientos de ICMP.
    ID CVE
    CVE-2015-1103: Zimperium Mobile Security Labs
  • Kernel
    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.
    Impacto: Un atacante remoto podría eludir los filtros de la red.
    Descripción: El sistema trataba algunos paquetes de IPv6 de interfaces de red remotas como paquetes locales. El problema se solucionó mediante el rechazo de estos paquetes.
    ID CVE
    CVE-2015-1104: Stephen Roettger del equipo de seguridad de Google
  • Kernel
    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.
    Impacto: Un atacante remoto podía provocar una denegación de servicio.
    Descripción: Existía un problema de incongruencia de estados en el manejo de datos de TCP fuera de banda. Este problema se solucionó mejorando la administración de estado.
    ID CVE
    CVE-2015-1105: Kenton Varda de Sandstorm.io
  • Teclados
    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.
    Impacto: QuickType podría obtener los códigos del usuario.
    Descripción: Al usar teclados Bluetooth, QuickType podía obtener los códigos de los usuarios. Para solucionar este problema, se logró evitar que QuickType aparezca en la pantalla de bloqueo.
    ID CVE
    CVE-2015-1106 Jarrod Dwenger, Steve Favorito, Paul Reedy de ConocoPhillips, Pedro Tavares de Molecular Biophysics en UCIBIO/FCT/UNL, De Paul Sunny, Christian Still de Evolve Media, Canadá
  • libnetcore
    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.
    Impacto: El procesamiento de un perfil de configuración creado con fines malintencionados podría provocar el cierre inesperado de la aplicación.
    Descripción: Existía un problema de corrupción de memoria en el manejo de perfiles de configuración. Este problema se solucionó mejorando la comprobación de los límites.
    ID CVE
    CVE-2015-1118: Zhaofeng Chen, Hui Xue, Yulong Zhang y Tao Wei de FireEye, Inc.
  • Pantalla de bloqueo
    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.
    Impacto: Un atacante en posesión de un dispositivo podría evitar la eliminación del dispositivo después de realizar intentos fallidos de introducción de códigos.
    Descripción: En algunas circunstancias, un dispositivo podía no eliminarse después de algunos intentos fallidos de introducción de códigos. Este problema se solucionó mediante la imposición adicional de borrado.
    ID CVE
    CVE-2015-1107: Brent Erickson, Stuart Ryan de la Universidad Tecnológica de Sydney
  • Pantalla de bloqueo
    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.
    Un atacante provisto de un dispositivo puede exceder el máximo número de fallos de introducción de código.
    Descripción: Bajo algunas circunstancias, el límite de intentos de introducción de código no se imponía. Este problema se solucionó mediante la imposición adicional de este límite.
    ID CVE
    CVE-2015-1108
  • NetworkExtension
    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.
    Impacto: Un atacante en posesión de un dispositivo podría recuperar credenciales de VPN.
    Descripción: Existía un problema en el manejo de los registros de configuración de VPN. Para solucionar este problema, se eliminó el registro de credenciales.
    ID CVE
    CVE-2015-1109: Josh Tway de IPVanish
  • Podcasts
    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.
    Impacto: Es posible que se envíe información innecesaria a servidores externos durante la descarga de activos de podcasts.
    Descripción: Al descargar activos para un podcast al que estaba suscrito el usuario, se enviaban identificadores únicos a servidores externos. Para solucionar este problema, se eliminaron estos identificadores.
    ID CVE
    CVE-2015-1110: Alex Selivanov
  • Safari
    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.
    Impacto: Un usuario podía no ser capaz de eliminar el historial de búsqueda por completo.
    Descripción: Al eliminar el historial de Safari, no se eliminaba el historial de “Pestañas cerradas recientemente”. Este problema se solucionó mediante la mejora de la eliminación de datos.
    ID CVE
    CVE-2015-1111: Frode Moe de LastFriday.no
  • Safari
    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.
    Impacto: Es posible que el historial de búsqueda de los usuarios no se purgue por completo.
    Descripción: Existía un problema de administración del estado en Safari que hacía que el historial de búsqueda de los usuarios no se purgara de history.plist. Este problema se solucionó mejorando la administración del estado.
    ID CVE
    CVE-2015-1112: William Breuer, Países Bajos
  • Perfiles de zona protegida
    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.
    Impacto: Una aplicación maliciosa podría tener acceso a números de teléfono o direcciones de correo electrónico de contactos recientes.
    Descripción: Existía un problema de divulgación de información en la zona restringida para aplicaciones de proveedores independientes. Para solucionar este problema, se mejoró el perfil de zona protegida.
    ID CVE
    CVE-2015-1113: Andreas Kurtz de NESO Security Labs y Markus Troßbach de Heilbronn University
  • Perfiles de zona protegida
    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.
    Impacto: Las aplicaciones de proveedores independientes podrían acceder a identificadores de hardware
    Descripción: Existía un problema de divulgación de información en la zona restringida para aplicaciones de proveedores independientes. Para solucionar este problema, se mejoró el perfil de zona protegida.
    ID CVE
    CVE-2015-1114

  • Secure Transport
    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.
    Impacto: El procesamiento de un certificado X.509 creado con fines malintencionados puede provocar el cierre inesperado de la aplicación.
    Descripción: Existía un problema de falta de referencia de puntero nulo en la manipulación de los certificados X.509. Este problema se solucionó mejorando la validación de entradas.
    ID CVE
    CVE-2015-1160: Elisha Eshed, Roy Iarchy, y Yair Amit de Skycure Security Research
  • Telefonía
    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.
    Impacto: Una aplicación maliciosa podría acceder a funciones de telefonía restringida.
    Descripción: Existía un problema de control de acceso en el subsistema de telefonía. Las aplicaciones de zona protegida podían tener acceso a funciones de telefonía restringida. Para resolver este problema, se mejoró la comprobación de autorización.
    ID CVE
    CVE-2015-1115: Andreas Kurtz de NESO Security Labs y Markus Troßbach de Heilbronn University
  • UIKit View
    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.
    Impacto: Los datos confidenciales podrían quedar expuestos en instantáneas de aplicaciones presentadas en el intercambiador de tareas.
    Descripción: Existía un problema en UIKit que no permitía el difuminado de las instantáneas de aplicaciones con datos confidenciales en el intercambiador de tareas. Para solucionar este problema, se difuminó la instantánea.
    ID CVE
    CVE-2015-1116: El equipo de aplicaciones móviles en HP Security Voltage, Aaron Rogers de Mint.com, David Edwards de Tech4Tomorrow, David Zhang de Dropbox
  • WebKit
    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.
    Impacto: Las incongruencias en la interfaz de usuario podrían impedir a los usuarios diferenciar un ataque de suplantación de identidad (“phishing”).
    Descripción: Había una incongruencia en la interfaz de usuario en Safari que permitía a un atacante representar direcciones URL de manera engañosa. Para solucionar este problema, se mejoraron las comprobaciones de congruencia de la interfaz de usuario.
    ID CVE
    CVE-2015-1084: Apple
  • WebKit
    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.
    Impacto: Visitar un sitio web creado con fines malintencionados podía provocar la ejecución de código arbitrario.
    Descripción: Existían varios problemas de errores de memoria en WebKit. Estos problemas se solucionaron mejorando la administración de la memoria.
    ID CVE
    CVE-2015-1068: Apple
    CVE-2015-1069: lokihardt@ASRT, en colaboración con Zero Day Initiative de HP
    CVE-2015-1070: Apple
    CVE-2015-1071: Apple
    CVE-2015-1072
    CVE-2015-1073: Apple
    CVE-2015-1074: Apple
    CVE-2015-1076
    CVE-2015-1077: Apple
    CVE-2015-1078: Apple
    CVE-2015-1079: Apple
    CVE-2015-1080: Apple
    CVE-2015-1081: Apple
    CVE-2015-1082: Apple
    CVE-2015-1083: Apple
    CVE-2015-1119: Renata Hodovan de University of Szeged / Samsung Electronics
    CVE-2015-1120: Apple
    CVE-2015-1121: Apple
    CVE-2015-1122: Apple
    CVE-2015-1123: Randy Luecke y Anoop Menon de Google Inc.
    CVE-2015-1124: Apple
  • WebKit
    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.
    Impacto: Visitar un sitio web creado con fines malintencionados podría provocar que un usuario haga clic en otro sitio web.
    Descripción: Existía un error en el manejo de los eventos de toque. Un toque podría propagarse a otro sitio web. Para solucionar este problema, se mejoró el manejo de eventos.
    ID CVE
    CVE-2015-1125: Phillip Moon y Matt Weston de www.sandfield.co.nz
  • WebKit
    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores.
    Impacto: Visitar un sitio web creado con fines malintencionados podría provocar el acceso a recursos de otro origen.
    Descripción: Existía un problema en WebKit en el manejo de credenciales en URL de FTP. Para solucionar este problema, se mejoró la decodificación.
    ID CVE
    CVE-2015-1126: Jouko Pynnonen de Klikki Oy
  • Wi-Fi
    Impacto: La contraseña del usuario puede enviarse a un punto de acceso de Internet no confiable.
    Descripción: La pantalla que informa un certificado Wi-Fi no confiable tenía solo un botón que confiaba en el certificado. El usuario que no deseaba utilizar el punto de acceso Wi-Fi debía presionar el botón de inicio o activación/reposo para salir de la pantalla. Este problema se resolvió al agregar el botón visible “Cancelar”.
    ID CVE
    CVE-2015-5762: Michael Santos

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados o probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o productos de otros fabricantes. Apple no ofrece ninguna representación con relación a la precisión o fiabilidad de los sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Comunícate con el proveedor para obtener información adicional. Otros nombres de compañías y productos mencionados pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: