Acerca del contenido de seguridad de la actualización 1.1.1 para iPhone

Este documento describe el contenido de seguridad de la actualización 1.1.1 para iPhone.

Con el fin de proteger a nuestros clientes, Apple no divulga, debate ni confirma problemas de seguridad antes de que finalice una investigación completa y estén disponibles las revisiones o versiones necesarias para subsanar dichos problemas. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio Web sobre seguridad de los productos de Apple.

Para obtener más información sobre la clave PGP de la seguridad de los productos de Apple, consulta el artículo en el que se describe cómo usar la clave PGP de la seguridad de los productos de Apple.

Cuando es posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables para obtener más información.

Para obtener información acerca de las actualizaciones de seguridad, consulta el documento sobre las actualizaciones de seguridad de Apple.

Actualización 1.1.1 para iPhone

  • Bluetooth

    ID CVE: CVE-2007-3753

    Impacto: Un atacante situado dentro del radio del dispositivo Bluetooth puede causar la terminación inesperada de la aplicación o la ejecución de código intruso

    Descripción: Hay un problema de entrada incorrecta de datos en el servidor Bluetooth de iPhone. Un atacante puede enviar paquetes SDP (Service Discovery Protocol) creados con fines malintencionados a un iPhone con Bluetooth activado y causar la terminación inesperada de una aplicación o la ejecución de código arbitrario. En esta actualización se aborda el problema mediante la validación adicional de los paquetes SDP. Nuestro agradecimiento a Kevin Mahaffey y John Hering de Flexilis Mobile Security por informar de este problema.

  • Correo

    ID CVE: CVE-2007-3754

    Impacto: el uso de correo electrónico en redes no de confianza puede causar la revelación de información mediante un ataque de intercepción ("man-in-the-middle")

    Descripción: cuando se configura el correo para usar SSL para las conexiones entrantes y salientes, no se avisa al usuario si la identidad del servidor de correo ha cambiado o no es de confianza. Un atacante capaz de interceptar la conexión puede suplantar al servidor de correo del usuario y obtener las credenciales de correo electrónico u otros datos importantes de este. Esta actualización resuelve el problema emitiendo una advertencia cuando cambia la identidad del servidor de correo remoto.

  • Correo

    ID CVE: CVE-2007-3755

    Impacto: al seguir un vínculo telefónico ("tel:") en un correo se marca un número de teléfono sin pedirse confirmación

    Descripción: el correo permite que los vínculos telefónicos ("tel:") marquen números de teléfono. Al inducir al usuario a que siga un vínculo telefónico en un mensaje de correo, un atacante puede hacer que el iPhone realice una llamada sin pedir confirmación. Esta actualización resuelve el problema proporcionando una ventana de confirmación antes de marcar un número de teléfono a través de un vinculo telefónico en el programa de correo. Gracias a Andi Baritchi de McAfee por informar de este problema.

  • Safari

    ID CVE: CVE-2007-3756

    Impacto: la visita a sitios web malintencionados puede ocasionar la revelación de contenido de la URL.

    Descripción: un problema de diseño de Safari permite que una página web lea la URL que se está visualizando en su ventana primaria en ese momento. Al inducir a un usuario a que visite una página web diseñada de manera malintencionada, un atacante puede obtener la URL de una página no relacionada. Esta actualización resuelve el problema mejorando la comprobación de seguridad de todo el dominio. Gracias a Michal Zalewski de Google Inc. y Secunia Research por informar de este problema.

  • Safari

    ID CVE: CVE-2007-3757

    Impacto: la visita a un sitio web malintencionado puede hacer que se realicen llamadas telefónicas no deseadas o a números distintos de los esperados.

    Descripción: Safari permite que los vínculos telefónicos ("tel:") marquen números de teléfono. Cuando se selecciona un vínculo telefónico, Safari confirma que el número debe marcarse. Un vínculo telefónico diseñados malintencionadamente puede hacer que durante la confirmación se muestre un número distinto del que se va a marcar en realidad. Si se sale de Safari durante el proceso de confirmación puede producirse una confirmación no deseada. Esta actualización resuelve el problema mostrando correctamente el número que se va a marcar y pidiendo confirmación para los vínculos telefónicos. Gracias a Billy Hoffman y a Bryan Sullivan de HP Security Labs (antes SPI Labs) y a Eduardo Tang por informar de este problema.

  • Safari

    ID CVE: CVE-2007-3758

    Impacto: la visita a un sitio web malintencionado puede permitir la visualización mediante script de páginas web de contenido sospechoso

    Descripción: Safari tiene una vulnerabilidad de visualización de páginas web de contenido sospechoso que permite que los sitios web malintencionados configuren las propiedades de ventanas JavaScript de sitios web servidos desde otro dominio. Un atacante puede causar este problema induciendo a un usuario a que visite un sitio web diseñado con fines maliciosos, lo que ocasionará la obtención o configuración del estado de ventana y la ubicación de páginas servidas desde otros sitios web. Esta actualización resuelve el problema mejorando los controles de acceso a esas propiedades. Gracias a Michal Zalewski de Google Inc. por informar de este problema.

  • Safari

    ID CVE: CVE-2007-3759

    Impacto: la desactivación de JavaScript no surte efecto hasta que se reinicia Safari

    Descripción: Safari puede configurarse para activar o desactivar JavaScript. Esta preferencia no surte efecto hasta la siguiente vez que se reinicia Safari, lo que suele ocurrir cuando se reinicia el iPhone. Esto puede confundir a los usuarios, haciéndoles creer que JavaScript está desactivado cuando no lo está. Esta actualización resuelve el problema aplicando la nueva preferencia antes de cargar nuevas páginas web.

  • Safari

    ID CVE: CVE-2007-3760

    Impacto: la visita a un sitio web malintencionado puede resultar en la visualización mediante script de páginas web de contenido sospechoso

    Descripción: Safari tiene un problema de visualización por script de páginas web de contenido sospechoso, que permite que un sitio web diseñado con fines malintencionados burle la política de origen único mediante etiquetas "frame". Al inducir a un usuario a que visite una página web creada con fines malintencionados, un atacante puede desencadenar el problema, lo que puede ocasionar la ejecución de código JavaScript en el contexto de otro sitio. Esta actualización resuelve el problema impidiendo que JavaScript pueda ser origen "iframe", y limitando el acceso de JavaScript en etiquetas "frame" al mismo que tiene el sitio desde el que ha sido servido. Gracias a Michal Zalewski de Google Inc. y Secunia Research por informar de este problema.

  • Safari

    ID CVE: CVE-2007-3761

    Impacto: la visita a un sitio web malintencionado puede resultar en la visualización mediante script de páginas web de contenido sospechoso

    Descripción: Safari tiene un problema de visualización por script de páginas web de contenido sospechoso, que permite que los eventos de JavaScript se asocien con el "frame" incorrecto. Al inducir a un usuario a que visite una página web creada con fines malintencionados, un atacante puede causar la ejecución de código JavaScript en el contexto de otro sitio. Esta actualización resuelve el problema asociando los eventos JavaScript al "frame" de origen correcto.

  • Safari

    ID CVE: CVE-2007-4671

    Impacto: cierto código JavaScript residente en sitios web puede acceder a o manipular el contenido de documentos servidos a través de HTTPS

    Descripción: Safari tiene un problema que permite que cierto contenido servido a través de HTTP altere u obtenga acceso a contenido servido a través de HTTPS en el mismo dominio. Al inducir a un usuario a que visite una página web creada con fines malintencionados, un atacante puede causar la ejecución de código JavaScript en el contexto de páginas web HTTPS de ese dominio. Esta actualización resuelve el problema limitando el acceso entre el código JavaScript que se ejecuta en "frames" HTTP y HTTPS. Gracias a Keigo Yamazaki de LAC Co., Ltd. (Little eArth Corporation Co., Ltd.) por informar de este problema.

Nota sobre la instalación:

Esta actualización sólo puede obtenerse a través de iTunes, y no aparecerá en la aplicación de actualización de software de tu ordenador, ni en el sitio de descargas de Apple. Asegúrate de que tienes conexión a Internet y de que has instalado la última versión de iTunes desde www.apple.com/es/itunes

iTunes conectará automáticamente con el servidor de actualización de Apple al seguir su programa semanal. Cuando detecte una actualización, la descargará. Cuando el iPhone esté en la base Dock, iTunes ofrecerá al usuario la opción de instalar la actualización. Recomendamos aplicar la actualización lo antes posible. Si seleccionas "No instalar", se te volverá a ofrecer esa opción la próxima vez que conectes el iPhone.

El proceso de actualización automática puede tardar hasta una semana, según el día en que iTunes busque actualizaciones. Puedes obtener la actualización manualmente mediante el botón para detectar actualizaciones de iTunes. Tras hacer esto, la actualización se puede aplicar cuando el iPhone esté conectado al Dock base de tu ordenador.

Para comprobar que el iPhone se ha actualizado:

  1. Desplázate a la sección de configuración. (Settings)
  2. Haz clic en General (General).
  3. Haz clic en Acerca de (About). La versión tras la aplicación de esta actualización será "1.1.1 (3A109a)".
Fecha de publicación: