Acerca del contenido de seguridad de la actualización de software de iOS 5.1

En este documento, se describe el contenido de seguridad de la actualización de software de iOS 5.1.

En este documento, se describe el contenido de seguridad de la actualización de software de iOS 5.1, que se puede descargar e instalar con iTunes.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.

Para obtener información acerca de la Clave PGP de la Seguridad de los productos de Apple, visita "Cómo usar la Clave PGP de la Seguridad de los productos de Apple".

Siempre que sea posible, se utilizan ID CVE para hacer referencia a las vulnerabilidades a fin de obtener más información.

Para obtener información acerca de las actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".

Actualización de software de iOS 5.1

  • CFNetwork

    Disponible para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (tercera generación) y posterior, iPad, iPad 2

    Impacto: visitar un sitio web creado con fines malintencionados puede ocasionar la divulgación de información confidencial

    Descripción: existía un problema con la gestión de direcciones URL erróneas por parte de CFNetwork. Al acceder a una URL creada con fines malintencionados, CFNetwork podía enviar encabezados de solicitud inesperados.

    ID CVE

    CVE-2012-0641: Erling Ellingsen, de Facebook

  • HFS

    Disponible para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (tercera generación) y posterior, iPad, iPad 2

    Impacto: montar una imagen de disco creada con fines malintencionados podía provocar el apagado de un dispositivo o la ejecución de código arbitrario

    Descripción: existía un subdesbordamiento de enteros en la gestión de archivos de catálogo HFS.

    ID CVE

    CVE-2012-0642: pod2g

  • Kernel

    Disponible para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (tercera generación) y posterior, iPad, iPad 2

    Impacto: un programa malicioso podía evitar las restricciones de jaula de apps

    Descripción: existía un problema lógico en la gestión de llamadas de sistema de depuración. Esto podía permitir a un programa malicioso obtener ejecución de código en otros programas con los mismos privilegios de usuario.

    ID CVE

    CVE-2012-0643: 2012 iOS Jailbreak Dream Team

  • libresolv

    Disponible para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (tercera generación) y posterior, iPad, iPad 2

    Impacto: las aplicaciones que usan la librería libresolv podían ser vulnerables a una finalización inesperada de la aplicación o a la ejecución de código arbitrario

    Descripción: existía un desbordamiento de enteros en la gestión de registros de recursos DNS, lo cual podía conducir a la corrupción de la memoria dinámica.

    ID CVE

    CVE-2011-3453: Ilja van Sprundel, de IOActive

  • Bloqueo con código

    Disponible para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (tercera generación) y posterior, iPad, iPad 2

    Impacto: una persona con acceso físico al dispositivo podría ser capaz de ignorar el bloqueo de pantalla

    Descripción: existía un problema de estado de carrera en la gestión de los gestos de deslizar para marcar. Esto podía permitir a una persona con acceso físico al dispositivo ignorar la pantalla de Bloqueo con código.

    ID CVE

    CVE-2012-0644: Roland Kohler, del Ministerio Federal de Economía y Tecnología de Alemania

  • Safari

    Disponible para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (tercera generación) y posterior, iPad, iPad 2

    Impacto: las visitas a páginas web podían registrarse en el historial del navegador incluso cuando la navegación privada está activada

    Descripción: la navegación privada de Safari está diseñada para impedir el registro de una sesión de navegación. Las páginas visitadas como resultado de que un sitio use los métodos JavaScript pushState o replaceState se registraban en el historial del navegador, incluso cuando el modo de navegación privada estaba activado. Este problema se solucionó impidiendo el registro de esas visitas cuando la navegación privada está activada.

    ID CVE

    CVE-2012-0585: Eric Melville, de American Express

  • Siri

    Disponible para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (tercera generación) y posterior, iPad, iPad 2

    Impacto: un atacante con acceso físico a un teléfono bloqueado podría acceder al mensaje de correo electrónico en primer plano

    Descripción: existía un problema de diseño en las restricciones de pantalla bloqueada de Siri. Si Siri estaba activado para usarse con la pantalla bloqueada, y Mail estaba abierto con un mensaje seleccionado tras la pantalla bloqueada, podría usarse un comando de voz para enviar ese mensaje a un destinatario arbitrario. Este problema se solucionó desactivando el reenvío de mensajes activos desde la pantalla bloqueada.

    ID CVE

    CVE-2012-0645

  • VPN

    Disponible para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (tercera generación) y posterior, iPad, iPad 2

    Impacto: un archivo de configuración del sistema creado con fines malintencionados podría provocar la ejecución de código arbitrario con privilegios de sistema

    Descripción: existía una vulnerabilidad de cadena de formato en la gestión de archivos de configuración racoon.

    ID CVE

    CVE-2012-0646: pod2g

  • WebKit

    Disponible para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (tercera generación) y posterior, iPad, iPad 2

    Impacto: visitar un sitio web creado con fines malintencionados podría provocar la divulgación de cookies

    Descripción: existía un problema de orígenes cruzados en WebKit que podía permitir que las cookies se divulgaran entre orígenes.

    ID CVE

    CVE-2011-3887: Sergey Glazunov

  • WebKit

    Disponible para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (tercera generación) y posterior, iPad, iPad 2

    Impacto: visitar un sitio web creado con fines malintencionados y arrastrar contenido con el mouse podría provocar un ataque basado en la vulnerabilidad de secuencias de comandos entre sitios cruzados

    Descripción: existía un problema de orígenes cruzados en WebKit que podía permitir que se arrastrase y soltase contenido entre orígenes.

    ID CVE

    CVE-2012-0590: Adam Barth, del equipo de seguridad de Google Chrome

  • WebKit

    Disponible para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (tercera generación) y posterior, iPad, iPad 2

    Impacto: visitar un sitio web creado con fines maliciosos podría provocar un ataque basado en la vulnerabilidad de secuencias de comandos entre sitios cruzados.

    Descripción: existían varios problemas de orígenes cruzados en WebKit.

    ID CVE

    CVE-2011-3881: Sergey Glazunov

    CVE-2012-0586: Sergey Glazunov

    CVE-2012-0587: Sergey Glazunov

    CVE-2012-0588: Jochen Eisinger, del equipo de Google Chrome

    CVE-2012-0589: Alan Austin, de polyvore.com

  • WebKit

    Disponible para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (tercera generación) y posterior, iPad, iPad 2

    Impacto: visitar un sitio web creado con códigos maliciosos puede llevar al cierre inesperado de la aplicación o a la ejecución de código arbitraria.

    Descripción: existían varios problemas de corrupción de memoria en WebKit.

    ID CVE

    CVE-2011-2825: wushi, del team509, colaborador en la iniciativa Zero Day de TippingPoint

    CVE-2011-2833: Apple

    CVE-2011-2846: Arthur Gerkis, miaubiz

    CVE-2011-2847: miaubiz, Abhishek Arya (Inferno), del equipo de seguridad de Google Chrome, mediante AddressSanitizer

    CVE-2011-2854: Abhishek Arya (Inferno), del equipo de seguridad de Google Chrome, mediante AddressSanitizer

    CVE-2011-2855: Arthur Gerkis, wushi, del team509, colaborador de iDefense VCP

    CVE-2011-2857: miaubiz

    CVE-2011-2860: Abhishek Arya (Inferno), del equipo de seguridad de Google Chrome, mediante AddressSanitizer

    CVE-2011-2867: Dirk Schulze

    CVE-2011-2868: Abhishek Arya (Inferno), del equipo de seguridad de Google Chrome, mediante AddressSanitizer

    CVE-2011-2869: Cris Neckar, del equipo de seguridad de Google Chrome, mediante AddressSanitizer

    CVE-2011-2870: Abhishek Arya (Inferno), del equipo de seguridad de Google Chrome, mediante AddressSanitizer

    CVE-2011-2871: Abhishek Arya (Inferno), del equipo de seguridad de Google Chrome, mediante AddressSanitizer

    CVE-2011-2872: Abhishek Arya (Inferno) y Cris Neckar, del equipo de seguridad de Google Chrome, mediante AddressSanitizer

    CVE-2011-2873: Abhishek Arya (Inferno), del equipo de seguridad de Google Chrome, mediante AddressSanitizer

    CVE-2011-2877: miaubiz

    CVE-2011-3885: miaubiz

    CVE-2011-3888: miaubiz

    CVE-2011-3897: pa_kt, colaborador en la iniciativa Zero Day de TippingPoint

    CVE-2011-3908: Aki Helin, de OUSPG

    CVE-2011-3909: equipo de seguridad de Google Chrome (scarybeasts) y Chu

    CVE-2011-3928: wushi, del team509, colaborador en la iniciativa Zero Day de TippingPoint

    CVE-2012-0591: miaubiz y Martin Barbella

    CVE-2012-0592: Alexander Gavrun, colaborador en la iniciativa Zero Day de TippingPoint

    CVE-2012-0593: Lei Zhang, de la comunidad de desarrollo Chromium

    CVE-2012-0594: Adam Klein, de la comunidad de desarrollo Chromium

    CVE-2012-0595: Apple

    CVE-2012-0596: Abhishek Arya (Inferno), del equipo de seguridad de Google Chrome, mediante AddressSanitizer

    CVE-2012-0597: miaubiz

    CVE-2012-0598: Sergey Glazunov

    CVE-2012-0599: Dmytro Gorbunov, de SaveSources.com

    CVE-2012-0600: Marshall Greenblatt, Dharani Govindan, de Google Chrome; miaubiz; Aki Helin, de OUSPG; Apple

    CVE-2012-0601: Apple

    CVE-2012-0602: Apple

    CVE-2012-0603: Apple

    CVE-2012-0604: Apple

    CVE-2012-0605: Apple

    CVE-2012-0606: Apple

    CVE-2012-0607: Apple

    CVE-2012-0608: Abhishek Arya (Inferno), del equipo de seguridad de Google Chrome, mediante AddressSanitizer

    CVE-2012-0609: Abhishek Arya (Inferno), del equipo de seguridad de Google Chrome, mediante AddressSanitizer

    CVE-2012-0610: miaubiz; Martin Barbella, mediante AddressSanitizer

    CVE-2012-0611: Martin Barbella, mediante AddressSanitizer

    CVE-2012-0612 : Abhishek Arya (Inferno), del equipo de seguridad de Google Chrome, mediante AddressSanitizer

    CVE-2012-0613: Abhishek Arya (Inferno), del equipo de seguridad de Google Chrome, mediante AddressSanitizer

    CVE-2012-0614: miaubiz; Martin Barbella mediante AddressSanitizer

    CVE-2012-0615: Martin Barbella mediante AddressSanitizer

    CVE-2012-0616: miaubiz

    CVE-2012-0617: Martin Barbella, mediante AddressSanitizer

    CVE-2012-0618: Abhishek Arya (Inferno), del equipo de seguridad de Google Chrome, mediante AddressSanitizer

    CVE-2012-0619: Abhishek Arya (Inferno), del equipo de seguridad de Google Chrome, mediante AddressSanitizer

    CVE-2012-0620: Abhishek Arya (Inferno), del equipo de seguridad de Google Chrome, mediante AddressSanitizer

    CVE-2012-0621: Martin Barbella, mediante AddressSanitizer

    CVE-2012-0622: Dave Levin y Abhishek Arya, del equipo de seguridad de Google Chrome

    CVE-2012-0623: Abhishek Arya (Inferno), del equipo de seguridad de Google Chrome, mediante AddressSanitizer

    CVE-2012-0624: Martin Barbella, mediante AddressSanitizer

    CVE-2012-0625: Martin Barbella

    CVE-2012-0626: Abhishek Arya (Inferno), del equipo de seguridad de Google Chrome, mediante AddressSanitizer

    CVE-2012-0627: Apple

    CVE-2012-0628: Slawomir Blazek, miaubiz; Abhishek Arya (Inferno), del equipo de seguridad de Google Chrome, mediante AddressSanitizer

    CVE-2012-0629: Abhishek Arya (Inferno), del equipo de seguridad de Google Chrome

    CVE-2012-0630: Sergio Villar Senin, de Igalia

    CVE-2012-0631: Abhishek Arya (Inferno), del equipo de seguridad de Google Chrome

    CVE-2012-0632: Cris Neckar del equipo de seguridad de Google Chrome, mediante AddressSanitizer

    CVE-2012-0633: Apple

    CVE-2012-0635: Julien Chaffraix, de la comunidad de desarrollo Chromium; Martin Barbella, mediante AddressSanitizer

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.

Fecha de publicación: