Acerca del contenido de seguridad de iOS 4.1 para iPhone y iPod touch
En este documento, se describe el contenido de seguridad de iOS 4.1 para iPhone y iPod touch.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.
Para obtener información acerca de la clave PGP de seguridad de los productos Apple, visita "Cómo usar la clave PGP de seguridad de los productos Apple".
Siempre que sea posible, se usan ID de CVE para hacer referencia a las vulnerabilidades a fin de obtener más información.
Para obtener información sobre las actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".
iOS 4.1 para iPhone y iPod touch
Accesibilidad
ID de CVE: CVE-2010-1809
Disponible para iOS 3.0 a 4.0.2 para iPhone 3GS y posteriores, así como para iOS 3.0 a 4.0.2 para iPod touch (tercera generación).
Impacto: El uso de los servicios de localización de una aplicación podría no anunciarse mediante VoiceOver.
Descripción: Se produce un error de accesibilidad de interfaz de usuario en el panel de ajustes para Localización. VoiceOver no anuncia la presencia del ícono de localización que se muestra junto a una aplicación que ha solicitado la ubicación del usuario durante las últimas 24 horas. Este problema se resuelve asegurándose de que VoiceOver anuncie la presencia del ícono. Gracias a Robin Kipp de Forever Living Products Europe por informar de este problema.
FaceTime
ID de CVE: CVE-2010-1810
Disponible para iOS 2.0 a 4.0.2 para iPhone 3G y posteriores, así como para iOS 2.1 a 4.0.2 para iPod touch (segunda generación) y posteriores.
Impacto: Un atacante que se encuentra en una posición de red privilegiada podría redirigir llamadas con FaceTime.
Descripción: Un problema en la administración de los certificados no válidos podría permitir que un atacante que se encuentra en una posición de red privilegiada redirija las llamadas con FaceTime. Este problema se resuelve mejorando la administración de los certificados. Gracias a Aaron Sigel de vtty.com por informar de este problema.
ImageIO
ID de CVE: CVE-2010-1811
Disponible para iOS 2.0 a 4.0.2 para iPhone 3G y posteriores, así como para iOS 2.1 a 4.0.2 para iPod touch (segunda generación) y posteriores.
Impacto: El procesamiento de una imagen TIFF creada con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.
Descripción: Se produce un error de corrupción de memoria al administrar imágenes TIFF. El procesamiento de una imagen TIFF creada con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se resuelve mejorando la administración de las imágenes TIFF. Gracias a Apple.
ImageIO
ID de CVE: CVE-2010-1817
Disponible para iOS 2.0 a 4.0.2 para iPhone 3G y posteriores, así como para iOS 2.1 a 4.0.2 para iPod touch (segunda generación) y posteriores.
Impacto: El procesamiento de una imagen GIF creada con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.
Descripción: Se produce un desbordamiento de búfer en la administración de imágenes GIF. El procesamiento de una imagen GIF creada con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se soluciona mejorando la comprobación de los límites. Gracias a Tom Ferris de Adobe PSIRT por informar de este problema.
WebKit
ID de CVE: CVE-2010-1786
Disponible para iOS 2.0 a 4.0.2 para iPhone 3G y posteriores, así como para iOS 2.1 a 4.0.2 para iPod touch (segunda generación) y posteriores.
Impacto: Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.
Descripción: WebKit presenta un problema de uso después de la liberación en la administración de elementos “foreignObject” en documentos SVG. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se resuelve mediante la validación adicional de los documentos SVG. Gracias a wushi del team509, que trabaja con la Zero Day Initiative de TippingPoint, por informar de este problema.
WebKit
ID de CVE: CVE-2010-1770
Disponible para iOS 2.0 a 4.0.2 para iPhone 3G y posteriores, así como para iOS 2.1 a 4.0.2 para iPod touch (segunda generación) y posteriores.
Impacto: Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.
Descripción: WebKit presenta un problema de comprobación del tipo de letra en la administración de nodos de texto. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se soluciona mejorando la comprobación del tipo de letra. Gracias a wushi del team509, que trabaja con la Zero Day Initiative de TippingPoint, por informar de este problema.
WebKit
ID de CVE: CVE-2010-1785
Disponible para iOS 2.0 a 4.0.2 para iPhone 3G y posteriores, así como para iOS 2.1 a 4.0.2 para iPod touch (segunda generación) y posteriores.
Impacto: Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.
Descripción: WebKit presenta un problema de acceso a la memoria no inicializada en la administración de los pseudoelementos “:first-letter” y “:first-line” de los elementos de texto SVG. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se resuelve mediante la omisión del procesamiento de los pseudoelementos “:first-letter” y “:first-line” en los elementos de texto SVG. Gracias a wushi del team509, que trabaja con la Zero Day Initiative de TippingPoint, por informar de este problema.
WebKit
ID de CVE: CVE-2010-1780
Disponible para iOS 2.0 a 4.0.2 para iPhone 3G y posteriores, así como para iOS 2.1 a 4.0.2 para iPod touch (segunda generación) y posteriores.
Impacto: Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.
Descripción: WebKit presenta un problema de uso después de liberación en la administración del enfoque de los elementos. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se resuelve mejorando la administración de los elementos. Gracias a Tony Chang de Google, Inc., por informar de este problema.
WebKit
ID de CVE: CVE-2010-1793
Disponible para iOS 2.0 a 4.0.2 para iPhone 3G y posteriores, así como para iOS 2.1 a 4.0.2 para iPod touch (segunda generación) y posteriores.
Impacto: Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.
Descripción: WebKit presenta un problema de uso después de liberación en la administración de los elementos “font-face” y “use” en documentos SVG. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se resuelve mejorando la administración de los elementos “font-face” y “use” en documentos SVG. Gracias a Aki Helin de OUSPG por informar de este problema.
WebKit
ID de CVE: CVE-2010-1421
Disponible para iOS 2.0 a 4.0.2 para iPhone 3G y posteriores, así como para iOS 2.1 a 4.0.2 para iPod touch (segunda generación) y posteriores.
Impacto: Visitar un sitio web creado con fines maliciosos podría cambiar los contenidos del portapapeles.
Descripción: Existe un problema de diseño en la implementación de la función execCommand de JavaScript. Una página web creada con fines maliciosos puede modificar los contenidos del portapapeles sin la interacción del usuario. Este problema se soluciona permitiendo que los comandos del portapapeles se ejecuten únicamente si los ha iniciado el usuario. Gracias a Apple.
WebKit
ID de CVE: CVE-2010-1422
Disponible para iOS 2.0 a 4.0.2 para iPhone 3G y posteriores, así como para iOS 2.1 a 4.0.2 para iPod touch (segunda generación) y posteriores.
Impacto: La interacción con un sitio web creado con fines maliciosos podría provocar acciones inesperadas en otros sitios.
Descripción: WebKit presenta un problema de implementación en la administración del foco del teclado. Si el foco del teclado cambia durante el procesamiento de las teclas presionadas, WebKit podría generar un evento en el marco con el nuevo foco, y no en el marco que tenía el foco cuando se presionó la tecla. Un sitio web creado con fines maliciosos podría manipular al usuario para que este realice una acción inesperada, como iniciar una compra. Este asunto se resuelve evitando la generación de eventos a partir de la presión de una tecla si el foco del teclado cambia durante el procesamiento. Gracias a Michal Zalewski de Google, Inc., por informar de este problema.
WebKit
ID de CVE: CVE-2010-1771
Disponible para iOS 2.0 a 4.0.2 para iPhone 3G y posteriores, así como para iOS 2.1 a 4.0.2 para iPod touch (segunda generación) y posteriores.
Impacto: Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.
Descripción: WebKit presenta un problema de uso después de liberación en la administración de las fuentes. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se resuelve mejorando la administración de las fuentes. Gracias a Apple.
WebKit
ID de CVE: CVE-2010-1783
Disponible para iOS 2.0 a 4.0.2 para iPhone 3G y posteriores, así como para iOS 2.1 a 4.0.2 para iPod touch (segunda generación) y posteriores.
Impacto: Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.
Descripción: WebKit presenta un problema de corrupción de memoria en la administración de las modificaciones dinámicas realizadas en nodos de texto. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se soluciona mejorando la administración de memoria.
WebKit
ID de CVE: CVE-2010-1764
Disponible para iOS 2.0 a 4.0.2 para iPhone 3G y posteriores, así como para iOS 2.1 a 4.0.2 para iPod touch (segunda generación) y posteriores.
Impacto: Visitar un sitio web que redirige el envío de formularios podría provocar una divulgación de información.
Descripción: WebKit presenta un problema de diseño en la administración de los redireccionamientos HTTP. Cuando el envío de un formulario se redirige a un sitio web que hace otro redireccionamiento, la información contenida en el formulario enviado podría enviarse al sitio tercero. Este problema se soluciona mejorando la administración de los redireccionamientos HTTP. Gracias a Marc Worrell de WhatWebWhat por informar de este problema.
WebKit
ID de CVE: CVE-2010-1782
Disponible para iOS 2.0 a 4.0.2 para iPhone 3G y posteriores, así como para iOS 2.1 a 4.0.2 para iPod touch (segunda generación) y posteriores.
Impacto: Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.
Descripción: WebKit presenta un problema de corrupción de memoria en el procesamiento de elementos integrados. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se soluciona mejorando la comprobación de los límites. Gracias a wushi del team509 por informar de este problema.
WebKit
ID de CVE: CVE-2010-1781
Disponible para iOS 2.0 a 4.0.2 para iPhone 3G y posteriores, así como para iOS 2.1 a 4.0.2 para iPod touch (segunda generación) y posteriores.
Impacto: Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.
Descripción: WebKit presenta un problema de liberación doble en el procesamiento de elementos integrados. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se soluciona mejorando la administración de memoria. Gracias a James Robinson de Google, Inc., por informar de este problema.
WebKit
ID de CVE: CVE-2010-1784
Disponible para iOS 2.0 a 4.0.2 para iPhone 3G y posteriores, así como para iOS 2.1 a 4.0.2 para iPod touch (segunda generación) y posteriores.
Impacto: Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.
Descripción: WebKit presenta un problema de corrupción de memoria en la administración de contadores CSS. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se soluciona mejorando la administración de memoria. Gracias a wushi del team509, que trabaja con la Zero Day Initiative de TippingPoint, por informar de este problema.
WebKit
ID de CVE: CVE-2010-1787
Disponible para iOS 2.0 a 4.0.2 para iPhone 3G y posteriores, así como para iOS 2.1 a 4.0.2 para iPod touch (segunda generación) y posteriores.
Impacto: Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.
Descripción: WebKit presenta un problema de corrupción de memoria en la administración de los elementos flotantes en documentos SVG. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se soluciona mejorando la administración de memoria.
WebKit
ID de CVE: CVE-2010-1791
Disponible para iOS 2.0 a 4.0.2 para iPhone 3G y posteriores, así como para iOS 2.1 a 4.0.2 para iPod touch (segunda generación) y posteriores.
Impacto: Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.
Descripción: WebKit presenta un problema de signo numérico en la administración de las matrices de JavaScript. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se resuelve mejorando la administración de los índices de matriz de JavaScript. Gracias a Natalie Silvanovich por informar de este problema.
WebKit
ID de CVE: CVE-2010-1788
Disponible para iOS 2.0 a 4.0.2 para iPhone 3G y posteriores, así como para iOS 2.1 a 4.0.2 para iPod touch (segunda generación) y posteriores.
Impacto: Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.
Descripción: WebKit presenta un problema de corrupción de memoria en la administración de los elementos “use” en documentos SVG. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se resuelve mejorando la administración de los elementos “use” en documentos SVG. Gracias a Justin Schuh de Google, Inc., por informar de este problema.
WebKit
ID de CVE: CVE-2010-1812
Disponible para iOS 2.0 a 4.0.2 para iPhone 3G y posteriores, así como para iOS 2.1 a 4.0.2 para iPod touch (segunda generación) y posteriores.
Impacto: Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.
Descripción: WebKit presenta un problema de uso después de la liberación en la administración de las selecciones. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se soluciona mejorando la administración de las selecciones. Gracias a chipplyman por informar de este problema.
WebKit
ID de CVE: CVE-2010-1813
Disponible para iOS 2.0 a 4.0.2 para iPhone 3G y posteriores, así como para iOS 2.1 a 4.0.2 para iPod touch (segunda generación) y posteriores.
Impacto: Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.
Descripción: WebKit presenta un problema de corrupción de memoria en el procesamiento de los esquemas de objetos HTML. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se soluciona mejorando la administración de memoria. Gracias a Jose A. Vazquez de spa-s3c.blogspot.com por informar de este problema.
WebKit
ID de CVE: CVE-2010-1814
Disponible para iOS 2.0 a 4.0.2 para iPhone 3G y posteriores, así como para iOS 2.1 a 4.0.2 para iPod touch (segunda generación) y posteriores.
Impacto: Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.
Descripción: WebKit presenta un problema de corrupción de memoria en la administración de los menús de formularios. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se soluciona mejorando la administración de los menús de formularios. Gracias a Csaba Osztrogonac de la Universidad de Szeged por informar de este problema.
WebKit
ID de CVE: CVE-2010-1815
Disponible para iOS 2.0 a 4.0.2 para iPhone 3G y posteriores, así como para iOS 2.1 a 4.0.2 para iPod touch (segunda generación) y posteriores.
Impacto: Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.
Descripción: WebKit presenta un problema de uso después de la liberación en la administración de barras de desplazamiento. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se soluciona mejorando la administración de memoria. Gracias a thabermann por informar de este problema.
FaceTime no está disponible en la totalidad de los países o las regiones.
La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.