Acerca del contenido de seguridad de iOS 16.7.9 y iPadOS 16.7.9

En este documento se describe el contenido de seguridad de iOS 16.7.9 y iPadOS 16.7.9.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Encontrarás una lista de las últimas versiones en la página Versiones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

iOS 16.7.9 y iPadOS 16.7.9

CoreGraphics

Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)

Impacto: el procesamiento de un archivo creado con fines malintencionados podría provocar el cierre inesperado de la app.

Descripción: se ha solucionado un problema de lectura fuera de los límites al mejorar la validación de las entradas.

CVE-2024-40799: D4m0n

CoreMedia

Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)

Impacto: procesar un archivo de vídeo creado con fines malintencionados podría provocar el cierre inesperado de la app.

Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la validación de las entradas.

CVE-2024-27873: Amir Bazine y Karsten König de CrowdStrike Counter Adversary Operations

ImageIO

Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)

Impacto: procesar una imagen podría provocar una denegación de servicio.

Descripción: se trata de una vulnerabilidad en el código fuente abierto y el Software Apple se encuentra entre los proyectos afectados. El CVE-ID fue asignado por un tercero. Más información sobre el tema y el CVE-ID en cve.org.

CVE-2023-6277

CVE-2023-52356

ImageIO

Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)

Impacto: el procesamiento de un archivo creado con fines malintencionados podría provocar el cierre inesperado de la app.

Descripción: se ha solucionado un problema de lectura fuera de los límites al mejorar la validación de las entradas.

CVE-2024-40806: Yisumi

ImageIO

Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)

Impacto: el procesamiento de un archivo creado con fines malintencionados podría provocar el cierre inesperado de la app.

Descripción: se ha solucionado un desbordamiento de enteros mediante la mejora de la validación de las entradas.

CVE-2024-40784: Junsung Lee en colaboración con Trend Micro Zero Day Initiative y Gandalf4a

Kernel

Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)

Impacto: un atacante local podría provocar un apagado inesperado del sistema.

Descripción: se ha solucionado un problema de confusión de tipo mejorando la gestión de la memoria.

CVE-2024-40788: Minghao Lin y Jiaxun Zhu de Zhejiang University

NetworkExtension

Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)

Impacto: la navegación privada puede filtrar parte del historial de navegación.

Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.

CVE-2024-40796: Adam M.

Photos Storage

Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)

Impacto: las fotos del álbum de fotos Oculto se pueden ver sin autenticación.

Descripción: se ha solucionado el problema de autenticación mejorando la gestión del estado.

CVE-2024-40778: Mateen Alinaghi

Security

Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)

Impacto: una app puede ser capaz de leer el historial de navegación de Safari.

Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.

CVE-2024-40798: Adam M.

Shortcuts

Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)

Impacto: un acceso directo podría utilizar información confidencial mediante ciertas acciones sin preguntar al usuario.

Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.

CVE-2024-40833: investigador anónimo

CVE-2024-40835: investigador anónimo

CVE-2024-40836: investigador anónimo

Shortcuts

Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)

Impacto: una app podría acceder a datos confidenciales de los usuarios.

Descripción: el problema se ha solucionado eliminando el código vulnerable.

CVE-2024-40793: Kirin (@Pwnrin)

Shortcuts

Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)

Impacto: un acceso directo podría ser capaz de omitir los requisitos de permisos de Internet.

Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.

CVE-2024-40809: investigador anónimo

CVE-2024-40812: investigador anónimo

Siri

Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)

Impacto: un atacante con acceso físico puede ser capaz de utilizar Siri para acceder a datos sensibles del usuario

Descripción: este problema se ha solucionado restringiendo las opciones que se ofrecen en un dispositivo bloqueado.

CVE-2024-40818: Bistrit Dahal y Srijan Poudel

Siri

Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)

Impacto: un atacante podría ser capaz de ver información confidencial de los usuarios.

Descripción: para resolver este problema se ha mejorado la gestión del estado.

CVE-2024-40786: Bistrit Dahal

Siri

Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)

Impacto: un atacante con acceso físico a un dispositivo podría acceder a los contactos desde la pantalla bloqueada.

Descripción: este problema se ha solucionado restringiendo las opciones que se ofrecen en un dispositivo bloqueado.

CVE-2024-40822: Srijan Poudel

Siri

Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)

Impacto: una aplicación de una zona protegida podría acceder a datos confidenciales de usuario en los registros del sistema.

Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.

CVE-2024-44205: Jiahui Hu (梅零落) y Meng Zhang (鲸落) de NorthSea.

VoiceOver

Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)

Impacto: un atacante podría ver contenido restringido desde la pantalla de bloqueo.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2024-40829: Abhay Kailasia (@abhay_kailasia) de la Universidad técnica de Lakshmi Narain en Bhopal, India

WebKit

Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso.

Descripción: se ha solucionado un problema de acceso fuera de los límites al mejorar la comprobación de los límites.

CVE-2024-40789: Seunghyun Lee (@0x10n) de KAIST Hacking Lab en colaboración con Trend Micro Zero Day Initiative

WebKit

Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso.

Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.

CVE-2024-40776: Huang Xilin de Ant Group Light-Year Security Lab

CVE-2024-40782: Maksymilian Motyl

WebKit

Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso.

Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.

CVE-2024-40779: Huang Xilin de Ant Group Light-Year Security Lab

CVE-2024-40780: Huang Xilin de Ant Group Light-Year Security Lab

WebKit

Disponible para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª generación), iPad Pro de 9,7 pulgadas y iPad Pro de 12,9 pulgadas (1.ª generación)

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar un ataque de ejecución de secuencias de comandos entre sitios

Descripción: este problema se ha solucionado mejorando las comprobaciones.

WebKit Bugzilla: 273805

CVE-2024-40785: Johan Carlsson (joaxcar)

Otros agradecimientos

Shortcuts

Queremos dar las gracias a un investigador anónimo por su ayuda.