Acerca del contenido de seguridad de iOS 9.3

En este documento se describe el contenido de seguridad de iOS 9.3.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos Apple.

A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.

Para obtener información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

iOS 9.3

  • AppleUSBNetworking

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Un dispositivo USB podría provocar una denegación de servicio

    Descripción: Existía un problema en el manejo de errores en la validación de paquetes. Para solucionar este problema, se mejoró el procesamiento de errores.

    ID CVE

    CVE-2016-1734: Andrea Barisani y Andrej Rosano de Inverse Path

  • FontParser

    Disponible para iPhone 4s y posterior, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Abrir un archivo PDF creado con fines malintencionados podría ocasionar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Un problema de daños en la memoria se solucionó mejorando el manejo de la memoria.

    ID CVE

    CVE-2016-1740: HappilyCoded (ant4g0nist y r3dsm0k3) en colaboración con la Zero Day Initiative (ZDI) de Trend Micro

  • HTTPProtocol

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Un atacante remoto podría ejecutar código arbitrario

    Descripción: Existían diversas vulnerabilidades en las versiones de nghttp2 anteriores a 1.6.0; la más grave podría haber derivado en la ejecución remota de código. Para solucionar esto, se actualizó nghttp2 a la versión 1.6.0.

    ID CVE

    CVE-2015-8659

  • IOHIDFamily

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Una aplicación podría determinar la distribución de la memoria del kernel

    Descripción: Un problema de daños en la memoria se solucionó mejorando el manejo de la memoria.

    ID CVE

    CVE-2016-1748: Brandon Azad

  • Kernel

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Una aplicación podría provocar una denegación de servicio

    Descripción: Un problema de denegación del servicio se solucionó mejorando la validación.

    ID CVE

    CVE-2016-1752: CESG

  • Kernel

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Una aplicación podría ejecutar código arbitrario con privilegios del kernel.

    Descripción: Un problema de uso después de liberación se solucionó mejorando la administración de la memoria.

    ID CVE

    CVE-2016-1750: CESG

  • Kernel

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Una aplicación podría ejecutar código arbitrario con privilegios del kernel

    Descripción: Se solucionaron varios problemas de desbordamiento de enteros mejorando la validación de entrada.

    ID CVE

    CVE-2016-1753: Juwei Lin Trend Micro en colaboración con la Zero Day Initiative (ZDI) de Trend Micro

  • Kernel

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Una aplicación podría omitir la firma de código

    Descripción: Existía un problema de permisos en el que el permiso de ejecución se otorgaba incorrectamente. Este problema se solucionó mejorando la validación de permisos.

    ID CVE

    CVE-2016-1751: Eric Monti de Square Mobile Security

  • Kernel

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Una app podía ejecutar código arbitrario con privilegios del kernel.

    Descripción: Existía una condición de carrera durante la creación de los procesos nuevos. Este problema se solucionó mejorando el manejo de estados.

    ID CVE

    CVE-2016-1757: Ian Beer de Google Project Zero y Pedro Vilaça

  • Kernel

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Una app podía ejecutar código arbitrario con privilegios del kernel.

    Descripción: Un problema de falta de referencia de puntero nulo se solucionó mejorando la validación de entrada.

    ID CVE

    CVE-2016-1756: Lufeng Li de Qihoo 360 Vulcan Team

  • Kernel

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Una aplicación podría ejecutar código arbitrario con privilegios del kernel

    Descripción: Se solucionaron varios problemas de daños en la memoria mejorando el manejo de la memoria.

    ID CVE

    CVE-2016-1754: Lufeng Li de Qihoo 360 Vulcan Team

    CVE-2016-1755: Ian Beer de Google Project Zero

  • Kernel

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Una aplicación podría determinar la distribución de la memoria del kernel

    Descripción: Existía un problema de lectura fuera de los límites que ocasionó la divulgación de contenido de la memoria del kernel. Este problema se solucionó mejorando la validación de entrada.

    ID CVE

    CVE-2016-1758: Brandon Azad

  • LaunchServices

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Una aplicación podría modificar eventos de otras aplicaciones

    Descripción: Existía un problema de validación del identificador de eventos en la API de servicios de XPC. Para solucionar este problema, se mejoró la validación de los mensajes.

    ID CVE

    CVE-2016-1760: Proteas de Qihoo 360 Nirvan Team

  • libxml2

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: El procesamiento de un archivo XML creado con fines malintencionados podía ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario

    Descripción: Se solucionaron varios problemas de daños en la memoria mejorando el manejo de la memoria.

    ID CVE

    CVE-2015-1819

    CVE-2015-5312: David Drysdale de Google

    CVE-2015-7499

    CVE-2015-7500: Kostya Serebryany de Google

    CVE-2015-7942: Kostya Serebryany de Google

    CVE-2015-8035: gustavo.grieco

    CVE-2015-8242: Hugh Davenport

    CVE-2016-1761: wol0xff en colaboración con la Zero Day Initiative (ZDI) de Trend Micro

    CVE-2016-1762

  • Mensajes

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podría provocar que el texto se completara automáticamente en otras cadenas de mensajes

    Descripción: Existía un problema en el análisis de URL de SMS. Este problema se solucionó mejorando la validación de URL.

    ID CVE

    CVE-2016-1763: CityTog

  • Mensajes

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Un atacante que pudiera eludir la fijación de certificados de Apple, interceptar las conexiones TLS, inyectar mensajes y registrar mensajes de tipo archivo adjunto encriptados podría leer los archivos adjuntos

    Descripción: Un problema criptográfico se solucionó rechazando los mensajes duplicados en el cliente.

    ID CVE

    CVE-2016-1788: Christina Garman, Matthew Green, Gabriel Kaptchuk, Ian Miers y Michael Rushanan de Johns Hopkins University

  • Perfiles

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Un perfil de MDM no confiable podría mostrarse incorrectamente como verificado

    Descripción: Existía un problema de validación de certificados en los perfiles de MDM. Este problema se solucionó mediante comprobaciones adicionales.

    ID CVE

    CVE-2016-1766: Taylor Boyko en colaboración con la Zero Day Initiative (ZDI) de Trend Micro

  • Seguridad

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Procesar un certificado creado con fines malintencionados podría ocasionar la ejecución de código arbitrario

    Descripción: Existía un problema de daños en la memoria en el decodificador ASN.1. Este problema se solucionó mejorando la validación de entrada.

    ID CVE

    CVE-2016-1950: Francis Gabriel de Quarkslab

  • TrueTypeScaler

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Procesar un archivo de fuente creado con fines malintencionados podría provocar la ejecución de código arbitrario

    Descripción: Existía un problema de daños de memoria en la administración de archivos de tipos de letra. Este problema se solucionó mejorando la validación de entrada.

    ID CVE

    CVE-2016-1775: 0x1byte en colaboración con la Zero Day Initiative (ZDI) de Trend Micro

  • WebKit

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: El procesamiento de contenido web creado con fines malintencionados podría ocasionar la ejecución de código arbitrario

    Descripción: Se solucionaron varios problemas de daños en la memoria mejorando el manejo de la memoria.

    ID CVE

    CVE-2016-1778: 0x1byte en colaboración con la Zero Day Initiative (ZDI) de Trend Micro y Yang Zhao de CM Security

    CVE-2016-1783: Mihai Parparita de Google

  • WebKit

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Un sitio web podría rastrear información confidencial del usuario

    Descripción: Existía un problema en el manejo de URL de archivos adjuntos. Este problema se solucionó mejorando el manejo de las URL.

    ID CVE

    CVE-2016-1781: Devdatta Akhawe de Dropbox, Inc.

  • WebKit

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Un sitio web podría rastrear información confidencial del usuario

    Descripción: Una página web oculta podría acceder a los datos de orientación del dispositivo o de movimiento del dispositivo. Este problema se solucionó suspendiendo la disponibilidad de estos datos cuando la vista web está oculta.

    ID CVE

    CVE-2016-1780: Maryam Mehrnezhad, Ehsan Toreini, Siamak F. Shahandashti y Feng Hao de la School of Computing Science, Newcastle University, Reino Unido

  • WebKit

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podría revelar la ubicación actual del usuario

    Descripción: Existía un problema en el análisis de solicitudes de geolocalización. Este problema se solucionó mejorando la validación del origen de la seguridad para las solicitudes de geolocalización.

    ID CVE

    CVE-2016-1779: xisigr de Tencent's Xuanwu Lab (http://www.tencent.com)

  • WebKit

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Un sitio web malintencionado podría acceder a los puertos restringidos en servidores arbitrarios

    Descripción: Un problema de redirección de puertos se solucionó mediante la validación adicional de los puertos.

    ID CVE

    CVE-2016-1782: Muneaki Nishimura (nishimunea) de Recruit Technologies Co., Ltd.

  • WebKit

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Abrir una dirección URL creada con fines malintencionados podría provocar la divulgación de información confidencial del usuario

    Descripción: existía un problema en la redirección de la URL cuando el XSS auditor se utilizaba en modo bloqueado: Se atendió este problema mediante la mejora de la navegación URL.

    ID CVE

    CVE-2016-1864: Takeshi Terada de Mitsui Bussan Secure Directions, Inc.

  • Historial de WebKit

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Procesar contenido web creado con fines malintencionados podría provocar un bloqueo inesperado en Safari

    Descripción: Un problema de agotamiento de recursos se solucionó mejorando la validación de entrada.

    ID CVE

    CVE-2016-1784: Moony Li y Jack Tang de TrendMicro y 李普君 de 无声信息技术PKAV Team (PKAV.net)

  • Carga de la página WebKit

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podría provocar la suplantación de la interfaz de usuario

    Descripción: Redirigir respuestas podría haber permitido a un sitio web malintencionado mostrar una URL arbitraria y leer contenido en caché del origen del destino. Este problema se solucionó mejorando la lógica de visualización de las URL.

    ID CVE

    CVE-2016-1786: ma.la de LINE Corporation

  • Carga de la página WebKit

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Un sitio web malintencionado podría exfiltrar datos mediante un origen cruzado

    Descripción: Existía un problema de almacenamiento en memoria caché con la codificación de los caracteres. Este problema se solucionó mediante una comprobación adicional de las solicitudes.

    ID CVE

    CVE-2016-1785: Un investigador anónimo

  • Wi-Fi

    Disponible para iPhone 4s y posteriores, iPod touch (quinta generación y posteriores) y iPad 2 y posteriores

    Impacto: Un atacante con una posición de red privilegiada podría ejecutar código arbitrario

    Descripción: Existía un problema de validación de marcos y daños en la memoria para un EtherType determinado. Este problema se solucionó mediante la validación adicional del EtherType y mejorando el manejo de la memoria.

    ID CVE

    CVE-2016-0801: Un investigador anónimo

    CVE-2016-0802: Un investigador anónimo

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados o probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o productos de otros fabricantes. Apple no ofrece ninguna representación con relación a la precisión o fiabilidad de los sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Comunícate con el proveedor para obtener información adicional. Otros nombres de compañías y productos mencionados pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: