Acerca del contenido de seguridad de iOS 7.1.2

Este documento describe el contenido de seguridad de iOS 7.1.2.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos Apple.

Siempre que sea posible, se utilizan ID CVE para hacer referencia a las vulnerabilidades a fin de obtener más información.

Para obtener información sobre otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

iOS 7.1.2

  • Política de confianza en certificados

    Disponible para: iPhone 4 y posterior, iPod touch (quinta generación) y posterior, iPad 2 y posterior

    Impacto: Actualización en la política de confianza en certificados

    Descripción: La política de confianza en certificados se actualizó. Se puede ver la lista completa de certificados en http://support.apple.com/kb/HT5012?viewlocale=es_LA.

  • CoreGraphics

    Disponible para: iPhone 4 y posterior, iPod touch (quinta generación) y posterior, iPad 2 y posterior

    Impacto: la apertura de un archivo XBM creado con fines malintencionados puede ocasionar el cierre de la aplicación de manera inesperada o la ejecución de código arbitrario.

    Descripción: Existía un problema de asignación de pila ilimitada en el manejo de archivos XBM. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1354: Dima Kovalenko de codedigging.com

  • Kernel

    Disponible para: iPhone 4 y posterior, iPod touch (quinta generación) y posterior, iPad 2 y posterior

    Impacto: Una aplicación puede hacer que el dispositivo se reinicie de forma inesperada

    Descripción: Existía un problema de falta de referencia de puntero nulo en el procesamiento de argumentos IOKit API. Este problema se solucionó mediante la validación de los argumentos IOKit API.

    ID CVE

    CVE-2014-1355: cunzhang de Adlab de Venustech

  • launchd

    Disponible para: iPhone 4 y posterior, iPod touch (quinta generación) y posterior, iPad 2 y posterior

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un desbordamiento de la memoria dinámica de pila en la gestión de mensajes IPC por parte de launchd. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1356: Ian Beer de Google Project Zero

  • launchd

    Disponible para: iPhone 4 y posterior, iPod touch (quinta generación) y posterior, iPad 2 y posterior

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un desbordamiento de la memoria dinámica de pila en la gestión de mensajes de registro por parte de launchd. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1357: Ian Beer de Google Project Zero

  • launchd

    Disponible para: iPhone 4 y posterior, iPod touch (quinta generación) y posterior, iPad 2 y posterior

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un problema de desbordamiento de enteros en launchd. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1358: Ian Beer de Google Project Zero

  • launchd

    Disponible para: iPhone 4 y posterior, iPod touch (quinta generación) y posterior, iPad 2 y posterior

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un problema de falta de enteros en launchd. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1359: Ian Beer de Google Project Zero

  • Lockdown

    Disponible para: iPhone 4 y posterior, iPod touch (quinta generación) y posterior, iPad 2 y posterior

    Impacto: Un atacante en posesión de un dispositivo iOS puede potencialmente eludir el bloqueo de activación

    Descripción: Los dispositivos llevaban a cabo verificaciones incompletas durante su propia activación, lo que hacía posible que atacantes malintencionados eludiesen parcialmente el bloqueo de activación. Este problema se solucionó mediante la verificación adicional por parte del cliente de los datos recibidos de servidores de activación.

    ID CVE

    CVE-2014-1360

  • Pantalla de bloqueo

    Disponible para: iPhone 4 y posterior, iPod touch (quinta generación) y posterior, iPad 2 y posterior

    Un atacante provisto de un dispositivo puede exceder el máximo número de fallos de introducción de código.

    Descripción: Bajo algunas circunstancias, el límite de intentos de introducción de código no se imponía. Este problema se solucionó mediante la imposición adicional de este límite.

    ID CVE

    CVE-2014-1352: mblsec

  • Pantalla de bloqueo

    Disponible para: iPhone 4 y posterior, iPod touch (quinta generación) y posterior, iPad 2 y posterior

    Impacto: Una persona con acceso físico a un dispositivo bloqueado podría ser capaz de acceder a la aplicación en primer plano antes del bloqueo.

    Descripción: Había un problema de gestión de estado en el procesamiento del estado del teléfono mientras se mantenía en Modo de vuelo. Este problema se solucionó mejorando la administración de estado cuando se está en Modo de vuelo.

    ID CVE

    CVE-2014-1353

  • Mail

    Disponible para: iPhone 4 y posterior, iPod touch (quinta generación) y posterior, iPad 2 y posterior

    Impacto: Los datos adjuntos a un mensaje de correo pueden ser extraídos de un iPhone 4

    Descripción: La protección de datos no estaba activada para los datos adjuntos de correos, por lo que un atacante con acceso físico al dispositivo podía leerlos. Este problema se solucionó cambiando el tipo de cifrado de los datos adjuntos a mensajes de correo.

    ID CVE

    CVE-2014-1348: Andreas Kurtz de NESO Security Labs

  • Safari

    Disponible para: iPhone 4 y posterior, iPod touch (quinta generación) y posterior, iPad 2 y posterior

    Impacto: visitar un sitio web creado con códigos maliciosos puede llevar al cierre inesperado de la aplicación o la ejecución de código arbitraria

    Descripción: Había un problema de uso después de liberación en el modo en que Safari procesaba las URL no válidas. El problema se solucionó mediante una mejora del manejo de memoria.

    ID CVE

    CVE-2014-1349: Reno Robert y Dhanesh Kizhakkinan

  • Ajustes

    Disponible para: iPhone 4 y posterior, iPod touch (quinta generación) y posterior, iPad 2 y posterior

    Impacto: Una persona con acceso físico al dispositivo podría desactivar Buscar mi iPhone sin necesidad de introducir una contraseña de iCloud.

    Descripción: Existía un problema de gestión de estado en el manejo del estado de Buscar mi iPhone. Este problema se solucionó mediante la mejora del manejo del estado de Buscar mi iPhone.

    ID CVE

    CVE-2014-1350

  • Secure Transport

    Disponible para: iPhone 4 y posterior, iPod touch (quinta generación) y posterior, iPad 2 y posterior

    Impacto: Dos bytes de memoria no inicializada podrían revelarse a un atacante remoto

    Descripción: Existía un problema de acceso a la memoria no inicializada en la gestión de mensajes DTLS en una conexión TLS. Este problema se solucionó aceptando únicamente mensajes DTLS en una conexión DTLS.

    ID CVE

    CVE-2014-1361: Thijs Alkemade de The Adium Project

  • Siri

    Disponible para: iPhone 4s y posteriores, iPod touch (quinta generación) y posteriores, iPad (tercera generación) y posteriores

    Impacto: Una persona con acceso físico al teléfono podría visualizar todos los contactos

    Descripción: Si una solicitud Siri puede hacer referencia a uno de muchos contactos, Siri muestra una lista de posibles opciones y la opción "Más…" para una lista completa de contactos. Cuando se utilizaba con la pantalla bloqueada, Siri no requería el código antes de visualizar la lista completa de contactos. Este problema se solucionó mediante la solicitud del código.

    ID CVE

    CVE-2014-1351: Sherif Hashim

  • WebKit

    Disponible para: iPhone 4 y posterior, iPod touch (quinta generación) y posterior, iPad 2 y posterior

    Impacto: visitar un sitio web creado con códigos maliciosos puede llevar al cierre inesperado de la aplicación o la ejecución de código arbitraria

    Descripción: Existían varios problemas de corrupción de memoria en WebKit. Estos problemas se solucionaron mejorando el manejo de la memoria.

    ID CVE

    CVE-2013-2875: miaubiz

    CVE-2013-2927: cloudfuzzer

    CVE-2014-1323: banty

    CVE-2014-1325: Apple

    CVE-2014-1326: Apple

    CVE-2014-1327: Google Chrome Security Team, Apple

    CVE-2014-1329: Google Chrome Security Team

    CVE-2014-1330: Google Chrome Security Team

    CVE-2014-1331: cloudfuzzer

    CVE-2014-1333: Google Chrome Security Team

    CVE-2014-1334: Apple

    CVE-2014-1335: Google Chrome Security Team

    CVE-2014-1336: Apple

    CVE-2014-1337: Apple

    CVE-2014-1338: Google Chrome Security Team

    CVE-2014-1339: Atte Kettunen de OUSPG

    CVE-2014-1341: Google Chrome Security Team

    CVE-2014-1342: Apple

    CVE-2014-1343: Google Chrome Security Team

    CVE-2014-1362: Apple, miaubiz

    CVE-2014-1363: Apple

    CVE-2014-1364: Apple

    CVE-2014-1365: Apple, Google Chrome Security Team

    CVE-2014-1366: Apple

    CVE-2014-1367: Apple

    CVE-2014-1368: Wushi de Keen Team (equipo de investigación de Keen Cloud Tech)

    CVE-2014-1382: Renata Hodovan de la Universidad de Szeged/Samsung Electronics

    CVE-2014-1731: un miembro anónimo de la comunidad de desarrollo Blink

  • WebKit

    Disponible para: iPhone 4 y posterior, iPod touch (quinta generación) y posterior, iPad 2 y posterior

    Impacto: Un sitio malintencionado puede enviar mensajes a un marco o ventana conectados de modo que pueda omitir la comprobación de origen del receptor

    Descripción: Existía un problema de codificación en la gestión de caracteres Unicode en URL. Una URL creada con fines malintencionados podría conducir al envío de un origen postMessage incorrecto. Este problema se solucionó mejorando la codificación/descodificación de errores.

    ID CVE

    CVE-2014-1346: Erling Ellingsen de Facebook

  • WebKit

    Disponible para: iPhone 4 y posterior, iPod touch (quinta generación) y posterior, iPad 2 y posterior

    Impacto: Un sitio web creado con fines malintencionados podría suplantar su nombre de dominio en la barra de direcciones.

    Descripción: Existía un problema de suplantación en la gestión de direcciones URL. Este problema se solucionó mediante la mejora de la codificación de las URL.

    ID CVE

    CVE-2014-1345: Erling Ellingsen de Facebook

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.

Fecha de publicación: