Acerca del contenido de seguridad de la actualización de software de iOS 4.2.7 para iPhone

En este documento se describe el contenido de seguridad de la actualización de software iOS 4.2.7

En este documento se describe el contenido de seguridad de la actualización de software iOS 4.2.7, que se puede descargar e instalar de usando iTunes.

Con el fin de proteger a nuestros clientes, Apple no revelará, comentará ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos Apple, visita el sitio web Seguridad de los productos Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos Apple.

Siempre que sea posible, se utilizan ID de CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".

Actualización de software iOS 4.2.7 para iPhone

  • Política de confianza en certificados

    Disponible para: iOS 4.2.5 a 4.2.6 para iPhone 4 (CDMA)

    Impacto: un atacante con una posición privilegiada en la red puede interceptar credenciales de usuario u otra información sensible

    Descripción: una autoridad de registro afiliada a Comodo emitió varios certificados SSL fraudulentos. Esto podría permitir que un atacante “man in-the-middle” (intermediario) redirigiese las conexiones e interceptase las credenciales de usuario u otra información confidencial. Este problema se ha solucionado poniendo en la lista negra los certificados fraudulentos.

    Nota: En los sistemas Mac OS X, este problema se soluciona con la actualización de seguridad 2011-002. En los sistemas Windows, Safari se basa en el almacén de certificados del sistema operativo anfitrión para determinar si un certificado de servidor SSL es de confianza. La app de la actualización descrita en el artículo 2524375 de la Knowledge Base de Microsoft hará que Safari considere estos certificados como no fiables. El artículo está disponible en http://support.microsoft.com/kb/2524375

  • QuickLook

    Disponible para: iOS 4.2.5 a 4.2.6 para iPhone 4 (CDMA)

    Impacto: la visualización de un archivo de Microsoft Office creado con fines malintencionados podría provocar el cierre de una app de manera inesperada o la ejecución de código arbitrario.

    Descripción: había problemas de corrupción de memoria en la gestión de archivos de Microsoft Office por parte de QuickLook. Visualizar un archivo de Microsoft Office creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución arbitraria de código.

    CVE-ID

    CVE-2011-1417: Charlie Miller y Dion Blazakis en colaboración con TippingPoint's Zero Day Initiative

  • WebKit

    Disponible para: iOS 4.2.5 a 4.2.6 para iPhone 4 (CDMA)

    Impacto: la visita a un sitio web creado con fines malintencionados podría provocar el cierre de una app de manera inesperada o la ejecución de código arbitrario.

    Descripción: había un problema de desbordamiento de enteros en la gestión de conjuntos de nodos. Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    CVE-ID

    CVE-2011-1290: Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann y un investigador anónimo en colaboración con la Iniciativa Día Cero de TippingPoint

  • WebKit

    Disponible para: iOS 4.2.5 a 4.2.6 para iPhone 4 (CDMA)

    Impacto: la visita a un sitio web creado con fines malintencionados podría provocar el cierre de una app de manera inesperada o la ejecución de código arbitrario.

    Descripción: había un problema de uso después de libre en la gestión de los nodos de texto. Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    CVE-ID

    CVE-2011-1344: Vupen Security working con la Iniciativa Día Cero de TippingPoint, y Martin Barbella

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Fecha de publicación: