Acerca del contenido de seguridad de la actualización de software de iOS 4.3.2

En este documento se describe el contenido de seguridad de la actualización de software de iOS 4.3.2.

En este documento se describe el contenido de seguridad de la actualización de software de iOS 4.3.2, que se puede descargar e instalar desde iTunes.

Con el fin de proteger a nuestros clientes, Apple no revelará, comentará ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos Apple, visita el sitio web Seguridad de los productos Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos Apple.

Siempre que sea posible, se utilizan ID de CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

Actualización de software de iOS 4.3.2

  • Certificate Trust Policy

    Disponible para: de iOS 3.0 a 4.3.1 para iPhone 3GS y modelos posteriores, de iOS 3.1 a 4.3.1 para iPod touch (3.ª generación) y modelos posteriores, de iOS 3.2 a 4.3.1 para iPad

    Impacto: un atacante con una posición de red privilegiada podría interceptar las credenciales del usuario u otro tipo de información confidencial.

    Descripción: una autoridad de registro afiliada de Comodo emitió varios certificados SSL fraudulentos. Esto podría permitir que un atacante “man in-the-middle” (intermediario) redirigiese las conexiones e interceptase las credenciales de usuario u otra información confidencial. Este problema se soluciona incluyendo los certificados fraudulentos en una lista negra.

    Nota: En el caso de sistemas Mac OS X, este problema se soluciona con la actualización de seguridad 2011-002. En el caso de sistemas Windows, Safari depende del almacén de certificados del sistema operativo host para determinar si un certificado de servidor SSL es de confianza. La aplicación de la actualización que se describe en el artículo 2524375 de la base de conocimientos de Microsoft provoca que Safari considere dichos certificados de no confianza. Este artículo está disponible en http://support.microsoft.com/kb/2524375

  • libxslt

    Disponible para: de iOS 3.0 a 4.3.1 para iPhone 3GS y modelos posteriores, de iOS 3.1 a 4.3.1 para iPod touch (3.ª generación) y modelos posteriores, de iOS 3.2 a 4.3.1 para iPad

    Impacto: visitar un sitio web creado con fines malintencionados podría provocar la divulgación de direcciones del montón.

    Descripción: la implementación de la función generate-id() XPath de libxslt ha provocado la divulgación de la dirección del búfer de montón. Visitar un sitio web creado con fines malintencionados podría provocar la divulgación de direcciones de la memoria dinámica, lo que podría permitir la omisión de la protección contra la aleatorización de diseños de espacios de direcciones. Este problema se soluciona mediante la generación de un ID basado en la diferencia entre las direcciones de dos búferes de montón.

    ID de CVE

    CVE-2011-0195: Chris Evans del Google Chrome Security Team

  • QuickLook

    Disponible para: de iOS 3.0 a 4.3.1 para iPhone 3GS y modelos posteriores, de iOS 3.1 a 4.3.1 para iPod touch (3.ª generación) y modelos posteriores, de iOS 3.2 a 4.3.1 para iPad

    Impacto: la visualización de un archivo de Microsoft Office creado con fines malintencionados podría provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario.

    Descripción: existía un problema de corrupción de la memoria en la gestión de archivos de Microsoft Office por parte de QuickLook. Visualizar un archivo de Microsoft Office creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución arbitraria de código.

    CVE-ID

    CVE-2011-1417: Charlie Miller y Dion Blazakis en colaboración con TippingPoint's Zero Day Initiative

  • WebKit

    Disponible para: de iOS 3.0 a 4.3.1 para iPhone 3GS y modelos posteriores, de iOS 3.1 a 4.3.1 para iPod touch (3.ª generación) y modelos posteriores, de iOS 3.2 a 4.3.1 para iPad

    Impacto: visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario.

    Descripción: existía un problema de desbordamiento de enteros en la gestión de conjuntos de nodos. Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    ID de CVE

    CVE-2011-1290: Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann y un investigador anónimo en colaboración con la Zero Day Initiative de TippingPoint

  • WebKit

    Disponible para: de iOS 3.0 a 4.3.1 para iPhone 3GS y modelos posteriores, de iOS 3.1 a 4.3.1 para iPod touch (3.ª generación) y modelos posteriores, de iOS 3.2 a 4.3.1 para iPad

    Impacto: visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario.

    Descripción: existía un problema de uso después de estar libre en la gestión de nodos de texto. Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    ID de CVE

    CVE-2011-1344: Vupen Security en colaboración con la Zero Day Initiative de TippingPoint, y Martin Barbella

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Fecha de publicación: