Acerca del contenido de seguridad de la actualización de software iOS 4.3.2

Este documento describe el contenido de seguridad de la actualización de software iOS 4.3.2.

Este documento describe el contenido de seguridad de la actualización de software iOS 4.3.2, que se puede descargar e instalar con iTunes.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.

Para obtener información sobre la clave PGP de seguridad de los productos Apple, visita "Cómo usar la clave PGP de seguridad de los productos Apple".

Siempre que sea posible, se usan ID CVE para hacer referencia a las vulnerabilidades a fin de obtener más información.

Para obtener información sobre las actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".

Actualización de software iOS 4.3.2

  • Política de confianza en certificados

    Disponible para iOS 3.0 a 4.2.1 para iPhone 3GS y versiones posteriores, iOS 3.1 a 4.3.1 para iPod touch (tercera generación) y versiones posteriores, y iOS 3.2 a 4.2.1 para iPad

    Impacto: Un atacante con una posición de red privilegiada puede interceptar las credenciales de usuario u otra información confidencial.

    Descripción: Varios certificados SSL fraudulentos fueron emitidos por una autoridad de registro de afiliados de Comodo. Esto puede permitir que un atacante intermediario redirija las conexiones e intercepte las credenciales del usuario u otra información confidencial. Este problema se soluciona al colocar en la lista negra los certificados fraudulentos.

    Nota: Para los sistemas Mac OS X, este problema se soluciona con la Actualización de seguridad 2011-002. Para los sistemas que usan Windows, Safari se basa en el almacén de certificados del sistema operativo host para determinar si un certificado de un servidor SSL es de confianza. Si se aplica la actualización descrita en el artículo 2524375 de Microsoft Knowledge Base, Safari considerará estos certificados como no confiables. Este artículo está disponible en http://support.microsoft.com/kb/2524375

  • libxslt

    Disponible para iOS 3.0 a 4.2.1 para iPhone 3GS y versiones posteriores, iOS 3.1 a 4.3.1 para iPod touch (tercera generación) y versiones posteriores, y iOS 3.2 a 4.2.1 para iPad

    Impacto: Visitar un sitio web creado con fines malintencionados puede ocasionar la divulgación de direcciones del montón.

    Descripción: La implementación de libxsl de la función de XPath generar-id() ha divulgado la dirección de un búfer de montículo. Visitar un sitio web creado con fines malintencionados puede ocasionar la divulgación de las direcciones del montón, lo que puede contribuir a anular la protección por aleatorización del diseño de espacio de direcciones. Este problema se soluciona al generar una identificación basada en la diferencia entre las direcciones de dos búferes de montículo.

    ID CVE

    CVE-2011-0195: Chris Evans, de Google Chrome Security Team

  • QuickLook

    Disponible para iOS 3.0 a 4.2.1 para iPhone 3GS y versiones posteriores, iOS 3.1 a 4.3.1 para iPod touch (tercera generación) y versiones posteriores, y iOS 3.2 a 4.2.1 para iPad

    Impacto: Ver un archivo de Microsoft Office creado con fines malintencionados puede provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    Descripción: Existía un problema de daño en la memoria en la manipulación de archivos de Microsoft Office por parte de QuickLook. Ver un archivo de Microsoft Office creado con fines malintencionados puede provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    ID CVE

    CVE-2011-1417: Charlie Miller y Dion Blazakis, en colaboración con TippingPoint's Zero Day Initiative

  • WebKit

    Disponible para iOS 3.0 a 4.2.1 para iPhone 3GS y versiones posteriores, iOS 3.1 a 4.3.1 para iPod touch (tercera generación) y versiones posteriores, y iOS 3.2 a 4.2.1 para iPad

    Impacto: Visitar un sitio web creado con códigos malintencionados puede llevar al cierre inesperado de la aplicación o a la ejecución de código arbitrario.

    Descripción: Existía un problema de desbordamiento de enteros en la manipulación de nodesets. Visitar un sitio web creado con códigos maliciosos puede llevar al cierre inesperado de la aplicación o a la ejecución de código arbitrario.

    ID CVE

    CVE-2011-1290: Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann y un investigador anónimo que trabaja con TippingPoint's Zero Day Initiative

  • WebKit

    Disponible para iOS 3.0 a 4.2.1 para iPhone 3GS y versiones posteriores, iOS 3.1 a 4.3.1 para iPod touch (tercera generación) y versiones posteriores, y iOS 3.2 a 4.2.1 para iPad

    Impacto: Visitar un sitio web creado con códigos malintencionados puede llevar al cierre inesperado de la aplicación o a la ejecución de código arbitrario.

    Descripción: Existía un problema en el uso después de la liberación en la manipulación de nodos de texto. Visitar un sitio web creado con códigos maliciosos puede llevar al cierre inesperado de la aplicación o a la ejecución de código arbitrario.

    ID CVE

    CVE-2011-1344: Vupen Security, en colaboración con TippingPoint's Zero Day Initiative, y Martin Barbella

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados o probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o productos de otros fabricantes. Apple no ofrece ninguna representación con relación a la precisión o fiabilidad de los sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Comunícate con el proveedor para obtener información adicional. Otros nombres de compañías y productos mencionados pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: