Acerca del contenido de seguridad de iOS 6
Obtén más información acerca del contenido de seguridad de iOS 6.
iOS 6 se puede descargar e instalar mediante iTunes.
Este documento describe el contenido de seguridad de iOS 6.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.
Para obtener más información sobre la clave PGP de seguridad de los productos de Apple, consulta "Cómo utilizar la clave PGP de seguridad de los productos de Apple".
Siempre que sea posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.
Para obtener más información acerca de otras actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".
iOS 6
CFNetwork
Disponible para: iPhone 3GS y posterior, iPod touch (4.ª generación) y posterior, iPad 2 y posterior
Impacto: Visitar un sitio web creado con fines malintencionados podría provocar la divulgación de información confidencial
Descripción: existía un problema con la gestión de direcciones URL erróneas por parte de CFNetwork. CFNetwork puede enviar solicitudes a un nombre de host incorrecto, lo que puede tener como consecuencia que se revele información confidencial. Este problema se ha solucionado mediante mejoras en la gestión de las URL.
ID CVE
CVE-2012-3724: Erling Ellingsen, de Facebook
CoreGraphics
Disponible para: iPhone 3GS y posterior, iPod touch (4.ª generación) y posterior, iPad 2 y posterior
Impacto: Varias vulnerabilidades en FreeType
Descripción: Existían diversas vulnerabilidades en FreeType. Las más graves podrían provocar la ejecución de código arbitrario al procesar un tipo de letra creado con fines malintencionados. Estos problemas se han solucionado actualizando a la versión 2.4.9 de FreeType. Encontrarás más información en el sitio web de FreeType (http://www.freetype.org/).
ID CVE
CVE-2012-1126
CVE-2012-1127
CVE-2012-1128
CVE-2012-1129
CVE-2012-1130
CVE-2012-1131
CVE-2012-1132
CVE-2012-1133
CVE-2012-1134
CVE-2012-1135
CVE-2012-1136
CVE-2012-1137
CVE-2012-1138
CVE-2012-1139
CVE-2012-1140
CVE-2012-1141
CVE-2012-1142
CVE-2012-1143
CVE-2012-1144
CoreMedia
Disponible para: iPhone 3GS y posterior, iPod touch (4.ª generación) y posterior, iPad 2 y posterior
Impacto: visualizar un archivo de vídeo creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario
Descripción: existía un problema de acceso a memoria no inicializada en la gestión de archivos de película con codificación Sorenson. Este problema se ha solucionado mejorando la inicialización de la memoria.
ID CVE
CVE-2012-3722: Will Dormann de CERT/CC
DHCP
Disponible para: iPhone 3GS y posterior, iPod touch (4.ª generación) y posterior, iPad 2 y posterior
Impacto: una red Wi-Fi maliciosa podría ser capaz de determinar las redes a las que ha accedido un dispositivo previamente
Descripción: al conectarse a una red Wi-Fi, iOS puede transmitir direcciones MAC de redes a las que se ha accedido previamente de acuerdo con el protocolo DNAv4. Este problema se ha solucionado deshabilitando DNAv4 en redes Wi-Fi sin encriptar.
ID CVE
CVE-2012-3725: Mark Wuergler de Immunity, Inc.
ImageIO
Disponible para: iPhone 3GS y posterior, iPod touch (4.ª generación) y posterior, iPad 2 y posterior
Impacto: visualizar un archivo TIFF creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: existía un desbordamiento del búfer en la gestión de imágenes TIFF con codificación ThunderScan por parte de libtiff. Este problema se ha solucionado actualizando libtiff a la versión 3.9.5.
ID CVE
CVE-2011-1167
ImageIO
Disponible para: iPhone 3GS y posterior, iPod touch (4.ª generación) y posterior, iPad 2 y posterior
Impacto: la visualización de una imagen PNG creada con fines malintencionados podría provocar la finalización inesperada de una aplicación o la ejecución de código arbitrario
Descripción: existían varios problemas de corrupción de memoria en el manejo de imágenes de PNG por parte de libpng. Estos problemas se han solucionado mejorando la validación de las imágenes PNG.
ID CVE
CVE-2011-3026: Jüri Aedla
CVE-2011-3048
CVE-2011-3328
ImageIO
Disponible para: iPhone 3GS y posterior, iPod touch (4.ª generación) y posterior, iPad 2 y posterior
Impacto: la visualización de una imagen JPEG creada de manera malintencionada puede ocasionar la finalización inesperada de la aplicación o la ejecución de código arbitrario
Descripción: existía un problema de vulnerabilidad “double free” durante el procesamiento de imágenes JPEG por parte de ImageIO. Este problema se ha solucionado mejorando la gestión de memoria.
ID CVE
CVE-2012-3726: Phil, de PKJE Consulting
ImageIO
Disponible para: iPhone 3GS y posterior, iPod touch (4.ª generación) y posterior, iPad 2 y posterior
Impacto: Visualizar una imagen TIFF creada con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: existía un problema de desbordamiento de enteros en la gestión de imágenes TIFF por parte de libTIFF. Este problema se ha resuelto mejorando la validación de las imágenes TIFF.
ID CVE
CVE-2012-1173: Alexander Gavrun, colaborador de la Zero Day Initiative de HP
Componentes internacionales para Unicode
Disponible para: iPhone 3GS y posterior, iPod touch (4.ª generación) y posterior, iPad 2 y posterior
Impacto: Las aplicaciones que utilizan componentes internacionales para Unicode (ICU) podrían ser vulnerables al cierre inesperado de la aplicación o la ejecución de código arbitrario
Descripción: existía un desbordamiento del búfer de pila en la gestión de ID de ubicación de ICU. Este problema se ha solucionado mejorando la comprobación de los límites.
ID CVE
CVE-2011-4599
IPSec
Disponible para: iPhone 3GS y posterior, iPod touch (4.ª generación) y posterior, iPad 2 y posterior
Impacto: cargar un archivo de configuración racoon malicioso puede provocar una ejecución de códigos arbitraria
Descripción: se producía un desbordamiento del búfer al gestionar archivos de configuración racoon. Este problema se ha solucionado mejorando la comprobación de los límites.
ID CVE
CVE-2012-3727: iOS Jailbreak Dream Team
Kernel
Disponible para: iPhone 3GS y posterior, iPod touch (4.ª generación) y posterior, iPad 2 y posterior
Impacto: un usuario local podría ejecutar código arbitrario con privilegios del sistema
Descripción: existía un problema de desreferencia de puntero no válido en la gestión de kernel de los ioctls de filtro de paquetes. Esto puede permitir que un atacante altere la memoria de kernel. Este problema se ha solucionado mejorando la gestión de errores.
ID CVE
CVE-2012-3728: iOS Jailbreak Dream Team
Kernel
Disponible para: iPhone 3GS y posterior, iPod touch (4.ª generación) y posterior, iPad 2 y posterior
Impacto: un usuario local podría ser capaz de determinar el diseño de memoria de kernel
Descripción: existía un problema de acceso a memoria no inicializada en el intérprete de filtros de paquetes Berkeley, que provocó la revelación de contenido de memoria. Este problema se ha solucionado mejorando la inicialización de la memoria.
ID CVE
CVE-2012-3729: Dan Rosenberg
libxml
Disponible para: iPhone 3GS y posterior, iPod touch (4.ª generación) y posterior, iPad 2 y posterior
Impacto: la visita a un sitio web creado con fines malintencionados puede ocasionar la terminación inesperada de la aplicación o la ejecución de código arbitrario
Descripción: existían varias vulnerabilidades en libxml. La más grave de ellas podía provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario. Estos problemas se han solucionado aplicando los parches de upstream correspondientes.
ID CVE
CVE-2011-1944: Chris Evans, del Google Chrome Security Team
CVE-2011-2821: Yang Dingning, de la NCNIPC, Graduate University of Chinese Academy of Sciences
CVE-2011-2834: Yang Dingning, de la NCNIPC, Graduate University of Chinese Academy of Sciences
CVE-2011-3919: Jüri Aedla
Mail
Disponible para: iPhone 3GS y posterior, iPod touch (4.ª generación) y posterior, iPad 2 y posterior
Impacto: Mail puede presentar un adjunto erróneo en un mensaje
Descripción: existía un problema de lógica en la gestión de Mail de los adjuntos. Si un adjunto de correo subsiguiente usara el mismo ID de contenido que uno anterior, se mostraría el adjunto anterior, incluso en el caso de que los dos correos se originasen en remitentes distintos. Esto podría facilitar ataques de spoof o phishing. Este problema se ha solucionado mejorando la gestión de adjuntos.
ID CVE
CVE-2012-3730: Angelo Prado del salesforce.com Product Security Team
Mail
Disponible para: iPhone 3GS y posterior, iPod touch (4.ª generación) y posterior, iPad 2 y posterior
Impacto: los adjuntos de correo electrónico se pueden leer sin código de usuario
Descripción: existía un problema de lógica en cómo Mail usaba la protección de datos en los adjuntos de correo electrónico. Este problema se ha solucionado definiendo correctamente la clase de protección de datos para los archivos adjuntos de correo electrónico.
ID CVE
CVE-2012-3731: Stephen Prairie de Travelers Insurance, Erich Stuntebeck de AirWatch
Mail
Disponible para: iPhone 3GS y posterior, iPod touch (4.ª generación) y posterior, iPad 2 y posterior
Impacto: un atacante puede hacer spoof en el remitente de un mensaje firmado con S/MIME
Descripción: se muestran los mensajes firmados con S/MIME en la dirección “De” de no confianza, en lugar del nombre asociado a la identidad del firmante del mensaje. Este problema se ha solucionado mostrando la dirección asociada a la identidad del firmante del mensaje cuando estaba disponible.
ID CVE
CVE-2012-3732: un investigador anónimo.
Mensajes
Disponible para: iPhone 3GS y posterior, iPod touch (4.ª generación) y posterior, iPad 2 y posterior
Impacto: un usuario puede revelar inadvertidamente la existencia de sus direcciones de correo electrónico
Descripción: cuando un usuario tenía varias direcciones de correo electrónico asociadas a iMessage, responder a un mensaje podía haber provocado que la respuesta se enviara desde una dirección de correo electrónica distinta. Esto puede revelar otra dirección de correo electrónico distinta asociada a la cuenta del usuario. Este problema se ha solucionado respondiendo desde la dirección de correo electrónico a la que se envió el mensaje original.
ID CVE
CVE-2012-3733: Rodney S. Foley de Gnomesoft, LLC
Visor de Office
Disponible para: iPhone 3GS y posterior, iPod touch (4.ª generación) y posterior, iPad 2 y posterior
Impacto: pueden escribirse datos de documentos no encriptados en un archivo temporal
Descripción: existía un problema de revelación de información en el soporte para ver archivos de Microsoft Office. Al ver un documento, el visor de Office escribía un archivo temporal que contenía datos del documento visto en el directorio temporal del proceso de invocación. Para una aplicación que use la protección de datos u otra encriptación para proteger los archivos del usuario, esto podría provocar la revelación de información. Este problema se ha solucionado evitando la creación de archivos temporales al ver documentos de Office.
ID CVE
CVE-2012-3734: Salvatore Cataudella de Open Systems Technologies
OpenGL
Disponible para: iPhone 3GS y posterior, iPod touch (4.ª generación) y posterior, iPad 2 y posterior
Impacto: las aplicaciones que utilizan la implementación de OpenGL de OS X pueden ser vulnerables al cierre inesperado de la aplicación o la ejecución de código arbitrario
Descripción: existían varios problemas de corrupción de memoria en la gestión de la compilación GLSL. Estos problemas se han solucionado mejorando la validación de los sombreados GLSL.
ID CVE
CVE-2011-3457: Chris Evans del Google Chrome Security Team y Marc Schoenefeld del Red Hat Security Response Team
Bloqueo con código
Disponible para: iPhone 3GS y posterior, iPod touch (4.ª generación) y posterior, iPad 2 y posterior
Impacto: una persona con acceso físico al dispositivo podría ver brevemente la última aplicación de terceros usada en un dispositivo bloqueado
Descripción: existía un problema de lógica con la visualización del deslizador “Apagar” en la pantalla bloqueada. Este problema se ha solucionado mejorando la gestión del estado de bloqueo.
ID CVE
CVE-2012-3735: Chris Lawrence DBB
Bloqueo con código
Disponible para: iPhone 3GS y posterior, iPod touch (4.ª generación) y posterior, iPad 2 y posterior
Impacto: una persona con acceso físico al dispositivo podría ser capaz de omitir el bloqueo de pantalla
Descripción: existía un problema de lógica en la terminación de llamadas de FaceTime desde la pantalla bloqueada. Este problema se ha solucionado mejorando la gestión del estado de bloqueo.
ID CVE
CVE-2012-3736: Ian Vitek de 2Secure AB
Bloqueo con código
Disponible para: iPhone 3GS y posterior, iPod touch (4.ª generación) y posterior, iPad 2 y posterior
Impacto: todas las fotos pueden estar disponibles en la pantalla bloqueada
Descripción: existía un problema de diseño en el soporte para ver fotos tomadas en la pantalla bloqueada. Para determinar a qué fotos se debe permitir el acceso, el bloqueo de código consultaba la hora en la que el dispositivo se bloqueó y la comparaba con la hora en que se tomó una foto. Al falsear la hora actual, un atacante podría acceder a las fotos tomadas antes de que se bloqueara el dispositivo. Estos problemas se han solucionado realizando un seguimiento explícito de las fotos tomadas antes de que el dispositivo estuviera bloqueado.
ID CVE
CVE-2012-3737: Ade Barkah de BlueWax Inc.
Bloqueo con código
Disponible para: iPhone 3GS y posterior, iPod touch (4.ª generación) y posterior, iPad 2 y posterior
Impacto: una persona con acceso físico a un dispositivo bloqueado puede hacer llamadas de FaceTime
Descripción: existía un problema de lógica en la pantalla de llamadas de emergencia que permitía realizar llamadas de FaceTime mediante marcación por voz en el dispositivo bloqueado. Esto también podría revelar los contactos del usuario mediante sugerencias de contactos. Este problema se ha solucionado desactivando la marcación por voz en la pantalla de llamadas de emergencia.
ID CVE
CVE-2012-3738: Ade Barkah de BlueWax Inc.
Bloqueo con código
Disponible para: iPhone 3GS y posterior, iPod touch (4.ª generación) y posterior, iPad 2 y posterior
Impacto: una persona con acceso físico al dispositivo podría ser capaz de omitir el bloqueo de pantalla
Descripción: usar la cámara desde el bloqueo de pantalla podría interferir en algunos casos con la funcionalidad de bloqueo automático, lo que puede permitir que una persona con acceso físico al dispositivo sortee la pantalla bloqueada con código. Este problema se ha solucionado mejorando la gestión del estado de bloqueo.
ID CVE
CVE-2012-3739: Sebastian Spanninger del Centro de Informática Federal de Austria (BRZ)
Bloqueo con código
Disponible para: iPhone 3GS y posterior, iPod touch (4.ª generación) y posterior, iPad 2 y posterior
Impacto: una persona con acceso físico al dispositivo podría ser capaz de omitir el bloqueo de pantalla
Descripción: existía un problema de gestión de estado en el procesamiento del bloqueo de pantalla. Este problema se ha solucionado mejorando la gestión del estado de bloqueo.
ID CVE
CVE-2012-3740: Ian Vitek de 2Secure AB
Restricciones
Disponible para: iPhone 3GS y posterior, iPod touch (4.ª generación) y posterior, iPad 2 y posterior
Impacto: un usuario puede ser capaz de realizar compras sin introducir credenciales de ID de Apple
Descripción: tras desactivar Restricciones, puede que iOS no solicite la contraseña del usuario durante una transacción. Este problema se ha solucionado aplicando una autorización adicional para la compra.
ID CVE
CVE-2012-3741: Kevin Makens de Redwood High School
Safari
Disponible para: iPhone 3GS y posterior, iPod touch (4.ª generación) y posterior, iPad 2 y posterior
Impacto: sitios web pueden usar caracteres de aspecto similar al icono de candado en sus títulos
Descripción: sitios web podrían usar un carácter de Unicode para crear un icono de candado en el título de la página. Este icono era de aspecto similar al usado para indicar una conexión segura y podría inducir al usuario a creer que se había establecido una conexión segura. Este problema se ha solucionado eliminando estos caracteres de los títulos de las páginas.
ID CVE
CVE-2012-3742: Boku Kihara de Lepidum
Safari
Disponible para: iPhone 3GS y posterior, iPod touch (4.ª generación) y posterior, iPad 2 y posterior
Impacto: es posible que las contraseñas se completen automáticamente incluso cuando el sitio especifica que la cumplimentación automática debe estar desactivada
Descripción: los elementos de entrada de contraseñas con el atributo de cumplimentación automática desactivado se estaban autocompletando. Este problema se ha solucionado mejorando la gestión del atributo de cumplimentación automática.
ID CVE
CVE-2012-0680: Dan Poltawski de Moodle
Registros del sistema
Disponible para: iPhone 3GS y posterior, iPod touch (4.ª generación) y posterior, iPad 2 y posterior
Impacto: apps de zona protegida pueden obtener contenido del registro del sistema
Descripción: apps de zona protegida tenían acceso al directorio /var/log, lo que podía permitirles obtener información confidencial contenida en los registros del sistema. Este problema se ha solucionado denegando a las apps de zona protegida el acceso al directorio /var/log.
ID CVE
CVE-2012-3743
Telefonía
Disponible para: iPhone 3GS y posterior, iPod touch (4.ª generación) y posterior, iPad 2 y posterior
Impacto: puede parecer que un usuario arbitrario ha enviado un mensaje SMS
Descripción: los mensajes mostraban la dirección de respuesta de un mensaje SMS como del remitente. Las direcciones de respuesta se pueden falsificar. Este problema se ha solucionado mostrando siempre la dirección de origen en lugar de la de respuesta.
ID CVE
CVE-2012-3744: pod2g
Telefonía
Disponible para: iPhone 3GS y posterior, iPod touch (4.ª generación) y posterior, iPad 2 y posterior
Impacto: un mensaje SMS puede interrumpir la conectividad
Descripción: existía un desbordamiento de búfer “off-by-one” en la gestión de encabezados de datos de usuario de SMS. Este problema se ha solucionado mejorando la comprobación de los límites.
ID CVE
CVE-2012-3745: pod2g
UIKit
Disponible para: iPhone 3GS y posterior, iPod touch (4.ª generación) y posterior, iPad 2 y posterior
Impacto: un atacante que accede al sistema de archivos del dispositivo puede ser capaz de leer archivos que se estén mostrando en una UIWebView
Descripción: las aplicaciones que usen la UIWebView pueden dejar archivos no encriptados en el sistema de archivos incluso cuando se ha habilitado un código. Este problema se ha solucionado mejorando el uso de la protección de datos.
ID CVE
CVE-2012-3746: Ben Smith de Box
WebKit
Disponible para: iPhone 3GS y posterior, iPod touch (4.ª generación) y posterior, iPad 2 y posterior
Impacto: Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Existían varios problemas de corrupción de memoria en WebKit. Estos problemas se han solucionado mejorando la gestión de la memoria.
ID CVE
CVE-2011-3016: miaubiz
CVE-2011-3021: Arthur Gerkis
CVE-2011-3027: miaubiz
CVE-2011-3032: Arthur Gerkis
CVE-2011-3034: Arthur Gerkis
CVE-2011-3035: wushi de team509 en colaboración con iDefense VCP, Arthur Gerkis
CVE-2011-3036: miaubiz
CVE-2011-3037: miaubiz
CVE-2011-3038: miaubiz
CVE-2011-3039: miaubiz
CVE-2011-3040: miaubiz
CVE-2011-3041: miaubiz
CVE-2011-3042: miaubiz
CVE-2011-3043: miaubiz
CVE-2011-3044: Arthur Gerkis
CVE-2011-3050: miaubiz
CVE-2011-3053: miaubiz
CVE-2011-3059: Arthur Gerkis
CVE-2011-3060: miaubiz
CVE-2011-3064: Atte Kettunen de OUSPG
CVE-2011-3068: miaubiz
CVE-2011-3069: miaubiz
CVE-2011-3071: pa_kt en colaboración con la Zero Day Initiative de HP
CVE-2011-3073: Arthur Gerkis
CVE-2011-3074: Slawomir Blazek
CVE-2011-3075: miaubiz
CVE-2011-3076: miaubiz
CVE-2011-3078: Martin Barbella de Google Chrome Security Team
CVE-2011-3081: miaubiz
CVE-2011-3086: Arthur Gerkis
CVE-2011-3089: Skylined de Google Chrome Security Team, miaubiz
CVE-2011-3090: Arthur Gerkis
CVE-2011-3105: miaubiz
CVE-2011-3913: Arthur Gerkis
CVE-2011-3924: Arthur Gerkis
CVE-2011-3926: Arthur Gerkis
CVE-2011-3958: miaubiz
CVE-2011-3966: Aki Helin de OUSPG
CVE-2011-3968: Arthur Gerkis
CVE-2011-3969: Arthur Gerkis
CVE-2011-3971: Arthur Gerkis
CVE-2012-0682: Seguridad de los productos de Apple
CVE-2012-0683: Dave Mandelin, de Mozilla
CVE-2012-1520: Martin Barbella de Google Chrome Security Team usando AddressSanitizer, José A. Vázquez de spa-s3c.blogspot.com en colaboración con iDefense VCP
CVE-2012-1521: Skylined de Google Chrome Security Team, José A. Vázquez de spa-s3c.blogspot.com en colaboración con iDefense VCP
CVE-2012-2818: miaubiz
CVE-2012-3589: Dave Mandelin, de Mozilla
CVE-2012-3590: seguridad de los productos de Apple
CVE-2012-3591: seguridad de los productos de Apple
CVE-2012-3592: seguridad de los productos de Apple
CVE-2012-3593: seguridad de los productos de Apple
CVE-2012-3594: miaubiz
CVE-2012-3595: Martin Barbella de Google Chrome Security
CVE-2012-3596: Skylined de Google Chrome Security Team
CVE-2012-3597: Abhishek Arya (Inferno), del Google Chrome Security Team
CVE-2012-3598: seguridad de los productos de Apple
CVE-2012-3599: Abhishek Arya (Inferno), del Google Chrome Security Team
CVE-2012-3600: David Levin de la comunidad de desarrollo Chromium
CVE-2012-3601: Martin Barbella de Google Chrome Security Team con AddressSanitizer
CVE-2012-3602: miaubiz
CVE-2012-3603: seguridad de los productos de Apple
CVE-2012-3604: Skylined de Google Chrome Security Team
CVE-2012-3605: Cris Neckar de Google Chrome Security team
CVE-2012-3608: Skylined de Google Chrome Security Team
CVE-2012-3609: Skylined de Google Chrome Security Team
CVE-2012-3610: Skylined de Google Chrome Security Team
CVE-2012-3611: seguridad de los productos de Apple
CVE-2012-3612: Skylined, del Google Chrome Security Team
CVE-2012-3613: Abhishek Arya (Inferno), del Google Chrome Security Team
CVE-2012-3614: Yong Li, de Research In Motion, Inc.
CVE-2012-3615: Stephen Chenney de la comunidad de desarrollo Chromium
CVE-2012-3617: seguridad de los productos de Apple
CVE-2012-3618: Abhishek Arya (Inferno), del Google Chrome Security Team
CVE-2012-3620: Abhishek Arya (Inferno), del Google Chrome Security Team
CVE-2012-3624: Skylined, del Google Chrome Security Team
CVE-2012-3625: Skylined de Google Chrome Security Team
CVE-2012-3626: seguridad de los productos de Apple
CVE-2012-3627: Skylined y Abhishek Arya (Inferno) del Google Chrome Security team
CVE-2012-3628: seguridad de los productos de Apple
CVE-2012-3629: Abhishek Arya (Inferno), del Google Chrome Security Team
CVE-2012-3630: Abhishek Arya (Inferno), del Google Chrome Security Team
CVE-2012-3631: Abhishek Arya (Inferno), del Google Chrome Security Team
CVE-2012-3633: Martin Barbella de Google Chrome Security Team con AddressSanitizer
CVE-2012-3634: Martin Barbella de Google Chrome Security Team con AddressSanitizer
CVE-2012-3635: Martin Barbella de Google Chrome Security Team con AddressSanitizer
CVE-2012-3636: Martin Barbella de Google Chrome Security Team con AddressSanitizer
CVE-2012-3637: Martin Barbella de Google Chrome Security Team con AddressSanitizer
CVE-2012-3638: Martin Barbella de Google Chrome Security Team con AddressSanitizer
CVE-2012-3639: Martin Barbella de Google Chrome Security Team con AddressSanitizer
CVE-2012-3640: miaubiz
CVE-2012-3641: Slawomir Blazek
CVE-2012-3642: miaubiz
CVE-2012-3644: miaubiz
CVE-2012-3645: Martin Barbella de Google Chrome Security Team con AddressSanitizer
CVE-2012-3646: Julien Chaffraix de la comunidad de desarrollo Chromium, Martin Barbella de Google Chrome Security Team con AddressSanitizer
CVE-2012-3647: Skylined, del Google Chrome Security Team
CVE-2012-3648: Abhishek Arya (Inferno), del Google Chrome Security Team
CVE-2012-3651: Abhishek Arya (Inferno) y Martin Barbella de Google Chrome Security Team
CVE-2012-3652: Martin Barbella, del Google Chrome Security Team
CVE-2012-3653: Martin Barbella de Google Chrome Security Team con AddressSanitizer
CVE-2012-3655: Skylined de Google Chrome Security Team
CVE-2012-3656: Abhishek Arya (Inferno), del Google Chrome Security Team
CVE-2012-3658: Apple
CVE-2012-3659: Mario Gomes, de netfuzzer.blogspot.com; Abhishek Arya (Inferno), del Google Chrome Security Team
CVE-2012-3660: Abhishek Arya (Inferno), del Google Chrome Security Team
CVE-2012-3661: seguridad de los productos de Apple
CVE-2012-3663: Skylined de Google Chrome Security Team
CVE-2012-3664: Thomas Sepez de la comunidad de desarrollo Chromium
CVE-2012-3665: Martin Barbella de Google Chrome Security Team con AddressSanitizer
CVE-2012-3666: Apple
CVE-2012-3667: Trevor Squires de propaneapp.com
CVE-2012-3668: seguridad de los productos de Apple
CVE-2012-3669: seguridad de los productos de Apple
CVE-2012-3670: Abhishek Arya (Inferno), del Google Chrome Security Team, Arthur Gerkis
CVE-2012-3671: Skylined y Martin Barbella, del Google Chrome Security Team
CVE-2012-3672: Abhishek Arya (Inferno), del Google Chrome Security Team
CVE-2012-3673: Abhishek Arya (Inferno), del Google Chrome Security Team
CVE-2012-3674: Skylined de Google Chrome Security Team
CVE-2012-3676: Julien Chaffraix, de la comunidad de desarrollo Chromium
CVE-2012-3677: Apple
CVE-2012-3678: seguridad de los productos de Apple
CVE-2012-3679: Chris Leary, de Mozilla
CVE-2012-3680: Skylined de Google Chrome Security Team
CVE-2012-3681: Apple
CVE-2012-3682: Adam Barth de Google Chrome Security Team
CVE-2012-3683: wushi de team509 en colaboración con iDefense VCP
CVE-2012-3684: kuzzcc
CVE-2012-3686: Robin Cao de Torch Mobile (Pekín)
CVE-2012-3703: seguridad de los productos de Apple
CVE-2012-3704: Skylined, del Google Chrome Security Team
CVE-2012-3706: seguridad de los productos de Apple
CVE-2012-3708: Apple
CVE-2012-3710: James Robinson, de Google
CVE-2012-3747: David Bloom de Cue
WebKit
Disponible para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3.ª generación) y posterior, iPad, iPad 2
Impacto: la visita a un sitio web creado con fines malintencionados podría provocar la revelación de información entre sitios
Descripción: existía un problema de orígenes cruzados en la gestión de valores de propiedad de CSS. Este problema se ha solucionado mediante un seguimiento de orígenes mejorado.
ID CVE
CVE-2012-3691: Apple
WebKit
Disponible para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3.ª generación) y posterior, iPad, iPad 2
Impacto: es posible que un sitio web creado con fines malintencionados pueda sustituir el contenido de un iframe en otro sitio
Descripción: existía un problema de múltiples orígenes en el procesamiento de iframes en ventanas emergentes. Este problema se ha solucionado mediante un seguimiento de orígenes mejorado.
ID CVE
CVE-2011-3067: Sergey Glazunov
WebKit
Disponible para: iPhone 3GS, iPhone 4, iPhone 4s, iPod touch (3.ª generación) y posterior, iPad, iPad 2
Impacto: la visita a un sitio web creado con fines malintencionados podría provocar la revelación de información entre sitios
Descripción: existía un problema de múltiples orígenes en el procesamiento de los iframes y los identificadores de fragmentos. Este problema se ha solucionado mediante un seguimiento de orígenes mejorado.
ID CVE
CVE-2012-2815: Elie Bursztein, Baptiste Gourdin, Gustav Rydstedt y Dan Boneh del laboratorio de seguridad de la Universidad de Stanford
WebKit
Disponible para: iPhone 3GS y posterior, iPod touch (4.ª generación) y posterior, iPad 2 y posterior
Impacto: caracteres “parecidos” en una URL que pueden utilizarse para enmascarar un sitio web
Descripción: el soporte del International Domain Name (IDN) y las fuentes Unicode integradas en Safari podrían haberse utilizado para crear una URL con caracteres “parecidos”. Estos caracteres podrían haberse empleado en un sitio web malintencionado para conducir al usuario a un sitio falso que, visualmente, parezca ser un dominio legítimo. Este problema se ha solucionado complementando la lista de WebKit de caracteres “parecidos”. Los caracteres parecidos se muestran en Punycode en la barra de direcciones.
ID CVE
CVE-2012-3693: Matt Cooley, de Symantec
WebKit
Disponible para: iPhone 3GS y posterior, iPod touch (4.ª generación) y posterior, iPad 2 y posterior
Impacto: Visitar un sitio web creado con fines malintencionados podría provocar un ataque basado en la vulnerabilidad de secuencias de comandos en sitios cruzados
Descripción: existía un problema de canonicalización en la gestión de direcciones URL. Esto puede haber dado lugar a secuencias de comandos entre sitios cruzados que utilizan la propiedad location.href. Este problema se ha solucionado mediante la mejora de la canonicalización de las URL.
ID CVE
CVE-2012-3695: Masato Kinugawa
WebKit
Disponible para: iPhone 3GS y posterior, iPod touch (4.ª generación) y posterior, iPad 2 y posterior
Impacto: la visita a un sitio web creado con fines malintencionados podría provocar la división de la solicitud HTTP
Descripción: existía un problema con la inyección del encabezado HTTP en el procesamiento de WebSockets. Este problema se ha solucionado mejorando el saneamiento de la URI de WebSockets.
ID CVE
CVE-2012-3696: David Belcher de BlackBerry Security Incident Response Team
WebKit
Disponible para: iPhone 3GS y posterior, iPod touch (4.ª generación) y posterior, iPad 2 y posterior
Impacto: un sitio web creado con fines malintencionados podría suplantar el valor de la barra de dirección URL
Descripción: había un problema de gestión de estado en el procesamiento del historial de sesión. Navegar a una parte de la página actual puede provocar que Safari muestre información incorrecta en la barra de dirección URL. Este problema se ha solucionado mediante el seguimiento mejorado del estado de la sesión.
ID CVE
CVE-2011-2845: Jordi Chancel
WebKit
Disponible para: iPhone 3GS y posterior, iPod touch (4.ª generación) y posterior, iPad 2 y posterior
Impacto: la visita de un sitio web creado con fines malintencionados puede ocasionar la divulgación de los contenidos de memoria
Descripción: existía un problema de acceso a la memoria no inicializada en la gestión de imágenes SVG. Este problema se ha solucionado mejorando la inicialización de la memoria.
ID CVE
CVE-2012-3650: Apple
FaceTime no está disponible en todos los países o regiones.
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.