Acerca del contenido de seguridad de iOS 17.3 y iPadOS 17.3

En este documento se describe el contenido de seguridad de iOS 17.3 y iPadOS 17.3.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

iOS 17.3 y iPadOS 17.3

Publicado el 22 de enero de 2024

Apple Neural Engine

Disponible para dispositivos con Apple Neural Engine: iPhone XS y modelos posteriores, iPad Pro de 12,9 pulgadas (3.ª generación) y modelos posteriores, iPad Pro de 11 pulgadas (1.ª generación) y modelos posteriores, iPad Air (3.ª generación) y modelos posteriores, iPad (8.ª generación) y modelos posteriores y iPad mini (5.ª generación) y modelos posteriores.

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2024-23212: Ye Zhang de Baidu Security

CoreCrypto

Disponible para: iPhone XS y modelos posteriores, iPad Pro de 12,9 pulgadas (2.ª generación y modelos posteriores), iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores), iPad Air (3.ª generación y modelos posteriores), iPad (6.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores).

Impacto: un atacante podría ser capaz de desencriptar textos RSA PKCS#1 v1.5 encriptados heredados sin tener la clave privada

Descripción: se ha solucionado un problema de sincronización de canal lateral con mejoras en el cálculo de tiempo constante en funciones criptográficas.

CVE-2024-23218: Clemens Lang

Kernel

Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2024-23208: fmyy(@binary_fmyy) y lime del equipo TIANGONG de Legendsec en QI-ANXIN Group

libxpc

Impacto: una aplicación puede provocar una denegación de servicio.

Descripción: se ha solucionado un problema de permisos con restricciones adicionales.

CVE-2024-23201: Koh M. Nakagawa of FFRI Security, Inc. y un investigador anónimo

Entrada añadida el 7 de marzo de 2024

Mail Search

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.

CVE-2024-23207: Noah Roskin-Frazee, profesor J. (ZeroClicks.ai Lab) y Ian de Marcellus

Notes

Impacto: el contenido bloqueado de Notas podría desbloquearse inesperadamente.

Descripción: para resolver este problema se ha mejorado la gestión del estado.

CVE-2024-23228: Harsh Tyagi

Entrada añadida el 24 de abril de 2024

NSSpellChecker

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se ha corregido un problema de privacidad con una gestión mejorada de los archivos.

CVE-2024-23223: Noah Roskin-Frazee y Prof. J. (ZeroClicks.ai Lab)

Power Manager

Impacto: una app podría dañar la memoria del coprocesador

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2024-27791: Pan ZhenPeng (@Peterpan0927) de STAR Labs SG Pte. Ltd.

Entrada añadida el 24 de abril de 2024

Reset Services

Disponible para: iPhone XS y modelos posteriores.

Impacto: la protección en caso de robo podría desactivarse de forma inesperada.

Descripción: el problema se ha solucionado mejorando la autenticación.

CVE-2024-23219: Peter Watthey y Christian Scalese

Safari

Impacto: la actividad de navegación privada de un usuario podría verse en Ajustes.

Descripción: se ha corregido un problema de privacidad con una gestión mejorada de las preferencias del usuario.

CVE-2024-23211: Mark Bowers

Shortcuts

Impacto: un acceso directo podría utilizar información confidencial mediante ciertas acciones sin preguntar al usuario.

Descripción: se ha solucionado el problema con comprobaciones de permisos adicionales.

CVE-2024-23203: investigador anónimo

CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)

Shortcuts

Impacto: una app podría evitar ciertas preferencias de privacidad.

Descripción: se ha corregido un problema de privacidad con una gestión mejorada de los archivos temporales.

CVE-2024-23217: Kirin (@Pwnrin)

TCC

Impacto: una app podría acceder a datos confidenciales de los usuarios.

Descripción: se ha corregido un problema con una gestión mejorada de los archivos temporales.

CVE-2024-23215: Zhongquan Li (@Guluisacat)

Time Zone

Impacto: una app podría ver el número de teléfono de un usuario en los registros del sistema

Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.

CVE-2024-23210: Noah Roskin-Frazee y Prof. J. (ZeroClicks.ai Lab)

WebKit

Impacto: una página web con fines malintencionados podría aprovechar la huella del usuario.

Descripción: se ha solucionado un problema de acceso mejorando las restricciones de acceso.

WebKit Bugzilla: 262699

CVE-2024-23206: investigador anónimo

WebKit

Impacto: procesar contenido web puede provocar la ejecución de código arbitrario

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

WebKit Bugzilla: 266619

CVE-2024-23213: Wangtaiyu de Zhongfu info

WebKit

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de código arbitrario.

Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.

WebKit Bugzilla: 265129

CVE-2024-23214: Nan Wang (@eternalsakura13) del 360 Vulnerability Research Institute

WebKit

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de código arbitrario. Apple tiene conocimiento de que este problema se ha utilizado.

Descripción: se ha solucionado un problema de confusión de tipo mediante la mejora de las comprobaciones.

WebKit Bugzilla: 267134

CVE-2024-23222

WebKit

Impacto: es posible que un sitio web malicioso provoque un comportamiento en orígenes cruzados inesperado.

Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.

WebKit Bugzilla: 265812

CVE-2024-23271: James Lee (@Windowsrcer)

Entrada añadida el 24 de abril de 2024

Otros agradecimientos

NetworkExtension

Queremos dar las gracias a Nils Rollshausen por su ayuda.

Entrada añadida el 24 de abril de 2024

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Fecha de publicación: 12 de junio de 2024