Acerca del contenido de seguridad de la actualización de software de iOS 5.1

Este documento describe el contenido de seguridad de la actualización de software del iOS 5.1.

Este documento describe el contenido de seguridad de la actualización de software de iOS 5.1, que puede descargarse e instalarse utilizando iTunes.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos de Apple, consulta "Cómo utilizar la clave PGP de seguridad de los productos de Apple".

Siempre que sea posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".

Actualización de software de iOS 5.1

  • CFNetwork

    Disponible para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3.ª generación) y posterior, iPad, iPad 2

    Impacto: la visita a un sitio web creado con fines malintencionados podía ocasionar la divulgación de información confidencial

    Descripción: existía un problema con la gestión de direcciones URL erróneas por parte de CFNetwork. Al acceder a una URL creada con fines malintencionados, CFNetwork podía enviar encabezados de solicitud inesperados.

    ID CVE

    CVE-2012-0641: Erling Ellingsen, de Facebook

  • HFS

    Disponible para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3.ª generación) y posterior, iPad, iPad 2

    Impacto: montar una imagen de disco creada con fines malintencionados podía provocar el apagado de un dispositivo o la ejecución de código arbitrario

    Descripción: existía un subdesbordamiento de enteros en la gestión de archivos de catálogo HFS.

    ID CVE

    CVE-2012-0642: pod2g

  • Kernel

    Disponible para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3.ª generación) y posterior, iPad, iPad 2

    Impacto: un programa malicioso podía evitar las restricciones de la zona protegida

    Descripción: existía un problema lógico en la gestión de llamadas del sistema de depuración. Esto podía permitir a un programa malicioso obtener ejecución de código en otros programas con los mismos privilegios de usuario.

    ID CVE

    CVE-2012-0643: 2012 iOS Jailbreak Dream Team

  • libresolv

    Disponible para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3.ª generación) y posterior, iPad, iPad 2

    Impacto: las aplicaciones que usan la librería libresolv podían ser vulnerables a una finalización inesperada de la aplicación o a la ejecución de código arbitrario

    Descripción: existía un desbordamiento de enteros en la gestión de registros de recursos DNS, lo cual podía conducir a la corrupción de la memoria dinámica.

    ID CVE

    CVE-2011-3453: Ilja van Sprundel, de IOActive

  • Bloqueo con código

    Disponible para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3.ª generación) y posterior, iPad, iPad 2

    Impacto: una persona con acceso físico al dispositivo podía eludir el bloqueo de pantalla

    Descripción: existía un problema de estado de carrera en la gestión de los gestos de deslizar para marcar. Esto podía permitir a una persona con acceso físico al dispositivo ignorar la pantalla de Bloqueo con código.

    ID CVE

    CVE-2012-0644: Roland Kohler, del Ministerio Federal de Economía y Tecnología de Alemania

  • Safari

    Disponible para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3.ª generación) y posterior, iPad, iPad 2

    Impacto: las visitas a páginas web podían almacenarse en el historial del navegador incluso cuando la navegación privada está activada

    Descripción: la navegación privada de Safari está diseñada para impedir el registro de una sesión de navegación. Las páginas visitadas como resultado de que un sitio use los métodos JavaScript pushState o replaceState se registraban en el historial del navegador incluso cuando el modo de navegación privada estaba activado. Este problema se ha solucionado impidiendo el registro de esas visitas cuando la navegación privada está activada.

    ID CVE

    CVE-2012-0585: Eric Melville, de American Express

  • Siri

    Disponible para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3.ª generación) y posterior, iPad, iPad 2

    Impacto: un atacante con acceso físico a un teléfono bloqueado podía acceder al mensaje de correo electrónico en primer plano

    Descripción: existía un problema de diseño en las restricciones de pantalla bloqueada de Siri. Si Siri estaba habilitado para usarse con la pantalla bloqueada y Mail estaba abierto con un mensaje seleccionado tras la pantalla bloqueada, podía usarse un comando de voz para enviar ese mensaje a un destinatario arbitrario. Este problema se ha solucionado deshabilitando el reenvío de mensajes activos desde la pantalla bloqueada.

    ID CVE

    CVE-2012-0645

  • VPN

    Disponible para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3.ª generación) y posterior, iPad, iPad 2

    Impacto: un archivo de configuración del sistema creado con fines malintencionados podía provocar la ejecución de código arbitrario con privilegios de sistema

    Descripción: existía una vulnerabilidad de cadena de formato en la gestión de archivos de configuración racoon.

    ID CVE

    CVE-2012-0646: pod2g

  • WebKit

    Disponible para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3.ª generación) y posterior, iPad, iPad 2

    Impacto: la visita a un sitio web creado con fines malintencionados podía provocar la divulgación de cookies

    Descripción: existía un problema de orígenes cruzados en WebKit que podía permitir que las cookies se divulgaran entre orígenes.

    ID CVE

    CVE-2011-3887: Sergey Glazunov

  • WebKit

    Disponible para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3.ª generación) y posterior, iPad, iPad 2

    Impacto: la visita a un sitio web creado con fines malintencionados y arrastrar contenidos con el ratón podía provocar un ataque basado en la vulnerabilidad de secuencias de comandos en sitios cruzados

    Descripción: existía un problema de orígenes cruzados en WebKit que podía permitir que se arrastrase y soltase contenido entre orígenes.

    ID CVE

    CVE-2012-0590: Adam Barth, del Google Chrome Security Team

  • WebKit

    Disponible para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3.ª generación) y posterior, iPad, iPad 2

    Impacto: visitar un sitio web creado con fines malintencionados podía provocar un ataque basado en la vulnerabilidad de secuencias de comandos en sitios cruzados

    Descripción: existían varios problemas de orígenes cruzados en WebKit.

    ID CVE

    CVE-2011-3881: Sergey Glazunov

    CVE-2012-0586: Sergey Glazunov

    CVE-2012-0587: Sergey Glazunov

    CVE-2012-0588: Jochen Eisinger, del Google Chrome Team

    CVE-2012-0589: Alan Austin, de polyvore.com

  • WebKit

    Disponible para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3.ª generación) y posterior, iPad, iPad 2

    Impacto: visitar un sitio web creado con fines malintencionados podía provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: existían varios problemas de corrupción de memoria en WebKit.

    ID CVE

    CVE-2011-2825: wushi, del team509, colaborador de la Zero Day Initiative de TippingPoint

    CVE-2011-2833: Apple

    CVE-2011-2846: Arthur Gerkis, miaubiz

    CVE-2011-2847: miaubiz, Abhishek Arya (Inferno), del Google Chrome Security Team, usando AddressSanitizer

    CVE-2011-2854: Abhishek Arya (Inferno), del Google Chrome Security Team, usando AddressSanitizer

    CVE-2011-2855: Arthur Gerkis, wushi, del team509, colaborador de iDefense VCP

    CVE-2011-2857: miaubiz

    CVE-2011-2860: Abhishek Arya (Inferno), del Google Chrome Security Team, usando AddressSanitizer

    CVE-2011-2867: Dirk Schulze

    CVE-2011-2868: Abhishek Arya (Inferno), del Google Chrome Security Team, usando AddressSanitizer

    CVE-2011-2869: Cris Neckar, del Google Chrome Security Team, usando AddressSanitizer

    CVE-2011-2870: Abhishek Arya (Inferno), del Google Chrome Security Team, usando AddressSanitizer

    CVE-2011-2871: Abhishek Arya (Inferno), del Google Chrome Security Team, usando AddressSanitizer

    CVE-2011-2872: Abhishek Arya (Inferno) y Cris Neckar, del Google Chrome Security Team, usando AddressSanitizer

    CVE-2011-2873: Abhishek Arya (Inferno), del Google Chrome Security Team, usando AddressSanitizer

    CVE-2011-2877: miaubiz

    CVE-2011-3885: miaubiz

    CVE-2011-3888: miaubiz

    CVE-2011-3897: pa_kt, colaborador de la Zero Day Initiative de TippingPoint

    CVE-2011-3908: Aki Helin, de OUSPG

    CVE-2011-3909: Google Chrome Security Team (scarybeasts) y Chu

    CVE-2011-3928: wushi, del team509, colaborador de la Zero Day Initiative de TippingPoint

    CVE-2012-0591: miaubiz y Martin Barbella

    CVE-2012-0592: Alexander Gavrun, colaborador de la Zero Day Initiative de TippingPoint

    CVE-2012-0593: Lei Zhang, de la comunidad de desarrollo Chromium

    CVE-2012-0594: Adam Klein, de la comunidad de desarrollo Chromium

    CVE-2012-0595: Apple

    CVE-2012-0596: Abhishek Arya (Inferno), del Google Chrome Security Team, usando AddressSanitizer

    CVE-2012-0597: miaubiz

    CVE-2012-0598: Sergey Glazunov

    CVE-2012-0599: Dmytro Gorbunov, de SaveSources.com

    CVE-2012-0600: Marshall Greenblatt, Dharani Govindan, de Google Chrome; miaubiz; Aki Helin, de OUSPG; Apple

    CVE-2012-0601: Apple

    CVE-2012-0602: Apple

    CVE-2012-0603: Apple

    CVE-2012-0604: Apple

    CVE-2012-0605: Apple

    CVE-2012-0606: Apple

    CVE-2012-0607: Apple

    CVE-2012-0608: Abhishek Arya (Inferno), del Google Chrome Security Team, usando AddressSanitizer

    CVE-2012-0609: Abhishek Arya (Inferno), del Google Chrome Security Team, usando AddressSanitizer

    CVE-2012-0610: miaubiz; Martin Barbella, usando AddressSanitizer

    CVE-2012-0611: Martin Barbella, usando AddressSanitizer

    CVE-2012-0612: Abhishek Arya (Inferno), del Google Chrome Security Team, usando AddressSanitizer

    CVE-2012-0613: Abhishek Arya (Inferno), del Google Chrome Security Team, usando AddressSanitizer

    CVE-2012-0614: miaubiz; Martin Barbella, usando AddressSanitizer

    CVE-2012-0615: Martin Barbella, usando AddressSanitizer

    CVE-2012-0616: miaubiz

    CVE-2012-0617: Martin Barbella, usando AddressSanitizer

    CVE-2012-0618: Abhishek Arya (Inferno), del Google Chrome Security Team, usando AddressSanitizer

    CVE-2012-0619: Abhishek Arya (Inferno), del Google Chrome Security Team, usando AddressSanitizer

    CVE-2012-0620: Abhishek Arya (Inferno), del Google Chrome Security Team, usando AddressSanitizer

    CVE-2012-0621: Martin Barbella, usando AddressSanitizer

    CVE-2012-0622: Dave Levin y Abhishek Arya, del Google Chrome Security Team

    CVE-2012-0623: Abhishek Arya (Inferno), del Google Chrome Security Team, usando AddressSanitizer

    CVE-2012-0624: Martin Barbella, usando AddressSanitizer

    CVE-2012-0625: Martin Barbella

    CVE-2012-0626: Abhishek Arya (Inferno), del Google Chrome Security Team, usando AddressSanitizer

    CVE-2012-0627: Apple

    CVE-2012-0628: Slawomir Blazek, miaubiz; Abhishek Arya (Inferno), del Google Chrome Security Team, usando AddressSanitizer

    CVE-2012-0629: Abhishek Arya (Inferno), del Google Chrome Security Team

    CVE-2012-0630: Sergio Villar Senin, de Igalia

    CVE-2012-0631: Abhishek Arya (Inferno), del Google Chrome Security Team

    CVE-2012-0632: Cris Neckar, del Google Chrome Security Team, usando AddressSanitizer

    CVE-2012-0633: Apple

    CVE-2012-0635: Julien Chaffraix, de la comunidad de desarrollo Chromium; Martin Barbella, usando AddressSanitizer

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se proporciona sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, rendimiento o uso de sitios web o productos de terceros. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Ponte en contacto con el proveedor para obtener información adicional. Otros nombres de empresas o productos pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: