Acerca del contenido de seguridad de iOS 7.1

Este documento describe el contenido de seguridad de iOS 7.1.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos de Apple, consulta "Cómo utilizar la clave PGP de seguridad de los productos de Apple".

Siempre que sea posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".

iOS 7.1

  • Copia de seguridad

    Disponible para: iPhone 4 y posteriores, iPod touch (5.ª generación) y posteriores, iPad 2 y posteriores

    Impacto: una copia de seguridad creada con fines malintencionados puede alterar el sistema de archivos

    Descripción: un enlace simbólico en una copia de seguridad se restauraba y permitía que las operaciones posteriores que tuvieran lugar durante la restauración escribieran en el resto del sistema de archivos. Este problema se ha solucionado mediante la comprobación de enlaces simbólicos durante el proceso de restauración.

    ID CVE

    CVE-2013-5133: evad3rs

  • Política de confianza en certificados

    Disponible para: iPhone 4 y posteriores, iPod touch (5.ª generación) y posteriores, iPad 2 y posteriores

    Impacto: Los certificados raíz se han actualizado

    Descripción: se han incorporado varios certificados a la lista de certificados raíz del sistema o se han eliminado de ella.

  • Perfiles de configuración

    Disponible para: iPhone 4 y posteriores, iPod touch (5.ª generación) y posteriores, iPad 2 y posteriores

    Impacto: no se cumplían las fechas de caducidad del perfil

    Descripción: las fechas de caducidad de los perfiles de configuración móviles no se evaluaban correctamente. Este problema se ha solucionado mediante la mejora de la gestión de los perfiles de configuración.

    ID CVE

    CVE-2014-1267

  • CoreCapture

    Disponible para: iPhone 4 y posteriores, iPod touch (5.ª generación) y posteriores, iPad 2 y posteriores

    Impacto: una aplicación creada con fines malintencionados puede provocar la finalización inesperada del sistema

    Descripción: había un problema de aserción asequible en la gestión de llamadas API de IOKit por parte de CoreCapture. Este problema se ha solucionado mediante la validación adicional de la entrada de IOKit.

    ID CVE

    CVE-2014-1271: Filippo Bigarella

  • Informes de fallos

    Disponible para: iPhone 4 y posteriores, iPod touch (5.ª generación) y posteriores, iPad 2 y posteriores

    Impacto: un usuario local podía modificar los permisos de archivos aleatorios

    Descripción: CrashHouseKeeping seguía enlaces simbólicos mientras cambiaba los permisos de los archivos. Este problema se ha solucionado no siguiendo enlaces simbólicos al cambiar los permisos de los archivos.

    ID CVE

    CVE-2014-1272: evad3rs

  • dyld

    Disponible para: iPhone 4 y posteriores, iPod touch (5.ª generación) y posteriores, iPad 2 y posteriores

    Impacto: los requisitos de firma de código podrían ignorarse

    Descripción: puede que dyld cargue las instrucciones de reubicación de texto de las bibliotecas dinámicas sin validación de la firma de código. Este problema se ha solucionado ignorando las instrucciones de reubicación de texto.

    ID CVE

    CVE-2014-1273: evad3rs

  • FaceTime

    Disponible para: iPhone 4 y posteriores, iPod touch (5.ª generación) y posteriores, iPad 2 y posteriores

    Impacto: una persona con acceso físico al dispositivo podría acceder a los contactos de FaceTime desde la pantalla bloqueada

    Descripción: los contactos de FaceTime de un dispositivo bloqueado podrían aparecer en la pantalla bloqueada al realizar una llamada con FaceTime fallida. Este problema se ha solucionado mejorando la gestión de las llamadas con FaceTime.

    ID CVE

    CVE-2014-1274

  • ImageIO

    Disponible para: iPhone 4 y posteriores, iPod touch (5.ª generación) y posteriores, iPad 2 y posteriores

    Impacto: Visualizar un archivo PDF creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: había un problema de desbordamiento de búfer en la gestión de imágenes JPEG2000 de archivos PDF. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1275: Felix Groebert del Google Security Team

  • ImageIO

    Disponible para: iPhone 4 y posteriores, iPod touch (5.ª generación) y posteriores, iPad 2 y posteriores

    Impacto: visualizar un archivo TIFF creado con fines malintencionados podía provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: había un desbordamiento de búfer en la gestión de imágenes TIFF por parte de libtiff. Este problema se ha solucionado mediante una validación adicional de las imágenes TIFF.

    ID CVE

    CVE-2012-2088

  • ImageIO

    Disponible para: iPhone 4 y posteriores, iPod touch (5.ª generación) y posteriores, iPad 2 y posteriores

    Impacto: ver un archivo JPEG creado con fines malintencionados podría provocar la revelación de contenido de la memoria

    Descripción: había un problema de acceso a la memoria no inicializada en la gestión de libjpeg de marcadores JPEG, lo cual revelaba el contenido de la memoria. Este problema se ha solucionado mediante la validación adicional de los archivos JPEG.

    ID CVE

    CVE-2013-6629: Michal Zalewski

  • Evento de IOKit HID

    Disponible para: iPhone 4 y posteriores, iPod touch (5.ª generación) y posteriores, iPad 2 y posteriores

    Impacto: una aplicación creada con fines malintencionados podría controlar las acciones de usuarios en otras apps

    Descripción: una interfaz del marco IOKit permitía que apps creadas con fines malintencionados controlaran las acciones de usuarios en otras apps. Este problema se ha solucionado mediante la mejora de las políticas de control de acceso del marco.

    ID CVE

    CVE-2014-1276: Min Zheng, Hui Xue y Dr. Tao (Lenx) Wei de FireEye

  • iTunes Store

    Disponible para: iPhone 4 y posteriores, iPod touch (5.ª generación) y posteriores, iPad 2 y posteriores

    Impacto: un atacante intermediario (Man-in-the-Middle) podría atraer a un usuario para que descargara una app maliciosa a través de la descarga de una app de empresa

    Descripción: un atacante con una posición de red privilegiada podría suplantar las comunicaciones de red para incitar a un usuario a descargar una app maliciosa. Este problema se ha mitigado mediante el uso de SSL y la realización de preguntas al usuario durante las redirecciones de URL.

    ID CVE

    CVE-2013-3948: Stefan Esser

  • Kernel

    Disponible para: iPhone 4 y posteriores, iPod touch (5.ª generación) y posteriores, iPad 2 y posteriores

    Impacto: un usuario local podía provocar la finalización inesperada del sistema o la ejecución de código arbitrario en el kernel

    Descripción: había un problema de acceso a memoria fuera de los límites en la función ARM ptmx_get_ioctl. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1278: evad3rs

  • Visor de Office

    Disponible para: iPhone 4 y posteriores, iPod touch (5.ª generación) y posteriores, iPad 2 y posteriores

    Impacto: la apertura de un archivo Microsoft Word creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: había un problema de vulnerabilidad “double free” en la gestión de documentos de Microsoft Word. Este problema se ha solucionado mejorando la gestión de memoria.

    ID CVE

    CVE-2014-1252: Felix Groebert del Google Security Team

  • Back-end de Fotos

    Disponible para: iPhone 4 y posteriores, iPod touch (5.ª generación) y posteriores, iPad 2 y posteriores

    Impacto: las imágenes eliminadas podrían seguir apareciendo en la app Fotos debajo de imágenes transparentes

    Descripción: la eliminación de una imagen de la biblioteca de recursos no borraba las versiones en caché de la imagen. Este problema se ha solucionado mejorando la gestión de la caché.

    ID CVE

    CVE-2014-1281: Walter Hoelblinger de Hoelblinger.com, Morgan Adams, Tom Pennington

  • Perfiles

    Disponible para: iPhone 4 y posteriores, iPod touch (5.ª generación) y posteriores, iPad 2 y posteriores

    Impacto: un perfil de configuración podría ser invisible para los usuarios

    Descripción: se podía cargar un perfil de configuración con un nombre largo en el dispositivo, pero no se mostraba en la interfaz de usuario del perfil. Este problema se ha solucionado mejorando la gestión de nombres del perfil.

    ID CVE

    CVE-2014-1282: Assaf Hefetz, Yair Amit y Adi Sharabani de Skycure

  • Safari

    Disponible para: iPhone 4 y posteriores, iPod touch (5.ª generación) y posteriores, iPad 2 y posteriores

    Impacto: las credenciales de un usuario podrían divulgarse a un sitio inesperado mediante autorrelleno

    Descripción: Safari podía rellenar automáticamente nombres de usuario y contraseñas en un submarco de un dominio diferente al del marco principal. Este problema se ha solucionado mediante un seguimiento de orígenes mejorado.

    ID CVE

    CVE-2013-5227: Niklas Malmgren de Klarna AB

  • Ajustes: Cuentas

    Disponible para: iPhone 4 y posteriores, iPod touch (5.ª generación) y posteriores, iPad 2 y posteriores

    Impacto: Una persona con acceso físico al dispositivo podría desactivar Buscar mi iPhone sin necesidad de introducir una contraseña de iCloud

    Descripción: Existía un problema de administración de estado en la gestión del estado de Buscar mi iPhone. Este problema se ha solucionado mediante la mejora de la gestión del estado de Buscar mi iPhone.

    ID CVE

    CVE-2014-2019

  • Springboard

    Disponible para: iPhone 4 y posteriores, iPod touch (5.ª generación) y posteriores, iPad 2 y posteriores

    Impacto: una persona con acceso físico al dispositivo podría ver la pantalla de inicio del dispositivo, incluso aunque el dispositivo no se hubiera activado

    Descripción: el cierre inesperado de una aplicación durante la activación podría hacer que el teléfono mostrara la pantalla de inicio. Este problema se ha solucionado mediante la mejora de la gestión de errores durante la activación.

    ID CVE

    CVE-2014-1285: Roboboi99

  • Pantalla de bloqueo de SpringBoard

    Disponible para: iPhone 4 y posteriores, iPod touch (5.ª generación) y posteriores, iPad 2 y posteriores

    Impacto: un atacante remoto podría provocar que la pantalla bloqueada dejara de responder

    Descripción: había un problema de gestión de estado en la pantalla bloqueada. Este problema se ha solucionado mejorando la gestión del estado.

    ID CVE

    CVE-2014-1286: Bogdan Alecu de M-sec.net

  • Estructura de TelephonyUI

    Disponible para: iPhone 4 y posteriores, iPod touch (5.ª generación) y posteriores, iPad 2 y posteriores

    Impacto: una página web podría iniciar una llamada de voz FaceTime sin interacción del usuario

    Descripción: Safari no consultaba con el usuario antes de iniciar las URL facetime-audio://. Este problema se ha solucionado con la incorporación de un cuadro de diálogo de confirmación.

    ID CVE

    CVE-2013-6835: Guillaume Ross

  • Host USB

    Disponible para: iPhone 4 y posteriores, iPod touch (5.ª generación) y posteriores, iPad 2 y posteriores

    Impacto: una persona con acceso físico al dispositivo podría provocar la ejecución de código arbitrario en el modo de kernel

    Descripción: había un problema de corrupción de memoria en la gestión de mensajes USB. Este problema se ha solucionado mediante la validación adicional de mensajes USB.

    ID CVE

    CVE-2014-1287: Andy Davis de NCC Group

  • Driver de vídeo

    Disponible para: iPhone 4 y posteriores, iPod touch (5.ª generación) y posteriores, iPad 2 y posteriores

    Impacto: la reproducción de un vídeo creado con fines malintencionados podría provocar que el dispositivo dejara de responder

    Descripción: había un problema de falta de referencia nula en la gestión de archivos codificados MPEG-4. Este problema se ha solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2014-1280: rg0rd

  • WebKit

    Disponible para: iPhone 4 y posteriores, iPod touch (5.ª generación) y posteriores, iPad 2 y posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existían varios problemas de corrupción de memoria en WebKit. Estos problemas se han solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2013-2909: Atte Kettunen de OUSPG

    CVE-2013-2926: cloudfuzzer

    CVE-2013-2928: Google Chrome Security Team

    CVE-2013-5196: Google Chrome Security Team

    CVE-2013-5197: Google Chrome Security Team

    CVE-2013-5198: Apple

    CVE-2013-5199: Apple

    CVE-2013-5225: Google Chrome Security Team

    CVE-2013-5228: Keen Team (@K33nTeam), colaboradores de la Zero Day Initiative de HP

    CVE-2013-6625: cloudfuzzer

    CVE-2013-6635: cloudfuzzer

    CVE-2014-1269: Apple

    CVE-2014-1270: Apple

    CVE-2014-1289: Apple

    CVE-2014-1290: ant4g0nist (SegFault) en colaboración con la Zero Day Initiative de HP, Google Chrome Security Team, Lee Wang Hao en colaboración con S.P.T. Krishnan del departamento de seguridad de Infocomm, Institute for Infocomm Research

    CVE-2014-1291: Google Chrome Security Team

    CVE-2014-1292: Google Chrome Security Team

    CVE-2014-1293: Google Chrome Security Team

    CVE-2014-1294: Google Chrome Security Team

FaceTime no está disponible en todos los países o regiones.

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Fecha de publicación: