Acerca del contenido de seguridad de iOS 7.1.2
Este documento describe el contenido de seguridad de iOS 7.1.2.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.
Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos Apple.
Siempre que sea posible, se utilizan ID CVE para hacer referencia a las vulnerabilidades a fin de obtener más información.
Para obtener información sobre otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.
iOS 7.1.2
Política de confianza en certificados
Disponible para: iPhone 4 y posterior, iPod touch (quinta generación) y posterior, iPad 2 y posterior
Impacto: Actualización en la política de confianza en certificados
Descripción: La política de confianza en certificados se actualizó. Se puede ver la lista completa de certificados en http://support.apple.com/kb/HT5012?viewlocale=es_LA.
CoreGraphics
Disponible para: iPhone 4 y posterior, iPod touch (quinta generación) y posterior, iPad 2 y posterior
Impacto: la apertura de un archivo XBM creado con fines malintencionados puede ocasionar el cierre de la aplicación de manera inesperada o la ejecución de código arbitrario.
Descripción: Existía un problema de asignación de pila ilimitada en el manejo de archivos XBM. Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2014-1354: Dima Kovalenko de codedigging.com
Kernel
Disponible para: iPhone 4 y posterior, iPod touch (quinta generación) y posterior, iPad 2 y posterior
Impacto: Una aplicación puede hacer que el dispositivo se reinicie de forma inesperada
Descripción: Existía un problema de falta de referencia de puntero nulo en el procesamiento de argumentos IOKit API. Este problema se solucionó mediante la validación de los argumentos IOKit API.
ID CVE
CVE-2014-1355: cunzhang de Adlab de Venustech
launchd
Disponible para: iPhone 4 y posterior, iPod touch (quinta generación) y posterior, iPad 2 y posterior
Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema
Descripción: Existía un desbordamiento de la memoria dinámica de pila en la gestión de mensajes IPC por parte de launchd. Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2014-1356: Ian Beer de Google Project Zero
launchd
Disponible para: iPhone 4 y posterior, iPod touch (quinta generación) y posterior, iPad 2 y posterior
Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema
Descripción: Existía un desbordamiento de la memoria dinámica de pila en la gestión de mensajes de registro por parte de launchd. Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2014-1357: Ian Beer de Google Project Zero
launchd
Disponible para: iPhone 4 y posterior, iPod touch (quinta generación) y posterior, iPad 2 y posterior
Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema
Descripción: Existía un problema de desbordamiento de enteros en launchd. Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2014-1358: Ian Beer de Google Project Zero
launchd
Disponible para: iPhone 4 y posterior, iPod touch (quinta generación) y posterior, iPad 2 y posterior
Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema
Descripción: Existía un problema de falta de enteros en launchd. Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2014-1359: Ian Beer de Google Project Zero
Lockdown
Disponible para: iPhone 4 y posterior, iPod touch (quinta generación) y posterior, iPad 2 y posterior
Impacto: Un atacante en posesión de un dispositivo iOS puede potencialmente eludir el bloqueo de activación
Descripción: Los dispositivos llevaban a cabo verificaciones incompletas durante su propia activación, lo que hacía posible que atacantes malintencionados eludiesen parcialmente el bloqueo de activación. Este problema se solucionó mediante la verificación adicional por parte del cliente de los datos recibidos de servidores de activación.
ID CVE
CVE-2014-1360
Pantalla de bloqueo
Disponible para: iPhone 4 y posterior, iPod touch (quinta generación) y posterior, iPad 2 y posterior
Un atacante provisto de un dispositivo puede exceder el máximo número de fallos de introducción de código.
Descripción: Bajo algunas circunstancias, el límite de intentos de introducción de código no se imponía. Este problema se solucionó mediante la imposición adicional de este límite.
ID CVE
CVE-2014-1352: mblsec
Pantalla de bloqueo
Disponible para: iPhone 4 y posterior, iPod touch (quinta generación) y posterior, iPad 2 y posterior
Impacto: Una persona con acceso físico a un dispositivo bloqueado podría ser capaz de acceder a la aplicación en primer plano antes del bloqueo.
Descripción: Había un problema de gestión de estado en el procesamiento del estado del teléfono mientras se mantenía en Modo de vuelo. Este problema se solucionó mejorando la administración de estado cuando se está en Modo de vuelo.
ID CVE
CVE-2014-1353
Mail
Disponible para: iPhone 4 y posterior, iPod touch (quinta generación) y posterior, iPad 2 y posterior
Impacto: Los datos adjuntos a un mensaje de correo pueden ser extraídos de un iPhone 4
Descripción: La protección de datos no estaba activada para los datos adjuntos de correos, por lo que un atacante con acceso físico al dispositivo podía leerlos. Este problema se solucionó cambiando el tipo de cifrado de los datos adjuntos a mensajes de correo.
ID CVE
CVE-2014-1348: Andreas Kurtz de NESO Security Labs
Safari
Disponible para: iPhone 4 y posterior, iPod touch (quinta generación) y posterior, iPad 2 y posterior
Impacto: visitar un sitio web creado con códigos maliciosos puede llevar al cierre inesperado de la aplicación o la ejecución de código arbitraria
Descripción: Había un problema de uso después de liberación en el modo en que Safari procesaba las URL no válidas. El problema se solucionó mediante una mejora del manejo de memoria.
ID CVE
CVE-2014-1349: Reno Robert y Dhanesh Kizhakkinan
Ajustes
Disponible para: iPhone 4 y posterior, iPod touch (quinta generación) y posterior, iPad 2 y posterior
Impacto: Una persona con acceso físico al dispositivo podría desactivar Buscar mi iPhone sin necesidad de introducir una contraseña de iCloud.
Descripción: Existía un problema de gestión de estado en el manejo del estado de Buscar mi iPhone. Este problema se solucionó mediante la mejora del manejo del estado de Buscar mi iPhone.
ID CVE
CVE-2014-1350
Secure Transport
Disponible para: iPhone 4 y posterior, iPod touch (quinta generación) y posterior, iPad 2 y posterior
Impacto: Dos bytes de memoria no inicializada podrían revelarse a un atacante remoto
Descripción: Existía un problema de acceso a la memoria no inicializada en la gestión de mensajes DTLS en una conexión TLS. Este problema se solucionó aceptando únicamente mensajes DTLS en una conexión DTLS.
ID CVE
CVE-2014-1361: Thijs Alkemade de The Adium Project
Siri
Disponible para: iPhone 4s y posteriores, iPod touch (quinta generación) y posteriores, iPad (tercera generación) y posteriores
Impacto: Una persona con acceso físico al teléfono podría visualizar todos los contactos
Descripción: Si una solicitud Siri puede hacer referencia a uno de muchos contactos, Siri muestra una lista de posibles opciones y la opción "Más…" para una lista completa de contactos. Cuando se utilizaba con la pantalla bloqueada, Siri no requería el código antes de visualizar la lista completa de contactos. Este problema se solucionó mediante la solicitud del código.
ID CVE
CVE-2014-1351: Sherif Hashim
WebKit
Disponible para: iPhone 4 y posterior, iPod touch (quinta generación) y posterior, iPad 2 y posterior
Impacto: visitar un sitio web creado con códigos maliciosos puede llevar al cierre inesperado de la aplicación o la ejecución de código arbitraria
Descripción: Existían varios problemas de corrupción de memoria en WebKit. Estos problemas se solucionaron mejorando el manejo de la memoria.
ID CVE
CVE-2013-2875: miaubiz
CVE-2013-2927: cloudfuzzer
CVE-2014-1323: banty
CVE-2014-1325: Apple
CVE-2014-1326: Apple
CVE-2014-1327: Google Chrome Security Team, Apple
CVE-2014-1329: Google Chrome Security Team
CVE-2014-1330: Google Chrome Security Team
CVE-2014-1331: cloudfuzzer
CVE-2014-1333: Google Chrome Security Team
CVE-2014-1334: Apple
CVE-2014-1335: Google Chrome Security Team
CVE-2014-1336: Apple
CVE-2014-1337: Apple
CVE-2014-1338: Google Chrome Security Team
CVE-2014-1339: Atte Kettunen de OUSPG
CVE-2014-1341: Google Chrome Security Team
CVE-2014-1342: Apple
CVE-2014-1343: Google Chrome Security Team
CVE-2014-1362: Apple, miaubiz
CVE-2014-1363: Apple
CVE-2014-1364: Apple
CVE-2014-1365: Apple, Google Chrome Security Team
CVE-2014-1366: Apple
CVE-2014-1367: Apple
CVE-2014-1368: Wushi de Keen Team (equipo de investigación de Keen Cloud Tech)
CVE-2014-1382: Renata Hodovan de la Universidad de Szeged/Samsung Electronics
CVE-2014-1731: un miembro anónimo de la comunidad de desarrollo Blink
WebKit
Disponible para: iPhone 4 y posterior, iPod touch (quinta generación) y posterior, iPad 2 y posterior
Impacto: Un sitio malintencionado puede enviar mensajes a un marco o ventana conectados de modo que pueda omitir la comprobación de origen del receptor
Descripción: Existía un problema de codificación en la gestión de caracteres Unicode en URL. Una URL creada con fines malintencionados podría conducir al envío de un origen postMessage incorrecto. Este problema se solucionó mejorando la codificación/descodificación de errores.
ID CVE
CVE-2014-1346: Erling Ellingsen de Facebook
WebKit
Disponible para: iPhone 4 y posterior, iPod touch (quinta generación) y posterior, iPad 2 y posterior
Impacto: Un sitio web creado con fines malintencionados podría suplantar su nombre de dominio en la barra de direcciones.
Descripción: Existía un problema de suplantación en la gestión de direcciones URL. Este problema se solucionó mediante la mejora de la codificación de las URL.
ID CVE
CVE-2014-1345: Erling Ellingsen de Facebook
La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.