Acerca del contenido de seguridad de iOS 4.3

Este documento describe el contenido de seguridad de iOS 4.3.

Este documento describe el contenido de seguridad de iOS 4.3, que puedes descargar e instalar mediante iTunes.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos de Apple, consulta "Cómo utilizar la clave PGP de seguridad de los productos de Apple".

Siempre que sea posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".

iOS 4.3

  • CoreGraphics

    Disponible para iOS 3.0 a 4.2.1 para el iPhone 3GS y posteriores, iOS 3.1 a 4.2.1 para el iPod touch (3.ª generación) y posteriores, iOS 3.2 a 4.2.1 para el iPad

    Impacto: Varias vulnerabilidades en FreeType

    Descripción: Existían diversas vulnerabilidades en FreeType. Las más graves podrían provocar la ejecución de código arbitrario al procesar un tipo de letra creado con fines malintencionados. Estos problemas se han solucionado actualizando FreeType a la versión 2.4.3. Encontrarás más información en el sitio web de FreeType, en http://www.freetype.org/.

    ID CVE

    CVE-2010-3855

  • ImageIO

    Disponible para iOS 3.0 a 4.2.1 para el iPhone 3GS y posteriores, iOS 3.1 a 4.2.1 para el iPod touch (3.ª generación) y posteriores, iOS 3.2 a 4.2.1 para el iPad

    Impacto: Visualizar una imagen TIFF creada con fines malintencionados podría provocar la finalización inesperada de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de desbordamiento de búfer en la gestión de imágenes TIFF con codificación JPEG por parte de libTIFF. Visualizar una imagen TIFF creada con fines malintencionados podría provocar la finalización inesperada de una aplicación o la ejecución de código arbitrario.

    ID CVE

    CVE-2011-0191: Apple

  • ImageIO

    Disponible para iOS 3.0 a 4.2.1 para el iPhone 3GS y posteriores, iOS 3.1 a 4.2.1 para el iPod touch (3.ª generación) y posteriores, iOS 3.2 a 4.2.1 para el iPad

    Impacto: Visualizar una imagen TIFF creada con fines malintencionados podría provocar la finalización inesperada de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de desbordamiento de búfer en la gestión de imágenes TIFF con codificación de CCITT Group 4 por parte de libTIFF. Visualizar una imagen TIFF creada con fines malintencionados podría provocar la finalización inesperada de una aplicación o la ejecución de código arbitrario.

    ID CVE

    CVE-2011-0192: Apple

  • libxml

    Disponible para iOS 3.0 a 4.2.1 para el iPhone 3GS y posteriores, iOS 3.1 a 4.2.1 para el iPod touch (3.ª generación) y posteriores, iOS 3.2 a 4.2.1 para el iPad

    Impacto: Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de vulnerabilidad "double free" en la gestión de expresiones XPath por parte de libxml. Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    ID CVE

    CVE-2010-4494: Yang Dingning de la NCNIPC, Graduate University of Chinese Academy of Sciences

  • Red

    Disponible para iOS 3.0 a 4.2.1 para el iPhone 3GS y posteriores, iOS 3.1 a 4.2.1 para el iPod touch (3.ª generación) y posteriores, iOS 3.2 a 4.2.1 para el iPad

    Impacto: Un servidor podría identificar un dispositivo a través de varias conexiones

    Descripción: La dirección IPv6 elegida por el dispositivo contiene la dirección MAC del mismo cuando se utiliza la configuración automática sin estado (SLAAC). Un servidor compatible con IPv6 con el que se ponga en contacto el dispositivo podría utilizar la dirección para rastrear dicho dispositivo a través de distintas conexiones. Esta actualización implementa la extensión IPv6 descrita en RFC 3041 añadiendo una dirección aleatoria temporal para las conexiones salientes.

  • Safari

    Disponible para iOS 3.0 a 4.2.1 para el iPhone 3GS y posteriores, iOS 3.1 a 4.2.1 para el iPod touch (3.ª generación) y posteriores, iOS 3.2 a 4.2.1 para el iPad

    Impacto: Visitar un sitio web creado con fines malintencionados podría provocar que MobileSafari se cerrase al iniciarlo

    Descripción: Un sitio web creado con fines malintencionados podría contener javascript que hiciera que otra aplicación del dispositivo se ejecutase una y otra vez a través de su manejador URL. Al visitar este sitio web con MobileSafari, MobileSafari se cerrará y se abrirá la aplicación objetivo. Esta secuencia continuará cada vez que se abra MobileSafari. Este problema se soluciona volviendo a la página anterior cuando Safari se vuelve a abrir después de que otra aplicación se haya ejecutado a través de su manejador URL.

    ID CVE

    CVE-2011-0158: Nitesh Dhanjani de Ernst & Young LLP

  • Safari

    Disponible para iOS 4.0 a 4.2.1 para iPhone 3GS y posteriores, iOS 4.0 a 4.2.1 para iPod touch (3.ª generación) y posteriores, iOS 4.2 a 4.2.1 para iPad

    Impacto: Borrar las cookies en los Ajustes de Safari podría no tener efecto

    Descripción: En algunos casos, eliminar las cookies desde los Ajustes de Safari cuando Safari se está ejecutando no tendrá ningún efecto. Este problema se ha solucionado mejorando la gestión de las cookies. Este problema no afecta a los sistemas anteriores a iOS 4.0.

    ID CVE

    CVE-2011-0159: Erik Wong de Google Inc.

  • WebKit

    Disponible para iOS 3.0 a 4.2.1 para el iPhone 3GS y posteriores, iOS 3.1 a 4.2.1 para el iPod touch (3.ª generación) y posteriores, iOS 3.2 a 4.2.1 para el iPad

    Impacto: Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existían varios problemas de corrupción de memoria en WebKit. Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    ID CVE

    CVE-2010-1792

    CVE-2010-1824: kuzzcc y wushi, del team509, colaboradores de Zero Day Initiative de TippingPoint

    CVE-2011-0111: Sergey Glazunov

    CVE-2011-0112: Yuzo Fujishima de Google Inc.

    CVE-2011-0113: Andreas Kling de Nokia

    CVE-2011-0114: Chris Evans de Google Chrome Security Team

    CVE-2011-0115: J23, colaborador de Zero Day Initiative de TippingPoint y Emil A Eklund de Google, Inc.

    CVE-2011-0116: Un investigador anónimo colaborador de Zero Day Initiative de TippingPoint

    CVE-2011-0117: Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0118: Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0119: Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0120: Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0121: Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0122: Slawomir Blazek

    CVE-2011-0123: Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0124: Yuzo Fujishima de Google Inc.

    CVE-2011-0125: Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0126: Mihai Parparita de Google, Inc.

    CVE-2011-0127: Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0128: David Bloom

    CVE-2011-0129: Famlam

    CVE-2011-0130: Apple

    CVE-2011-0131: wushi, del team509

    CVE-2011-0132: wushi, del team509, colaborador de Zero Day Initiative de TippingPoint

    CVE-2011-0133: wushi, del team509, colaborador de Zero Day Initiative de TippingPoint

    CVE-2011-0134: Jan Tosovsky

    CVE-2011-0135: Un informador anónimo

    CVE-2011-0136: Sergey Glazunov

    CVE-2011-0137: Sergey Glazunov

    CVE-2011-0138: kuzzcc

    CVE-2011-0140: Sergey Glazunov

    CVE-2011-0141: Chris Rohlf de Matasano Security

    CVE-2011-0142: Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0143: Slawomir Blazek y Sergey Glazunov

    CVE-2011-0144: Emil A Eklund de Google, Inc.

    CVE-2011-0145: Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0146: Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0147: Dirk Schulze

    CVE-2011-0148: Michal Zalewski de Google, Inc.

    CVE-2011-0149: wushi, del team509, colaborador de Zero Day Initiative de TippingPoint y SkyLined de Google Chrome Security Team

    CVE-2011-0150: Michael Gundlach de safariadblock.com

    CVE-2011-0151: Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0152: SkyLined de Google Chrome Security Team

    CVE-2011-0153: Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0154: Un investigador anónimo, colaborador de Zero Day Initiative de TippingPoint

    CVE-2011-0155: Aki Helin de OUSPG

    CVE-2011-0156: Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0157: Benoit Jacob de Mozilla

    CVE-2011-0168: Sergey Glazunov

  • WebKit

    Disponible para iOS 3.0 a 4.2.1 para el iPhone 3GS y posteriores, iOS 3.1 a 4.2.1 para el iPod touch (3.ª generación) y posteriores, iOS 3.2 a 4.2.1 para el iPad

    Impacto: Las credenciales de autenticación básica HTML podrían divulgarse sin querer a otro sitio

    Descripción: Si un sitio utiliza la autenticación básica HTML y redirige a otro sitio, las credenciales de autenticación podrían enviarse a ese otro sitio. Este problema se ha solucionado mejorando la gestión de las credenciales.

    ID CVE

    CVE-2011-0160: McIntosh Cooey de Twelve Hundred Group, Harald Hanche-Olsen, Chuck Hohn de 1111 Internet LLC, colaborador de CERT, y Paul Hinze de Braintree

  • WebKit

    Disponible para iOS 3.0 a 4.2.1 para el iPhone 3GS y posteriores, iOS 3.1 a 4.2.1 para el iPod touch (3.ª generación) y posteriores, iOS 3.2 a 4.2.1 para el iPad

    Impacto: Visitar un sitio web creado con fines malintencionados podría provocar declaraciones de estilo de páginas web de contenido sospechoso

    Descripción: Existía un problema de orígenes múltiples en la gestión del descriptor de acceso Attr.style por parte de WebKit. Visitar un sitio web creado con fines malintencionados podría permitir a ese sitio inyectar CSS en otros documentos. Este problema se ha solucionado eliminando el descriptor de acceso Attr.style.

    ID CVE

    CVE-2011-0161: Apple

  • WebKit

    Disponible para iOS 3.0 a 4.2.1 para el iPhone 3GS y posteriores, iOS 3.1 a 4.2.1 para el iPod touch (3.ª generación) y posteriores, iOS 3.2 a 4.2.1 para el iPad

    Impacto: Un sitio web creado con fines malintencionados podría impedir a otros sitios solicitar determinados recursos

    Descripción: Existía un problema de envenenamiento de caché en la gestión de recursos en la caché por parte de WebKit. Un sitio web creado con fines malintencionados podría impedir a otros sitios solicitar determinados recursos. Este problema se ha solucionado mejorando la comprobación de tipos de letra.

    ID CVE

    CVE-2011-0163: Apple

  • Wi-Fi

    Disponible para iOS 3.0 a 4.2.1 para el iPhone 3GS y posteriores, iOS 3.1 a 4.2.1 para el iPod touch (3.ª generación) y posteriores, iOS 3.2 a 4.2.1 para el iPad

    Impacto: Mientras se está conectado a una red Wi-Fi, un atacante en la misma red podría provocar el restablecimiento de un dispositivo

    Descripción: Existía un problema de comprobación de límites en la gestión de tramas Wi-Fi. Mientras se está conectado a una red Wi-Fi, un atacante en la misma red podría provocar el restablecimiento de un dispositivo.

    ID CVE

    CVE-2011-0162: Scott Boyd de ePlus Technology, inc.

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Fecha de publicación: