Acerca del contenido de seguridad de la actualización de software iOS 4.3.2

Este documento describe el contenido de seguridad de la actualización de software iOS 4.3.2.

Este documento describe el contenido de seguridad de la actualización de software iOS 4.3.2, que se puede descargar e instalar mediante iTunes.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos de Apple, consulta "Cómo utilizar la clave PGP de seguridad de los productos de Apple".

Siempre que sea posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".

Actualización de software iOS 4.3.2

  • Política de confianza en certificados

    Disponible para iOS 3.0 a 4.3.1 para el iPhone 3GS y posteriores, iOS 3.1 a 4.3.1 para el iPod touch (3.ª generación) y posteriores, iOS 3.2 a 4.3.1 para el iPad

    Impacto: Un atacante con una posición de red privilegiada podría interceptar credenciales de usuario u otra información confidencial

    Descripción: Una autoridad de registro afiliada a Comodo expidió varios certificados SSL fraudulentos. Esto podría permitir que un atacante "man in-the-middle" (intermediario) redirigiese las conexiones e interceptase las credenciales de usuario u otra información confidencial. Este problema se ha solucionado incluyendo los certificados fraudulentos en una lista negra.

    Nota: Para los sistemas que utilizan Mac OS X, este problema se ha resuelto con la actualización de seguridad 2011-002. Para los sistemas que utilizan Windows, Safari se basa en el almacén de certificados del sistema operativo anfitrión para determinar si un certificado de un servidor SSL es de confianza. Si se aplica la actualización descrita en el artículo 2524375 de Microsoft Knowledge Base, Safari dejará de considerar esos certificados como fiables. Este artículo está disponible en http://support.microsoft.com/kb/2524375/es-es

  • libxslt

    Disponible para iOS 3.0 a 4.3.1 para el iPhone 3GS y posteriores, iOS 3.1 a 4.3.1 para el iPod touch (3.ª generación) y posteriores, iOS 3.2 a 4.3.1 para el iPad

    Impacto: Visitar un sitio web creado con fines malintencionados podría provocar la divulgación de las direcciones en la memoria dinámica

    Descripción: La implementación de libxsl de la función de XPath generate-id() divulgaba la dirección de un búfer de pila. Visitar un sitio web creado con fines malintencionados podría provocar la divulgación de las direcciones de la pila, lo que podría contribuir a ignorar la protección por aleatorización del diseño de espacio de direcciones. Este problema se resuelve generando un ID basado en la diferencia entre las direcciones de dos búferes de pila.

    ID CVE

    CVE-2011-0195: Chris Evans de Google Chrome Security Team

  • QuickLook

    Disponible para iOS 3.0 a 4.3.1 para el iPhone 3GS y posteriores, iOS 3.1 a 4.3.1 para el iPod touch (3.ª generación) y posteriores, iOS 3.2 a 4.3.1 para el iPad

    Impacto: Visualizar un archivo de Microsoft Office creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de corrupción de memoria en la gestión de archivos de Microsoft Office por parte de QuickLook. Visualizar un archivo de Microsoft Office creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    ID CVE

    CVE-2011-1417: Charlie Miller y Dion Blazakis, colaboradores de Zero Day Initiative de TippingPoint

  • WebKit

    Disponible para iOS 3.0 a 4.3.1 para el iPhone 3GS y posteriores, iOS 3.1 a 4.3.1 para el iPod touch (3.ª generación) y posteriores, iOS 3.2 a 4.3.1 para el iPad

    Impacto: Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de desbordamiento de enteros en la gestión de nodesets. Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    ID CVE

    CVE-2011-1290: Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann y un investigador anónimo, colaboradores de Zero Day Initiative de TippingPoint

  • WebKit

    Disponible para iOS 3.0 a 4.3.1 para el iPhone 3GS y posteriores, iOS 3.1 a 4.3.1 para el iPod touch (3.ª generación) y posteriores, iOS 3.2 a 4.3.1 para el iPad

    Impacto: Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de uso después de liberación en la gestión nodos de texto. Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    ID CVE

    CVE-2011-1344: Vupen Security en colaboración con la Zero Day Initiative de TippingPoint, y Martin Barbella

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se proporciona sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, rendimiento o uso de sitios web o productos de terceros. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Ponte en contacto con el proveedor para obtener información adicional. Otros nombres de empresas o productos pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: