Acerca del contenido de seguridad de iOS 17.7.1 y iPadOS 17.7.1

En este documento se describe el contenido de seguridad de iOS 17.7.1 y iPadOS 17.7.1.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Encontrarás una lista de las últimas versiones en la página Versiones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

Acerca del contenido de seguridad de iOS 17.7.1 y iPadOS 17.7.1

Accessibility

Disponible para: iPhone XS y modelos posteriores; iPad Pro de 13 pulgadas; iPad Pro de 12,9 pulgadas (2.ª generación y modelos posteriores); iPad Pro de 10,5 pulgadas; iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores); iPad Air (3.ª generación y modelos posteriores); iPad (6.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores)

Impacto: un atacante con acceso físico a un dispositivo bloqueado podría ver información confidencial de los usuarios.

Descripción: el problema se ha solucionado mejorando la autenticación.

CVE-2024-44274: Rizki Maulana (rmrizki.my.id), Matthew Butler, Jake Derouin

AppleAVD

Disponible para: iPhone XS y modelos posteriores; iPad Pro de 13 pulgadas; iPad Pro de 12,9 pulgadas (2.ª generación y modelos posteriores); iPad Pro de 10,5 pulgadas; iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores); iPad Air (3.ª generación y modelos posteriores); iPad (6.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores)

Impacto: procesar un archivo de vídeo creado con fines malintencionados podría provocar el cierre inesperado del sistema.

Descripción: el problema se ha solucionado mediante la mejora de la comprobación de límites.

CVE-2024-44232: Ivan Fratric de Google Project Zero

CVE-2024-44233: Ivan Fratric de Google Project Zero

CVE-2024-44234: Ivan Fratric de Google Project Zero

CoreText

Disponible para: iPhone XS y modelos posteriores; iPad Pro de 13 pulgadas; iPad Pro de 12,9 pulgadas (2.ª generación y modelos posteriores); iPad Pro de 10,5 pulgadas; iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores); iPad Air (3.ª generación y modelos posteriores); iPad (6.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores)

Impacto: procesar un sitio web creado con fines malintencionados podría provocar la revelación de la memoria de procesos

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2024-44240: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

CVE-2024-44302: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

Foundation

Disponible para: iPhone XS y modelos posteriores; iPad Pro de 13 pulgadas; iPad Pro de 12,9 pulgadas (2.ª generación y modelos posteriores); iPad Pro de 10,5 pulgadas; iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores); iPad Air (3.ª generación y modelos posteriores); iPad (6.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores)

Impacto: analizar un archivo de audio podría provocar la revelación de información del usuario.

Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.

CVE-2024-44282: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

ImageIO

Disponible para: iPhone XS y modelos posteriores; iPad Pro de 13 pulgadas; iPad Pro de 12,9 pulgadas (2.ª generación y modelos posteriores); iPad Pro de 10,5 pulgadas; iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores); iPad Air (3.ª generación y modelos posteriores); iPad (6.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores)

Impacto: procesar una imagen podría provocar la revelación de la memoria de procesos.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2024-44215: Junsung Lee en colaboración con Trend Micro Zero Day Initiative

ImageIO

Disponible para: iPhone XS y modelos posteriores; iPad Pro de 13 pulgadas; iPad Pro de 12,9 pulgadas (2.ª generación y modelos posteriores); iPad Pro de 10,5 pulgadas; iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores); iPad Air (3.ª generación y modelos posteriores); iPad (6.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores)

Impacto: el procesamiento de un mensaje creado con fines malintencionados podría provocar una denegación de servicio.

Descripción: el problema se ha solucionado mediante la mejora de la comprobación de límites.

CVE-2024-44297: Jex Amro

Kernel

Disponible para: iPhone XS y modelos posteriores; iPad Pro de 13 pulgadas; iPad Pro de 12,9 pulgadas (2.ª generación y modelos posteriores); iPad Pro de 10,5 pulgadas; iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores); iPad Air (3.ª generación y modelos posteriores); iPad (6.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores)

Impacto: una app podría filtrar información confidencial sobre el estado del kernel.

Descripción: se ha solucionado un problema de revelación de información mediante mejorando la eliminación de datos privados para las entradas de registro.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Managed Configuration

Disponible para: iPhone XS y modelos posteriores; iPad Pro de 13 pulgadas; iPad Pro de 12,9 pulgadas (2.ª generación y modelos posteriores); iPad Pro de 10,5 pulgadas; iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores); iPad Air (3.ª generación y modelos posteriores); iPad (6.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores)

Impacto: restaurar un archivo de copia de seguridad creado con fines malintencionados podría provocar la modificación de archivos protegidos del sistema.

Descripción: se ha solucionado el problema mejorando la gestión de los enlaces simbólicos.

CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak

MobileBackup

Disponible para: iPhone XS y modelos posteriores; iPad Pro de 13 pulgadas; iPad Pro de 12,9 pulgadas (2.ª generación y modelos posteriores); iPad Pro de 10,5 pulgadas; iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores); iPad Air (3.ª generación y modelos posteriores); iPad (6.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores)

Impacto: restaurar un archivo de copia de seguridad creado con fines malintencionados podría provocar la modificación de archivos protegidos del sistema.

Descripción: se ha solucionado un problema de lógica con la mejora de la gestión de archivos.

CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)

Safari

Disponible para: iPhone XS y modelos posteriores; iPad Pro de 13 pulgadas; iPad Pro de 12,9 pulgadas (2.ª generación y modelos posteriores); iPad Pro de 10,5 pulgadas; iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores); iPad Air (3.ª generación y modelos posteriores); iPad (6.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores)

Impacto: un contenido web creado con fines malintencionados podría infringir la política de zona protegida de iframe.

Descripción: se ha solucionado un problema de gestión de esquema de las URL personalizadas mejorando la validación de las entradas.

CVE-2024-44155: Narendra Bhati, supervisor de ciberseguridad de Suma Soft Pvt. Ltd, Pune (India)

Safari Downloads

Disponible para: iPhone XS y modelos posteriores; iPad Pro de 13 pulgadas; iPad Pro de 12,9 pulgadas (2.ª generación y modelos posteriores); iPad Pro de 10,5 pulgadas; iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores); iPad Air (3.ª generación y modelos posteriores); iPad (6.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores)

Impacto: un atacante podría abusar de una relación de confianza para descargar contenido creado con fines malintencionados.

Descripción: para resolver este problema se ha mejorado la gestión del estado.

CVE-2024-44259: Narendra Bhati, supervisor de ciberseguridad de Suma Soft Pvt. Ltd, Pune (India)

SceneKit

Disponible para: iPhone XS y modelos posteriores; iPad Pro de 13 pulgadas; iPad Pro de 12,9 pulgadas (2.ª generación y modelos posteriores); iPad Pro de 10,5 pulgadas; iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores); iPad Air (3.ª generación y modelos posteriores); iPad (6.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores)

Impacto: el procesamiento de un archivo creado con fines malintencionados podría provocar el cierre inesperado de la app.

Descripción: se ha solucionado un desbordamiento de búfer mejorando la validación del tamaño.

CVE-2024-44144: 냥냥

SceneKit

Disponible para: iPhone XS y modelos posteriores; iPad Pro de 13 pulgadas; iPad Pro de 12,9 pulgadas (2.ª generación y modelos posteriores); iPad Pro de 10,5 pulgadas; iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores); iPad Air (3.ª generación y modelos posteriores); iPad (6.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores)

Impacto: procesar un archivo creado con fines malintencionados puede provocar daños en la memoria heap.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2024-44218: Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative

Shortcuts

Disponible para: iPhone XS y modelos posteriores; iPad Pro de 13 pulgadas; iPad Pro de 12,9 pulgadas (2.ª generación y modelos posteriores); iPad Pro de 10,5 pulgadas; iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores); iPad Air (3.ª generación y modelos posteriores); iPad (6.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores)

Impacto: una app creada con fines malintencionados podría usar atajes para acceder a archivos restringidos.

Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.

CVE-2024-44269: investigador anónimo

Siri

Disponible para: iPhone XS y modelos posteriores; iPad Pro de 13 pulgadas; iPad Pro de 12,9 pulgadas (2.ª generación y modelos posteriores); iPad Pro de 10,5 pulgadas; iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores); iPad Air (3.ª generación y modelos posteriores); iPad (6.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores)

Impacto: una app en un entorno de prueba podría acceder a datos confidenciales del usuario en registros del sistema.

Descripción: se ha solucionado un problema de revelación de información mediante mejorando la eliminación de datos privados para las entradas de registro.

CVE-2024-44278: Kirin (@Pwnrin)

VoiceOver

Disponible para: iPhone XS y modelos posteriores; iPad Pro de 13 pulgadas; iPad Pro de 12,9 pulgadas (2.ª generación y modelos posteriores); iPad Pro de 10,5 pulgadas; iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores); iPad Air (3.ª generación y modelos posteriores); iPad (6.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores)

Impacto: un atacante podría ver contenido restringido desde la pantalla de bloqueo.

Descripción: este problema se ha solucionado restringiendo las opciones que se ofrecen en un dispositivo bloqueado.

CVE-2024-44261: Braylon (@softwarescool)

WebKit

Disponible para: iPhone XS y modelos posteriores; iPad Pro de 13 pulgadas; iPad Pro de 12,9 pulgadas (2.ª generación y modelos posteriores); iPad Pro de 10,5 pulgadas; iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores); iPad Air (3.ª generación y modelos posteriores); iPad (6.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores)

Impacto: el procesamiento de contenido web creado con fines malintencionados podría impedir que se aplique la política de seguridad de contenido.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2024-44296: Narendra Bhati, supervisor de ciberseguridad de Suma Soft Pvt. Ltd, Pune (India)

Otros agradecimientos

Security

Queremos dar las gracias a Bing Shi, Wenchao Li y Xiaolong Bai de Alibaba Group por su ayuda.

Spotlight

Queremos dar las gracias a Paulo Henrique Batista Rosa de Castro (@paulohbrc) por su ayuda.

WebKit

Queremos dar las gracias a Eli Grey (eligrey.com) por su ayuda.