Acerca del contenido de seguridad de la actualización de iPhone 1.1.1

En este documento se describe el contenido de seguridad de la actualización de iPhone 1.1.1.

Con el fin de proteger a nuestros clientes, Apple no revelará, comentará ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos Apple, visita el sitio web Seguridad de los productos Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos Apple.

Siempre que sea posible, se utilizan ID de CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

Actualización de iPhone 1.1.1

Bluetooth

CVE-ID: CVE-2007-3753

Impacto: un atacante dentro del alcance de la conexión Bluetooth podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

Descripción: hay un problema de validación de entrada en el servidor Bluetooth del iPhone. Un atacante puede desencadenar este problema mediante el envío de paquetes de Service Discovery Protocol (SDP) creados con fines malintencionados a un iPhone con Bluetooth activado, lo que puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Esta actualización soluciona el problema mediante la validación adicional de los paquetes de SDP. Gracias a Kevin Mahaffey y John Hering de Flexilis Mobile Security por informar de este problema.

Mail

CVE-ID: CVE-2007-3754

Impacto: la consulta del correo electrónico a través de redes que no son de confianza podría provocar la divulgación de información mediante un ataque de intermediario.

Descripción: cuando se configura Mail para usar SSL para las conexiones entrantes y salientes, la app no avisa al usuario cuando la identidad del servidor de correo ha cambiado o no parece de confianza. Un atacante capaz de interceptar la conexión podría hacerse pasar por el servidor de correo del usuario y obtener sus credenciales de correo electrónico u otro tipo de información confidencial. Esta actualización soluciona el problema enviando una advertencia cuando la identidad del servidor de correo remoto ha cambiado.

Mail

CVE-ID: CVE-2007-3755

Impacto: después de seleccionar un enlace telefónico (“tel.”) en Mail, se marcará un número de teléfono sin esperar ninguna confirmación.

Descripción: Mail admite enlaces de tipo telefónico para marcar números de teléfono. Un atacante puede hacer que el iPhone haga una llamada sin la confirmación del usuario al persuadiarlo para que seleccione un enlace telefónico en un mensaje de correo electrónico. Esta actualización soluciona el problema proporcionando una ventana de confirmación que aparece antes de marcar un número de teléfono a través de un enlace telefónico en Mail. Gracias a Andi Baritchi de McAfee por informar de este problema.

Safari

CVE-ID: CVE-2007-3756

Impacto: la visita a un sitio web creado con fines malintencionados podría provocar la divulgación de contenido de URL.

Descripción: un problema de diseño en Safari permite a una página web leer la URL que se está visualizando en la ventana principal. Al persuadir a un usuario para que visite una página web creada con fines malintencionados, un atacante podría obtener la URL de otra página no relacionada. Esta actualización soluciona el problema mejorando la comprobación de seguridad entre dominios. Gracias a Michal Zalewski de Google Inc. y Secunia Research por informar de este problema.

Safari

CVE-ID: CVE-2007-3757

Impacto: la visita a un sitio web creado con fines malintencionados podría provocar la marcación involuntaria de algún número o la marcación de un número diferente al esperado.

Descripción: Safari admite enlaces de tipo telefónico para marcar números de teléfono. Cuando se seleccione un enlace telefónico, Safari confirmará que se debe marcar ese número. Un enlace telefónico creado con fines malintencionados puede hacer que se muestre un número diferente durante la confirmación y no el que realmente se ha marcado. Salir de Safari durante el proceso de confirmación puede provocar además una confirmación involuntaria. Esta actualización soluciona el problema mostrando correctamente el número que se marcará y requiriendo confirmación para los enlaces telefónicos. Gracias a Billy Hoffman y Bryan Sullivan de HP Security Labs (anteriormente SPI Labs) y Eduardo Tang por informar de este problema.

Safari

CVE-ID: CVE-2007-3758

Impacto: la visita a un sitio web creado con fines malintencionados podría provocar una ejecución de secuencias de comandos entre sitios.

Descripción: existe una vulnerabilidad de secuencias de comandos entre sitios en Safari que permite a sitios web creados con fines malintencionados configurar propiedades de la ventana de JavaScript de sitios web que se encuentran en un dominio diferente. Al persuadir a un usuario para que visite un sitio web creado con fines malintencionados, un atacante puede desencadenar el problema y, por tanto, obtener o configurar el estado de la ventana y la ubicación de las páginas que se encuentran en otros sitios web. Esta actualización soluciona el problema proporcionando controles de acceso mejorados para estas propiedades. Gracias a Michal Zalewski de Google Inc. por informar de este problema.

Safari

CVE-ID: CVE-2007-3759

Impacto: la desactivación de JavaScript no surte efecto hasta que se reinicia Safari.

Descripción: Safari se puede configurar para que active o desactive JavaScript. Esta preferencia no surte efecto hasta la próxima vez que se reinicia Safari, que suele ser cuando se reinicia el iPhone. Esto puede hacer creer a los usuarios que JavaScript está desactivado cuando en realidad no lo está. Esta actualización soluciona el problema aplicando la nueva preferencia antes de cargar nuevas páginas web.

Safari

CVE-ID: CVE-2007-3760

Impacto: la visita a un sitio web creado con fines malintencionados podría provocar una ejecución de secuencias de comandos entre sitios.

Descripción: un problema de secuencias de comandos entre sitios en Safari permite a un sitio web creado con fines malintencionados omitir la política del mismo origen mediante etiquetas de “marco”. Un atacante puede desencadenar el problema al persuadir a un usuario para que visite una página web creada con fines malintencionados, lo que puede provocar la ejecución de JavaScript en el contexto de otro sitio. Esta actualización soluciona el problema al no permitir JavaScript como origen de “iframe” y limitar JavaScript en las etiquetas de marco, de forma que solo se pueda usar el mismo acceso que su sitio de origen. Gracias a Michal Zalewski de Google Inc. y Secunia Research por informar de este problema.

Safari

CVE-ID: CVE-2007-3761

Impacto: la visita a un sitio web creado con fines malintencionados podría provocar una ejecución de secuencias de comandos entre sitios.

Descripción: un problema de secuencias de comandos entre sitios en Safari permite que los eventos de JavaScript se asocien al marco incorrecto. Un atacante puede desencadenar la ejecución de JavaScript en el contexto de otro sitio al persuadir a un usuario para que visite una página web creada con fines malintencionados. Esta actualización soluciona el problema asociando los eventos de JavaScript al marco de origen correcto.

Safari

CVE-ID: CVE-2007-4671

Impacto: el uso de JavaScript en sitios web podría permitir el acceso o la manipulación del contenido de documentos enviados a través de HTTPS.

Descripción: un problema en Safari permite que el contenido enviado a través de HTTP altere o acceda al contenido enviado a través de HTTPS en el mismo dominio. Un atacante puede desencadenar la ejecución de JavaScript en el contexto de páginas web HTTPS de ese dominio al persuadir a un usuario para que visite una página web creada con fines malintencionados. Esta actualización soluciona el problema limitando el acceso entre la ejecución de JavaScript en marcos HTTP y HTTPS. Gracias a Keigo Yamazaki de LAC Co., Ltd. (Little eArth Corporation Co., Ltd.) por informar de este problema.

Nota sobre la instalación:

Esta actualización solo está disponible a través de iTunes y no aparecerá en la aplicación Actualización de software del ordenador ni en el sitio de descargas de Apple. Asegúrate de tener conexión a internet y de haber instalado la última versión de iTunes disponible en https://www.apple.com/es/itunes/.

iTunes comprobará automáticamente el servidor de actualizaciones de Apple de acuerdo con la programación semanal definida. Cuando se detecte una actualización, se descargará. Si el iPhone está conectado al ordenador, iTunes mostrará al usuario la opción de instalar la actualización. Te recomendamos que, siempre que sea posible, apliques la actualización de inmediato. Si optas por no instalarla, volverá a aparecer la opción la próxima vez que conectes el iPhone.

El proceso de actualización automática puede tardar hasta una semana en función del día en que iTunes compruebe las actualizaciones. Si quieres obtener la actualización de forma manual, utiliza el botón “Buscar actualización” en iTunes. La actualización podrá instalarse cuando el iPhone esté conectado al ordenador.

Para comprobar que el iPhone se ha actualizado:

  1. Ve a Ajustes

  2. Haz clic en General

  3. Haz clic en Información Después de aplicar esta actualización, la versión será la 1.1.1 (3A109a).

Fecha de publicación: