Apple iOS 11.0.1 lanzado y debe actualizar ahora

Bluetooth

Disponible para: iPhone 5s y posterior, iPad Air y posterior, y iPod touch 6ta generación

Impacto: una aplicación puede acceder a archivos restringidos

Descripción: existía un problema de privacidad en el manejo de las tarjetas de contacto. Esto se abordó con una mejor gestión del estado.

CVE-2017-7131: un investigador anónimo, Elvis (@elvisimprsntr), Dominik Conrads de la Oficina Federal de Seguridad de la Información, un investigador anónimo

Entrada agregada el 25 de septiembre de 2017

Proxies CFNetwork

Disponible para: iPhone 5s y posterior, iPad Air y posterior, y iPod touch 6ta generación

Impacto: un atacante en una posición de red privilegiada puede causar una denegación de servicio

Descripción: se abordaron varios problemas de denegación de servicio mejorando el manejo de la memoria.

CVE-2017-7083: Abhinav Bansal de Zscaler Inc.

Entrada agregada el 25 de septiembre de 2017

CoreAudio

Disponible para: iPhone 5s y posterior, iPad Air y posterior, y iPod touch 6ta generación

Impacto: una aplicación puede leer memoria restringida

Descripción: una lectura fuera de límites se solucionó actualizando a Opus versión 1.1.4.

CVE-2017-0381: V.E.O (@VYSEa) del equipo de investigación de amenazas móviles, Trend Micro

Entrada agregada el 25 de septiembre de 2017

Exchange ActiveSync

Disponible para: iPhone 5s y posterior, iPad Air y posterior, y iPod touch 6ta generación

Impacto: un atacante en una posición de red privilegiada puede borrar un dispositivo durante la configuración de la cuenta de Exchange

Descripción: existía un problema de validación en AutoDiscover V1. Esto se solucionó requiriendo TLS para AutoDiscover V1. AutoDiscover V2 ahora es compatible.

CVE-2017-7088: Ilya Nesterov, Maxim Goncharov

Heimdal

Disponible para: iPhone 5s y posterior, iPad Air y posterior, y iPod touch 6ta generación

Impacto: un atacante en una posición de red privilegiada puede hacerse pasar por un servicio

Descripción: existía un problema de validación en el manejo del nombre del servicio KDC-REP. Este problema se solucionó mediante una validación mejorada.

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni y Nico Williams

Entrada agregada el 25 de septiembre de 2017

iBooks

Disponible para: iPhone 5s y posterior, iPad Air y posterior, y iPod touch 6ta generación

Impacto: analizar un archivo iBooks creado con fines malintencionados puede provocar una denegación de servicio persistente

Descripción: se abordaron varios problemas de denegación de servicio mejorando el manejo de la memoria.

CVE-2017-7072: Jędrzej Krysztofiak

Núcleo

Disponible para: iPhone 5s y posterior, iPad Air y posterior, y iPod touch 6ta generación

Impacto: una aplicación puede ejecutar código arbitrario con privilegios de kernel

Descripción: se solucionó un problema de corrupción de memoria mejorando el manejo de la memoria.

CVE-2017-7114: Alex Plaskett de MWR InfoSecurity

Entrada agregada el 25 de septiembre de 2017

Sugerencias de teclado

Disponible para: iPhone 5s y posterior, iPad Air y posterior, y iPod touch 6ta generación

Impacto: las sugerencias de autocorrección del teclado pueden revelar información confidencial

Descripción: el teclado iOS inadvertidamente almacenaba información confidencial en caché. Este problema se solucionó mejorando la heurística.

CVE-2017-7140: un investigador anónimo

Entrada agregada el 25 de septiembre de 2017

libc

Disponible para: iPhone 5s y posterior, iPad Air y posterior, y iPod touch 6ta generación

Impacto: un atacante remoto puede provocar una denegación de servicio

Descripción: Se solucionó un problema de agotamiento de recursos en glob () mediante un algoritmo mejorado.

CVE-2017-7086: Russ Cox de Google

Entrada agregada el 25 de septiembre de 2017

libc

Disponible para: iPhone 5s y posterior, iPad Air y posterior, y iPod touch 6ta generación

Impacto: una aplicación puede causar una denegación de servicio

Descripción: se solucionó un problema de consumo de memoria mejorando el manejo de la memoria.

CVE-2017-1000373

Entrada agregada el 25 de septiembre de 2017

libexpat

Disponible para: iPhone 5s y posterior, iPad Air y posterior, y iPod touch 6ta generación

Impacto: múltiples problemas en expatriados

Descripción: se solucionaron varios problemas actualizando a la versión 2.2.1

CVE-2016-9063

CVE-2017-9233

Entrada agregada el 25 de septiembre de 2017

Marco de ubicación

Disponible para: iPhone 5s y posterior, iPad Air y posterior, y iPod touch 6ta generación

Impacto: una aplicación puede leer información de ubicación confidencial

Descripción: existía un problema de permisos en el manejo de la variable de ubicación. Esto se abordó con verificaciones de propiedad adicionales.

CVE-2017-7148: un investigador anónimo, un investigador anónimo

Entrada agregada el 25 de septiembre de 2017

Borradores de correo

Disponible para: iPhone 5s y posterior, iPad Air y posterior, y iPod touch 6ta generación

Impacto: un atacante con una posición de red privilegiada puede interceptar el contenido del correo

Descripción: existía un problema de cifrado en el manejo de los borradores de correo. Este problema se solucionó con un mejor manejo de los borradores de correo destinados a ser encriptados.

CVE-2017-7078: un investigador anónimo, un investigador anónimo, un investigador anónimo

Entrada agregada el 25 de septiembre de 2017

Mail MessageUI

Disponible para: iPhone 5s y posterior, iPad Air y posterior, y iPod touch 6ta generación

Impacto: el procesamiento de una imagen creada con fines malintencionados puede provocar la denegación de servicio

Descripción: se solucionó un problema de corrupción de memoria mejorando la validación.

CVE-2017-7097: Xinshu Dong y Jun Hao Tan de Anquan Capital

Mensajes

Disponible para: iPhone 5s y posterior, iPad Air y posterior, y iPod touch 6ta generación

Impacto: el procesamiento de una imagen creada con fines malintencionados puede provocar la denegación de servicio

Descripción: se solucionó un problema de denegación de servicio mejorando la validación.

CVE-2017-7118: Kiki Jiang y Jason Tokoph

MobileBackup

Disponible para: iPhone 5s y posterior, iPad Air y posterior, y iPod touch 6ta generación

Impacto: la copia de seguridad puede realizar una copia de seguridad sin cifrar a pesar de la necesidad de realizar solo copias de seguridad cifradas

Descripción: existía un problema de permisos. Este problema se resolvió con una validación de permisos mejorada

CVE-2017-7133: Don Sparks de HackediOS.com

Teléfono

Disponible para: iPhone 5s y posterior, iPad Air y posterior, y iPod touch 6ta generación

Impacto: se puede tomar una captura de pantalla de contenido seguro al bloquear un dispositivo iOS

Descripción: existía un problema de sincronización en el manejo del bloqueo. Este problema se solucionó desactivando capturas de pantalla mientras se bloqueaba.

CVE-2017-7139: un investigador anónimo

Entrada agregada el 25 de septiembre de 2017

Safari

Disponible para: iPhone 5s y posterior, iPad Air y posterior, y iPod touch 6ta generación

Impacto: visitar un sitio web malicioso puede provocar la suplantación de la barra de direcciones

Descripción: se solucionó un problema de interfaz de usuario incoherente con una gestión de estado mejorada.

CVE-2017-7085: xisigr del laboratorio Xuanwu de Tencent (tencent.com)

Seguridad

Disponible para: iPhone 5s y posterior, iPad Air y posterior, y iPod touch 6ta generación

Impacto: se puede confiar en un certificado revocado

Descripción: existía un problema de validación de certificado en el manejo de los datos de revocación. Este problema se solucionó mediante una validación mejorada.

CVE-2017-7080: un investigador anónimo, un investigador anónimo, Sven Driemecker de adesso mobile solutions gmbh, Rune Darrud (@theflyingcorpse) de Bærum kommune

Entrada agregada el 25 de septiembre de 2017

Seguridad

Disponible para: iPhone 5s y posterior, iPad Air y posterior, y iPod touch 6ta generación

Impacto: una aplicación maliciosa puede rastrear usuarios entre instalaciones

Descripción: existía un problema de comprobación de permisos en el manejo de los datos del llavero de una aplicación. Este problema se solucionó con una mejor verificación de permisos.

CVE-2017-7146: un investigador anónimo

Entrada agregada el 25 de septiembre de 2017

SQLite

Disponible para: iPhone 5s y posterior, iPad Air y posterior, y iPod touch 6ta generación

Impacto: múltiples problemas en SQLite

Descripción: se solucionaron varios problemas actualizando a la versión 3.19.3.

CVE-2017-10989: encontrado por OSS-Fuzz

CVE-2017-7128: encontrado por OSS-Fuzz

CVE-2017-7129: encontrado por OSS-Fuzz

CVE-2017-7130: encontrado por OSS-Fuzz

Entrada agregada el 25 de septiembre de 2017

SQLite

Disponible para: iPhone 5s y posterior, iPad Air y posterior, y iPod touch 6ta generación

Impacto: una aplicación puede ejecutar código arbitrario con privilegios del sistema

Descripción: se solucionó un problema de corrupción de memoria mejorando el manejo de la memoria.

CVE-2017-7127: un investigador anónimo

Entrada agregada el 25 de septiembre de 2017

Hora

Disponible para: iPhone 5s y posterior, iPad Air y posterior, y iPod touch 6ta generación

Impacto: "Establecer zona horaria" puede indicar incorrectamente que está utilizando la ubicación

Descripción: existía un problema de permisos en el proceso que maneja la información de zona horaria. El problema se resolvió modificando los permisos.

CVE-2017-7145: un investigador anónimo

Entrada agregada el 25 de septiembre de 2017

WebKit

Disponible para: iPhone 5s y posterior, iPad Air y posterior, y iPod touch 6ta generación

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar la ejecución de código arbitrario

Descripción: se solucionó un problema de corrupción de memoria mejorando la validación de entrada.

CVE-2017-7081: Apple

Entrada agregada el 25 de septiembre de 2017

WebKit

Disponible para: iPhone 5s y posterior, iPad Air y posterior, y iPod touch 6ta generación

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar la ejecución de código arbitrario

Descripción: se abordaron varios problemas de corrupción de memoria mejorando el manejo de la memoria.

CVE-2017-7087: Apple

CVE-2017-7091: Wei Yuan de Baidu Security Lab trabajando con la Iniciativa Zero Day de Trend Micro

CVE-2017-7092: Samuel Gro y Niklas Baumstark trabajando con la Iniciativa Zero Day de Trend Micro, Qixun Zhao (@ S0rryMybad) del equipo Qihoo 360 Vulcan

CVE-2017-7093: Samuel Gro y Niklas Baumstark trabajando con la Iniciativa Zero Day de Trend Micro

CVE-2017-7094: Tim Michaud (@TimGMichaud) del Grupo de Seguridad Leviatán

CVE-2017-7095: Wang Junjie, Wei Lei y Liu Yang de la Universidad Tecnológica de Nanyang trabajando con la Iniciativa Zero Day de Trend Micro

CVE-2017-7096: Wei Yuan del Laboratorio de Seguridad de Baidu

CVE-2017-7098: Felipe Freitas del Instituto Tecnológico de Aeronáutica

CVE-2017-7099: Apple

CVE-2017-7100: Masato Kinugawa y Mario Heiderich de Cure53

CVE-2017-7102: Wang Junjie, Wei Lei y Liu Yang de la Universidad Tecnológica de Nanyang

CVE-2017-7104: likemeng de Baidu Secutity Lab

CVE-2017-7107: Wang Junjie, Wei Lei y Liu Yang de la Universidad Tecnológica de Nanyang

CVE-2017-7111: likemeng de Baidu Security Lab (xlab.baidu.com) trabajando con la Iniciativa Zero Day de Trend Micro

CVE-2017-7117: lokihardt de Google Project Zero

CVE-2017-7120: chenqin (陈钦) de Ant-financial Light-Year Security Lab

Entrada agregada el 25 de septiembre de 2017

WebKit

Disponible para: iPhone 5s y posterior, iPad Air y posterior, y iPod touch 6ta generación

Impacto: el procesamiento de contenido web creado con fines malintencionados puede generar secuencias de comandos de sitios cruzados universales

Descripción: existía un problema de lógica en el manejo de la pestaña principal. Este problema se solucionó con una mejor gestión del estado.

CVE-2017-7089: Anton Lopanitsyn de ONSEC, Frans Rosén de Detectify

WebKit

Disponible para: iPhone 5s y posterior, iPad Air y posterior, y iPod touch 6ta generación

Impacto: las cookies que pertenecen a un origen pueden enviarse a otro origen

Descripción: existía un problema de permisos en el manejo de las cookies del navegador web. Este problema se solucionó dejando de devolver cookies para esquemas de URL personalizados.

CVE-2017-7090: Apple

Entrada agregada el 25 de septiembre de 2017

WebKit

Disponible para: iPhone 5s y posterior, iPad Air y posterior, y iPod touch 6ta generación

Impacto: visitar un sitio web malicioso puede provocar la suplantación de la barra de direcciones

Descripción: se solucionó un problema de interfaz de usuario incoherente con una gestión de estado mejorada.

CVE-2017-7106: Oliver Paukstadt de Thinking Objects GmbH (to.com)

WebKit

Disponible para: iPhone 5s y posterior, iPad Air y posterior, y iPod touch 6ta generación

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un ataque de secuencias de comandos en varios sitios

Descripción: la política de caché de la aplicación puede aplicarse inesperadamente.

CVE-2017-7109: avlidienbrunn

Entrada agregada el 25 de septiembre de 2017

WebKit

Disponible para: iPhone 5s y posterior, iPad Air y posterior, y iPod touch 6ta generación

Impacto: un sitio web malicioso puede rastrear a los usuarios en modo de navegación privada Safari

Descripción: existía un problema de permisos en el manejo de las cookies del navegador web. Este problema se solucionó con restricciones mejoradas.

CVE-2017-7144: un investigador anónimo

Entrada agregada el 25 de septiembre de 2017

Wifi

Disponible para: iPhone 5s y posterior, iPad Air y posterior, y iPod touch 6ta generación

Impacto: un atacante dentro del alcance puede ejecutar código arbitrario en el chip de Wi-Fi

Descripción: se solucionó un problema de corrupción de memoria mejorando el manejo de la memoria.

CVE-2017-11120: Gal Beniamini de Google Project Zero

CVE-2017-11121: Gal Beniamini de Google Project Zero

Entrada agregada el 25 de septiembre de 2017

Wifi

Disponible para: iPhone 5s y posterior, iPad Air y posterior, y iPod touch 6ta generación

Impacto: el código malicioso que se ejecuta en el chip Wi-Fi puede ejecutar código arbitrario con privilegios de kernel en el procesador de la aplicación

Descripción: se solucionó un problema de corrupción de memoria mejorando el manejo de la memoria.

CVE-2017-7103: Gal Beniamini de Google Project Zero

CVE-2017-7105: Gal Beniamini de Google Project Zero

CVE-2017-7108: Gal Beniamini de Google Project Zero

CVE-2017-7110: Gal Beniamini de Google Project Zero

CVE-2017-7112: Gal Beniamini de Google Project Zero

Wifi

Disponible para: iPhone 5s y posterior, iPad Air y posterior, y iPod touch 6ta generación

Impacto: el código malicioso que se ejecuta en el chip Wi-Fi puede ejecutar código arbitrario con privilegios de kernel en el procesador de la aplicación

Descripción: se abordaron múltiples condiciones de carrera mediante una validación mejorada.

CVE-2017-7115: Gal Beniamini de Google Project Zero

Wifi

Disponible para: iPhone 5s y posterior, iPad Air y posterior, y iPod touch 6ta generación

Impacto: el código malicioso que se ejecuta en el chip Wi-Fi puede leer la memoria restringida del núcleo

Descripción: Se solucionó un problema de validación mejorando la desinfección de insumos.

CVE-2017-7116: Gal Beniamini de Google Project Zero

zlib

Disponible para: iPhone 5s y posterior, iPad Air y posterior, y iPod touch 6ta generación

Impacto: múltiples problemas en zlib

Descripción: se solucionaron varios problemas actualizando a la versión 1.2.11.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Fuente