Acerca del contenido de seguridad de iOS 18.2 y iPadOS 18.2

En este documento se describe el contenido de seguridad de iOS 18.2 y iPadOS 18.2.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Encontrarás una lista de las últimas versiones en la página Versiones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

iOS 18.2 y iPadOS 18.2

Publicado el 11 de diciembre de 2024

Accounts

Disponible para: iPhone XS y modelos posteriores, iPad Pro de 13 pulgadas, iPad Pro de 12,9 pulgadas (3.ª generación y modelos posteriores), iPad Pro de 11 pulgadas (1.ª generación y modelos posteriores), iPad Air (3.ª generación y modelos posteriores), iPad (7.ª generación y modelos posteriores) y iPad mini (5.ª generación y modelos posteriores).

Impacto: las fotos del álbum de fotos Oculto se pueden ver sin autenticación.

Descripción: se ha solucionado un problema de lógica con la mejora de la gestión de archivos.

CVE-2024-54488: Benjamin Hornbeck, Skadz (@skadz108), Chi Yuan Chang de ZUSO ART y taikosoup

Entrada añadida el 27 de enero de 2025

APFS

Impacto: una app podría acceder a datos confidenciales de los usuarios.

Descripción: para resolver este problema se ha mejorado la gestión del estado.

CVE-2024-54541: Arsenii Kostromin (0x3c3e) y un investigador anónimo

Entrada añadida el 27 de enero de 2025

AppleMobileFileIntegrity

Impacto: una app creada con fines malintencionados podría tener acceso a información privada.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)

AppleMobileFileIntegrity

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2024-54527: Mickey Jin (@patch1t)

Audio

Impacto: silenciar una llamada de mientras suena podría no activar el silencio.

Descripción: se ha solucionado un problema de inconsistencia en la interfaz del usuario mediante la mejora de la gestión del estado.

CVE-2024-54503: Micheal Chukwu y un investigador anónimo

Contacts

Impacto: una app podría ver información de contacto completada de forma automática procedente de Messages y Mail en los registros del sistema.

Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.

CVE-2024-54550: Smi1e (@Smi1eSEC)

Entrada añadida el 27 de enero de 2025

Crash Reporter

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se ha solucionado un problema de permisos con restricciones adicionales.

CVE-2024-54513: investigador anónimo

Face Gallery

Impacto: un código binario del sistema podría usarse para desbloquear la Cuenta de Apple de un usuario mediante huella digital.

Descripción: se ha solucionado el problema mediante la eliminación de los indicadores correspondientes.

CVE-2024-54512: Bistrit Dahal

Entrada añadida el 27 de enero de 2025

FontParser

Impacto: procesar un sitio web creado con fines malintencionados podría provocar la revelación de la memoria de procesos

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2024-54486: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

ICU

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso.

Descripción: se ha solucionado un problema de acceso fuera de los límites al mejorar la comprobación de los límites.

CVE-2024-54478: Gary Kwong

Entrada añadida el 27 de enero de 2025

ImageIO

Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución de código arbitrario.

Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.

CVE-2024-54499: una persona anónima que trabaja con Trend Micro Zero Day Initiative

Entrada añadida el 27 de enero de 2025

ImageIO

Impacto: procesar una imagen creada con fines malintencionados podría provocar la revelación de la memoria de procesos.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2024-54500: Junsung Lee trabajando con Trend Micro Zero Day Initiative

IOMobileFrameBuffer

Impacto: una app podría dañar la memoria del coprocesador

Descripción: el problema se ha solucionado mediante la mejora de la comprobación de límites.

CVE-2024-54517: Ye Zhang (@VAR10CK) de Baidu Security

CVE-2024-54518: Ye Zhang (@VAR10CK) de Baidu Security

CVE-2024-54522: Ye Zhang (@VAR10CK) de Baidu Security

CVE-2024-54523: Ye Zhang (@VAR10CK) de Baidu Security

Entrada añadida el 27 de enero de 2025

Kernel

Impacto: una app podría salir de su zona protegida.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2024-54468: un investigador anónimo

Entrada añadida el 27 de enero de 2025

Kernel

Impacto: un atacante con privilegios de usuario podría ser capaz de leer la memoria de kernel.

Descripción: se ha solucionado un problema de confusión de tipo mejorando la gestión de la memoria.

CVE-2024-54507: Joseph Ravichandran (@0xjprx) de MIT CSAIL

Entrada añadida el 27 de enero de 2025

Kernel

Impacto: un atacante puede ser capaz de crear una asignación de memoria de solo lectura en la que se pueda escribir.

Descripción: se ha solucionado una condición de carrera mediante una validación adicional.

CVE-2024-54494: sohybbyk

Kernel

Impacto: una app podría filtrar información confidencial sobre el estado del kernel.

Descripción: se ha solucionado una condición de carrera con una mejora del bloqueo.

CVE-2024-54510: Joseph Ravichandran (@0xjprx) de MIT CSAIL

Kernel

Impacto: una app podría provocar el cierre inesperado del sistema o daños en la memoria del kernel.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2024-44245: un investigador anónimo

libexpat

Impacto: un atacante remoto podría hacer que una app se cierre de forma inesperada o se ejecute código arbitrario.

Descripción: se trata de una vulnerabilidad en el código fuente abierto y el Software Apple se encuentra entre los proyectos afectados. El CVE-ID fue asignado por un tercero. Más información sobre el tema y el CVE-ID en cve.org.

CVE-2024-45490

libxpc

Impacto: una app podría salir de su zona protegida.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2024-54514: investigador anónimo

libxpc

Impacto: una app podría obtener privilegios de alto nivel.

Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.

CVE-2024-44225: 风沐云烟(@binary_fmyy)

Passkeys

Impacto: el autocompletado de contraseñas puede rellenar las contraseñas después de un error de autenticación.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2024-54530: Abhay Kailasia (@abhay_kailasia) de C-DAC Thiruvananthapuram India y Rakeshkumar Talaviya

Entrada añadida el 27 de enero de 2025

Passwords

Impacto: un atacante en una posición de red privilegiada podría alterar el tráfico de red.

Descripción: este problema se ha solucionado mediante el uso de HTTPS al enviar información a través de la red.

CVE-2024-54492: Talal Haj Bakry y Tommy Mysk de Mysk Inc. (@mysk_co)

QuartzCore

Impacto: procesar contenido web podría provocar una denegación de servicio.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2024-54497: una persona anónima que trabaja con Trend Micro Zero Day Initiative

Entrada añadida el 27 de enero de 2025

Safari

Impacto: en un dispositivo con Relay privado activado, es posible que, al añadir un sitio web a la Lista de lectura de Safari, se revele la dirección IP de origen de dicho sitio web.

Descripción: el problema se solucionó con la mejora del enrutamiento de las solicitudes originadas en Safari.

CVE-2024-44246: Jacob Braun

Safari Private Browsing

Impacto: se puede acceder a las pestañas de navegación privada sin autenticación

Descripción: se ha solucionado el problema de autenticación mejorando la gestión del estado.

CVE-2024-54542: Rei (@reizydev) y Kenneth Chew

Entrada añadida el 27 de enero de 2025

SceneKit

Impacto: el procesamiento de un archivo . creado con fines malintencionados podría originar la denegación del servicio

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2024-54501: Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative

Vim

Impacto: procesar un archivo creado con fines malintencionados puede provocar daños en la memoria heap.

CVE-2024-45306

Entrada añadida el 27 de enero de 2025

VoiceOver

Impacto: un atacante con acceso físico a un dispositivo iOS podría ver el contenido de la notificación desde la pantalla bloqueada

Descripción: se ha solucionado el problema añadiendo lógica adicional.

CVE-2024-54485: Abhay Kailasia (@abhay_kailasia) de C-DAC Thiruvananthapuram India

WebKit

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

WebKit Bugzilla: 278497

CVE-2024-54479: Seunghyun Lee

WebKit Bugzilla: 281912

CVE-2024-54502: Brendon Tiszka de Google Project Zero

WebKit

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

WebKit Bugzilla: 282180

CVE-2024-54508: linjy of HKUS3Lab y chluo de WHUSecLab, Xiangwei Zhang de Tencent Security YUNDING LAB

WebKit

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la corrupción de la memoria.

Descripción: se ha solucionado un problema de confusión de tipo mejorando la gestión de la memoria.

WebKit Bugzilla: 282661

CVE-2024-54505: Gary Kwong

WebKit

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la corrupción de la memoria.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

WebKit Bugzilla: 277967

CVE-2024-54534: Tashita Software Security

WebKit Bugzilla: 282450

CVE-2024-54543: Lukas Bernhard, Gary Kwong y un investigador anónimo

Entrada actualizada el 27 de enero de 2025

Otros agradecimientos

Accessibility

Queremos dar las gracias a Abhay Kailasia (@abhay_kailasia) de la universidad técnica de Lakshmi Narain en Bhopal, India, Andr.Ess, Jake Derouin, Jason Gendron (@gendron_jason) por su ayuda.

App Protection

Queremos dar las gracias por su ayuda a Abhay Kailasia (@abhay_kailasia) de la universidad técnica de Lakshmi Narain en Bhopal, India.

Calendar

Queremos dar las gracias por su ayuda a Abhay Kailasia (@abhay_kailasia) de la universidad técnica de Lakshmi Narain en Bhopal, India.

FaceTime

Queremos dar las gracias por su ayuda a 椰椰.

FaceTime Foundation

Queremos dar las gracias a Joshua Pellecchia por su ayuda.

Family Sharing

Queremos dar las gracias por su ayuda a Abhay Kailasia (@abhay_kailasia) de la universidad técnica de Lakshmi Narain en Bhopal, India, J T.

Files

Queremos dar las gracias a Christian Scalese por su ayuda.

Entrada añadida el 27 de enero de 2025

Notes

Queremos dar las gracias por su ayuda a Katzenfutter.

Photos

Queremos dar las gracias por su ayuda a Bistrit Dahal, Chi Yuan Chang of ZUSO ART y taikosoup, Finlay James (@Finlay1010), Rizki Maulana (rmrizki.my.id), Srijan Poudel.

Photos Storage

Queremos dar las gracias a Jake Derouin (jakederouin.com) por su ayuda.

Proximity

Queremos dar las gracias a Junming C. (@Chapoly1305) y al Profesor Qiang Zeng de la George Mason University por su ayuda.

Quick Response

Queremos dar las gracias a un investigador anónimo por su ayuda.

Safari

Queremos dar las gracias por su ayuda a Jayateertha Guruprasad.

Safari Private Browsing

Queremos dar las gracias por su ayuda a Richard Hyunho Im (@richeeta) with Route Zero Security.

Settings

Queremos dar las gracias a Akshith Muddasani, Bistrit Dahal, Emanuele Slusarz y Abhishek Kanaujia por su ayuda.

Entrada actualizada el 27 de enero de 2025

Siri

Queremos dar las gracias a Srijan Poudel y Bistrit Dahal por su ayuda.

Entrada actualizada el 27 de enero de 2025

Spotlight

Queremos dar las gracias a Abhay Kailasia (@abhay_kailasia) de LNCT Bhopal y C-DAC Thiruvananthapuram por su ayuda.

Status Bar

Queremos dar las gracias por su ayuda a Abhay Kailasia (@abhay_kailasia) de la universidad técnica de Lakshmi Narain en Bhopal, India, Andr.Ess.

Swift

Queremos dar las gracias a Marc Schoenefeld, Dr. rer. NAT .

Time Zone

Queremos dar las gracias a Abhay Kailasia (@abhay_kailasia) de LNCT Bhopal y C-DAC Thiruvananthapuram por su ayuda.

WebKit

Queremos dar las gracias por su ayuda a Hafiizh.

WindowServer

Queremos dar las gracias a Felix Kratz por su ayuda.

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Fecha de publicación: 01 de febrero de 2025