Acerca del contenido de seguridad de iOS 17.7 y iPadOS 17.7

En este documento se describe el contenido de seguridad de iOS 17.7 y iPadOS 17.7.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Encontrarás una lista de las últimas versiones en la página Versiones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

iOS 17.7 y iPadOS 17.7

Publicado el 16 de septiembre de 2024

Accessibility

Disponible para: iPhone XS y modelos posteriores; iPad Pro de 13 pulgadas; iPad Pro de 12,9 pulgadas (2.ª generación y modelos posteriores); iPad Pro de 10,5 pulgadas; iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores); iPad Air (3.ª generación y modelos posteriores); iPad (6.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores)

Impacto: un atacante con acceso físico a un dispositivo bloqueado podría controlar dispositivos cercanos mediante las funciones de accesibilidad

Descripción: para resolver este problema se ha mejorado la gestión del estado.

CVE-2024-44171: Jake Derouin

ARKit

Impacto: procesar un archivo creado con fines malintencionados puede provocar daños en la memoria heap.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2024-44126: Holger Fuhrmannek

Entrada añadida el 28 de octubre de 2024

Compression

Impacto: desempaquetar un archivo creado con fines malintencionados podría permitir a un atacante escribir archivos arbitrarios.

Descripción: se ha solucionado una condición de carrera con una mejora del bloqueo.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Game Center

Impacto: una app podría acceder a datos confidenciales de los usuarios.

Descripción: se ha solucionado un problema de acceso a archivos mediante la mejora de la validación de las entradas.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Impacto: el procesamiento de un archivo creado con fines malintencionados podría provocar el cierre inesperado de la app.

Descripción: se ha solucionado un problema de lectura fuera de los límites al mejorar la validación de las entradas.

CVE-2024-27880: Junsung Lee

ImageIO

Impacto: procesar una imagen podría provocar una denegación de servicio.

Descripción: se ha solucionado un problema de acceso fuera de los límites al mejorar la comprobación de los límites.

CVE-2024-44176: dw0r de ZeroPointer Lab en colaboración con Trend Micro Zero Day Initiative y un investigador anónimo

IOSurfaceAccelerator

Impacto: una aplicación puede provocar una terminación inesperada del sistema

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2024-44169: Antonio Zekić

Kernel

Impacto: el tráfico de red puede filtrarse fuera de un túnel VPN

Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.

CVE-2024-44165: Andrew Lytvynov

Kernel

Impacto: una aplicación podría obtener acceso no autorizado a Bluetooth.

Descripción: para resolver este problema se ha mejorado la gestión del estado.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) y Mathy Vanhoef

Mail Accounts

Impacto: una app puede ser capaz de acceder a la información sobre los contactos de un usuario.

Descripción: el problema se ha solucionado mediante la mejora de la eliminación de datos privados para las entradas de registro.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

mDNSResponder

Impacto: una aplicación podría provocar una denegación de servicio.

Descripción: se ha solucionado un error de lógica con la mejora de la gestión de errores.

CVE-2024-44183: Olivier Levon

Safari Private Browsing

Impacto: se puede acceder a las pestañas de navegación privada sin autenticación

Descripción: para resolver este problema se ha mejorado la gestión del estado.

CVE-2024-44127: Anamika Adhikari

Shortcuts

Impacto: un acceso directo puede dar salida a datos sensibles del usuario sin consentimiento.

Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.

CVE-2024-44158: Kirin (@Pwnrin)

Shortcuts

Impacto: una app puede ser capaz de observar los datos mostrados al usuario por Atajos

Descripción: se ha corregido un problema de privacidad con una gestión mejorada de los archivos temporales.

CVE-2024-40844: Kirin (@Pwnrin) y luckyu (@uuulucky) de NorthSea

Sync Services

Impacto: una app podría evitar las preferencias de privacidad.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2024-44164: Mickey Jin (@patch1t)

Transparency

Impacto: una app podría acceder a datos confidenciales de los usuarios.

Descripción: se ha solucionado un problema de permisos con restricciones adicionales.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

UIKit

Impacto: un atacante podría provocar el cierre inesperado de la app

Descripción: el problema se ha solucionado mediante la mejora de la comprobación de límites.

CVE-2024-27879: Justin Cohen

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Fecha de publicación: 01 de noviembre de 2024