Acerca del contenido de seguridad de iOS 8

En este documento se describe el contenido de seguridad de iOS 8.

Con el fin de proteger a nuestros clientes, Apple no revelará, comentará ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos Apple, visita el sitio web Seguridad de los productos Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos de Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.

Siempre que sea posible, se utilizan ID de CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

iOS 8

  • 802.1X

    Disponible para: iPhone 4s y modelos posteriores, iPod touch (5.ª generación) y modelos posteriores, y iPad 2 y modelos posteriores

    Impacto: un atacante podría obtener las credenciales de la conexión wifi

    Descripción: un atacante podría haber suplantado un punto de acceso wifi, haberse ofrecido para autenticarse mediante LEAP, haber dañado el hash MS-CHAPv1 y utilizado esas credenciales derivadas para autenticarse en el punto de acceso previsto aunque dicho punto de acceso admita métodos de autenticación más estrictos. Este problema se ha solucionado inhabilitando LEAP por omisión.

    CV-ID

    CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax y Wim Lamotte de la Universidad de Hasselt

  • Accounts

    Disponible para: iPhone 4s y modelos posteriores, iPod touch (5.ª generación) y modelos posteriores, y iPad 2 y modelos posteriores

    Impacto: una aplicación creada con fines malintencionados podría ser capaz de identificar el ID de Apple del usuario

    Descripción: había un problema en la lógica de control de acceso de las cuentas. Una aplicación en la zona protegida podía obtener información acerca de la cuenta de iCloud activa en ese momento, incluyendo el nombre de la cuenta. Este problema se ha solucionado restringiendo el acceso a determinados tipos de cuentas desde aplicaciones no autorizadas.

    CVE-ID

    CVE-2014-4423: Adam Weaver

  • Accessibility

    Disponible para: iPhone 4s y modelos posteriores, iPod touch (5.ª generación) y modelos posteriores, y iPad 2 y modelos posteriores

    Impacto: no se bloqueaba la pantalla del dispositivo al usar AssistiveTouch

    Descripción: se producía un error durante la gestión de eventos de AssistiveTouch que hacía que no se pudiera bloquear la pantalla. Este problema se ha solucionado mejorando la gestión del temporizador de bloqueo.

    CVE-ID

    CVE-2014-4368: Hendrik Bettermann

  • Accounts Framework

    Disponible para: iPhone 4s y modelos posteriores, iPod touch (5.ª generación) y modelos posteriores, y iPad 2 y modelos posteriores

    Impacto: un atacante con acceso a un dispositivo iOS podía acceder a información confidencial del usuario almacenada en los registros

    Descripción: se almacenaba en los registros información confidencial del usuario. Este problema se ha solucionado reduciendo la cantidad de información registrada.

    CVE-ID

    CVE-2014-4357: Heli Myllykoski de OP-Pohjola Group

  • Address Book

    Disponible para: iPhone 4s y modelos posteriores, iPod touch (5.ª generación) y modelos posteriores, y iPad 2 y modelos posteriores

    Impacto: una persona con acceso físico a un dispositivo iOS podía leer la agenda

    Descripción: la agenda se cifraba con una clave que solo estaba protegida por el UID de hardware. Este problema se ha solucionado encriptando la agenda con una clave protegida por el UID de hardware y el código del usuario.

    CVE-ID

    CVE-2014-4352: Jonathan Zdziarski

  • App Installation

    Disponible para: iPhone 4s y modelos posteriores, iPod touch (5.ª generación) y modelos posteriores, y iPad 2 y modelos posteriores

    Impacto: un atacante local podía escalar privilegios e instalar aplicaciones no verificadas

    Descripción: existía una condición de carrera en la instalación de apps. Un atacante con la capacidad de escribir en /tmp podía ser capaz de instalar una app no verificada. Este problema se ha solucionado mediante archivos de ensayo en otro directorio.

    CVE-ID

    CVE-2014-4386: evad3rs

  • App Installation

    Disponible para: iPhone 4s y modelos posteriores, iPod touch (5.ª generación) y modelos posteriores, y iPad 2 y modelos posteriores

    Impacto: un atacante local podía escalar privilegios e instalar aplicaciones no verificadas

    Descripción: existía un problema de acceso indebido a directorios en la instalación de apps. Un atacante local podía redirigir la validación de firma de código a un paquete diferente del que se estaba instalando y provocar la instalación de una app sin verificar. Este problema se ha solucionado detectando e impidiendo el acceso indebido a directorios al determinar qué firma de código se verifica.

    CVE-ID

    CVE-2014-4384: evad3rs

  • Assets

    Disponible para: iPhone 4s y modelos posteriores, iPod touch (5.ª generación) y modelos posteriores, y iPad 2 y modelos posteriores

    Impacto: un atacante con una posición de red privilegiada podía hacer creer a un dispositivo iOS que estaba actualizado aunque no fuera cierto

    Descripción: existía un problema de validación en la gestión de respuestas de comprobación de actualizaciones. Se empleaban fechas falsas de las cabeceras de respuesta Last-Modified configuradas con fechas futuras para las comprobaciones If-Modified-Since en posteriores solicitudes de actualización. Este problema se ha solucionado validando la cabecera Last-Modified.

    CVE-ID

    CVE-2014-4383: Raul Siles de DinoSec

  • Bluetooth

    Disponible para: iPhone 4s y modelos posteriores, iPod touch (5.ª generación) y modelos posteriores, y iPad 2 y modelos posteriores

    Impacto: tras actualizar iOS, Bluetooth se habilitaba por omisión de forma inesperada

    Descripción: Bluetooth se habilitaba automáticamente después de actualizar iOS. Esto se ha solucionado activando Bluetooth únicamente para actualizaciones de versión menores o principales.

    CVE-ID

    CVE-2014-4354: Maneet Singh, Sean Bluestein

  • Certificate Trust Policy

    Disponible para: iPhone 4s y modelos posteriores, iPod touch (5.ª generación) y modelos posteriores, y iPad 2 y modelos posteriores

    Impacto: actualización de la política de confianza en certificados

    Descripción: la política de confianza en certificados se ha actualizado. Puedes ver la lista completa de certificados en https://support.apple.com/HT5012.

  • CoreGraphics

    Disponible para: iPhone 4s y modelos posteriores, iPod touch (5.ª generación) y modelos posteriores, iPad 2 y modelos posteriores

    Impacto: la apertura de un archivo PDF creado con fines malintencionados puede conducir a una terminación inesperada de la aplicación o a la ejecución de código arbitrario.

    Descripción: existía un desbordamiento de enteros en el manejo de archivos PDF. Este problema se ha solucionado mejorando la comprobación de los límites.

    CVE-ID

    CVE-2014-4377: Felipe Andrés Manzano de Binamuse VRT en colaboración con iSIGHT Partners GVP Program

  • CoreGraphics

    Disponible para: iPhone 4s y modelos posteriores, iPod touch (5.ª generación) y modelos posteriores, iPad 2 y modelos posteriores

    Impacto: la apertura de un archivo PDF creado con fines malintencionados puede conducir a un cierre inesperado de la aplicación o a la divulgación de información

    Descripción: existía un problema de lectura de memoria fuera de los límites en la gestión de archivos PDF. Este problema se ha solucionado mejorando la comprobación de los límites.

    CVE-ID

    CVE-2014-4378: Felipe Andrés Manzano de Binamuse VRT en colaboración con iSIGHT Partners GVP Program

  • Data Detectors

    Disponible para: iPhone 4s y modelos posteriores, iPod touch (5.ª generación) y modelos posteriores, iPad 2 y modelos posteriores

    Impacto: tocar un enlace a FaceTime en Mail podía activar una llamada de voz de FaceTime sin pedir confirmación

    Descripción: Mail no consultaba al usuario antes de iniciar las URL facetime-audio://. Este problema se ha solucionado con la incorporación de un cuadro de diálogo de confirmación.

    CVE-ID

    CVE-2013-6835: Guillaume Ross

  • Foundation

    Disponible para: iPhone 4s y modelos posteriores, iPod touch (5.ª generación) y modelos posteriores, iPad 2 y modelos posteriores

    Impacto: una aplicación que use NSXMLParser podía utilizarse de forma indebida para divulgar información

    Descripción: había un problema con entidades externas XML en la gestión que NSXMLParser hace de XML. Este problema se ha solucionado evitando la carga de entidades externas entre orígenes.

    CVE-ID

    CVE-2014-4374: George Gal de VSR (http://www.vsecurity.com/)

  • Home & Lock Screen

    Disponible para: iPhone 4s y modelos posteriores, iPod touch (5.ª generación) y modelos posteriores, iPad 2 y modelos posteriores

    Impacto: una app en segundo plano puede determinar qué app está en primer plano

    Descripción: la API privada para determinar la app en primer plano no disponía de suficiente control de acceso. Este problema se ha solucionado mediante un control de acceso adicional.

    CVE-ID

    CVE-2014-4361: Andreas Kurtz de NESO Security Labs y Markus Troßbach de Heilbronn University

  • iMessage

    Disponible para: iPhone 4s y modelos posteriores, iPod touch (5.ª generación) y modelos posteriores, iPad 2 y modelos posteriores

    Impacto: los archivos adjuntos pueden persistir después de que el mensaje de iMessage o MMS principal se elimine

    Descripción: existía una condición de carrera en la forma en que se eliminaban los archivos adjuntos. Este problema se ha solucionado realizando comprobaciones adicionales para ver si un archivo adjunto ha sido eliminado.

    CVE-ID

    CVE-2014-4353: Silviu Schiau

  • IOAcceleratorFamily

    Disponible para: iPhone 4s y modelos posteriores, iPod touch (5.ª generación) y modelos posteriores, iPad 2 y modelos posteriores Impacto: una aplicación podría provocar la finalización inesperada del sistema Descripción: existía un problema de falta de referencia de puntero nulo en la gestión de argumentos de la API IOAcceleratorFamily. Este problema se ha solucionado mejorando la validación de los argumentos de la API IOAcceleratorFamily. CVE-IDCVE-2014-4369: Sarah, alias winocm, y Cererdlong de Alibaba Mobile Security Team

    Impact: An application may cause an unexpected system termination

    Description: A null pointer dereference existed in the handling of IOAcceleratorFamily API arguments. This issue was addressed through improved validation of IOAcceleratorFamily API arguments.

    CVE-ID

    CVE-2014-4369 : Sarah aka winocm and Cererdlong of Alibaba Mobile Security Team

    • Entry updated February 3, 2020

  • IOAcceleratorFamily

    Disponible para: iPhone 4s y modelos posteriores, iPod touch (5.ª generación) y modelos posteriores, iPad 2 y modelos posteriores

    Impacto: el dispositivo podía reiniciarse de forma inesperada

    Descripción: existía un problema de falta de referencia de puntero nulo en el controlador IntelAccelerator. Este problema se ha solucionado mejorando la gestión de errores.

    CVE-ID

    CVE-2014-4373: cunzhang de Adlab de Venustech

  • IOHIDFamily

    Disponible para: iPhone 4s y modelos posteriores, iPod touch (5.ª generación) y modelos posteriores, iPad 2 y modelos posteriores

    Impacto: una aplicación creada con fines malintencionados podría ser capaz de leer punteros del kernel, los cuales pueden emplearse para eludir la aleatorización del espacio de direcciones del kernel

    Descripción: existía un problema de lectura fuera de los límites en la gestión de una función IOHIDFamily. Este problema se ha solucionado mejorando la comprobación de los límites.

    CVE-ID

    CVE-2014-4379: Ian Beer de Google Project Zero

  • IOHIDFamily

    Disponible para: iPhone 4s y modelos posteriores, iPod touch (5.ª generación) y modelos posteriores, iPad 2 y modelos posteriores

    Impacto: una aplicación creada con fines malintencionados podría ejecutar código arbitrario con privilegios del sistema

    Descripción: existía un problema de desbordamiento del búfer de pila en la gestión de propiedades de asignación de claves por parte de IOHIDFamily. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID de CVE

    CVE-2014-4404: Ian Beer de Google Project Zero

  • IOHIDFamily

    Disponible para: iPhone 4s y modelos posteriores, iPod touch (5.ª generación) y modelos posteriores, y iPad 2 y modelos posteriores

    Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema

    Descripción: existía una falta de referencia de puntero nulo en la gestión de propiedades de asignación de claves por parte de IOHIDFamily. Este problema se ha solucionado mejorando la validación de las propiedades de asignación de claves de IOHIDFamily.

    ID de CVE

    CVE-2014-4405: Ian Beer de Google Project Zero

  • IOHIDFamily

    Disponible para: iPhone 4s y modelos posteriores, iPod touch (5.ª generación) y modelos posteriores, y iPad 2 y modelos posteriores

    Impacto: una aplicación creada con fines malintencionados podría ejecutar código arbitrario con privilegios del sistema

    Descripción: existía un problema de escritura fuera de los límites en la extensión de kernel IOHIDFamily. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID de CVE

    CVE-2014-4380: cunzhang de Adlab de Venustech

  • IOKit

    Disponible para: iPhone 4s y modelos posteriores, iPod touch (5.ª generación) y modelos posteriores, y iPad 2 y modelos posteriores

    Impacto: una aplicación con fines malintencionados podría ser capaz de leer datos no inicializados de la memoria del kernel

    Descripción: existía un problema de acceso a la memoria no inicializada en la gestión de funciones IOKit. Este problema se ha solucionado mejorando la inicialización de la memoria.

    CVE-ID

    CVE-2014-4407: @PanguTeam

  • IOKit

    Disponible para: iPhone 4s y modelos posteriores, iPod touch (5.ª generación) y modelos posteriores, iPad 2 y modelos posteriores

    Impacto: una aplicación creada con fines malintencionados podría ejecutar código arbitrario con privilegios del sistema

    Descripción: existía un problema de validación en la gestión de determinados campos de metadatos de objetos IODataQueue. Este problema se ha solucionado mejorando la validación de los metadatos.

    CVE-ID

    CVE-2014-4418: Ian Beer de Google Project Zero

  • IOKit

    Disponible para: iPhone 4s y modelos posteriores, iPod touch (5.ª generación) y modelos posteriores, iPad 2 y modelos posteriores

    Impacto: una aplicación creada con fines malintencionados podría ejecutar código arbitrario con privilegios del sistema

    Descripción: existía un problema de validación en la gestión de determinados campos de metadatos de objetos IODataQueue. Este problema se ha solucionado mejorando la validación de los metadatos.

    CVE-ID

    CVE-2014-4388: @PanguTeam

  • IOKit

    Disponible para: iPhone 4s y modelos posteriores, iPod touch (5.ª generación) y modelos posteriores, y iPad 2 y modelos posteriores

    Impacto: una aplicación creada con fines malintencionados podría ejecutar código arbitrario con privilegios del sistema

    Descripción: existía un desbordamiento de enteros en la gestión de las funciones IOKit. Este problema se ha solucionado mejorando la validación de los argumentos IOKit API.

    CVE-ID

    CVE-2014-4389: Ian Beer de Google Project Zero

  • Kernel

    Disponible para: iPhone 4s y modelos posteriores, iPod touch (5.ª generación) y modelos posteriores, y iPad 2 y modelos posteriores

    Impacto: un usuario local podría determinar el diseño de memoria de kernel

    Descripción: existían varios problemas de memoria no inicializada en la interfaz de estadísticas de red que provocaban la divulgación de contenido de la memoria del kernel. Este problema se ha solucionado mediante la inicialización adicional de la memoria.

    CVE-ID

    CVE-2014-4371: Fermín J. Serna de Google Security Team

    CVE-2014-4419: Fermín J. Serna de Google Security Team

    CVE-2014-4420: Fermín J. Serna de Google Security Team

    CVE-2014-4421: Fermín J. Serna de Google Security Team

  • Kernel

    Disponible para: iPhone 4s y modelos posteriores, iPod touch (5.ª generación) y modelos posteriores, y iPad 2 y modelos posteriores

    Impacto: una persona con una posición de red privilegiada podría provocar una denegación de servicio

    Descripción: existía un problema de condición de carrera en la gestión de paquetes IPv6. Este problema se ha solucionado mejorando la comprobación del estado de bloqueo.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Kernel

    Disponible para: iPhone 4s y modelos posteriores, iPod touch (5.ª generación) y modelos posteriores, y iPad 2 y modelos posteriores

    Impacto: un usuario local podría provocar el cierre inesperado del sistema o la ejecución de código arbitrario en el kernel

    Descripción: existía un problema de vulnerabilidad “double free” en la gestión de puertos Mach. Este problema se ha solucionado mejorando la validación de puertos Mach.

    CVE-ID

    CVE-2014-4375: un investigador anónimo

  • Kernel

    Disponible para: iPhone 4s y modelos posteriores, iPod touch (5.ª generación) y modelos posteriores, y iPad 2 y modelos posteriores

    Impacto: un usuario local podría provocar el cierre inesperado del sistema o la ejecución de código arbitrario en el kernel

    Descripción: existía un problema de lectura fuera de los límites en rt_setgate. Esto podía provocar la divulgación o la corrupción de memoria. Este problema se ha solucionado mejorando la comprobación de los límites.

    CVE-ID

    CVE-2014-4408

  • Kernel

    Disponible para: iPhone 4s y modelos posteriores, iPod touch (5.ª generación) y modelos posteriores, y iPad 2 y modelos posteriores

    Impacto: algunas medidas de refuerzo del kernel podrían eludirse

    Descripción: el generador de números aleatorios empleado en las medidas de refuerzo del kernel al principio del proceso de arranque no era criptográficamente seguro. Algunos de sus datos de salida podían inferirse a partir del espacio de usuario, lo que permitía eludir las medidas de refuerzo. Este problema se ha solucionado empleando un algoritmo criptográficamente seguro.

    CVE-ID

    CVE-2014-4422: Tarjei Mandt de Azimuth Security

  • Libnotify

    Disponible para: iPhone 4s y modelos posteriores, iPod touch (5.ª generación) y modelos posteriores, y iPad 2 y modelos posteriores

    Impacto: una aplicación creada con fines malintencionados podría ejecutar código arbitrario con privilegios raíz

    Descripción: existía un problema de escritura fuera de los límites en Libnotify. Este problema se ha solucionado mejorando la comprobación de los límites.

    CVE-ID

    CVE-2014-4381: Ian Beer de Google Project Zero

  • Lockdown

    Disponible para: iPhone 4s y modelos posteriores, iPod touch (5.ª generación) y modelos posteriores, y iPad 2 y modelos posteriores

    Impacto: un dispositivo puede manipularse para que muestre incorrectamente la pantalla de inicio cuando el dispositivo tiene activado el bloqueo de activación

    Descripción: existía un problema con el comportamiento del desbloqueo que hacía que un dispositivo pasase a la pantalla de inicio incluso cuando debería seguir en el estado de bloqueo de activación. Este problema se ha solucionado cambiando la información que el dispositivo verifica durante una solicitud de desbloqueo.

    CVE-ID

    CVE-2014-1360

  • Mail

    Disponible para: iPhone 4s y modelos posteriores, iPod touch (5.ª generación) y modelos posteriores, y iPad 2 y modelos posteriores

    Impacto: las credenciales de inicio de sesión pueden enviarse en texto sin formato incluso si el host ha anunciado la capacidad IMAP LOGINDISABLED

    Descripción: Mail enviaba el comando LOGIN a los hosts incluso si estos habían anunciado la capacidad IMAP LOGINDISABLED. Este problema resulta relevante mayormente al conectar con hosts configurados para aceptar conexiones no encriptadas y que anuncian LOGINDISABLED. Este problema se ha solucionado respetando la capacidad IMAP LOGINDISABLED.

    CVE-ID

    CVE-2014-4366: Mark Crispin

  • Mail

    Disponible para: iPhone 4s y modelos posteriores, iPod touch (5.ª generación) y modelos posteriores, y iPad 2 y modelos posteriores

    Impacto: era posible que una persona con acceso físico a un dispositivo iOS leyera los archivos adjuntos a mensajes de correo electrónico

    Descripción: existía un problema de lógica en el uso de Mail de la protección de datos en los archivos adjuntos a mensajes de correo electrónico. Este problema se ha solucionado definiendo correctamente la clase de protección de datos para los archivos adjuntos a mensajes de correo electrónico.

    CVE-ID

    CVE-2014-1348: Andreas Kurtz de NESO Security Labs

  • Profiles

    Disponible para: iPhone 4s y modelos posteriores, iPod touch (5.ª generación) y modelos posteriores, y iPad 2 y modelos posteriores

    Impacto: Marcación por voz se habilita de forma inesperada tras actualizar iOS

    Descripción: Marcación por voz se habilitaba automáticamente tras actualizar iOS. Para resolver este problema se ha mejorado la gestión de estado.

    CVE-ID

    CVE-2014-4367: Sven Heinemann

  • Safari

    Disponible para: iPhone 4s y modelos posteriores, iPod touch (5.ª generación) y modelos posteriores, y iPad 2 y modelos posteriores

    Impacto: las credenciales de un usuario podían divulgarse a un sitio inesperado mediante autorrelleno

    Descripción: Safari podía rellenar automáticamente nombres de usuario y contraseñas en un submarco de un dominio diferente al del marco principal. Este problema se ha solucionado mediante un seguimiento de orígenes mejorado.

    CVE-ID

    CVE-2013-5227: Niklas Malmgren de Klarna AB

  • Safari

    Disponible para: iPhone 4s y modelos posteriores, iPod touch (5.ª generación) y modelos posteriores, y iPad 2 y modelos posteriores

    Impacto: un atacante con una posición de red privilegiada podría interceptar credenciales de usuario

    Descripción: las contraseñas guardadas se autorrellenaban en sitios http con confianza rota y en iframes. Este problema se ha solucionado restringiendo el autorrelleno de contraseñas al marco principal de sitios https con cadenas de certificados válidas.

    CVE-ID

    CVE-2014-4363: David Silver, Suman Jana y Dan Boneh de la Universidad de Stanford en colaboración con Eric Chen y Collin Jackson de la Universidad Carnegie Mellon

  • Safari

    Disponible para: iPhone 4s y modelos posteriores, iPod touch (5.ª generación) y modelos posteriores, y iPad 2 y modelos posteriores

    Impacto: un atacante con una posición de red privilegiada podía suplantar URL en Safari

    Descripción: existía una inconsistencia en la interfaz del usuario en Safari en dispositivos con MDM. Este problema se ha solucionado mejorando las comprobaciones de consistencia de la interfaz de usuario.

    CVE-ID

    CVE-2014-8841: Angelo Prado de Salesforce Product Security

  • Sandbox Profiles

    Disponible para: iPhone 4s y modelos posteriores, iPod touch (5.ª generación) y modelos posteriores, y iPad 2 y modelos posteriores

    Impacto: la información del ID de Apple resulta accesible para apps de otros fabricantes

    Descripción: había un problema de divulgación de información en la zona restringida para apps de otros fabricantes. Este problema se ha solucionado mejorando el perfil de zona protegida para otros fabricantes.

    CVE-ID

    CVE-2014-4362: Andreas Kurtz de NESO Security Labs y Markus Troßbach de Heilbronn University

  • Settings

    Disponible para: iPhone 4s y modelos posteriores, iPod touch (5.ª generación) y modelos posteriores, y iPad 2 y modelos posteriores

    Impacto: las vistas previas de mensajes de texto podían aparecer en la pantalla de bloqueo incluso cuando esta función estaba inhabilitada

    Descripción: existía un problema con la vista previa de notificaciones de mensajes de texto en la pantalla de bloqueo. Como resultado, los contenidos de los mensajes recibidos se mostraban en la pantalla de bloqueo incluso cuando las vistas previas estaban inhabilitadas en Ajustes. Este problema se ha solucionado mejorando el cumplimiento de este ajuste.

    CVE-ID

    CVE-2014-4356: Mattia Schirinzi de San Pietro Vernotico (BR), Italia

  • syslog

    Disponible para: iPhone 4s y modelos posteriores, iPod touch (5.ª generación) y modelos posteriores, y iPad 2 y modelos posteriores

    Impacto: un usuario local podía modificar los permisos de archivos aleatorios

    Descripción: syslogd seguía enlaces simbólicos mientras se cambiaban los permisos de los archivos. Este problema se ha solucionado mejorando la gestión de los enlaces simbólicos.

    CVE-ID

    CVE-2014-4372: Tielei Wang y YeongJin Jang del Georgia Tech Information Security Center (GTISC)

  • Weather

    Disponible para: iPhone 4s y modelos posteriores, iPod touch (5.ª generación) y modelos posteriores, y iPad 2 y modelos posteriores

    Impacto: la información de ubicación se enviaba sin encriptar

    Descripción: existía un problema de divulgación de información en una API empleada para determinar el tiempo local. Este problema se ha solucionado cambiando de API.

  • WebKit

    Disponible para: iPhone 4s y modelos posteriores, iPod touch (5.ª generación) y modelos posteriores, y iPad 2 y modelos posteriores

    Impacto: un sitio web creado con fines malintencionados podría rastrear a los usuarios incluso cuando la navegación privada estaba habilitada

    Descripción: una aplicación web podía almacenar datos de caché de aplicaciones HTML 5 durante la navegación normal y, después, leer los datos durante la navegación privada. Este problema se ha solucionado inhabilitando el acceso a la caché de aplicaciones en el modo de navegación privada.

    CVE-ID

    CVE-2014-4409: Yosuke Hasegawa (NetAgent Co., Led.)

  • WebKit

    Disponible para: iPhone 4s y modelos posteriores, iPod touch (5.ª generación) y modelos posteriores, iPad 2 y modelos posteriores

    Impacto: visitar un sitio web creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario.

    Descripción: existían varios problemas de corrupción de memoria en WebKit. Estos problemas se han solucionado mejorando la gestión de la memoria.

    CVE-ID

    CVE-2013-6663: Atte Kettunen de OUSPG

    CVE-2014-1384: Apple

    CVE-2014-1385: Apple

    CVE-2014-1387: Google Chrome Security Team

    CVE-2014-1388: Apple

    CVE-2014-1389: Apple

    CVE-2014-4410: Eric Seidel de Google

    CVE-2014-4411: Google Chrome Security Team

    CVE-2014-4412: Apple

    CVE-2014-4413: Apple

    CVE-2014-4414: Apple

    CVE-2014-4415: Apple

  • Wi-Fi

    Disponible para: iPhone 4s y modelos posteriores, iPod touch (5.ª generación) y modelos posteriores, iPad 2 y modelos posteriores

    Impacto: la dirección MAC wifi de un dispositivo podría hacer un seguimiento pasivo de este

    Descripción: existía un problema de divulgación de información porque se usaba una dirección MAC estable para buscar redes wifi. Este problema se ha solucionado aleatorizando la dirección MAC para la búsqueda pasiva de wifi.

Nota:

iOS 8 incluye cambios en algunas prestaciones de diagnóstico. Para obtener más detalles, consulta https://support.apple.com/HT6331

iOS 8 permite ahora que los dispositivos dejen de confiar en todos los ordenadores que previamente eran de confianza. Encontrarás las instrucciones en https://support.apple.com/HT5868

FaceTime no está disponible en todos los países o regiones.

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Fecha de publicación: