Apple lanzó iOS 10.2 el lunes, y la compañía fue mucho más rápida de lo normal al publicar las notas del parche de seguridad para el lanzamiento. Según esas notas, hay 11 agujeros de seguridad corregidos en el lanzamiento. La mayoría de esos agujeros son serios y algunos permitían el acceso a varios aspectos de un dispositivo cuando debería estar bloqueado.
Puede leer más sobre iOS 10.2 en nuestra cobertura principal. Notas completas del parche de seguridad de Apple para iOS 10.2:
iOS 10.2
Publicado el 12 de diciembre de 2016
Accesibilidad
Disponible para: iPhone 5 y posteriores, iPad de 4.ª generación y posteriores, iPod touch de 6.ª generación y posteriores
Impacto: Un usuario cercano puede escuchar las contraseñas habladas
Descripción: Existía un problema de divulgación en el manejo de las contraseñas. Este problema se solucionó al deshabilitar el habla de contraseñas.
CVE-2016-7634: Davut Hari
Accesibilidad
Disponible para: iPhone 5 y posteriores, iPad de 4.ª generación y posteriores, iPod touch de 6.ª generación y posteriores
Impacto: Una persona con acceso físico a un dispositivo iOS puede acceder a fotos y contactos desde la pantalla de bloqueo
Descripción: Un problema con la pantalla de bloqueo permitió el acceso a fotos y contactos en un dispositivo bloqueado. Este problema se solucionó restringiendo las opciones que se ofrecen en un dispositivo bloqueado.
CVE-2016-7664: Miguel Alvarado de iDeviceHelp
Cuentas
Disponible para: iPhone 5 y posteriores, iPad de 4.ª generación y posteriores, iPod touch de 6.ª generación y posteriores
Impacto: Existía un problema que no restablecía la configuración de autorización en la desinstalación de la aplicación
Descripción: Este problema se solucionó mejorando la desinfección.
CVE-2016-7651: Ju Zhu y Lilang Wu de Trend Micro
Encontrar mi iphone
Disponible para: iPhone 5 y posteriores, iPad de 4.ª generación y posteriores, iPod touch de 6.ª generación y posteriores
Impacto: Un atacante con un dispositivo desbloqueado puede desactivar Buscar mi iPhone
Descripción: Existía un problema de administración de estado en el manejo de la información de autenticación. Este problema se solucionó mejorando el almacenamiento de la información de la cuenta.
CVE-2016-7638: Sezer Sakiner, investigador anónimo
Controlador de gráficos
Disponible para: iPhone 5 y posteriores, iPad de 4.ª generación y posteriores, iPod touch de 6.ª generación y posteriores
Impacto: Ver un video creado con fines malintencionados puede provocar una denegación de servicio
Descripción: Existía un problema de denegación de servicio en el manejo del video. Este problema se solucionó mejorando la validación de entrada.
CVE-2016-7665: Moataz El Gaml de Schlumberger, un investigador anónimo
Captura de imagen
Disponible para: iPhone 5 y posteriores, iPad de 4.ª generación y posteriores, iPod touch de 6.ª generación y posteriores
Impacto: Un dispositivo HID malicioso puede provocar la ejecución de código arbitrario
Descripción: Existía un problema de validación en el manejo de dispositivos de imagen USB. Este problema se solucionó mejorando la validación de entrada.
CVE-2016-4690: Andy Davis del Grupo NCC
Autenticación local
Disponible para: iPhone 5 y posteriores, iPad de 4.ª generación y posteriores, iPod touch de 6.ª generación y posteriores
Impacto: Es posible que el dispositivo no bloquee la pantalla después del tiempo de inactividad
Descripción: Existía un problema lógico en el manejo del temporizador de inactividad cuando se muestra el aviso de Touch ID. Este problema se solucionó mejorando el manejo del temporizador de inactividad.
CVE-2016-7601: un investigador anonimo
Correo
Disponible para: iPhone 5 y posteriores, iPad de 4.ª generación y posteriores, iPod touch de 6.ª generación y posteriores
Impacto: Un correo electrónico firmado con un certificado revocado puede parecer válido
Descripción: La política S/MIME no pudo comprobar si un certificado era válido. Este problema se solucionó notificando a un usuario si un correo electrónico se firmó con un certificado revocado.
CVE-2016-4689: un investigador anonimo
Reproductor multimedia
Disponible para: iPhone 5 y posteriores, iPad de 4.ª generación y posteriores, iPod touch de 6.ª generación y posteriores
Impacto: Un usuario puede ver fotos y contactos desde la pantalla de bloqueo
Descripción: Existía un problema de validación en el manejo de la selección de medios. Este problema se solucionó mejorando la validación.
CVE-2016-7653
Perfiles
Disponible para: iPhone 5 y posteriores, iPad de 4.ª generación y posteriores, iPod touch de 6.ª generación y posteriores
Impacto: Abrir un certificado creado con fines malintencionados puede provocar la ejecución de código arbitrario
Descripción: Existía un problema de corrupción de memoria en el manejo de perfiles de certificado. Este problema se solucionó mejorando la validación de entrada.
CVE-2016-7626: Maksymilian Arciemowicz (cxsecurity.com)
Trampolín
Disponible para: iPhone 5 y posteriores, iPad de 4.ª generación y posteriores, iPod touch de 6.ª generación y posteriores
Impacto: Una persona con acceso físico a un dispositivo iOS puede desbloquear el dispositivo
Descripción: En algunos casos, existía un problema de contador en el manejo de intentos de código de acceso al restablecer el código de acceso. Esto se solucionó mejorando la gestión estatal.
CVE-2016-4781: un investigador anonimo
Trampolín
Disponible para: iPhone 5 y posteriores, iPad de 4.ª generación y posteriores, iPod touch de 6.ª generación y posteriores
Impacto: Una persona con acceso físico a un dispositivo iOS puede mantener el dispositivo desbloqueado
Descripción: Existía un problema de limpieza en el manejo de Handoff con Siri. Esto se solucionó mejorando la gestión estatal.
CVE-2016-7597: un investigador anonimo