Acerca del contenido de seguridad de la Actualización para el iPhone v1.0.1
Este documento describe el contenido de seguridad de la Actualización para el iPhone v1.0.1, que se puede descargar e instalar a través de iTunes, como se indica a continuación.
Con el fin de proteger a nuestros clientes, Apple no revelará, comentará ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos Apple, visita el sitio web Seguridad de los productos Apple.
Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos Apple.
Siempre que sea posible, se utilizan ID de CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.
Para obtener más información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.
Actualización para el iPhone v1.0.1
Safari
CVE-ID: CVE-2007-2400
Disponible para iPhone v1.0
Impacto: visitar un sitio web malicioso podría permitir la creación de secuencias de comandos entre sitios.
Descripción: el modelo de seguridad de Safari evita que JavaScript en páginas web remotas modifique páginas fuera de su dominio. Una condición de carrera en la actualización de la página combinada con la redirección HTTP podría permitir que JavaScript desde una página modifique una página redirigida. Esto podría permitir que las cookies y las páginas se lean o se modifiquen arbitrariamente. Esta actualización resuelve el problema corrigiendo el control de acceso a las propiedades de la ventana. Le agradecemos a Lawrence Lai, Stan Switzer y Ed Rowe de Adobe Systems, Inc. por informar sobre este problema.
Safari
CVE-ID: CVE-2007-3944
Disponible para iPhone v1.0
Impacto: ver un sitio web creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: los desbordamientos de búfer de montón existen en la biblioteca de expresiones regulares compatibles con Perl (PCRE) utilizada por el motor JavaScript en Safari. Al instar a un usuario a visitar una página web creada con fines malintencionados, un atacante podría desencadenar el problema, lo que puede conducir a la ejecución arbitraria de código. Esta actualización aborda el problema realizando una validación adicional de las expresiones regulares de JavaScript. Le agradecemos a Charlie Miller y Jake Honoroff de Independent Security Evaluators que nos hayan informado sobre estos problemas.
WebCore
CVE-ID: CVE-2007-2401
Disponible para iPhone v1.0
Impacto: visitar un sitio web malicioso podría permitir las secuencias de comandos entre sitios.
Descripción: existe un problema de inyección HTTP en XMLHttpRequest al serializar encabezados en una solicitud HTTP. Al instar a un usuario a que visite una página web creada con fines malintencionados, un atacante podría desencadenar un problema de secuencias de comandos entre sitios. Esta actualización aborda el problema realizando una validación adicional de parámetros de encabezado. Le agradecemos a Richard Moore de Westpoint Ltd. que nos haya informado sobre este problema.
WebKit
CVE-ID: CVE-2007-3742
Disponible para iPhone v1.0
Impacto: los caracteres parecidos en una URL podrían usarse para disfrazar un sitio web.
Descripción: el soporte de nombre de dominio internacional (IDN) y las fuentes Unicode integradas en Safari podrían usarse para crear una URL que contenga caracteres similares. Estos podrían usarse en un sitio web malicioso para dirigir al usuario a un sitio falso que visualmente parece ser un dominio legítimo. Esta actualización resuelve el problema a través de una comprobación mejorada de la validez del nombre de dominio. Le agradecemos a Tomohito Yoshino de Business Architects Inc. que nos haya informado sobre este problema.
WebKit
CVE-ID: CVE-2007-2399
Disponible para iPhone v1.0
Impacto: visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución arbitraria de código.
Descripción: una conversión de tipo no válida al renderizar conjuntos de marcos podría provocar la corrupción de memoria. Visitar una página web creada con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución arbitraria de código. Le agradecemos a Rhys Kidd de Westnet que nos haya informado sobre este problema.
Nota de instalación
Esta actualización solo está disponible a través de iTunes y no aparecerá en la aplicación Actualización de software de tu ordenador ni en el sitio de Descargas de soporte técnico de Apple. Asegúrate de tener una conexión a Internet y de haber instalado la última versión de iTunes desde (www.apple.com/itunes).
iTunes comprueba automáticamente el servidor de actualizaciones de Apple semanalmente. Cuando se detecte una actualización, se descargará. Cuando el iPhone esté acoplado, iTunes ofrecerá al usuario la posibilidad de instalar la actualización. Recomendamos aplicar la actualización inmediatamente si es posible. Al seleccionar No instalar, se mostrará la opción la próxima vez que conectes tu iPhone. El proceso de actualización automática puede tardar hasta una semana, dependiendo del día en que iTunes compruebe si hay actualizaciones.
Puedes obtener la actualización manualmente a través del botón Buscar actualizaciones o la opción de menú en iTunes. Después de hacer esto, la actualización se puede aplicar cuando el iPhone esté acoplado a tu ordenador.
Para comprobar que el iPhone se ha actualizado:
Dirígete a Ajustes en el iPhone.
Haz clic en General.
Haz clic en Información. Tras aplicar esta actualización la versión será “1.0.1 (1C25)”.