Apple lanza iOS 15.7.2 con más de una docena de actualizaciones de seguridad críticas
La gran noticia en el mundo iPhone hoy es el lanzamiento de iOS 16.2, pero los usuarios de teléfonos más antiguos también tienen una razón importante para actualizar. Apple lanzó iOS 15.7.2 y iPadOS 15.7.2 para dispositivos que no tienen iOS 16, incluidos iPhone 6s y 7, iPad mini 4 y iPad Air 2. También está disponible para iPhone más nuevos que no se han actualizado a iOS 16 todavía.
Para actualizar su iPhone, diríjase a la aplicación Configuración y toque Generalentonces Actualización de software. Entonces presione Descargar e instalar y sigue las instrucciones.
La actualización no incluye ninguna característica nueva, pero contiene correcciones de errores y numerosas actualizaciones de seguridad importantes, varias de las cuales permiten la ejecución de código arbitrario y al menos una de las cuales puede haber sido explotada activamente. Las notas de la versión de Apple simplemente dicen: «Esta actualización proporciona correcciones de seguridad importantes y se recomienda para todos los usuarios». Estas son las actualizaciones de seguridad publicadas para esta versión:
Apple AVD
- Impacto: El análisis de un archivo de video creado con fines malintencionados puede provocar la ejecución del código del kernel
- La descripcion: Se resolvió un problema de escritura fuera de los límites con una mejor validación de entrada.
- CVE-2022-46694: Andrey Labunets y Nikita Tarakanov
Codificador de vídeo AVE
- Impacto: Una aplicación puede ejecutar código arbitrario con privilegios de kernel
- La descripcion: Se ha resuelto un problema de lógica con comprobaciones mejoradas.
- CVE-2022-42848: ABC Research sro
sistema de archivos
- Impacto: Una aplicación puede salir de su sandbox
- La descripcion: Este problema se ha solucionado mejorando las comprobaciones.
- CVE-2022-42861: patrón-f (@pattern_F_) de Ant Security Light-Year Lab
controlador de gráficos
- Impacto: El análisis de un archivo de video creado con fines malintencionados puede provocar el cierre inesperado del sistema
- La descripcion: El problema se solucionó mejorando la gestión de la memoria.
- CVE-2022-42846: Willy R. Vasquez de la Universidad de Texas en Austin
IOIIDFamilia
- Impacto: Una aplicación puede ejecutar código arbitrario con privilegios de kernel
- La descripcion: Se ha resuelto una condición de carrera con una gestión de estado mejorada.
- CVE-2022-42864: Tommy Muir (@Muirey03)
tienda Itunes
- Impacto: Un usuario remoto puede hacer que una aplicación se cierre inesperadamente o la ejecución de código arbitrario
- La descripcion: Existía un problema al analizar las URL. Este problema se solucionó mejorando la validación de entrada.
- CVE-2022-42837: Weijia Dai (@dwj1210) de Momo Security
Centro
- Impacto: Una aplicación puede ejecutar código arbitrario con privilegios de kernel
- La descripcion: Se manejó una condición de carrera con validación adicional.
- CVE-2022-46689: Ian Beer del Proyecto Cero de Google
libxml2
- Impacto: Un usuario remoto puede hacer que una aplicación se cierre inesperadamente o la ejecución de código arbitrario
- La descripcion: Un desbordamiento de enteros se resolvió mediante una mejor validación de entrada.
- CVE-2022-40303: Maddie Stone del Proyecto Cero de Google
libxml2
- Impacto: Un usuario remoto puede hacer que una aplicación se cierre inesperadamente o la ejecución de código arbitrario
- La descripcion: Este problema se ha solucionado mejorando las comprobaciones.
- CVE-2022-40304: Ned Williamson y Nathan Wachholz de Google Project Zero
PPA
- Impacto: Una aplicación puede ejecutar código arbitrario con privilegios de kernel
- La descripcion: El problema se solucionó mejorando la gestión de la memoria.
- CVE-2022-42840: un investigador anonimo
preferencias
- Impacto: Una aplicación puede ser capaz de usar derechos arbitrarios
- La descripcion: Se ha resuelto un problema de lógica con un mejor manejo del estado.
- CVE-2022-42855: Ivan Fratric del Proyecto Cero de Google
Safari
- Impacto: Visitar un sitio web que enmarque contenido malicioso puede conducir a la suplantación de identidad de la interfaz de usuario
- La descripcion: Existía un problema de suplantación de identidad en el manejo de URL. Este problema se solucionó mejorando la validación de entrada.
- CVE-2022-46695: Kirti Kumar Anandrao Ramchandani
Webkit
- Impacto: El procesamiento de contenido web creado con fines malintencionados puede dar lugar a la ejecución de código arbitrario
- La descripcion: Se ha solucionado un problema de consumo de memoria mejorando la gestión de la memoria.
- CVE-2022-46691: un investigador anonimo
Webkit
- Impacto: El procesamiento de contenido web creado con fines malintencionados puede dar lugar a la divulgación de la memoria del proceso
- La descripcion: El problema se solucionó mejorando la gestión de la memoria.
- CVE-2022-42852: hazbinhotel trabaja con Trend Micro Zero Day Initiative
Webkit
- Impacto: El procesamiento de contenido web creado con fines malintencionados puede eludir la política del mismo origen
- La descripcion: Se ha resuelto un problema de lógica con un mejor manejo del estado.
- CVE-2022-46692: Kirti Kumar Anandrao Ramchandani
Webkit
- Impacto: El procesamiento de contenido web creado con fines malintencionados puede dar lugar a la ejecución de código arbitrario
- La descripcion: Se solucionó un problema de corrupción de memoria con una mejor validación de entrada.
- CVE-2022-46700: Samuel Gross de Seguridad V8 de Google
Webkit
- Impacto: El procesamiento de contenido web creado con fines malintencionados puede dar lugar a la ejecución de código arbitrario. Apple está al tanto de un informe de que este problema puede haber sido explotado activamente en versiones de iOS lanzadas antes de iOS 15.1.
- La descripcion: Se ha solucionado un problema de confusión de tipos mediante una mejor gestión del estado.
- CVE-2022-42856: Clément Lecigne del Grupo de Análisis de Amenazas de Google