iOS 17.5: si no actualizas por las novedades actualiza por los errores de seguridad que soluciona

Apple ha lanzado iOS 17.5 para el iPhone, la quinta gran actualizaciones de iOS 17 que llega a las puertas de la presentación de iOS 18 en la WWDC que se celebrará a comienzos del mes de junio. Se trata de una actualización con muchas novedades, entre ellas la posibilidad de descargar apps en el iPhone directamente desde la web sin pasar por ninguna tienda, algo conocido como sideloading.

Pero iOS 17.5 no solo llega con novedades, también soluciona importantes errores de seguridad. Según ha desvelado la propia Apple, hasta 15 errores graves se han solucionado en esta actualización. Muchos de estos problemas han podido ser explotados activamente.

Para la protección de nuestros clientes, Apple no revela, discute ni confirma problemas de seguridad hasta que se haya producido una investigación y haya parches o versiones disponibles. Las versiones recientes se enumeran en la página de versiones de seguridad de Apple.

Los 15 problemas de seguridad que soluciona iOS 17.5

Todos estos problemas de seguridad han afectado a los iPhone XS y posterior, iPad Pro de 12,9 pulgadas 2.a generación y posterior, iPad Pro de 10,5 pulgadas, iPad Pro de 11 pulgadas de primera generación y posterior, iPad Air de 3.a generación y posterior, iPad de 6.a generación y posterior, y iPad mini de 5.a generación y posterior. Y a partir de iOS 17.5 quedan solucionados:

AppleAVD

• Impacto: una aplicación puede ser capaz de ejecutar código arbitrario con privilegios del núcleo
• Descripción: El problema se solucionó con un mejor manejo de la memoria.
• CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)

AppleMobileFileIntegrity

• Impacto: un atacante puede ser capaz de acceder a los datos del usuario
• Descripción: Se solucionó un problema lógico con comprobaciones mejoradas.
• CVE-2024-27816: Mickey Jin (@patch1t)

AVEVideoEncoder

• Impacto: una aplicación puede ser capaz de revelar la memoria del núcleo
• Descripción: El problema se solucionó con un mejor manejo de la memoria.
• CVE-2024-27841: un investigador anónimo

Buscar

• Impacto: una aplicación maliciosa puede ser capaz de determinar la ubicación actual de un usuario
• Descripción: Se solucionó un problema de privacidad moviendo datos confidenciales a una ubicación más segura.
• CVE-2024-27839: Alexander Heinrich, SEEMOO, TU Darmstadt (@Sn0wfreeze) y Shai Mishali (@freak4pc)

Kernel

• Impacto: Un atacante puede causar una terminación inesperada de la aplicación o la ejecución de código arbitrario
• Descripción: El problema se solucionó con un mejor manejo de la memoria.
• CVE-2024-27818: pattern-f (@pattern_F_) de Ant Security Light-Year Lab

Libsystem

• Impacto: una aplicación puede ser capaz de acceder a los datos de usuario protegidos
• Descripción: Se solucionó un problema de permisos eliminando el código vulnerable y añadiendo comprobaciones adicionales.
• CVE-2023-42893: un investigador anónimo

Mapas

• Impacto: una aplicación puede ser capaz de leer información de ubicación sensible
• Descripción: Se solucionó un problema de manejo de rutas con una validación mejorada.
• CVE-2024-27810: LFY@secsys de la Universidad de Fudan

MarketplaceKit

• Impacto: Una página web maliciosamente diseñada puede ser capaz de distribuir un script que rastrea a los usuarios en otras páginas web
• Descripción: Se solucionó un problema de privacidad con la mejora del manejo de la identificación del cliente para los mercados de aplicaciones alternativas.
• CVE-2024-27852: Talal Haj Bakry y Tommy Mysk de Mysk Inc. (@mysk_co)

Notas

• Impacto: Un atacante con acceso físico a un dispositivo iOS puede acceder a las notas desde la pantalla de bloqueo
• Descripción: Este problema se abordó a través de una mejor gestión estatal.
• CVE-2024-27835: Andr.Ess

RemoteViewServices

• Impacto: un atacante puede ser capaz de acceder a los datos del usuario
• Descripción: Se solucionó un problema lógico con comprobaciones mejoradas.
• CVE-2024-27816: Mickey Jin (@patch1t)

Capturas de pantalla

• Impacto: un atacante con acceso físico puede ser capaz de compartir elementos desde la pantalla de bloqueo
• Descripción: Se solucionó un problema de permisos con una validación mejorada.
• CVE-2024-27803: un investigador anónimo

Atajos

• Impacto: un acceso directo puede generar datos confidenciales del usuario sin consentimiento
• Descripción: Se solucionó un problema de manejo de rutas con una validación mejorada.
• CVE-2024-27821: Kirin (@Pwnrin), zbleet y Csaba Fitzl (@theevilbit) de Kandji

Servicios de sincronización

• Impacto: una aplicación puede ser capaz de eludir las preferencias de privacidad
• Descripción: Este problema se solucionó con comprobaciones mejoradas
• CVE-2024-27847: Mickey Jin (@patch1t)

Control por voz

• Impacto: un atacante puede ser capaz de elevar los privilegios
• Descripción: El problema se solucionó con comprobaciones mejoradas.
• CVE-2024-27796: ajajfxhj

WebKit

• Impacto: Un atacante con capacidad de lectura y escritura arbitraria puede ser capaz de eludir la autenticación del puntero
• Descripción: El problema se solucionó con comprobaciones mejoradas.
• WebKit Bugzilla: 272750
• CVE-2024-27834: Manfred Paul (@_manfp) trabajando con la Iniciativa de Día Cero de Trend Micro

Te recomendados instalar cuanto antes iOS 17.5 en tu iPhone para solucionar todos estos errores, al igual que iPadOS 17.5 en tu iPad. Además de las mejoras, estarás más protegido.

Puedes seguir a iPadizate en Facebook, WhatsApp, Twitter (X) o consultar nuestro canal de Telegram para estar al día con las últimas noticias de tecnología.