Acerca del contenido de seguridad de la actualización de software iOS 5.0.1

Este documento describe el contenido de seguridad de iOS 5.0.1.

Este documento describe el contenido de seguridad de la actualización de iOS 5.0.1, que se puede descargar e instalar con iTunes.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.

Para obtener información sobre la clave PGP de seguridad de los productos Apple, visita "Cómo usar la clave PGP de seguridad de los productos Apple".

Siempre que sea posible, se usan ID CVE para hacer referencia a las vulnerabilidades a fin de obtener más información.

Para obtener información sobre las actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".

Actualización de software iOS 5.0.1

  • CFNetwork

    Disponible para iOS 3.0 a 5.0 para iPhone 3GS, iPhone 4 y iPhone 4s; iOS 3.1 a 5.0 para iPod touch (tercera generación) y versiones posteriores; iOS 3.2 a 5.0 para iPad; y iOS 4.3 a 5.0 para iPad 2

    Impacto: Visitar un sitio web creado con fines malintencionados puede ocasionar la divulgación de información confidencial.

    Descripción: Existía un problema con la manipulación de direcciones URL creadas con fines malintencionados por parte de CFNetwork. Al acceder a una URL HTTP o HTTPS creada con fines malintencionados, CFNetwork podría navegar a un servidor incorrecto.

    ID CVE

    CVE-2011-3246: Erling Ellingsen, de Facebook

  • CoreGraphics

    Disponible para iOS 3.0 a 5.0 para iPhone 3GS, iPhone 4 y iPhone 4s; iOS 3.1 a 5.0 para iPod touch (tercera generación) y versiones posteriores; iOS 3.2 a 5.0 para iPad; y iOS 4.3 a 5.0 para iPad 2

    Impacto: Ver un documento que contenga una fuente creada de manera malintencionada puede ocasionar la ejecución de código arbitrario.

    Descripción: Existían múltiples daños en la memoria en FreeType; el más grave podía producir la ejecución de código arbitrario al procesar una fuente creada con fines malintencionados.

    ID CVE

    CVE-2011-3439: Apple

  • Seguridad de los datos

    Disponible para iOS 3.0 a 5.0 para iPhone 3GS, iPhone 4 y iPhone 4s; iOS 3.1 a 5.0 para iPod touch (tercera generación) y versiones posteriores; iOS 3.2 a 5.0 para iPad; y iOS 4.3 a 5.0 para iPad 2

    Impacto: Un atacante con una posición de red privilegiada puede interceptar las credenciales de usuario u otra información confidencial.

    Descripción: Dos autoridades de certificación en la lista de certificados raíz confiables han emitido de forma independiente certificados de intermediario a DigiCert Malaysia. DigiCert Malaysia ha emitido certificados con claves débiles que no es capaz de revocar. Un atacante con una posición de red privilegiada puede interceptar las credenciales de usuario u otra información confidencial destinada a un sitio con un certificado emitido por DigiCert Malaysia. Este problema se soluciona al configurar los ajustes de confianza predeterminados del sistema de forma que los certificados de DigiCert Malaysia no se consideren confiables.  Gracias a Bruce Morton, de Entrust, Inc., por informarnos sobre este problema.

  • Kernel

    Disponible para iOS 3.0 a 5.0 para iPhone 3GS, iPhone 4 y iPhone 4s; iOS 3.1 a 5.0 para iPod touch (tercera generación) y versiones posteriores; iOS 3.2 a 5.0 para iPad; y iOS 4.3 a 5.0 para iPad 2

    Impacto: Una aplicación podría ejecutar código no asignado.

    Descripción: Existía un error lógico en la comprobación de combinaciones de marcas válidas de las llamadas de sistema de mmap. Este problema podría evitar las comprobaciones de firma de código.  Este problema no afecta los dispositivos que ejecutan versiones de iOS anteriores a la 4.3.

    ID CVE

    CVE-2011-3442: Charlie Miller de Accuvant Labs

  • libinfo

    Disponible para iOS 3.0 a 5.0 para iPhone 3GS, iPhone 4 y iPhone 4s; iOS 3.1 a 5.0 para iPod touch (tercera generación) y versiones posteriores; iOS 3.2 a 5.0 para iPad; y iOS 4.3 a 5.0 para iPad 2

    Impacto: Visitar un sitio web creado con fines malintencionados puede ocasionar la divulgación de información confidencial.

    Descripción: Existía un problema en la manipulación de búsquedas ("lookups") de nombres DNS por parte de libinfo. Al resolver un nombre de host creado con fines malintencionados, libinfo podría devolver un resultado incorrecto.

    ID CVE

    CVE-2011-3441: Erling Ellingsen, de Facebook, y Per Johansson, de Blocket AB

  • Bloqueo del Passcode

    Disponible para iOS 4.3 a 5.0 para iPad 2

    Impacto: Una persona con acceso físico a un iPad 2 bloqueado podría acceder a algunos de los datos del usuario.

    Descripción: Cuando se abre una Smart Cover mientras el iPad 2 está confirmando el apagado en estado bloqueado, el iPad no solicita la contraseña. Esto permite el acceso a algunas funciones del iPad, pero no es posible acceder a los datos protegidos por protección de datos ni ejecutar apps.

    ID CVE

    CVE-2011-3440

 

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados o probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o productos de otros fabricantes. Apple no ofrece ninguna representación con relación a la precisión o fiabilidad de los sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Comunícate con el proveedor para obtener información adicional. Otros nombres de compañías y productos mencionados pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: