Acerca del contenido de seguridad de iOS 7.1.1

Este documento describe el contenido de seguridad de iOS 7.1.1.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.

Para obtener información acerca de la clave PGP de seguridad de los productos Apple, visita "Cómo usar la clave PGP de seguridad de los productos Apple".

Siempre que sea posible, se usan ID CVE para hacer referencia a las vulnerabilidades a fin de obtener más información.

Para obtener información acerca de las actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".

iOS 7.1.1

  • CFNetwork HTTPProtocol

    Disponible para iPhone 4 y posteriores, iPod touch (quinta generación) y posteriores, y iPad 2 y posteriores

    Impacto: Un atacante en una posición de red privilegiada puede obtener credenciales de sitio web.

    Descripción: Los encabezados HTTP con cookies definidas se procesarían aun cuando la conexión estuviera cerrada antes de que se completara la línea de encabezado. Un atacante podría desmontar la configuración de seguridad de la cookie forzando el cierre de la conexión antes de que se envíen los ajustes de seguridad y podría entonces obtener el valor de la cookie desprotegida. Este problema se solucionó ignorando las líneas de encabezado HTTP incompletas.

    ID CVE

    CVE-2014-1296: Antoine Delignat-Lavaud, de Prosecco, en Inria París

  • Kernel IOKit

    Disponible para iPhone 4 y posteriores, iPod touch (quinta generación) y posteriores, y iPad 2 y posteriores

    Impacto: Un usuario local puede leer punteros de kernel, los cuales pueden usarse para omitir la aleatorización del espacio de direcciones de kernel.

    Descripción: Un conjunto de punteros de kernel en un objeto IOKit podría recuperarse de userland. Este problema se solucionó eliminando los punteros del objeto.

    ID CVE

    CVE-2014-1320: Ian Beer, de Google Project Zero, en colaboración con la iniciativa Zero Day de HP

  • Seguridad: Secure Transport

    Disponible para iPhone 4 y posteriores, iPod touch (quinta generación) y posteriores, y iPad 2 y posteriores

    Impacto: Un atacante con una posición de red privilegiada puede capturar datos o cambiar las operaciones que se realizan en sesiones protegidas por SSL.

    Descripción: En un ataque de "triple enlace", era posible que un atacante estableciera dos conexiones que tuvieran las mismas claves de cifrado y el mismo enlace, insertara los datos del atacante en una conexión y renegociara para que las conexiones pudieran reenviarse entre sí. A fin de evitar ataques basados en este escenario, se modificó Secure Transport para que, de forma predeterminada, una renegociación deba presentar el mismo certificado de servidor que se presentó en la conexión original.

    ID CVE

    CVE-2014-1295: Antoine Delignat-Lavaud, Karthikeyan Bhargavan y Alfredo Pironti, de Prosecco, en Inria París

  • WebKit

    Disponible para iPhone 4 y posteriores, iPod touch (quinta generación) y posteriores, y iPad 2 y posteriores

    Impacto: Visitar un sitio web creado con códigos maliciosos puede llevar al cierre inesperado de la aplicación o a la ejecución de código arbitrario.

    Descripción: Existían varios problemas de daños en la memoria en WebKit. Estos problemas se solucionaron mejorando la administración de la memoria.

    ID CVE

    CVE-2013-2871: miaubiz

    CVE-2014-1298: Equipo de seguridad de Google Chrome

    CVE-2014-1299: Equipo de seguridad de Google Chrome, Apple, Renata Hodovan de la Universidad de Szeged / Samsung Electronics

    CVE-2014-1300: Ian Beer, de Google Project Zero, en colaboración con la iniciativa Zero Day de HP

    CVE-2014-1302: Equipo de seguridad de Google Chrome, Apple

    CVE-2014-1303: KeenTeam en colaboración con la iniciativa Zero Day de HP

    CVE-2014-1304: Apple

    CVE-2014-1305: Apple

    CVE-2014-1307: Equipo de seguridad de Google Chrome

    CVE-2014-1308: Equipo de seguridad de Google Chrome

    CVE-2014-1309: cloudfuzzer

    CVE-2014-1310: Equipo de seguridad de Google Chrome

    CVE-2014-1311: Equipo de seguridad de Google Chrome

    CVE-2014-1312: Equipo de seguridad de Google Chrome

    CVE-2014-1313: Equipo de seguridad de Google Chrome

    CVE-2014-1713: VUPEN en colaboración con la iniciativa Zero Day de HP

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.

Fecha de publicación: