Acerca del contenido de seguridad de iOS 7.1.2

Este documento describe el contenido de seguridad de iOS 7.1.2.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos de Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.

Siempre que sea posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta las Actualizaciones de seguridad de Apple.

iOS 7.1.2

  • Política de confianza en certificados

    Disponible para: iPhone 4 y posteriores, iPod touch (5.ª generación) y posteriores, iPad 2 y posteriores

    Impacto: Actualización de la política de confianza en certificados

    Descripción: La política de confianza en certificados se ha actualizado. Puedes ver la lista completa de certificados en http://support.apple.com/kb/HT5012?viewlocale=es_ES.

  • CoreGraphics

    Disponible para: iPhone 4 y posteriores, iPod touch (5.ª generación) y posteriores, iPad 2 y posteriores

    Impacto: La visualización de un archivo XBM creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario.

    Descripción: Existía un problema de asignación de pila ilimitada en la gestión de archivos XBM. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1354: Dima Kovalenko de codedigging.com

  • Kernel

    Disponible para: iPhone 4 y posteriores, iPod touch (5.ª generación) y posteriores, iPad 2 y posteriores

    Impacto: Una aplicación podría hacer que el dispositivo se reinicie de forma inesperada

    Descripción: Existía un problema de falta de referencia de puntero nulo en el procesamiento de argumentos API IOKit. Este problema se ha solucionado mediante la validación de los argumentos API IOKit.

    ID CVE

    CVE-2014-1355: cunzhang de Adlab de Venustech

  • launchd

    Disponible para: iPhone 4 y posteriores, iPod touch (5.ª generación) y posteriores, iPad 2 y posteriores

    Impacto: Una aplicación malintencionada puede ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un desbordamiento del búfer de pila en la gestión de mensajes IPC por parte de launchd. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1356: Ian Beer de Google Project Zero

  • launchd

    Disponible para: iPhone 4 y posteriores, iPod touch (5.ª generación) y posteriores, iPad 2 y posteriores

    Impacto: Una aplicación malintencionada puede ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un desbordamiento del búfer de pila en la gestión de mensajes de registro por parte de launchd. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1357: Ian Beer de Google Project Zero

  • launchd

    Disponible para: iPhone 4 y posteriores, iPod touch (5.ª generación) y posteriores, iPad 2 y posteriores

    Impacto: Una aplicación malintencionada puede ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un problema de desbordamiento de enteros en launchd. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1358: Ian Beer de Google Project Zero

  • launchd

    Disponible para: iPhone 4 y posteriores, iPod touch (5.ª generación) y posteriores, iPad 2 y posteriores

    Impacto: Una aplicación malintencionada puede ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un problema de subdesbordamiento de enteros en launchd. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1359: Ian Beer de Google Project Zero

  • Lockdown

    Disponible para: iPhone 4 y posteriores, iPod touch (5.ª generación) y posteriores, iPad 2 y posteriores

    Impacto: Un atacante en posesión de un dispositivo iOS podría potencialmente eludir el bloqueo de activación

    Descripción: Los dispositivos llevaban a cabo verificaciones incompletas durante su activación, lo que hacía posible que atacantes malintencionados eludiesen parcialmente el bloqueo de activación. Este problema se ha solucionado mediante la verificación adicional por parte del cliente de los datos recibidos desde los servidores de activación.

    ID CVE

    CVE-2014-1360

  • Bloquear pantalla

    Disponible para: iPhone 4 y posteriores, iPod touch (5.ª generación) y posteriores, iPad 2 y posteriores

    Impacto: Un atacante en posesión de un dispositivo puede exceder el número máximo de intentos fallidos de introducción de código

    Descripción: En algunas circunstancias, el límite de intentos fallidos de introducción de código no se imponía. Este problema se ha solucionado mediante la imposición adicional de este límite.

    ID CVE

    CVE-2014-1352: mblsec

  • Bloquear pantalla

    Disponible para: iPhone 4 y posteriores, iPod touch (5.ª generación) y posteriores, iPad 2 y posteriores

    Impacto: Una persona con acceso físico a un dispositivo bloqueado podría ser capaz de acceder a la aplicación que se encontraba en primer plano antes del bloqueo

    Descripción: Existía un problema de administración de estado en la gestión del estado del teléfono mientras se mantenía en modo Avión. Este problema se ha solucionado mejorando la administración de estado cuando se está en modo Avión.

    ID CVE

    CVE-2014-1353

  • Mail

    Disponible para: iPhone 4 y posteriores, iPod touch (5.ª generación) y posteriores, iPad 2 y posteriores

    Impacto: Los datos adjuntos a un mensaje de correo pueden extraerse de un iPhone 4

    Descripción: La protección de datos no estaba activada para los datos adjuntos a mensajes de correo, por lo que un atacante con acceso físico al dispositivo podía leerlos. Este problema se ha solucionado cambiando la clase de encriptación de los datos adjuntos a mensajes de correo.

    ID CVE

    CVE-2014-1348: Andreas Kurtz de NESO Security Labs

  • Safari

    Disponible para: iPhone 4 y posteriores, iPod touch (5.ª generación) y posteriores, iPad 2 y posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de uso después de liberación en la gestión de URL no válidas por parte de Safari. Este problema se ha solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2014-1349: Reno Robert y Dhanesh Kizhakkinan

  • Ajustes

    Disponible para: iPhone 4 y posteriores, iPod touch (5.ª generación) y posteriores, iPad 2 y posteriores

    Impacto: Una persona con acceso físico al dispositivo podría desactivar Buscar mi iPhone sin necesidad de introducir una contraseña de iCloud

    Descripción: Existía un problema de administración de estado en la gestión del estado de Buscar mi iPhone. Este problema se ha solucionado mediante la mejora de la gestión del estado de Buscar mi iPhone.

    ID CVE

    CVE-2014-1350

  • Secure Transport

    Disponible para: iPhone 4 y posteriores, iPod touch (5.ª generación) y posteriores, iPad 2 y posteriores

    Impacto: Dos bytes de memoria no inicializada podrían revelarse a un atacante remoto

    Descripción: Existía un problema de acceso a la memoria no inicializada en la gestión de mensajes DTLS en una conexión TLS. Este problema se ha solucionado aceptando únicamente mensajes DTLS en una conexión DTLS.

    ID CVE

    CVE-2014-1361: Thijs Alkemade de The Adium Project

  • Siri

    Disponible para: iPhone 4s y posteriores, iPod touch (5.ª generación) y posteriores, iPad (3.ª generación) y posteriores

    Impacto: Una persona con acceso físico al teléfono podría visualizar todos los contactos

    Descripción: Si una solicitud a Siri pudiera hacer referencia a uno de muchos contactos, Siri mostraría una lista de posibles opciones y la opción "Más..." para acceder a una lista completa de los contactos. Cuando se utilizaba con la pantalla bloqueada, Siri no requería el código antes de visualizar la lista completa de contactos. Este problema se ha solucionado mediante la solicitud del código.

    ID CVE

    CVE-2014-1351: Sherif Hashim

  • WebKit

    Disponible para: iPhone 4 y posteriores, iPod touch (5.ª generación) y posteriores, iPad 2 y posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existían varios problemas de corrupción de memoria en WebKit. Estos problemas se han solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2013-2875: miaubiz

    CVE-2013-2927: cloudfuzzer

    CVE-2014-1323: banty

    CVE-2014-1325: Apple

    CVE-2014-1326: Apple

    CVE-2014-1327: Google Chrome Security Team, Apple

    CVE-2014-1329: Google Chrome Security Team

    CVE-2014-1330: Google Chrome Security Team

    CVE-2014-1331: cloudfuzzer

    CVE-2014-1333: Google Chrome Security Team

    CVE-2014-1334: Apple

    CVE-2014-1335: Google Chrome Security Team

    CVE-2014-1336: Apple

    CVE-2014-1337: Apple

    CVE-2014-1338: Google Chrome Security Team

    CVE-2014-1339: Atte Kettunen de OUSPG

    CVE-2014-1341: Google Chrome Security Team

    CVE-2014-1342: Apple

    CVE-2014-1343: Google Chrome Security Team

    CVE-2014-1362: Apple, miaubiz

    CVE-2014-1363: Apple

    CVE-2014-1364: Apple

    CVE-2014-1365: Apple, Google Chrome Security Team

    CVE-2014-1366: Apple

    CVE-2014-1367: Apple

    CVE-2014-1368: Wushi de Keen Team (equipo de investigación de Keen Cloud Tech)

    CVE-2014-1382: Renata Hodovan de la Universidad de Szeged/Samsung Electronics

    CVE-2014-1731: Un miembro anónimo de la comunidad de desarrollo Blink

  • WebKit

    Disponible para: iPhone 4 y posteriores, iPod touch (5.ª generación) y posteriores, iPad 2 y posteriores

    Impacto: Un sitio malintencionado puede enviar mensajes a un marco o ventana conectados de tal modo que podría omitir la comprobación de origen del receptor

    Descripción: Existía un problema de codificación en la gestión de caracteres unicode en direcciones URL. Una URL creada con fines malintencionados podría haber provocado el envío de un origen postMessage incorrecto. Este problema se ha solucionado mejorando la codificación/descodificación de errores.

    ID CVE

    CVE-2014-1346: Erling Ellingsen de Facebook

  • WebKit

    Disponible para: iPhone 4 y posteriores, iPod touch (5.ª generación) y posteriores, iPad 2 y posteriores

    Impacto: Un sitio web creado con fines malintencionados podría suplantar su nombre de dominio en la barra de direcciones.

    Descripción: Existía un problema de suplantación en la gestión de direcciones URL. Este problema se ha solucionado mediante la mejora de la codificación de las direcciones URL.

    ID CVE

    CVE-2014-1345: Erling Ellingsen de Facebook

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se proporciona sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, rendimiento o uso de sitios web o productos de terceros. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Ponte en contacto con el proveedor para obtener información adicional. Otros nombres de empresas o productos pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: