los enorme agujero de seguridad en Mobile Safari se ha solucionado con actualizaciones del sistema operativo iOS de Apple.
Apple acaba de actualizar iOS a 4.0.2 para el iPhone (y iPod touch) y iOS 3.2.2 para el iPad. Las actualizaciones corrigen una vulnerabilidad de seguridad que permitió a Safari ejecutar código incrustado en archivos PDF.
Las actualizaciones están disponibles a través de iTunes. Haga clic en "Buscar actualizaciones" para descargar.
Si planeas hacer jailbreak a tu dispositivo, hazlo antes de actualizar. No se sorprenda, si el último firmware también incluye una actualización de banda base. Si eso sucede, también bloqueará el desbloqueo del portador ultrasn0w.
Obviamente, las nuevas actualizaciones de iOS rompen el jailbreak en JailbreakMe.com, que aprovechó la vulnerabilidad.
Las actualizaciones también pueden contener nuevo firmware de banda base, que se romperá desbloqueo del portador. Para hacer jailbreak y desbloquear su dispositivo iOS, consulte nuestro Superguía de fuga de la cárcel.
Aquí están los detalles de Apple:
Acerca del contenido de seguridad de la actualización de iOS 4.0.2 para iPhone y iPod touch
Última modificación: 11 de agosto de 2010
Artículo: HT4291
Resumen
Este documento describe el contenido de seguridad de la actualización de iOS 4.0.2 para iPhone y iPod touch, que se puede descargar e instalar usando iTunes.
Para la protección de nuestros clientes, Apple no divulga, discute ni confirma problemas de seguridad hasta que se haya realizado una investigación completa y los parches o lanzamientos necesarios estén disponibles. Para obtener más información sobre la seguridad de los productos de Apple, consulte la Seguridad de los productos de Apple sitio web.
Para obtener información sobre la clave PGP de seguridad de productos de Apple, consulte “Cómo utilizar la clave PGP de seguridad de productos de Apple.”
Donde sea posible, ID de CVE se utilizan para hacer referencia a las vulnerabilidades para obtener más información.
Para obtener más información sobre otras actualizaciones de seguridad, consulte "Actualizaciones de seguridad de Apple“.
Productos afectados
iPhone, seguridad del producto, iPod touch
Actualización de iOS 4.0.2 para iPhone y iPod touch
FreeType
ID-CVE: CVE-2010-1797
Disponible para: iOS 2.0 a 4.0.1 para iPhone 3G y posterior, iOS 2.1 a 4.0 para iPod touch (segunda generación) y posterior
Impacto: ver un documento PDF con fuentes incrustadas creadas con fines malintencionados puede permitir la ejecución de código arbitrario
Descripción: existe un desbordamiento del búfer de pila en el manejo de códigos de operación CFF por parte de FreeType. Ver un documento PDF con fuentes incrustadas creadas con fines malintencionados puede permitir la ejecución de código arbitrario. Este problema se resuelve mejorando la comprobación de los límites.
IOSurface
ID-CVE: CVE-2010-2973
Disponible para: iOS 2.0 a 4.0.1 para iPhone 3G y posterior, iOS 2.1 a 4.0 para iPod touch (segunda generación) y posterior
Impacto: el código malicioso que se ejecuta cuando el usuario puede obtener privilegios del sistema
Descripción: existe un desbordamiento de enteros en el manejo de las propiedades de IOSurface, lo que puede permitir que el código malintencionado se ejecute mientras el usuario obtenga privilegios del sistema. Este problema se resuelve mejorando la comprobación de los límites.
++
Acerca del contenido de seguridad de la actualización de iOS 3.2.2 para iPad
Última modificación: 11 de agosto de 2010
Artículo: HT4292
Resumen
Este documento describe el contenido de seguridad de la actualización iOS 3.2.2 para iPad, que se puede descargar e instalar usando iTunes.
Para la protección de nuestros clientes, Apple no divulga, discute ni confirma problemas de seguridad hasta que se haya realizado una investigación completa y los parches o lanzamientos necesarios estén disponibles. Para obtener más información sobre la seguridad de los productos de Apple, consulte la Seguridad de los productos de Apple sitio web.
Para obtener información sobre la clave PGP de seguridad de productos de Apple, consulte "Cómo usar la Clave PGP de seguridad de productos de Apple.”
Donde sea posible, ID de CVE se utilizan para hacer referencia a las vulnerabilidades para obtener más información.
Para obtener más información sobre otras actualizaciones de seguridad, consulte "Actualizaciones de seguridad de Apple“.
Productos afectados
Seguridad del producto, iPad
Actualización de iOS 3.2.2 para iPad
FreeType
ID-CVE: CVE-2010-1797
Disponible para: iOS 3.2 y 3.2.1 para iPad
Impacto: ver un documento PDF con fuentes incrustadas creadas con fines malintencionados puede permitir la ejecución de código arbitrario
Descripción: existe un desbordamiento del búfer de pila en el manejo de códigos de operación CFF por parte de FreeType. Ver un documento PDF con fuentes incrustadas creadas con fines malintencionados puede permitir la ejecución de código arbitrario. Este problema se resuelve mejorando la comprobación de los límites.
IOSurface
ID-CVE: CVE-2010-2973
Disponible para: iOS 3.2 y 3.2.1 para iPad
Impacto: el código malicioso que se ejecuta cuando el usuario puede obtener privilegios del sistema
Descripción: existe un desbordamiento de enteros en el manejo de las propiedades de IOSurface, lo que puede permitir que el código malintencionado se ejecute mientras el usuario obtenga privilegios del sistema. Este problema se resuelve mejorando la comprobación de los límites.