Acerca del contenido de seguridad de la actualización de software iOS 4.2.7 para iPhone

Este doc,.-1umento describe el contenido de seguridad de la actualización de software iOS 4.2.7.

Este documento describe el contenido de seguridad de la actualización de software iOS 4.2.7, que puedes descargar e instalar mediante iTunes.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos de Apple, consulta "Cómo utilizar la clave PGP de seguridad de los productos de Apple".

Siempre que sea posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".

Actualización de software iOS 4.2.7 para iPhone

  • Política de confianza en certificados

    Disponible para iOS 4.2.5 a 4.2.6 para el iPhone 4 (CDMA)

    Impacto: Un atacante con una posición de red privilegiada podría interceptar credenciales de usuario u otra información confidencial

    Descripción: Una autoridad de registro afiliada a Comodo expidió varios certificados SSL fraudulentos. Esto podría permitir que un atacante "man in-the-middle" (intermediario) redirigiese las conexiones e interceptase las credenciales de usuario u otra información confidencial. Este problema se ha solucionado incluyendo los certificados fraudulentos en una lista negra.

    Nota: Para los sistemas que utilizan Mac OS X, este problema se ha resuelto con la actualización de seguridad 2011-002. Para los sistemas que utilizan Windows, Safari se basa en el almacén de certificados del sistema operativo anfitrión para determinar si un certificado de un servidor SSL es de confianza. Si se aplica la actualización descrita en el artículo 2524375 de Microsoft Knowledge Base, Safari dejará de considerar esos certificados como fiables. Este artículo está disponible en http://support.microsoft.com/kb/2524375/es-es.

  • QuickLook

    Disponible para iOS 4.2.5 a 4.2.6 para el iPhone 4 (CDMA)

    Impacto: Visualizar un archivo de Microsoft Office creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de corrupción de memoria en la gestión de archivos de Microsoft Office por parte de QuickLook. Visualizar un archivo de Microsoft Office creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    ID CVE

    CVE-2011-1417: Charlie Miller y Dion Blazakis, colaboradores de Zero Day Initiative de TippingPoint

  • WebKit

    Disponible para iOS 4.2.5 a 4.2.6 para el iPhone 4 (CDMA)

    Impacto: Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de desbordamiento de enteros en la gestión de nodesets. Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    ID CVE

    CVE-2011-1290: Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann y un investigador anónimo, colaboradores de Zero Day Initiative de TippingPoint

  • WebKit

    Disponible para iOS 4.2.5 a 4.2.6 para el iPhone 4 (CDMA)

    Impacto: Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de uso después de liberación en la gestión nodos de texto. Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    ID CVE

    CVE-2011-1344: Vupen Security en colaboración con Zero Day Initiative de TippingPoint, y Martin Barbella

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se proporciona sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, rendimiento o uso de sitios web o productos de terceros. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Ponte en contacto con el proveedor para obtener información adicional. Otros nombres de empresas o productos pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: