Idiomas

Archivado - Acerca del contenido de seguridad de iPhone v2.1

Este documento describe el contenido de seguridad de iPhone v2.1.

Para la protección de nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya realizado una exhaustiva investigación y estén disponibles todas las versiones y actualizaciones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visite el sitio web Seguridad de los productos de Apple.

Para obtener más información sobre la clave PGP de la seguridad de los productos de Apple, consulte "Cómo utilizar la clave PGP de la seguridad de productos de Apple".

Cuando es posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a la hora de obtener más información.

Para obtener información sobre otras las actualizaciones de seguridad, consulte "Actualizaciones de seguridad de Apple".

 

Este artículo se ha archivado y Apple ya no lo actualiza.

iPhone v2.1

  • Aplicación Sandbox

    CVE-ID: CVE-2008-3631

    Disponible para: iPhone v2.0 a v2.0.2

    Impacto: es posible que una aplicación pueda leer los archivos de otra aplicación.

    Descripción: la aplicación Sandbox no cumple exhaustivamente las restricciones de acceso entre aplicaciones de terceros. Esto puede permitir a la aplicación de terceros leer archivos en otra zona protegida de la aplicación de terceros y facilitar información relevante. Esta actualización trata el problema poniendo en práctica las restricciones de acceso pertinentes entre las zonas protegidas de las aplicaciones. Gracias a Nicolas Seriot de Sen:te y a Bryce Cogswell por informar de este problema. Este problema no afecta a las versiones de iPhone anteriores a v2.0.

  • CoreGraphics

    CVE-ID: CVE-2008-1806, CVE-2008-1807, CVE-2008-1808

    Disponible para: iPhone v1.0 a v2.0.2

    Impacto: varios casos de vulnerabilidad en FreeType v2.3.5.

    Descripción: existen varios casos de vulnerabilidad en FreeType v2.3.5, de los cuales los más graves pueden provocar la ejecución de un código intruso al acceder a datos de fuentes creadas malintencionadamente. Esta actualización trata el problema incorporando correcciones de seguridad de la versión 2.3.6 de FreeType. Más información disponible mediante el sitio de FreeType en http://www.freetype.org/

  • mDNSResponder

    CVE-ID: CVE-2008-1447

    Disponible para: iPhone v1.0 a v2.0.2.

    Impacto: mDNSResponder es susceptible de que la caché DNS sea infectada y pueda devolver información falsificada.

    Descripción: mDNSResponder proporciona traducción entre nombres de equipo y direcciones IP para aplicaciones que utilizan su API de resolución DNS de unidifusión. Un punto débil en el protocolo DNS permite a un asaltante remoto realizar ataques de infección de la caché DNS. Como resultado, las aplicaciones que dependen de mDNSResponder de DNS pueden recibir información falsificada. Esta actualización trata el problema mediante la implementación del puerto fuente y la aleatorización del ID de transacción que mejoran la resistencia frente a ataques de infección de la caché. Gracias a Dan Kaminsky de IOActive por informar de este problema.

  • Red

    CVE-ID: CVE-2008-3612

    Disponible para: iPhone v2.0 a v2.0.2

    Impacto: la generación de números de secuencia inicial TCP predecibles permite la falsificación de TCP y el secuestro de sesión.

    Descripción: los números de secuencia inicial TCP se generan secuencialmente. Los números se secuencia inicial predecibles permiten a un atacante remoto crear una conexión de TCP falsificada o insertar datos en una conexión TCP existente. Esta actualización trata el problema generando números de secuencia inicial TCP aleatorios. Este problema no afecta a las versiones de iPhone anteriores a v2.0.

  • Bloqueo con código

    CVE-ID: CVE-2008-3633

    Disponible para: iPhone v2.0 a v2.0.2

    Impacto: un usuario no autorizado puede saltarse la restricción del bloqueo con código e iniciar las aplicaciones del iPhone.

    Descripción: la opción de bloqueo con código está indicada para evitar que se inicien aplicaciones, a menos que se introduzca el código adecuado. Un problema de implementación en el procesamiento de las llamadas de emergencia permite a los usuarios con acceso físico a un iPhone iniciar una aplicación sin código al hacer doble clic en el botón de inicio de llamada de emergencia. Esta actualización resuelve el problema mejorando el procesamiento de las llamadas de emergencia. Gracias a Matthew Yohe del Departamento de Ingeniería Informática y Eléctrica de la Universidad de Iowa por informar de este problema. Este problema no afecta a las versiones de iPhone anteriores a v2.0.

  • WebKit

    CVE-ID: CVE-2008-3632

    Disponible para: iPhone v1.0 a v2.0.2

    Impacto: la visita a un sitio web creado con fines malintencionados puede provocar la terminación inesperada de la aplicación o la ejecución de un código intruso.

    Descripción: existe un problema de uso después de liberación en el manejo del WebKit de sentencias de importación de CSS. La visita a un sitio web creado con fines malintencionados puede provocar la terminación inesperada de la aplicación o la ejecución de un código intruso. Esta actualización trata el problema mediante el tratamiento mejorado de referencias de documentos.

Última modificación: 09-nov-2011
¿Te ha resultado útil?
No
  • Última modificación: 09-nov-2011
  • Artículo: HT3129
  • Vistas:

    246

Información adicional de soporte técnico del producto