Acerca del contenido de seguridad de la actualización del software de iOS 6.1.

En este documento, se describe el contenido de seguridad de iOS 6.1.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, consulta el sitio web Seguridad de los productos de Apple.

Para obtener información acerca de la clave PGP de seguridad de los productos de Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.

A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.

Para obtener información acerca de las actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

iOS 6.1

  • Servicios de identidad

    Disponible para: iPhone 3GS y posterior, iPod touch (cuarta generación) y posterior, iPad 2 y posterior

    Impacto: Se podía omitir la autenticación de identificaciones de Apple basada en certificados

    Descripción: Existía un problema en el manejo de errores en los servicios de identidad. Si no se podía validar el certificado de la identificación de Apple para el usuario, se presuponía que la identificación de Apple de ese usuario era una cadena vacía. Si varios sistemas pertenecientes a distintos usuarios entraban en este estado, las aplicaciones en las que se usaba este método para determinar la identidad podían extender su confianza erróneamente. Para solucionar este problema, se procuró que se devuelva NULL en lugar de una cadena vacía.

    ID CVE

    CVE-2013-0963

  • Componentes internacionales para Unicode

    Disponible para: iPhone 3GS y posterior, iPod touch (cuarta generación) y posterior, iPad 2 y posterior

    Impacto: Visitar un sitio web creado con códigos maliciosos puede derivar en un ataque de script de sitios

    Descripción: Existía un problema de canonización en el manejo de la codificación EUC-JP, por el cual se podía desencadenar un ataque basado en la vulnerabilidad de secuencias de comandos entre sitios cruzados en sitios web con codificación EUC-JP. Para solucionar este problema, se actualizó la tabla de asignación EUC-JP.

    ID CVE

    CVE-2011-3058: Masato Kinugawa

  • Kernel

    Disponible para: iPhone 3GS y posterior, iPod touch (cuarta generación) y posterior, iPad 2 y posterior

    Impacto: Un proceso en modo usuario podría acceder a la primera página de la memoria del kernel

    Descripción: El kernel de iOS realiza comprobaciones para cerciorarse de que el puntero y la extensión del modo usuario transmitidos a las funciones copyin y copyout no permitan que un proceso en modo usuario pueda acceder directamente a la memoria del kernel. Las comprobaciones no se estaban utilizando si la longitud era inferior a una página. Este problema se solucionó mediante una validación adicional de los argumentos de copyin y copyout.

    ID CVE

    CVE-2013-0964: Mark Dowd, de Azimuth Security

  • Seguridad

    Disponible para: iPhone 3GS y posterior, iPod touch (cuarta generación) y posterior, iPad 2 y posterior

    Impacto: Un atacante con una posición de red privilegiada puede interceptar las credenciales de usuario u otra información confidencial

    Descripción: TURKTRUST emitía erróneamente varios certificados CA intermedios. Esto puede permitir que un atacante intermediario redirija las conexiones e intercepte las credenciales del usuario u otra información confidencial. Para solucionar este problema, no se permiten los certificados SSL incorrectos.

  • StoreKit

    Disponible para: iPhone 3GS y posterior, iPod touch (cuarta generación) y posterior, iPad 2 y posterior

    Impacto: Es posible que JavaScript aparezca activado en Mobile Safari sin la interacción de un usuario

    Descripción: Si un usuario desactivó JavaScript en las preferencias de Safari, visitar un sitio que muestra un Smart App Banner activaría nuevamente JavaScript sin notificarle al usuario. Este problema se resolvió al no activar JavaScript cuando se visita un sitio con un Smart App Banner.

    ID CVE

    CVE-2013-0974: Andrew Plotkin, de Zarfhome Software Consulting; Ben Madison, de BitCloud, Marek Durcek

  • WebKit

    Disponible para: iPhone 3GS y posterior, iPod touch (cuarta generación) y posterior, iPad 2 y posterior

    Impacto: visitar un sitio web creado con códigos maliciosos puede llevar al cierre inesperado de la aplicación o la ejecución de código arbitraria

    Descripción: Existían varios problemas de corrupción de memoria en WebKit. Estos problemas se solucionaron mejorando el manejo de la memoria.

    ID CVE

    CVE-2012-2857: Arthur Gerkis

    CVE-2012-3606: Abhishek Arya (Inferno) del equipo de seguridad de Google Chrome

    CVE-2012-3607: Abhishek Arya (Inferno) del equipo de seguridad de Google Chrome

    CVE-2012-3621: Skylined del equipo de seguridad de Google Chrome

    CVE-2012-3632: Abhishek Arya (Inferno) del equipo de seguridad de Google Chrome

    CVE-2012-3687: kuzzcc

    CVE-2012-3701: Abhishek Arya (Inferno) del equipo de seguridad de Google Chrome

    CVE-2013-0948: Abhishek Arya (Inferno) del equipo de seguridad de Google Chrome

    CVE-2013-0949: Abhishek Arya (Inferno) del equipo de seguridad de Google Chrome

    CVE-2013-0950: Abhishek Arya (Inferno) del equipo de seguridad de Google Chrome

    CVE-2013-0951: Apple

    CVE-2013-0952: Abhishek Arya (Inferno) del equipo de seguridad de Google Chrome

    CVE-2013-0953: Abhishek Arya (Inferno) del equipo de seguridad de Google Chrome

    CVE-2013-0954: Dominic Cooney de Google y Martin Barbella del equipo de seguridad de Google Chrome

    CVE-2013-0955: Apple

    CVE-2013-0956: Seguridad de los productos de Apple

    CVE-2012-2824: miaubiz

    CVE-2013-0958: Abhishek Arya (Inferno) del equipo de seguridad de Google Chrome

    CVE-2013-0959: Abhishek Arya (Inferno) del equipo de seguridad de Google Chrome

    CVE-2013-0968: Aaron Nelson

  • WebKit

    Disponible para: iPhone 3GS y posterior, iPod touch (cuarta generación) y posterior, iPad 2 y posterior

    Impacto: Copiar y pegar contenido en un sitio web malicioso podría provocar un ataque basado en la vulnerabilidad de secuencias de comandos entre sitios cruzados

    Descripción: Existía un problema de vulnerabilidad de secuencias de comandos entre sitios cruzados en la gestión de contenidos pegados desde un origen distinto. Este problema se solucionó mediante la validación adicional del contenido pegado.

    ID CVE

    CVE-2013-0962: Mario Heiderich de Cure53

  • WebKit

    Disponible para: iPhone 3GS y posterior, iPod touch (cuarta generación) y posterior, iPad 2 y posterior

    Impacto: Visitar un sitio web creado con códigos maliciosos puede derivar en un ataque de script de sitios

    Descripción: Existía un problema de vulnerabilidad de secuencias de comandos entre sitios cruzados en la gestión de elementos marco. Este problema se solucionó con un seguimiento de orígenes mejorado.

    ID CVE

    CVE-2012-2889: Sergey Glazunov

  • WiFi

    Disponible para los siguientes dispositivos: iPhone 3GS, iPhone 4, iPod touch (cuarta generación), iPad 2

    Impacto: Un atacante remoto en la misma red Wi-Fi podía ser capaz de provocar el cierre inesperado del sistema

    Descripción: Existía un problema de lectura fuera de los límites en la gestión de elementos de información 802.11i por parte del firmware BCM4325 y BCM4329 de Broadcom. Este problema se resolvió a través de la validación adicional de los elementos de información 802.11i.

    ID CVE

    CVE-2012-2619: Andrés Blanco y Matías Eissler, de Core Security

 

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados o probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o productos de otros fabricantes. Apple no ofrece ninguna representación con relación a la precisión o fiabilidad de los sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Comunícate con el proveedor para obtener información adicional. Otros nombres de compañías y productos mencionados pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: