Acerca del contenido de seguridad de iOS 7.1

Este documento describe el contenido de seguridad de iOS 7.1.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.

Para obtener información acerca de la clave PGP de seguridad de los productos Apple, visita "Cómo usar la clave PGP de seguridad de los productos Apple".

Siempre que sea posible, se usan ID de CVE para hacer referencia a las vulnerabilidades a fin de obtener más información.

Para obtener información sobre las actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".

iOS 7.1

  • Copia de seguridad

    Disponible para iPhone 4 y posterior, iPod touch (quinta generación) y posterior, y iPad 2 y posterior.

    Impacto: Una copia de seguridad creada con fines maliciosos puede alterar el sistema de archivos.

    Descripción: Un enlace simbólico en una copia de seguridad se restauraba y permitía que las operaciones posteriores que tuvieran lugar durante la restauración escribieran en el resto del sistema de archivos. Este problema se solucionó mediante la comprobación de enlaces simbólicos durante el proceso de restauración.

    ID CVE

    CVE-2013-5133: evad3rs

  • Política de confianza en certificados

    Disponible para: iPhone 4 y posterior, iPod touch (quinta generación) y posterior, iPad 2 y posterior

    Impacto: Se han actualizado los certificados raíz.

    Descripción: Se agregaron varios certificados a la lista de certificados raíz del sistema, o bien se eliminaron de esta.

  • Perfiles de configuración

    Disponible para: iPhone 4 y posterior, iPod touch (quinta generación y posterior), iPad 2 y posterior

    Impacto: No se cumplían las fechas de caducidad del perfil.

    Descripción: No se evaluaban correctamente las fechas de caducidad de los perfiles de configuración móviles. Este problema se solucionó mejorando la administración de los perfiles de configuración.

    ID CVE

    CVE-2014-1267

  • CoreCapture

    Disponible para: iPhone 4 y posterior, iPod touch (quinta generación y posterior), iPad 2 y posterior

    Impacto: Una aplicación maliciosa puede provocar el cierre inesperado del sistema.

    Descripción: CoreCapture presentaba un problema de aserción asequible en la administración de llamadas API de IOKit. Este problema se solucionó mediante la validación adicional de la entrada de IOKit.

    ID CVE

    CVE-2014-1271: Filippo Bigarella

  • Informes de fallos

    Disponible para: iPhone 4 y posterior, iPod touch (quinta generación y posterior), iPad 2 y posterior

    Impacto: Un usuario local podría modificar los permisos de archivos arbitrarios.

    Descripción: CrashHouseKeeping seguía enlaces simbólicos mientras cambiaba los permisos de los archivos. Este problema se solucionó omitiendo el seguimiento de enlaces simbólicos al cambiar los permisos de los archivos.

    ID CVE

    CVE-2014-1272: evad3rs

  • dyld

    Disponible para: iPhone 4 y posterior, iPod touch (quinta generación y posterior), iPad 2 y posterior

    Impacto: Los requisitos de firma de código podrían ignorarse.

    Descripción: dyld podría cargar las instrucciones de reubicación de texto de las bibliotecas dinámicas sin la validación de la firma de código. Este problema se solucionó ignorando las instrucciones de reubicación de texto.

    ID CVE

    CVE-2014-1273: evad3rs

  • FaceTime

    Disponible para: iPhone 4 y posterior, iPod touch (quinta generación y posterior), iPad 2 y posterior

    Impacto: Una persona con acceso físico al dispositivo podría acceder a los contactos de FaceTime desde la pantalla de bloqueo.

    Descripción: Los contactos de FaceTime de un dispositivo bloqueado podrían mostrarse al realizar una llamada fallida con FaceTime desde la pantalla de bloqueo. Este problema se solucionó mejorando la administración de las llamadas con FaceTime.

    ID CVE

    CVE-2014-1274

  • ImageIO

    Disponible para: iPhone 4 y posterior, iPod touch (quinta generación y posterior), iPad 2 y posterior

    Impacto: La visualización de un archivo PDF creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.

    Descripción: Existía un problema de desbordamiento de búfer en la administración de imágenes JPEG2000 en archivos PDF. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1275: Felix Groebert del equipo de Seguridad de Google

  • ImageIO

    Disponible para: iPhone 4 y posterior, iPod touch (quinta generación y posterior), iPad 2 y posterior

    Impacto: La visualización de un archivo TIFF creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.

    Descripción: libtiff presentaba un desbordamiento de búfer en la administración de imágenes TIFF. Este problema se solucionó mediante una validación adicional de las imágenes TIFF.

    ID CVE

    CVE-2012-2088

  • ImageIO

    Disponible para: iPhone 4 y posterior, iPod touch (quinta generación y posterior), iPad 2 y posterior

    Impacto: La visualización de un archivo JPEG creado con fines maliciosos podría provocar la divulgación de contenido de la memoria.

    Descripción: libjpeg presentaba un problema de acceso a la memoria no inicializada en la administración de marcadores JPEG y, como resultado, se divulgaba el contenido de la memoria. Este problema se solucionó mediante la validación adicional de los archivos JPEG.

    ID CVE

    CVE-2013-6629: Michal Zalewski

  • Evento de IOKit HID

    Disponible para: iPhone 4 y posterior, iPod touch (quinta generación y posterior), iPad 2 y posterior

    Impacto: Una aplicación maliciosa podría controlar las acciones de los usuarios en otras aplicaciones.

    Descripción: Una interfaz del marco IOKit permitía que aplicaciones maliciosas controlaran las acciones de los usuarios en otras aplicaciones. Este problema se solucionó mejorando las políticas de control de acceso del marco.

    ID CVE

    CVE-2014-1276: Min Zheng, Hui Xue y Dr. Tao (Lenx) Wei de FireEye

  • iTunes Store

    Disponible para: iPhone 4 y posterior, iPod touch (quinta generación y posterior), iPad 2 y posterior

    Impacto: Un atacante intermediario (Man-in-the-Middle) podría atraer a un usuario para que descargue una aplicación maliciosa a través de la descarga de una aplicación de empresa.

    Descripción: Un atacante con una posición de red privilegiada podría suplantar las comunicaciones de red para incitar a un usuario a descargar una aplicación maliciosa. Este problema se mitigó usando SSL y haciendo preguntas al usuario durante los redireccionamientos de URL.

    ID CVE

    CVE-2013-3948: Stefan Esser

  • Kernel

    Disponible para: iPhone 4 y posterior, iPod touch (quinta generación) y posterior, iPad 2 y posterior

    Impacto: Un usuario local podría provocar el cierre inesperado del sistema o la ejecución de código arbitrario en el kernel.

    Descripción: Existía un problema de acceso a memoria fuera de los límites en la función ARM ptmx_get_ioctl. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1278: evad3rs

  • Visor de Office

    Disponible para: iPhone 4 y posterior, iPod touch (quinta generación y posterior), iPad 2 y posterior

    Impacto: La apertura de un documento de Microsoft Word creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.

    Existía un problema de vulnerabilidad de “doble liberación” (“double free”) en la administración de documentos de Microsoft Word. El problema se solucionó mejorando la administración de la memoria.

    ID CVE

    CVE-2014-1252: Felix Groebert del equipo de Seguridad de Google

  • Back-end de Fotos

    Disponible para: iPhone 4 y posterior, iPod touch (quinta generación y posterior), iPad 2 y posterior

    Impacto: Las imágenes eliminadas podrían seguir apareciendo en la aplicación Fotos debajo de imágenes transparentes.

    Descripción: La eliminación de una imagen de la biblioteca de recursos no borraba las versiones en caché de la imagen. El problema se solucionó mejorando la administración de la memoria caché.

    ID CVE

    CVE-2014-1281: Walter Hoelblinger de Hoelblinger.com, Morgan Adams, Tom Pennington

  • Perfiles

    Disponible para: iPhone 4 y posterior, iPod touch (quinta generación y posterior), iPad 2 y posterior

    Impacto: Un perfil de configuración podría ocultarse del usuario.

    Descripción: Se podía cargar un perfil de configuración con un nombre largo en el dispositivo, pero no se mostraba en la interfaz de usuario del perfil. El problema se solucionó mejorando la administración de nombres del perfil.

    ID CVE

    CVE-2014-1282: Assaf Hefetz, Yair Amit y Adi Sharabani de Skycure

  • Safari

    Disponible para: iPhone 4 y posterior, iPod touch (quinta generación) y posterior, iPad 2 y posterior

    Impacto: Las credenciales de un usuario podrían divulgarse a un sitio inesperado mediante la función de autorrelleno.

    Descripción: Safari podría rellenar automáticamente nombres de usuario y contraseñas en un submarco (“subframe”) de un dominio diferente al del marco principal. Este problema se solucionó con un seguimiento de orígenes mejorado.

    ID CVE

    CVE-2013-5227: Niklas Malmgren de Klarna AB

  • Ajustes - Cuentas

    Disponible para: iPhone 4 y posterior, iPod touch (quinta generación) y posterior, iPad 2 y posterior

    Impacto: Una persona con acceso físico al dispositivo podría desactivar Buscar mi iPhone sin necesidad de ingresar una contraseña de iCloud.

    Descripción: Existía un problema de gestión de estado en el manejo del estado de Buscar mi iPhone. Este problema se solucionó mediante la mejora del manejo del estado de Buscar mi iPhone.

    ID CVE

    CVE-2014-2019

  • Springboard

    Disponible para: iPhone 4 y posterior, iPod touch (quinta generación y posterior), iPad 2 y posterior

    Impacto: Es posible que una persona con acceso físico al dispositivo pueda ver la Pantalla de Inicio del dispositivo, incluso si el dispositivo no se ha activado.

    Descripción: El cierre inesperado de una aplicación durante la activación podría hacer que el teléfono muestre la Pantalla de Inicio. Este problema se solucionó mejorando la administración de errores durante la activación.

    ID CVE

    CVE-2014-1285: Roboboi99

  • Pantalla de bloqueo de SpringBoard

    Disponible para: iPhone 4 y posterior, iPod touch (quinta generación y posterior), iPad 2 y posterior

    Impacto: Un atacante remoto podría provocar que la pantalla de bloqueo dejara de responder.

    Descripción: Existía un problema de administración de estado en la pantalla de bloqueo. El problema se solucionó mejorando la administración de estado.

    ID CVE

    CVE-2014-1286: Bogdan Alecu de M-sec.net

  • Estructura de TelephonyUI

    Disponible para: iPhone 4 y posterior, iPod touch (quinta generación y posterior), iPad 2 y posterior

    Impacto: Una página web podría desencadenar una llamada de voz de FaceTime sin interacción del usuario.

    Descripción: Safari no consultaba al usuario antes de iniciar las URL facetime-audio://. Este problema se solucionó agregando un cuadro de diálogo de confirmación.

    ID CVE

    CVE-2013-6835: Guillaume Ross

  • Host USB

    Disponible para: iPhone 4 y posterior, iPod touch (quinta generación y posterior), iPad 2 y posterior

    Impacto: Una persona con acceso físico al dispositivo podría provocar la ejecución de código arbitrario en el modo de kernel.

    Descripción: Se producía un error de corrupción de memoria al administrar mensajes USB. Este problema se solucionó mediante la validación adicional de mensajes USB.

    ID CVE

    CVE-2014-1287: Andy Davis de NCC Group

  • Controlador de video

    Disponible para: iPhone 4 y posterior, iPod touch (quinta generación y posterior), iPad 2 y posterior

    Impacto: La reproducción de un video creado con fines maliciosos podría provocar que el dispositivo dejara de responder.

    Descripción: Existía un problema de falta de referencia nula en la administración de archivos codificados MPEG-4. El problema se solucionó mediante una mejora del manejo de memoria.

    ID CVE

    CVE-2014-1280: rg0rd

  • WebKit

    Disponible para: iPhone 4 y posterior, iPod touch (quinta generación) y posterior, iPad 2 y posterior

    Impacto: visitar un sitio web creado con códigos maliciosos puede llevar al cierre inesperado de la aplicación o la ejecución de código arbitraria

    Descripción: Existían varios problemas de corrupción de memoria en WebKit. Estos problemas se solucionaron mejorando el manejo de la memoria.

    ID CVE

    CVE-2013-2909: Atte Kettunen de OUSPG

    CVE-2013-2926: cloudfuzzer

    CVE-2013-2928: Equipo de Seguridad de Google Chrome

    CVE-2013-5196: Equipo de Seguridad de Google Chrome

    CVE-2013-5197: Equipo de Seguridad de Google Chrome

    CVE-2013-5198: Apple

    CVE-2013-5199: Apple

    CVE-2013-5225: Equipo de Seguridad de Google Chrome

    CVE-2013-5228: Keen Team (@K33nTeam) en colaboración con la iniciativa Zero Day de HP

    CVE-2013-6625: cloudfuzzer

    CVE-2013-6635: cloudfuzzer

    CVE-2014-1269: Apple

    CVE-2014-1270: Apple

    CVE-2014-1289: Apple

    CVE-2014-1290 : ant4g0nist (SegFault) en colaboración con la iniciativa Zero Day de HP, el equipo de Seguridad de Google Chrome, Lee Wang Hao en colaboración con S.P.T. Krishnan de Infocomm Security Department, Institute for Infocomm Research

    CVE-2014-1291: Equipo de Seguridad de Google Chrome

    CVE-2014-1292: Equipo de Seguridad de Google Chrome

    CVE-2014-1293: Equipo de Seguridad de Google Chrome

    CVE-2014-1294: Equipo de Seguridad de Google Chrome

 

FaceTime no está disponible en la totalidad de los países o las regiones.

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados o probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o productos de otros fabricantes. Apple no ofrece ninguna representación con relación a la precisión o fiabilidad de los sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Comunícate con el proveedor para obtener información adicional. Otros nombres de compañías y productos mencionados pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: