Acerca del contenido de seguridad de iOS 7

Este documento describe el contenido de seguridad de iOS 7.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos de Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.

Siempre que sea posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta las Actualizaciones de seguridad de Apple.

iOS 7

  • Política de confianza en certificados

    Disponible para: iPhone 4 y posterior, iPod touch (5.ª generación) y posterior y iPad 2 y posterior

    Impacto: Los certificados raíz se han actualizado

    Descripción: Varios certificados se han añadido a la lista de certificados raíz del sistema o se han eliminado de ella.

  • CoreGraphics

    Disponible para: iPhone 4 y posterior, iPod touch (5.ª generación) y posterior y iPad 2 y posterior

    Impacto: Visualizar un archivo PDF creado con fines malintencionados podía provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: Había un problema de desbordamiento de búfer en la gestión de datos con codificación JBIG2 en archivos PDF. Este problema se ha solucionado mediante comprobaciones de límites adicionales.

    ID CVE

    CVE-2013-1025: Felix Groebert, del Google Security Team

  • CoreMedia

    Disponible para: iPhone 4 y posterior, iPod touch (5.ª generación) y posterior y iPad 2 y posterior

    Impacto: Reproducir un archivo de película creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: Había un desbordamiento del búfer en la gestión de archivos de película con codificación Sorenson. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2013-1019: Tom Gallagher (Microsoft) y Paul Bates (Microsoft), en colaboración con la Zero Day Initiative de HP

  • Protección de datos

    Disponible para: iPhone 4 y posterior, iPod touch (5.ª generación) y posterior y iPad 2 y posterior

    Impacto: Las apps podrían ignorar las restricciones de códigos

    Descripción: Había un problema con la separación de privilegios en la protección de datos. Una app de la zona protegida de otro proveedor podría intentar varias veces determinar el código del usuario, independientemente de la configuración "Borrar datos" del usuario. Este problema se ha solucionado solicitando comprobaciones adicionales de autorización.

    ID CVE

    CVE-2013-0957: Jin Han, del Institute for Infocomm Research, trabajando con Qiang Yan y Su Mon Kywe, de Singapore Management University

  • Seguridad de datos

    Disponible para: iPhone 4 y posterior, iPod touch (5.ª generación) y posterior y iPad 2 y posterior

    Impacto: Un atacante con una posición de red privilegiada podía interceptar credenciales de usuario u otra información confidencial

    Descripción: TrustWave, una AC raíz de confianza, ha emitido (y posteriormente revocado) un certificado sub-AC de uno de sus anclajes de confianza. Esta sub-AC facilitaba la intercepción de comunicaciones protegidas mediante TLS (seguridad de la capa de transporte). Esta actualización ha añadido el certificado sub-AC implicado a la lista de certificados no fiables de OS X.

    ID CVE

    CVE-2013-5134

  • dyld

    Disponible para: iPhone 4 y posterior, iPod touch (5.ª generación) y posterior y iPad 2 y posterior

    Impacto: Un atacante que dispusiera de ejecución de código arbitrario en un dispositivo podía ser capaz de continuar ejecutando el código después de los reinicios

    Descripción: Había varios desbordamientos de búfer en la función openSharedCacheFile() de dyld. Estos problemas se han solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2013-3950: Stefan Esser

  • Sistemas de archivo

    Disponible para: iPhone 4 y posterior, iPod touch (5.ª generación) y posterior y iPad 2 y posterior

    Impacto: Un atacante que puede montar un sistema de archivos no HFS podría ser capaz de provocar la finalización inesperada del sistema o la ejecución de código arbitrario con privilegios de kernel

    Descripción: Había un problema de corrupción de memoria en la gestión de archivos AppleDouble. Este problema se ha solucionado retirando la compatibilidad con archivos AppleDouble.

    ID CVE

    CVE-2013-3955: Stefan Esser

  • ImageIO

    Disponible para: iPhone 4 y posterior, iPod touch (5.ª generación) y posterior y iPad 2 y posterior

    Impacto: Visualizar un archivo PDF creado con fines malintencionados podía provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: Había un problema de desbordamiento de búfer en la gestión de datos con codificación JPEG2000 en archivos PDF. Este problema se ha solucionado mediante comprobaciones de límites adicionales.

    ID CVE

    CVE-2013-1026: Felix Groebert, del Google Security Team

  • IOKit

    Disponible para: iPhone 4 y posterior, iPod touch (5.ª generación) y posterior y iPad 2 y posterior

    Impacto: Las aplicaciones en segundo plano pueden introducir eventos de interfaz de usuario en la app que se encuentra en primer plano

    Descripción: Las aplicaciones en segundo plano podían introducir eventos de interfaz de usuario en la aplicación en primer plano con la finalización de tareas o las API de VoIP. Este problema se ha solucionado llevando a cabo controles de acceso en los procesos de primer plano y de segundo plano que gestionan los eventos de interfaz.

    ID CVE

    CVE-2013-5137: Mackenzie Straight de Mobile Labs

  • IOKitUser

    Disponible para: iPhone 4 y posterior, iPod touch (5.ª generación) y posterior y iPad 2 y posterior

    Impacto: Una aplicación local creada con fines malintencionados podía provocar la finalización inesperada del sistema

    Descripción: Había una falta de referencia a un puntero nulo en IOCatalogue. El problema se ha solucionado mediante comprobaciones de tipo adicionales.

    ID CVE

    CVE-2013-5138: Will Estes

  • IOSerialFamily

    Disponible para: iPhone 4 y posterior, iPod touch (5.ª generación) y posterior y iPad 2 y posterior

    Impacto: La ejecución de una aplicación creada con fines malintencionados podía provocar la ejecución de código arbitrario en el kernel

    Descripción: Había un acceso a una matriz fuera de los límites en el driver IOSerialFamily. Este problema se ha solucionado mediante comprobaciones de límites adicionales.

    ID CVE

    CVE-2013-5139: @dent1zt

  • IPSec

    Disponible para: iPhone 4 y posterior, iPod touch (5.ª generación) y posterior y iPad 2 y posterior

    Impacto: Un atacante podría interceptar datos protegidos mediante IPSec Hybrid Auth

    Descripción: El nombre DNS de un servidor IPSec Hybrid Auth no se comparaba con el certificado, permitiendo que un atacante con un certificado de cualquier servidor lo hiciera pasar por otro. Este problema se ha solucionado mejorando la comprobación del certificado.

    ID CVE

    CVE-2013-1028: Alexander Traud, de www.traud.de

  • Kernel

    Disponible para: iPhone 4 y posterior, iPod touch (5.ª generación) y posterior y iPad 2 y posterior

    Impacto: Un atacante remoto puede provocar que un dispositivo se reinicie de forma inesperada

    Descripción: El envío de un fragmento de paquete no válido a un dispositivo puede hacer que se active el kernel, lo que provoca el reinicio del dispositivo. Este problema se ha solucionado mediante validaciones adicionales de fragmentos de paquete.

    ID CVE

    CVE-2013-5140: Joonas Kuorilehto de Codenomicon, un investigador anónimo en colaboración con CERT-FI, Antti Levomäki y Lauri Virtanen de Vulnerability Analysis Group, Stonesoft

  • Kernel

    Disponible para: iPhone 4 y posterior, iPod touch (5.ª generación) y posterior y iPad 2 y posterior

    Impacto: Una aplicación local creada con fines malintencionados podría provocar el bloqueo del dispositivo

    Descripción: Se podría aprovechar una vulnerabilidad en el truncado de enteros de la interfaz del socket del kernel para forzar la CPU para que entrara en un bucle infinito. El problema se ha solucionado empleando una variable de mayor tamaño.

    ID CVE

    CVE-2013-5141: CESG

  • Kernel

    Disponible para: iPhone 4 y posterior, iPod touch (5.ª generación) y posterior y iPad 2 y posterior

    Impacto: Un atacante en una red local podía provocar una denegación de servicio

    Descripción: Un atacante en una red local podía enviar paquetes ICMP IPv6 especialmente diseñados y provocar una alta carga de CPU. Este problema se ha solucionado limitando la velocidad de paquetes ICMP antes de verificar su suma de control.

    ID CVE

    CVE-2011-2391: Marc Heuse

  • Kernel

    Disponible para: iPhone 4 y posterior, iPod touch (5.ª generación) y posterior y iPad 2 y posterior

    Impacto: La memoria de pila del kernel podía revelarse a los usuarios locales

    Descripción: Había un problema de divulgación de información en las API msgctl y segctl. Este problema se ha solucionado mediante la inicialización de estructuras de datos devueltas por el kernel.

    ID CVE

    CVE-2013-5142: Kenzley Alphonse de Kenx Technology, Inc

  • Kernel

    Disponible para: iPhone 4 y posterior, iPod touch (5.ª generación) y posterior y iPad 2 y posterior

    Impacto: Los procesos sin privilegios podrían acceder a los contenidos de la memoria del kernel, lo que podría llevar a un escalado de privilegios

    Descripción: Había un problema de divulgación de información en la API mach_port_space_info. Este problema se ha solucionado mediante la inicialización del campo iin_collision en estructuras devueltas por el kernel.

    ID CVE

    CVE-2013-3953: Stefan Esser

  • Kernel

    Disponible para: iPhone 4 y posterior, iPod touch (5.ª generación) y posterior y iPad 2 y posterior

    Impacto: Los procesos sin privilegios podían provocar la finalización inesperada del sistema o la ejecución de código arbitrario en el kernel

    Descripción: Había un problema de corrupción de memoria en la gestión de argumentos para la API posix_spawn. Este problema se ha solucionado mediante comprobaciones de límites adicionales.

    ID CVE

    CVE-2013-3954: Stefan Esser

  • Kext Management

    Disponible para: iPhone 4 y posterior, iPod touch (5.ª generación) y posterior y iPad 2 y posterior

    Impacto: Un proceso no autorizado podría modificar el conjunto de extensiones cargadas del kernel

    Descripción: Había un problema en la gestión de kextd de mensajes IPC de remitentes no autenticados. Este problema se ha solucionado añadiendo comprobaciones adicionales de autorización.

    ID CVE

    CVE-2013-5145: "Rainbow PRISM"

  • libxml

    Disponible para: iPhone 4 y posterior, iPod touch (5.ª generación) y posterior y iPad 2 y posterior

    Impacto: La visita a un sitio web creado con fines malintencionados puede ocasionar la terminación inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: Había varios problemas de corrupción de memoria en libxml. Estos problemas se han solucionado actualizando libxml a la versión 2.9.0.

    ID CVE

    CVE-2011-3102: Jüri Aedla

    CVE-2012-0841

    CVE-2012-2807: Jüri Aedla

    CVE-2012-5134: Google Chrome Security Team (Jüri Aedla)

  • libxslt

    Disponible para: iPhone 4 y posterior, iPod touch (5.ª generación) y posterior y iPad 2 y posterior

    Impacto: La visita a un sitio web creado con fines malintencionados puede ocasionar la terminación inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: Había varios problemas de corrupción de memoria en libxslt. Estos problemas se han solucionado actualizando libxslt a la versión 1.1.28.

    ID CVE

    CVE-2012-2825: Nicolas Gregoire

    CVE-2012-2870: Nicolas Gregoire

    CVE-2012-2871: Kai Lu de FortiGuard Labs de Fortinet, Nicolas Gregoire

  • Bloqueo con código

    Disponible para: iPhone 4 y posterior, iPod touch (5.ª generación) y posterior y iPad 2 y posterior

    Impacto: Una persona con acceso físico al dispositivo podría ser capaz de saltar la pantalla bloqueada

    Descripción: Había un problema de estado de carrera en la gestión de llamadas telefónicas y expulsión de tarjetas SIM en la pantalla bloqueada. Este problema se ha solucionado mejorando la gestión del estado de bloqueo.

    ID CVE

    CVE-2013-5147: videosdebarraquito

  • Compartir Internet

    Disponible para: iPhone 4 y posterior, iPod touch (5.ª generación) y posterior y iPad 2 y posterior

    Impacto: Un atacante podría conectarse a una red de Compartir Internet

    Descripción: Había un problema en la generación de contraseñas de Compartir Internet que provocaba que un atacante pudiera predecir las contraseñas para conectarse a la red de Compartir Internet del usuario. Este problema se ha solucionado generando contraseñas con una entropía superior.

    ID CVE

    CVE-2013-4616: Andreas Kurtz de NESO Security Labs y Daniel Metz de University Erlangen-Nuremberg

  • Notificaciones push

    Disponible para: iPhone 4 y posterior, iPod touch (5.ª generación) y posterior y iPad 2 y posterior

    Impacto: El token de notificación push se podría revelar a una aplicación contraria a la decisión del usuario

    Descripción: Había un problema de divulgación de información en el registro de notificación push. Las apps que solicitaban acceder al acceso de notificación push recibían el token antes de que el usuario aceptara el uso de la aplicación de notificaciones push. Este problema se ha solucionado denegando el acceso al token hasta que el usuario lo autorice.

    ID CVE

    CVE-2013-5149: Jack Flintermann de Grouper, Inc.

  • Safari

    Disponible para: iPhone 4 y posterior, iPod touch (5.ª generación) y posterior y iPad 2 y posterior

    Impacto: Visitar un sitio web creado con fines malintencionados podía provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Había un problema de corrupción de memoria en la gestión de archivos XML. Este problema se ha solucionado mediante comprobaciones de límites adicionales.

    ID CVE

    CVE-2013-1036: Kai Lu de FortiGuard Labs de Fortinet

  • Safari

    Disponible para: iPhone 4 y posterior, iPod touch (5.ª generación) y posterior y iPad 2 y posterior

    Impacto: El historial de páginas visitadas recientemente de una pestaña abierta podría seguir disponible después de haberse borrado

    Descripción: Borrar el historial de Safari no borraba el historial de avance/retroceso de pestañas abiertas. Este problema se ha solucionado eliminando el historial de avance/retroceso.

    ID CVE

    CVE-2013-5150

  • Safari

    Disponible para: iPhone 4 y posterior, iPod touch (5.ª generación) y posterior y iPad 2 y posterior

    Impacto: La visualización de archivos en un sitio web podría dar lugar a la ejecución del script, incluso cuando el servidor envía un encabezado "Content-Type: text/plain"

    Descripción: Los archivos de Mobile Safari en ocasiones se trataban como archivos HTML, incluso cuando el servidor enviaba un encabezado "Content-Type: text/plain". Esto podría provocar una secuencia de comandos entre sitios cruzados en sitios que permiten a los usuarios cargar archivos. Este problema se ha solucionado mejorando la gestión de archivos cuando se haya establecido "Content-Type: text/plain".

    ID CVE

    CVE-2013-5151: Ben Toews de Github

  • Safari

    Disponible para: iPhone 4 y posterior, iPod touch (5.ª generación) y posterior y iPad 2 y posterior

    Impacto: La visita a un sitio web creado con fines malintencionados podría permitir que se mostrara una URL arbitraria

    Descripción: Mobile Safari tenía un problema de suplantación de la barra de dirección de URL. Este problema se ha solucionado con un seguimiento de URL mejorado.

    ID CVE

    CVE-2013-5152: Keita Haga de keitahaga.com, Łukasz Pilorz de RBS

  • Zona protegida

    Disponible para: iPhone 4 y posterior, iPod touch (5.ª generación) y posterior y iPad 2 y posterior

    Impacto: Las aplicaciones que son scripts no se encontraban en la zona protegida

    Descripción: Las aplicaciones de terceros que usaban la sintaxis #! para ejecutar un script se colocaban en la zona protegida en función de la identidad del intérprete del script y no del script. Puede que el intérprete no tuviera una zona protegida definida, lo que provocaba que la aplicación empezara a ejecutarse sin estar en la zona protegida. Este problema se ha solucionado creando la zona protegida en función de la identidad del script.

    ID CVE

    CVE-2013-5154: evad3rs

  • Jaula de apps

    Disponible para: iPhone 4 y posterior, iPod touch (5.ª generación) y posterior y iPad 2 y posterior

    Impacto: Las aplicaciones pueden conseguir que el sistema se bloquee

    Descripción: Las aplicaciones creadas con fines malintencionados de terceros que escribían valores específicos en el dispositivo /dev/random podían forzar a la CPU a entrar en un bucle infinito. Este problema se ha solucionado evitando que las aplicaciones de terceros escriban en el dispositivo /dev/random.

    ID CVE

    CVE-2013-5155: CESG

  • Redes sociales

    Disponible para: iPhone 4 y posterior, iPod touch (5.ª generación) y posterior y iPad 2 y posterior

    Impacto: La actividad reciente en Twitter de los usuarios se podría revelar sin código

    Descripción: Había un problema en el que se podían determinar las cuentas de Twitter con las que un usuario había interactuado. Este problema se ha solucionado restringiendo el acceso al icono de Twitter en caché.

    ID CVE

    CVE-2013-5158: Jonathan Zdziarski

  • Springboard

    Disponible para: iPhone 4 y posterior, iPod touch (5.ª generación) y posterior y iPad 2 y posterior

    Impacto: Una persona con acceso físico a un dispositivo en modo Perdido podría ser capaz de ver las notificaciones

    Descripción: Había un problema en la gestión de notificaciones cuando un dispositivo estaba en modo Perdido. Esta actualización soluciona el problema mejorando la gestión del estado de bloqueo.

    ID CVE

    CVE-2013-5153: Daniel Stangroom

  • Telefonía

    Disponible para: iPhone 4 y posterior, iPod touch (5.ª generación) y posterior y iPad 2 y posterior

    Impacto: Las apps creadas con fines malintencionados podrían interferir o controlar las funciones de telefonía

    Descripción: Había un problema de control de acceso en el subsistema de telefonía. Al ignorar las API admitidas, las aplicaciones de la zona protegida podrían dirigirse directamente a un daemon del sistema e interferir o controlar las funciones de telefonía. Este problema se ha solucionado llevando a cabo controles de acceso en las interfaces expuestas por el daemon de telefonía.

    ID CVE

    CVE-2013-5156: Jin Han del Institute for Infocomm Research trabajando con Qiang Yan y Su Mon Kywe de Singapore Management University; Tielei Wang, Kangjie Lu, Long Lu, Simon Chung y Wenke Lee del Georgia Institute of Technology

  • Twitter

    Disponible para: iPhone 4 y posterior, iPod touch (5.ª generación) y posterior y iPad 2 y posterior

    Impacto: Las aplicaciones de la zona protegida podrían enviar tweets sin el permiso o la interacción del usuario

    Descripción: Había un problema de control de acceso en el subsistema de Twitter. Al ignorar las API admitidas, las aplicaciones de la zona protegida podrían dirigirse directamente al daemon del sistema e interferir o controlar las funciones de Twitter. El problema se ha solucionado llevando a cabo controles de acceso en interfaces expuestas por el daemon de Twitter.

    ID CVE

    CVE-2013-5157: Jin Han del Institute for Infocomm Research trabajando con Qiang Yan y Su Mon Kywe de Singapore Management University; Tielei Wang, Kangjie Lu, Long Lu, Simon Chung y Wenke Lee del Georgia Institute of Technology

  • WebKit

    Disponible para: iPhone 4 y posterior, iPod touch (5.ª generación) y posterior y iPad 2 y posterior

    Impacto: Visitar un sitio web creado con fines malintencionados podía provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Había varios problemas de corrupción de memoria en WebKit. Estos problemas se han solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2013-0879: Atte Kettunen of OUSPG

    CVE-2013-0991: Jay Civelli, de la comunidad de desarrollo Chromium

    CVE-2013-0992: Google Chrome Security Team (Martin Barbella)

    CVE-2013-0993: Google Chrome Security Team (Inferno)

    CVE-2013-0994: David German de Google

    CVE-2013-0995: Google Chrome Security Team (Inferno)

    CVE-2013-0996: Google Chrome Security Team (Inferno)

    CVE-2013-0997: Vitaliy Toropov, colaborador de la Zero Day Initiative de HP

    CVE-2013-0998: pa_kt en colaboración con la Zero Day Initiative de HP

    CVE-2013-0999: pa_kt en colaboración con la Zero Day Initiative de HP

    CVE-2013-1000: Fermin J. Serna de Google Security Team

    CVE-2013-1001: Ryan Humenick

    CVE-2013-1002: Sergey Glazunov

    CVE-2013-1003: Google Chrome Security Team (Inferno)

    CVE-2013-1004: Google Chrome Security Team (Martin Barbella)

    CVE-2013-1005: Google Chrome Security Team (Martin Barbella)

    CVE-2013-1006: Google Chrome Security Team (Martin Barbella)

    CVE-2013-1007: Google Chrome Security Team (Inferno)

    CVE-2013-1008: Sergey Glazunov

    CVE-2013-1010: miaubiz

    CVE-2013-1037: Google Chrome Security Team

    CVE-2013-1038: Google Chrome Security Team

    CVE-2013-1039: own-hero Research en colaboración con iDefense VCP

    CVE-2013-1040: Google Chrome Security Team

    CVE-2013-1041: Google Chrome Security Team

    CVE-2013-1042: Google Chrome Security Team

    CVE-2013-1043: Google Chrome Security Team

    CVE-2013-1044: Apple

    CVE-2013-1045: Google Chrome Security Team

    CVE-2013-1046: Google Chrome Security Team

    CVE-2013-1047: miaubiz

    CVE-2013-2842: Cyril Cattiaux

    CVE-2013-5125: Google Chrome Security Team

    CVE-2013-5126: Apple

    CVE-2013-5127: Google Chrome Security Team

    CVE-2013-5128: Apple

  • WebKit

    Disponible para: iPhone 4 y posterior, iPod touch (5.ª generación) y posterior y iPad 2 y posterior

    Impacto: La visita a un sitio web creado con fines malintencionados podría conducir a la divulgación de información

    Descripción: Había un problema de divulgación de información al gestionar la API window.webkitRequestAnimationFrame(). Un sitio web creado con fines malintencionados podría usar un iframe para determinar si otro sitio utilizaba window.webkitRequestAnimationFrame(). Este problema se ha solucionado mejorando la gestión de window.webkitRequestAnimationFrame().

    ID CVE

    CVE-2013-5159
  • WebKit

    Disponible para: iPhone 4 y posterior, iPod touch (5.ª generación) y posterior y iPad 2 y posterior

    Impacto: Copiar y pegar un fragmento HTML creado con fines malintencionados podría provocar un ataque basado en secuencias de comandos entre sitios cruzados

    Descripción: Había un problema de secuencias de comandos entre sitios cruzados en la gestión de datos copiados y pegados en los documentos HTML. Este problema se ha solucionado mediante la validación adicional del contenido pegado.

    ID CVE

    CVE-2013-0926: Aditya Gupta, Subho Halder y Dev Kar de xys3c (xysec.com)

  • WebKit

    Disponible para: iPhone 4 y posterior, iPod touch (5.ª generación) y posterior y iPad 2 y posterior

    Impacto: Visitar un sitio web creado con fines malintencionados podría provocar un ataque basado en la vulnerabilidad de secuencias de comandos en sitios cruzados

    Descripción: Había un problema de secuencias de comandos entre sitios cruzados en la gestión de los iframes. Este problema se ha solucionado mediante un seguimiento de orígenes mejorado.

    ID CVE

    CVE-2013-1012: Subodh Iyengar y Erling Ellingsen de Facebook

  • WebKit

    Disponible para: iPhone 3GS y posterior, iPod touch (4.ª generación) y posterior y iPad 2 y posterior

    Impacto: La visita a un sitio web creado con fines malintencionados podría provocar la divulgación de información

    Descripción: Había un problema de divulgación de información en XSSAuditor. Este problema se ha solucionado mediante la mejora de la gestión de las URL.

    ID CVE

    CVE-2013-2848: Egor Homakov

  • WebKit

    Disponible para: iPhone 4 y posterior, iPod touch (5.ª generación) y posterior y iPad 2 y posterior

    Impacto: Arrastrar o pegar una selección podría provocar un ataque de secuencias de comandos entre sitios cruzados (XSS)

    Descripción: Arrastrar o pegar una selección de un sitio a otro podría permitir que los scripts contenidos en la selección se ejecutaran en el contexto del sitio nuevo. Este problema se ha solucionado mediante una validación adicional del contenido antes de realizar una operación de pegar o arrastrar y soltar.

    ID CVE

    CVE-2013-5129: Mario Heiderich

  • WebKit

    Disponible para: iPhone 4 y posterior, iPod touch (5.ª generación) y posterior y iPad 2 y posterior

    Impacto: Visitar un sitio web creado con fines malintencionados podría provocar un ataque basado en la vulnerabilidad de secuencias de comandos en sitios cruzados

    Descripción: Había un problema en la secuencia de comandos entre sitios cruzados en las direcciones URL. Este problema se ha solucionado mediante un seguimiento de orígenes mejorado.

    ID CVE

    CVE-2013-5131: Erling A Ellingsen

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se proporciona sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, rendimiento o uso de sitios web o productos de terceros. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Ponte en contacto con el proveedor para obtener información adicional. Otros nombres de empresas o productos pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: