Actualiza a iOS 15.5 cuanto antes: corrige casi 30 fallos de seguridad

Casi 30 errores de seguridad soluciona iOS 15.5, actualiza cuanto antes tu iPhone a la nueva versión.

Actualiza a iOS 15.5 cuanto antes: corrige casi 30 fallos de seguridad
iOS 15.5 soluciona numerosos errores de seguridad
Publicado en iOS

Ya tenemos disponible iOS 15.5 para descargar con muchas novedades, aunque quizás las más importantes son las que Apple no ha desvelado, al menos directamente. Según el informe de seguridad de Apple que acompaña a la actualización, iOS 15.5 incluye casi 30 correcciones de seguridad. Son muchos errores solucionados, por lo que la actualización a iOS 15.5 es altamente recomendable.

Muchos de estos errores estaban también presentes en macOS Catalina, que se ha actualizado también a la versión macOS 12.4 para solucionar casi 50 errores. Además, Apple también ha lanzado actualizaciones de seguridad importantes para macOS Big Sur con 11.6.6, macOS Catalina, Xcode 13.4 y watchOS 8.6.

Un atacante remoto puede ser capaz de causar la terminación inesperada de la aplicación o la ejecución de código arbitrario.

Lista completa de errores corregidos en iOS 15.5

Los errores corregidos en iOS 15.5 afectan a diversas funciones y secciones de iOS. Desde Safari hasta el Wi-Fi, pasando por muchos otros parámetros del sistema. Todos afectan a los iPhone 6s y modelos posteriores, iPad Pro (todos los modelos), iPad Air 2 y posteriores, iPad de 5.a generación y posteriores, iPad mini 4 y modelos posteriores y iPod touch (7.a generación), y la mayoría permite ejecutar código arbitrario con privilegios sin que el usuario se percate.

Esta es la lista de errores que Apple ha corregido en iOS 15.5:

AppleAVD.

  • Impacto: una aplicación podría ejecutar código arbitrario con privilegios del kernel
  • Descripción: se ha solucionado un problema de uso después de la liberación mejorando la gestión de la memoria.
  • CVE-2022-26702: un investigador anónimo

AppleGraphicsControl

  • Impacto: el procesamiento de una imagen creada con fines malintencionados podría provocar la ejecución de código arbitrario
  • Descripción: se ha solucionado un problema de corrupción de memoria mejorando la validación de entrada.
  • CVE-2022-26751: Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative

AVEVideoEncoder

  • Impacto: una aplicación podría ejecutar código arbitrario con privilegios del kernel
  • Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.
  • CVE-2022-26736: un investigador anónimo

DriverKit

  • Impacto: una aplicación maliciosa podría ejecutar código arbitrario con privilegios del sistema
  • Descripción: se ha solucionado un problema de acceso fuera de los límites mejorando la comprobación de límites.
  • CVE-2022-26763: Linus Henze de Pinauten GmbH (pinauten.de)

Controladores de GPU

  • Impacto: una aplicación podría ejecutar código arbitrario con privilegios del kernel
  • Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
  • CVE-2022-26744: un investigador anónimo

ImageIO

  • Impacto: un atacante remoto podría provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario
  • Descripción: se ha solucionado un problema de desbordamiento de enteros mejorando la validación de entrada.
  • CVE-2022-26711: actae0n de Blacksun Hackers Club trabajando con Trend Micro Zero Day Initiative

IOKit

  • Impacto: una aplicación podría ejecutar código arbitrario con privilegios del kernel
  • Descripción: se ha solucionado una condición de carrera mejorando el bloqueo.
  • CVE-2022-26701: chenyuwang (@mzzzz__) de Tencent Security Xuanwu Lab

IOMobileFrameBuffer

  • Impacto: una aplicación podría ejecutar código arbitrario con privilegios del kernel
  • Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
  • CVE-2022-26768: un investigador anónimo

IOSurfaceAccelerator

  • Impacto: una aplicación creada con fines malintencionados podría ejecutar código arbitrario con privilegios de kernel
  • Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
  • CVE-2022-26771: un investigador anónimo

Núcleo

  • Impacto: una aplicación podría ejecutar código arbitrario con privilegios del kernel
  • Descripción: se ha solucionado un problema de corrupción de memoria mejorando la validación.
  • CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) de STAR Labs (@starlabs_sg)

Núcleo

  • Impacto: una aplicación podría ejecutar código arbitrario con privilegios del kernel
  • Descripción: se ha solucionado un problema de uso después de la liberación mejorando la gestión de la memoria.
  • CVE-2022-26757: Ned Williamson de Google Project Zero

Núcleo

  • Impacto: un atacante que ya ha logrado la ejecución de código del núcleo podría omitir las mitigaciones de memoria del núcleo
  • Descripción: se ha solucionado un problema de corrupción de memoria mejorando la validación.
  • CVE-2022-26764: Linus Henze de Pinauten GmbH (pinauten.de)

Núcleo

  • Impacto: un atacante malicioso con capacidad arbitraria de lectura y escritura podría omitir la autenticación de puntero
  • Descripción: se ha solucionado una condición de carrera mejorando el manejo del estado.
  • CVE-2022-26765: Linus Henze de Pinauten GmbH (pinauten.de)

LaunchServices

  • Impacto: un proceso aislado podría ser capaz de eludir las restricciones de la caja de arena
  • Descripción: se ha solucionado un problema de acceso con restricciones adicionales de sandbox en aplicaciones de terceros.
  • CVE-2022-26706: Arsenii Kostromin (0x3c3e)

libxml2

  • Impacto: un atacante remoto podría provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario
  • Descripción: se ha solucionado un problema de uso después de la liberación mejorando la gestión de la memoria.
  • CVE-2022-23308

Notas

  • Impacto: procesar una entrada grande podría provocar una denegación de servicio
  • Descripción: este problema se ha solucionado mejorando las comprobaciones.
  • CVE-2022-22673: Abhay Kailasia (@abhay_kailasia) de la Facultad de Tecnología Lakshmi Narain Bhopal

Navegación privada de Safari

  • Impacto: un sitio web malicioso podría ser capaz de rastrear a los usuarios en el modo de navegación privada de Safari
  • Descripción: se ha solucionado un problema lógico mejorando la gestión del estado.
  • CVE-2022-26731: un investigador anónimo

Seguridad

  • Impacto: una aplicación maliciosa podría omitir la validación de firmas
  • Descripción: se ha solucionado un problema de análisis de certificados mejorando las comprobaciones.
  • CVE-2022-26766: Linus Henze de Pinauten GmbH (pinauten.de)

Shortcuts

  • Impacto: una persona con acceso físico a un dispositivo iOS podría acceder a las fotos desde la pantalla de bloqueo
  • Descripción: se ha solucionado un problema de autorización mejorando la gestión del estado.
  • CVE-2022-26703: Salman Syed (@slmnsd551)

WebKit

  • Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de código
  • Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
  • WebKit Bugzilla: 238178
  • CVE-2022-26700: ryuzaki

WebKit

  • Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de código arbitrario
  • Descripción: se ha solucionado un problema de uso después de la liberación mejorando la gestión de la memoria.
  • WebKit Bugzilla: 236950
  • CVE-2022-26709: Chijin Zhou de ShuiMuYuLin Ltd y el laboratorio de techer de alas de Tsinghua
  • WebKit Bugzilla: 237475
  • CVE-2022-26710: Chijin Zhou de ShuiMuYuLin Ltd y el laboratorio de techer de Tsinghua
  • WebKit Bugzilla: 238171
  • CVE-2022-26717: Jeonghoon Shin of Theori

WebKit

  • Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de código arbitrario
  • Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
  • WebKit Bugzilla: 238183
  • CVE-2022-26716: SorryMybad (@S0rryMybad) de Kunlun Lab
  • WebKit Bugzilla: 238699
  • CVE-2022-26719: Dongzhuo Zhao trabajando con ADLab de Venustech

WebRTC

  • Impacto: la autovista previa de vídeo en una llamada webRTC podría interrumpirse si el usuario responde a una llamada telefónica
  • Descripción: se ha solucionado un problema lógico en la gestión de medios simultáneos mejorando la gestión del estado.
  • WebKit Bugzilla: 237524
  • CVE-2022-22677: un investigador anónimo

Wi-Fi

  • Impacto: una aplicación maliciosa podría revelar memoria restringida
  • Descripción: se ha solucionado un problema de corrupción de memoria mejorando la validación.
  • CVE-2022-26745: un investigador anónimo

Wi-Fi

  • Impacto: una aplicación maliciosa podría ser capaz de elevar los privilegios
  • Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
  • CVE-2022-26760: 08Tc3wBB del equipo de ZecOps Mobile EDR

Wi-Fi

  • Impacto: un atacante remoto podría provocar una denegación de servicio
  • Descripción: este problema se ha solucionado mejorando las comprobaciones.
  • CVE-2015-4142: Kostya Kortchinsky del equipo de seguridad de Google

Wi-Fi

  • Impacto: una aplicación maliciosa podría ejecutar código arbitrario con privilegios del sistema
  • Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión de la memoria.
  • CVE-2022-26762: Wang Yu de Cyberserval

Puedes seguir a iPadizate en Facebook, WhatsApp, Twitter (X) o consultar nuestro canal de Telegram para estar al día con las últimas noticias de tecnología.

Para ti
Queremos saber tu opinión. ¡Comenta!