Acerca del contenido de seguridad de iOS 4.1 para iPhone y iPod touch
En este documento se describe el contenido de seguridad de iOS 4.1 para iPhone y iPod touch.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.
Para obtener más información sobre la clave PGP de seguridad de los productos de Apple, consulta “Cómo utilizar la clave PGP de seguridad de los productos de Apple”.
Siempre que sea posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.
Para obtener más información acerca de otras actualizaciones de seguridad, consulta “Actualizaciones de seguridad de Apple”.
iOS 4.1 para iPhone y iPod touch
Accesibilidad
CVE-ID: CVE-2010-1809
Disponible para: iOS 3.0 a 4.0.2 para iPhone 3GS y posteriores, iOS 3.0 a 4.0.2 para iPod touch (3.ª generación)
Impacto: el uso de los servicios de localización de una aplicación podría no anunciarse mediante VoiceOver
Descripción: se produce un error de accesibilidad de interfaz de usuario en el panel de ajustes para Servicios de Localización. VoiceOver no anuncia la presencia del icono de localización que se muestra junto a una aplicación que ha solicitado la ubicación del usuario durante las últimas 24 horas. Este problema se resuelve asegurándose de que VoiceOver anuncia la presencia del icono. Gracias a Robin Kipp de Forever Living Products Europe por informar de este problema.
FaceTime
CVE-ID: CVE-2010-1810
Disponible para: iOS 2.0 a 4.0.2 para iPhone 3G y posteriores, iOS 2.1 a 4.0.2 para iPod touch (2.ª generación) y posteriores
Impacto: un atacante que se encuentra en una posición de red privilegiada podría redirigir llamadas con FaceTime
Descripción: un problema en la gestión de los certificados no válidos podría permitir que un atacante que se encuentra en una posición de red privilegiada redirigiera las llamadas con FaceTime. Este problema se resuelve mediante la gestión mejorada de los certificados. Gracias a Aaron Sigel de vtty.com por informar de este problema.
ImageIO
CVE-ID: CVE-2010-1811
Disponible para: iOS 2.0 a 4.0.2 para iPhone 3G y posteriores, iOS 2.1 a 4.0.2 para iPod touch (2.ª generación) y posteriores
Impacto: procesar una imagen TIFF creada con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario
Descripción: se produce un error de corrupción de memoria al procesar imágenes TIFF. Procesar una imagen TIFF creada con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario. Este problema se soluciona mejorando la gestión de las imágenes TIFF. Gracias a: Apple.
ImageIO
CVE-ID: CVE-2010-1817
Disponible para: iOS 2.0 a 4.0.2 para iPhone 3G y posteriores, iOS 2.1 a 4.0.2 para iPod touch (2.ª generación) y posteriores
Impacto: procesar una imagen GIF creada con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario
Descripción: se produce un desbordamiento de búfer en el manejo de imágenes GIF. Procesar una imagen GIF creada con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario. Este problema se soluciona mejorando la comprobación de los límites. Gracias a Tom Ferris de Adobe PSIRT por informar de este problema.
WebKit
CVE-ID: CVE-2010-1786
Disponible para: iOS 2.0 a 4.0.2 para iPhone 3G y posteriores, iOS 2.1 a 4.0.2 para iPod touch (2.ª generación) y posteriores
Impacto: visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: WebKit presenta un problema de uso después de la liberación en la gestión de elementos “foreignObject” en documentos SVG. Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario. Este problema se resuelve mediante la validación adicional de los documentos SVG. Gracias a wushi, del team509, que trabaja con la Zero Day Initiative de TippingPoint, por informar de este problema.
WebKit
CVE-ID: CVE-2010-1770
Disponible para: iOS 2.0 a 4.0.2 para iPhone 3G y posteriores, iOS 2.1 a 4.0.2 para iPod touch (2.ª generación) y posteriores
Impacto: visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: existe un problema de comprobación del tipo de letra en la gestión de nodos de texto por parte de WebKit. Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario. Este problema se ha solucionado mejorando la comprobación de tipos de letra. Gracias a wushi, del team509, que trabaja con la Zero Day Initiative de TippingPoint, por informar de este problema.
WebKit
CVE-ID: CVE-2010-1785
Disponible para: iOS 2.0 a 4.0.2 para iPhone 3G y posteriores, iOS 2.1 a 4.0.2 para iPod touch (2.ª generación) y posteriores
Impacto: visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: WebKit presenta un problema de acceso a la memoria no inicializada en la gestión de los pseudoelementos “:first-letter” y “:first-line” de los elementos de texto SVG. Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario. Este problema se resuelve mediante el no procesamiento de los pseudoelementos “:first-letter” y “:first-line” en los elementos de texto SVG. Gracias a wushi, del team509, que trabaja con la Zero Day Initiative de TippingPoint, por informar de este problema.
WebKit
CVE-ID: CVE-2010-1780
Disponible para: iOS 2.0 a 4.0.2 para iPhone 3G y posteriores, iOS 2.1 a 4.0.2 para iPod touch (2.ª generación) y posteriores
Impacto: visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: WebKit presenta un problema de uso después de liberación en el manejo del enfoque de elementos. Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario. Este problema se trata mediante el manejo mejorado del enfoque de elementos. Gracias a Tony Chang, de Google, Inc., por informar de este problema.
WebKit
CVE-ID: CVE-2010-1793
Disponible para: iOS 2.0 a 4.0.2 para iPhone 3G y posteriores, iOS 2.1 a 4.0.2 para iPod touch (2.ª generación) y posteriores
Impacto: visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: WebKit presenta un problema de uso después de liberación en el manejo de los elementos “font-face” y “use” en documentos SVG. Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario. Este problema se resuelve mediante la mejora del manejo de los elementos “font-face” y “use” en documentos SVG. Gracias a Aki Helin, de OUSPG, por informar de este problema.
WebKit
CVE-ID: CVE-2010-1421
Disponible para: iOS 2.0 a 4.0.2 para iPhone 3G y posteriores, iOS 2.1 a 4.0.2 para iPod touch (2.ª generación) y posteriores
Impacto: visitar un sitio web creado con fines malintencionados podría cambiar los contenidos del portapapeles
Descripción: la implementación del comando exec de función JavaScript presenta un problema de diseño. Una página web creada con fines malintencionados puede modificar los contenidos del portapapeles sin la interacción del usuario. Este problema se soluciona permitiendo solo que los comandos del portapapeles se ejecuten si los ha iniciado el usuario. Gracias a: Apple.
WebKit
CVE-ID: CVE-2010-1422
Disponible para: iOS 2.0 a 4.0.2 para iPhone 3G y posteriores, iOS 2.1 a 4.0.2 para iPod touch (2.ª generación) y posteriores
Impacto: la interacción con un sitio web creado con fines malintencionados podría provocar acciones inesperadas en otros sitios
Descripción: existe un problema de implantación en el manejo del foco del teclado por parte de WebKit. Si el foco del teclado cambia mientras se manipulan las teclas pulsadas, WebKit podría generar un evento en el marco con el nuevo foco, en lugar del marco que tenía el foco cuando se manipuló la tecla pulsada. Un sitio web creado con fines malintencionados podría manipular al usuario para que este realice una acción inesperada, como iniciar una compra. Este asunto se resuelve evitando que se creen eventos de teclas pulsadas si el foco del teclado cambia durante la manipulación. Gracias a Michal Zalewski, de Google Inc., por informar de este problema.
WebKit
CVE-ID: CVE-2010-1771
Disponible para: iOS 2.0 a 4.0.2 para iPhone 3G y posteriores, iOS 2.1 a 4.0.2 para iPod touch (2.ª generación) y posteriores
Impacto: visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: existe un problema de uso después de liberación en la gestión de los tipos de letra por parte de WebKit. Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario. Este problema se resuelve mediante la gestión mejorada de los tipos de letra. Gracias a: Apple.
WebKit
CVE-ID: CVE-2010-1783
Disponible para: iOS 2.0 a 4.0.2 para iPhone 3G y posteriores, iOS 2.1 a 4.0.2 para iPod touch (2.ª generación) y posteriores
Impacto: visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: WebKit presenta un problema de corrupción de memoria en el manejo de las modificaciones dinámicas realizadas en nodos de texto. Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario. Este problema se soluciona mejorando la gestión de memoria.
WebKit
CVE-ID: CVE-2010-1764
Disponible para: iOS 2.0 a 4.0.2 para iPhone 3G y posteriores, iOS 2.1 a 4.0.2 para iPod touch (2.ª generación) y posteriores
Impacto: visitar un sitio web que redirige envíos de formularios podría provocar una divulgación de información
Descripción: existe un problema de diseño en la gestión de los redireccionamientos HTTP por parte de WebKit. Cuando un envío de formulario se redirige a un sitio web que hace también un redireccionamiento, la información contenida en el formulario enviado podría enviarse al sitio tercero. Este problema se soluciona mejorando la gestión de los redireccionamientos HTTP. Gracias a Marc Worrell, de WhatWebWhat, por informar de este problema.
WebKit
CVE-ID: CVE-2010-1782
Disponible para: iOS 2.0 a 4.0.2 para iPhone 3G y posteriores, iOS 2.1 a 4.0.2 para iPod touch (2.ª generación) y posteriores
Impacto: visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: WebKit presenta un problema de corrupción de memoria en el procesamiento de elementos integrados. Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario. Este problema se soluciona mejorando la comprobación de los límites. Gracias a wushi, del team509, por informar de este problema.
WebKit
CVE-ID: CVE-2010-1781
Disponible para: iOS 2.0 a 4.0.2 para iPhone 3G y posteriores, iOS 2.1 a 4.0.2 para iPod touch (2.ª generación) y posteriores
Impacto: visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: WebKit presenta un problema de liberación doble en el procesamiento de elementos integrados. Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario. Este problema se soluciona mejorando la gestión de memoria. Gracias a James Robinson, de Google, Inc. por informar de este problema.
WebKit
CVE-ID: CVE-2010-1784
Disponible para: iOS 2.0 a 4.0.2 para iPhone 3G y posteriores, iOS 2.1 a 4.0.2 para iPod touch (2.ª generación) y posteriores
Impacto: visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: WebKit presenta un problema de corrupción de memoria en el manejo de contadores CSS. Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario. Este problema se soluciona mejorando la gestión de memoria. Gracias a wushi, del team509, que trabaja con la Zero Day Initiative de TippingPoint, por informar de este problema.
WebKit
CVE-ID: CVE-2010-1787
Disponible para: iOS 2.0 a 4.0.2 para iPhone 3G y posteriores, iOS 2.1 a 4.0.2 para iPod touch (2.ª generación) y posteriores
Impacto: visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: WebKit presenta un problema de corrupción de memoria en el manejo de los elementos flotantes en documentos SVG. Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario. Este problema se soluciona mejorando la gestión de memoria.
WebKit
CVE-ID: CVE-2010-1791
Disponible para: iOS 2.0 a 4.0.2 para iPhone 3G y posteriores, iOS 2.1 a 4.0.2 para iPod touch (2.ª generación) y posteriores
Impacto: visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: WebKit presenta un problema de signo numérico en el manejo de las matrices de JavaScript. Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario. Este problema se resuelve mediante la mejora del manejo de los índices de matriz de JavaScript. Gracias a Natalie Silvanovich por informar de este problema.
WebKit
CVE-ID: CVE-2010-1788
Disponible para: iOS 2.0 a 4.0.2 para iPhone 3G y posteriores, iOS 2.1 a 4.0.2 para iPod touch (2.ª generación) y posteriores
Impacto: visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: WebKit presenta un problema de corrupción de memoria en la gestión de los elementos “use” en documentos SVG. Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario. Este problema se soluciona mediante la gestión de los elementos “use” en documentos SVG. Gracias a Justin Schuh, de Google, Inc., por informar de este problema.
WebKit
CVE-ID: CVE-2010-1812
Disponible para: iOS 2.0 a 4.0.2 para iPhone 3G y posteriores, iOS 2.1 a 4.0.2 para iPod touch (2.ª generación) y posteriores
Impacto: visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: WebKit presenta un problema de uso después de la liberación en la gestión de selecciones. Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario. Este problema se soluciona mejorando la gestión de selecciones. Gracias a chipplyman por informar de este problema.
WebKit
CVE-ID: CVE-2010-1813
Disponible para: iOS 2.0 a 4.0.2 para iPhone 3G y posteriores, iOS 2.1 a 4.0.2 para iPod touch (2.ª generación) y posteriores
Impacto: visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: WebKit presenta un problema de corrupción de memoria en el procesamiento de objetos HTML. Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario. Este problema se soluciona mejorando la gestión de memoria. Gracias a José A. Vázquez, de spa-s3c.blogspot.com, por informar de este problema.
WebKit
CVE-ID: CVE-2010-1814
Disponible para: iOS 2.0 a 4.0.2 para iPhone 3G y posteriores, iOS 2.1 a 4.0.2 para iPod touch (2.ª generación) y posteriores
Impacto: visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: WebKit presenta un problema de corrupción de memoria en la gestión de los menús de formularios. Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario. Este problema se soluciona mejorando la gestión de los menús de formularios. Gracias a Csaba Osztrogonac, de la Universidad de Szeged, por informar de este problema.
WebKit
CVE-ID: CVE-2010-1815
Disponible para: iOS 2.0 a 4.0.2 para iPhone 3G y posteriores, iOS 2.1 a 4.0.2 para iPod touch (2.ª generación) y posteriores
Impacto: visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: WebKit presenta un problema de uso después de la liberación en la gestión de barras de desplazamiento. Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario. Este problema se soluciona mejorando la gestión de memoria. Gracias a thabermann por informar de este problema.
FaceTime no está disponible en todos los países o regiones.
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.