Acerca del contenido de seguridad de iOS 2.2 y iOS para iPod touch 2.2

En este documento se describe el contenido de seguridad de iOS 2.2 y iOS para iPod touch 2.2.

Con el fin de proteger a nuestros clientes, Apple no revelará, comentará ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos Apple, visita el sitio web Seguridad de los productos Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta “Cómo utilizar la clave PGP de seguridad de los productos Apple”.

Siempre que sea posible, se utilizan ID de CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

iOS 2.2 y iOS para iPod touch 2.2

  • CoreGraphics

    ID de CVE: CVE-2008-2321

    Disponible para: iOS 1.0 hasta 2.1, iOS para iPod touch 1.1 hasta 2.1

    Impacto: visitar un sitio web creado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.

    Descripción: CoreGraphics contiene problemas de corrupción de memoria en el procesamiento de argumentos. Pasar una entrada no fiable a CoreGraphics a través de una aplicación, como un navegador web, puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código. Esta actualización soluciona el problema mediante la comprobación mejorada de los límites especificados. Gracias a Michal Zalewski de Google por informar de este problema.

  • ImageIO

    ID de CVE: CVE-2008-2327

    Disponible para: iOS 1.0 hasta 2.1, iOS para iPod touch 1.1 hasta 2.1

    Impacto: la visualización de una imagen TIFF creada con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.

    Descripción: existen varios problemas de acceso a memoria no inicializada en el manejo de imágenes TIFF con codificación LZW por parte de libTIFF. La visualización de una imagen TIFF creada con fines malintencionados puede provocar el cierre de la aplicación de manera inesperada o la ejecución de código arbitrario. Esta actualización soluciona el problema mediante la inicialización adecuada de la memoria y la validación adicional de las imágenes TIFF.

  • ImageIO

    ID de CVE: CVE-2008-1586

    Disponible para: iOS 1.0 hasta 2.1, iOS para iPod touch 1.1 hasta 2.1

    Impacto: la visualización de una imagen TIFF creada con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.

    Descripción: existe un problema de agotamiento de memoria en el manejo de imágenes TIFF. La visualización de una imagen TIFF creada con fines malintencionados puede provocar un reinicio inesperado del dispositivo. Esta actualización soluciona el problema limitando la cantidad de memoria destinada a abrir una imagen TIFF. Gracias a Sergio “shadown” Alvarez de Recurity Labs GmbH por informar de este problema.

  • Networking

    ID de CVE: CVE-2008-4227

    Disponible para: iOS 1.0 hasta 2.1, iOS para iPod touch 1.1 hasta 2.1

    Impacto: el nivel de cifrado de las conexiones PPTP VPN podría ser menor del esperado.

    Descripción: el nivel de cifrado de las conexiones PPTP VPN podría volver a una configuración previa menor. Esta actualización soluciona el problema configurando de manera adecuada las preferencias de cifrado. Gracias a Stephen Butler de la University of Illinois of Urbana-Champaign por informar de este problema.

  • Office Viewer

    ID de CVE: CVE-2008-4211

    Disponible para: iOS 1.0 hasta 2.1, iOS para iPod touch 1.1 hasta 2.1

    Impacto: la visualización de un archivo Microsoft Excel creado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.

    Descripción: un problema de firma en la gestión de índices de matrices en el manejo de las columnas en archivos Microsoft Excel por parte de Office Viewer puede dar lugar a un acceso a memoria fuera de los límites. Visualizar un archivo de Microsoft Excel creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución arbitraria de código. Esta actualización soluciona el problema garantizando que los valores de índices afectados no son negativos. Gracias a Apple.

  • Passcode Lock

    ID de CVE: CVE-2008-4228

    Disponible para: iOS 1.0 hasta 2.1, iOS para iPod touch 1.1 hasta 2.1

    Impacto: las llamadas de emergencia no están restringidas a los números de emergencia.

    Descripción: el iPhone ofrece la posibilidad de hacer una llamada de emergencia cuando está bloqueado. En estos momentos, se puede hacer una llamada de emergencia a cualquier número. Una persona con acceso físico al iPhone puede aprovecharse de esta función para llevar a cabo llamadas arbitrarias que se cobraran a la persona propietaria del iPhone. Esta actualización soluciona el problema restringiendo las llamadas de emergencia a una lista limitada de números de teléfono.

  • Passcode Lock

    ID de CVE: CVE-2008-4229

    Disponible para: iOS 1.0 hasta 2.1, iOS para iPod touch 1.1 hasta 2.1

    Impacto: al restaurar el dispositivo desde una copia de seguridad puede que no se pueda volver a activar Passcode Lock.

    Descripción: la función Passcode Lock está diseñada para evitar que se inicien las aplicaciones a menos que se introduzca el código correcto. Una condición de carrera en la gestión de la configuración del dispositivo podría causar la eliminación de Passcode Lock cuando el dispositivo se restaure desde una copia de seguridad. Esto permitiría que una persona con acceso físico accediera al dispositivo para iniciar aplicaciones sin el código. Esta actualización soluciona el problema mejorando la capacidad del sistema para reconocer cuando faltan algunas preferencias. Este problema no afecta a sistemas anteriores a iOS 2.0 o iOS para iPod touch 2.0. Gracias a Nolen Scaife por informar de este problema.

  • Passcode Lock

    ID de CVE: CVE-2008-4230

    Disponible para: iOS 1.0 hasta 2.1, iOS para iPod touch 1.1 hasta 2.1

    Impacto: los mensajes de servicio de mensajes cortos (SMS) pueden ser revelados antes de introducir el código.

    Descripción: si un mensaje SMS llega cuando la pantalla de llamada de emergencia está visible, se muestra el mensaje SMS completo, incluso si la opción Previsualización SMS está configurada en OFF. Esta actualización soluciona el problema mostrando, en esa situación, una notificación que indica que ha llegado un mensaje sin mostrar su contenido.

  • Safari

    ID de CVE: CVE-2008-4231

    Disponible para: iOS 1.0 hasta 2.1, iOS para iPod touch 1.1 hasta 2.1

    Impacto: visitar un sitio web creado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.

    Descripción: existe un problema de corrupción de memoria en la gestión de elementos de tablas HTML. Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario. Esta actualización resuelve el problema mediante el manejo mejorado de los elementos de tablas HTML. Gracias a Haifei Li del equipo de investigación de seguridad global de Fortinet por informar de este problema.

  • Safari

    ID de CVE: CVE-2008-4232

    Disponible para: iOS 1.0 hasta 2.1, iOS para iPod touch 1.1 hasta 2.1

    Impacto: las webs con elementos iframe incrustados pueden ser vulnerables a la suplantación de la interfaz del usuario.

    Descripción: Safari permite que un elemento iframe muestre contenido fuera de sus límites, lo que puede provocar la suplantación de la interfaz del usuario. Esta actualización resuelve el problema evitando que los elementos iframe muestren contenido fuera de sus límites. Este problema no afecta a sistemas anteriores a iOS 2.0 o iOS para iPod touch 2.0. Gracias a John Resig de Mozilla Corporation por informar de este problema.

  • ID de CVE: CVE-2008-4233 Disponible para: iOS 1.0 hasta 2.1, iOS para iPod touch 1.1 hasta 2.1 Impacto: visitar un sitio web creado con fines malintencionados puede provocar que se inicie una llamada sin la interacción del usuario Descripción: si se inicia una aplicación a través de Safari cuando se muestra el diálogo para aprobar una llamada, se llevará a cabo la llamada. Esto puede permitir que un sitio web creado con fines malintencionados pueda iniciar una llamada sin la interacción del usuario. Además, en algunas circunstancias puede ser que el sitio web creado con fines malintencionados pueda bloquear la capacidad del usuario para cancelar una llamada durante un periodo corto de tiempo. Esta actualización resuelve el problema rechazando el diálogo para aprobar una llamada de Safari cuando se está iniciando una aplicación a través de Safari. Gracias a Collin Mulliner de Fraunhofer SIT por informar de este problema.

    Safari

  • Webkit

    ID de CVE: CVE-2008-3644

    Disponible para: iOS 1.0 hasta 2.1, iOS para iPod touch 1.1 hasta 2.1

    Impacto: se puede filtrar información confidencial si una persona tiene acceso físico a un dispositivo desbloqueado.

    Descripción: desactivar la opción de autocompletar campos de un formulario puede que no evite que los datos de caché queden almacenados en el navegador. Esto podría causar la filtración de información confidencial a una persona que tenga acceso físico a un dispositivo desbloqueado. Esta actualización resuelve el problema eliminando de manera adecuada los datos del formulario. Gracias a una persona anónima por informar de este problema.

Importante: La información sobre los productos no fabricados por Apple se proporciona solo con fines informativos y no supone ninguna recomendación o aval por parte de Apple. Por favor, contacta con el proveedor para obtener más información.

Fecha de publicación: