Acerca del contenido de seguridad de la actualización de software iOS 5.0.1

Este documento describe el contenido de seguridad de iOS 5.0.1.

Este documento describe el contenido de seguridad de iOS 5.0.1, que se puede descargar e instalar mediante iTunes.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos de Apple, consulta "Cómo utilizar la clave PGP de seguridad de los productos de Apple".

Siempre que sea posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".

Actualización de software iOS 5.0.1

  • CFNetwork

    Disponible para: iOS 3.0 a 5.0 para el iPhone 3GS, el iPhone 4 y el iPhone 4s, iOS 3.1 a 5.0 para el iPod touch (3.ª generación) y posteriores, iOS 3.2 a 5.0 para el iPad, iOS 4.3 a 5.0 para el iPad 2

    Impacto: Visitar un sitio web creado con fines malintencionados podría provocar la divulgación de información confidencial

    Descripción: Existía un problema con la gestión de direcciones URL creadas con fines malintencionados por parte de CFNetwork. Al acceder a una URL HTTP o HTTPS creada con fines malintencionados, CFNetwork podría navegar a un servidor incorrecto.

    ID CVE

    CVE-2011-3246: Erling Ellingsen de Facebook

  • CoreGraphics

    Disponible para: iOS 3.0 a 5.0 para el iPhone 3GS, el iPhone 4 y el iPhone 4s, iOS 3.1 a 5.0 para el iPod touch (3.ª generación) y posteriores, iOS 3.2 a 5.0 para el iPad, iOS 4.3 a 5.0 para el iPad 2

    Impacto: Visualizar un documento que contenga un tipo de letra creado con fines malintencionados podría provocar la ejecución de código arbitrario

    Descripción: Existían varios problemas de corrupción de memoria en FreeType. Los más graves podrían provocar la ejecución de código arbitrario al procesar un tipo de letra creado con fines malintencionados.

    ID CVE

    CVE-2011-3439: Apple

  • Seguridad de datos

    Disponible para: iOS 3.0 a 5.0 para el iPhone 3GS, el iPhone 4 y el iPhone 4s, iOS 3.1 a 5.0 para el iPod touch (3.ª generación) y posteriores, iOS 3.2 a 5.0 para el iPad, iOS 4.3 a 5.0 para el iPad 2

    Impacto: Un atacante con una posición de red privilegiada podría interceptar credenciales de usuario u otra información confidencial

    Descripción: Dos autoridades de certificación en la lista de certificados de raíz de confianza han emitido de forma independiente certificados de intermediario a DigiCert Malaysia. DigiCert Malaysia ha emitido certificados con claves débiles que no es capaz de revocar. Un atacante con una posición de red privilegiada podría interceptar credenciales de usuario u otra información confidencial destinada a un sitio con un certificado emitido por DigiCert Malaysia. Este problema se soluciona configurando los ajustes de confianza predeterminados del sistema de forma que los certificados de DigiCert Malaysia no se consideren fiables. Gracias a Bruce Morton de Entrust, Inc. por informar de este problema.

  • Kernel

    Disponible para: iOS 3.0 a 5.0 para el iPhone 3GS, el iPhone 4 y el iPhone 4s, iOS 3.1 a 5.0 para el iPod touch (3.ª generación) y posteriores, iOS 3.2 a 5.0 para el iPad, iOS 4.3 a 5.0 para el iPad 2

    Impacto: Una aplicación podría ejecutar código no firmado

    Descripción: Existía un error lógico en la comprobación de combinaciones de marcadores válidas por parte de la llamada al sistema mmap. Este problema podría omitir las comprobaciones de firma de código. Este problema no afecta a los dispositivos que ejecuten versiones de iOS anteriores a la 4.3.

    ID CVE

    CVE-2011-3442: Charlie Miller de Accuvant Labs

  • libinfo

    Disponible para: iOS 3.0 a 5.0 para el iPhone 3GS, el iPhone 4 y el iPhone 4s, iOS 3.1 a 5.0 para el iPod touch (3.ª generación) y posteriores, iOS 3.2 a 5.0 para el iPad, iOS 4.3 a 5.0 para el iPad 2

    Impacto: Visitar un sitio web creado con fines malintencionados podría provocar la divulgación de información confidencial

    Descripción: Existía un problema en la gestión de búsquedas de nombres DNS por parte de libinfo. Al resolver un nombre de host creado con fines malintencionados, libinfo podría devolver un resultado incorrecto.

    ID CVE

    CVE-2011-3441: Erling Ellingsen de Facebook, Per Johansson de Blocket AB

  • Bloqueo con código

    Disponible para: iOS 4.3 a 5.0 para el iPad 2

    Impacto: Una persona con acceso físico a un iPad 2 bloqueado podría ser capaz de acceder a algunos de los datos del usuario

    Descripción: Cuando se abre una Smart Cover mientras el iPad 2 está confirmando el apagado en estado bloqueado, el iPad no solicita la contraseña. Esto permite el acceso a algunas funciones del iPad, pero no es posible acceder a los datos protegidos por protección de datos ni ejecutar apps.

    ID CVE

    CVE-2011-3440

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Fecha de publicación: