Acerca del contenido de seguridad de iOS 18.2 y iPadOS 18.2

En este documento se describe el contenido de seguridad de iOS 18.2 y iPadOS 18.2.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Encontrarás una lista de las últimas versiones en la página Versiones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

iOS 18.2 y iPadOS 18.2

Disponible el 11 de diciembre de 2024

AppleMobileFileIntegrity

Disponible para: iPhone XS y modelos posteriores, iPad Pro de 13 pulgadas, iPad Pro de 12,9 pulgadas (3.ª generación y modelos posteriores), iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores), iPad Air (3.ª generación y modelos posteriores), iPad (7.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores).

Impacto: una app creada con fines malintencionados podría tener acceso a información privada.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)

AppleMobileFileIntegrity

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2024-54527: Mickey Jin (@patch1t)

Audio

Impacto: silenciar una llamada de mientras suena podría no activar el silencio.

Descripción: se ha solucionado un problema de inconsistencia en la interfaz del usuario mediante la mejora de la gestión del estado.

CVE-2024-54503: Micheal Chukwu y un investigador anónimo

Crash Reporter

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se ha solucionado un problema de permisos con restricciones adicionales.

CVE-2024-54513: investigador anónimo

FontParser

Impacto: procesar un sitio web creado con fines malintencionados podría provocar la revelación de la memoria de procesos

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2024-54486: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

ImageIO

Impacto: procesar una imagen creada con fines malintencionados podría provocar la revelación de la memoria de procesos.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2024-54500: Junsung Lee working con Trend Micro Zero Day Initiative

Kernel

Impacto: un atacante puede crear una asignación de memoria de solo lectura que se puede editar

Descripción: se ha solucionado una condición de carrera mediante una validación adicional.

CVE-2024-54494: sohybbyk

Kernel

Impacto: una app podría filtrar información confidencial sobre el estado del kernel.

Descripción: se ha solucionado una condición de carrera con una mejora del bloqueo.

CVE-2024-54510: Joseph Ravichandran (@0xjprx) de MIT CSAIL

Kernel

Impacto: una app podría provocar el cierre inesperado del sistema o daños en la memoria del kernel.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2024-44245: investigador anónimo

libexpat

Impacto: un atacante remoto podría hacer que una app se cierre de forma inesperada o se ejecute código arbitrario.

Descripción: se trata de una vulnerabilidad en el código fuente abierto y el Software Apple se encuentra entre los proyectos afectados. El CVE-ID fue asignado por un tercero. Más información sobre el tema y el CVE-ID en cve.org.

CVE-2024-45490

libxpc

Impacto: una app podría salir de su zona protegida

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2024-54514: investigador anónimo

libxpc

Impacto: una app podría obtener privilegios de alto nivel.

Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.

CVE-2024-44225: 风沐云烟(@binary_fmyy)

Passwords

Impacto: un atacante en una posición de red privilegiada podría alterar el tráfico de red.

Descripción: este problema se ha solucionado mediante el uso de HTTPS al enviar información a través de la red.

CVE-2024-54492: Talal Haj Bakry y Tommy Mysk de Mysk Inc. (@mysk_co)

Safari

Impacto: en un dispositivo con Relay privado habilitado, al añadir un sitio web a la lista de lectura de Safari se podría revelar al sitio web la dirección IP de origen

Descripción: se ha solucionado el problema con una ruta mejorada de las solicitudes originadas por Safari.

CVE-2024-44246: Jacob Braun

SceneKit

Impacto: el procesamiento de un archivo . creado con fines malintencionados podría originar la denegación del servicio

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2024-54501: Michael DePlante (@izobashi) de Trend Micro's Zero Day Initiative

VoiceOver

Impacto: un atacante con acceso físico a un dispositivo iOS podría ver el contenido de la notificación desde la pantalla bloqueada

Descripción: se ha solucionado el problema añadiendo lógica adicional.

CVE-2024-54485: Abhay Kailasia (@abhay_kailasia) de C-DAC Thiruvananthapuram India

WebKit

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

WebKit Bugzilla: 278497

CVE-2024-54479: Seunghyun Lee

WebKit Bugzilla: 281912

CVE-2024-54502: Brendon Tiszka de Google Project Zero

WebKit

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

WebKit Bugzilla: 282180

CVE-2024-54508: linjy of HKUS3Lab y chluo de WHUSecLab, Xiangwei Zhang de Tencent Security YUNDING LAB

WebKit

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar un consumo de memoria

Descripción: se ha solucionado un problema de confusión de tipo mejorando la gestión de la memoria.

WebKit Bugzilla: 282661

CVE-2024-54505: Gary Kwong

WebKit

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar un consumo de memoria

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

WebKit Bugzilla: 277967

CVE-2024-54534: Tashita Software Security

Otros agradecimientos

Accessibility

Queremos dar las gracias a Abhay Kailasia (@abhay_kailasia) de la universidad técnica de Lakshmi Narain en Bhopal, India, Andr.Ess, Jake Derouin, Jason Gendron (@gendron_jason) por su ayuda.

App Protection

Queremos dar las gracias por su ayuda a Abhay Kailasia (@abhay_kailasia) de la universidad técnica de Lakshmi Narain en Bhopal, India.

Calendar

Queremos dar las gracias por su ayuda a Abhay Kailasia (@abhay_kailasia) de la universidad técnica de Lakshmi Narain en Bhopal, India.

FaceTime

Queremos dar las gracias por su ayuda a 椰椰.

FaceTime Foundation

Queremos dar las gracias a Joshua Pellecchia por su ayuda.

Family Sharing

Queremos dar las gracias por su ayuda a Abhay Kailasia (@abhay_kailasia) de la universidad técnica de Lakshmi Narain en Bhopal, India, J T.

Notes

Queremos dar las gracias por su ayuda a Katzenfutter.

Photos

Queremos dar las gracias por su ayuda a Bistrit Dahal, Chi Yuan Chang of ZUSO ART y taikosoup, Finlay James (@Finlay1010), Rizki Maulana (rmrizki.my.id), Srijan Poudel.

Photos Storage

Queremos dar las gracias a Jake Derouin (jakederouin.com) por su ayuda.

Proximity

Queremos dar las gracias por su ayuda a Junming C. (@Chapoly1305) and Prof. Qiang Zeng de George Mason University.

Quick Response

Queremos dar las gracias a un investigador anónimo por su ayuda.

Safari

Queremos dar las gracias por su ayuda a Jayateertha Guruprasad.

Safari Private Browsing

Queremos dar las gracias por su ayuda a Richard Hyunho Im (@richeeta) with Route Zero Security.

Settings

Queremos dar las gracias por su ayuda a Akshith Muddasani, Bistrit Dahal y Emanuele Slusarz.

Siri

Queremos dar las gracias por su ayuda a Srijan Poudel.

Spotlight

Queremos dar las gracias a Abhay Kailasia (@abhay_kailasia) de LNCT Bhopal y C-DAC Thiruvananthapuram por su ayuda.

Status Bar

Queremos dar las gracias por su ayuda a Abhay Kailasia (@abhay_kailasia) de la universidad técnica de Lakshmi Narain en Bhopal, India, Andr.Ess.

Swift

Queremos dar las gracias a Marc Schoenefeld, Dr. rer. NAT .

Time Zone

Queremos dar las gracias a Abhay Kailasia (@abhay_kailasia) de LNCT Bhopal y C-DAC Thiruvananthapuram por su ayuda.

WebKit

Queremos dar las gracias por su ayuda a Hafiizh.

WindowServer

Queremos dar las gracias a Felix Kratz por su ayuda.

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Fecha de publicación: 17 de diciembre de 2024