Acerca del contenido de seguridad de OS X Mountain Lion v10.8.4 y la actualización de seguridad 2013-002

En este documento se describe el contenido de seguridad de OS X Mountain Lion v10.8.4 y la actualización de seguridad 2013-002, que se puede descargar e instalar desde las preferencias de Actualización de software o desde Descargas de Apple.

Con el fin de proteger a nuestros clientes, Apple no revelará, comentará ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos Apple, visita el sitio web Seguridad de los productos Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos Apple.

Siempre que sea posible, se utilizan ID de CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".

OS X Mountain Lion v10.8.4 y actualización de seguridad 2013-002

Nota: OS X Mountain Lion v10.8.4 incluye el contenido de Safari 6.0.5. Encontrarás más detalles en Acerca del contenido de seguridad de Safari 6.0.5.

  • CFNetwork

    Disponible para: OS X Mountain Lion v10.8 a v10.8.3

    Impacto: un atacante con acceso a la sesión de un usuario podría iniciar sesión en sitios a los que se haya accedido previamente, incluso aunque se haya utilizado la navegación privada.

    Descripción: se guardaban cookies permanentes después de cerrar Safari incluso con la navegación privada habilitada. Este problema se ha solucionado mejorando la gestión de las cookies.

    CVE-ID

    CVE-2013-0982: Alexander Traud de www.traud.de

  • CoreAnimation

    Disponible para: OS X Mountain Lion v10.8 a v10.8.3

    Impacto: visitar un sitio creado con fines malintencionados podría provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario.

    Descripción: existía un problema de asignación ilimitada de pilas en la gestión de glifos de texto. Este problema podía deberse a la presencia de URL creadas con fines malintencionados en Safari. Este problema se ha solucionado mejorando la comprobación de los límites.

    CVE-ID

    CVE-2013-0983: David Fifield de la Universidad de Standford, Ben Syverson

  • CoreMedia Playback

    Disponible para: OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5 y OS X Mountain Lion v10.8 a v10.8.3

    Impacto: la visualización de un archivo de película creado con fines malintencionados podría provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario.

    Descripción: había un problema de acceso a una memoria no inicializada en la gestión de elementos de texto. Este problema se ha solucionado mediante la validación adicional de los elementos de texto.

    CVE-ID

    CVE-2013-1024: Richard Kuo y Billy Suguitan de Triemt Corporation

  • CUPS

    Disponible para: OS X Mountain Lion v10.8 a v10.8.3

    Impacto: un usuario local del grupo lpadmin podía leer o escribir archivos arbitrarios con privilegios del sistema.

    Descripción: había un problema de escalado de privilegios en la gestión de la configuración de CUPS desde la interfaz web de CUPS. Un usuario local del grupo lpadmin podía leer o escribir archivos arbitrarios con privilegios del sistema. Este problema se ha solucionado mediante el traslado de algunas directivas de configuración a cups-files.conf, que no se puede modificar desde la interfaz web de CUPS.

    CVE-ID

    CVE-2012-5519

  • Directory Service

    Disponible para: Mac OS X 10.6.8 y Mac OS X Server 10.6.8

    Impacto: un atacante remoto podría ejecutar código arbitrario con privilegios del sistema en sistemas que tienen activado el servicio de directorios.

    Descripción: había un problema en la gestión de los mensajes de la red por parte del servidor de directorios. Mediante un mensaje creado con fines malintencionados, un atacante remoto podría cerrar el servidor de directorios o ejecutar código arbitrario con privilegios del sistema. Este problema se ha solucionado mejorando la comprobación de los límites. Este problema no afecta a sistemas OS X Lion o OS X Mountain Lion.

    CVE-ID

    CVE-2013-0984: Nicolas Economou de Core Security

  • Disk Management

    Disponible para: OS X Mountain Lion v10.8 a v10.8.3

    Impacto: un usuario local podría deshabilitar FileVault

    Descripción: un usuario local que no sea administrador podría deshabilitar FileVault desde la línea de comandos. Este problema se ha solucionado añadiendo un paso de autenticación adicional.

    CVE-ID

    CVE-2013-0985

  • OpenSSL

    Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5 y OS X Mountain Lion v10.8 a v10.8.3

    Impacto: un atacante podría descifrar datos protegidos mediante SSL.

    Descripción: se han producido ataques conocidos en la confidencialidad de TLS 1.0 cuando estaba activada la compresión. Este problema se ha solucionado desactivando la compresión en OpenSSL.

    CVE-ID

    CVE-2012-4929: Juliano Rizzo y Thai Duong

  • OpenSSL

    Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5 y OS X Mountain Lion v10.8 a v10.8.3

    Impacto: diversas vulnerabilidades en OpenSSL.

    Descripción: OpenSSL se ha actualizado a la versión 0.9.8x para abordar diversas vulnerabilidades que podrían provocar una denegación del servicio o la divulgación de una clave privada. Hay más información disponible en el sitio web de OpenSSL, en http://www.openssl.org/news/

    CVE-ID

    CVE-2011-1945

    CVE-2011-3207

    CVE-2011-3210

    CVE-2011-4108

    CVE-2011-4109

    CVE-2011-4576

    CVE-2011-4577

    CVE-2011-4619

    CVE-2012-0050

    CVE-2012-2110

    CVE-2012-2131

    CVE-2012-2333

  • QuickDraw Manager

    Disponible para: OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5 y OS X Mountain Lion v10.8 a v10.8.2

    Impacto: la apertura de una imagen PICT creada con fines malintencionados podría provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario.

    Descripción: había un problema de desbordamiento del búfer en la gestión de imágenes PICT. Este problema se ha solucionado mejorando la comprobación de los límites.

    CVE-ID

    CVE-2013-0975: Tobias Klein, que trabaja en la Zero Day Initiative de HP

  • QuickTime

    Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5 y OS X Mountain Lion v10.8 a v10.8.3

    Impacto: la visualización de un archivo de película malicioso puede provocar la finalización inesperada de la app o la ejecución de código arbitrario.

    Descripción: había un problema de desbordamiento del búfer en la gestión de átomos “enof”. Este problema se ha solucionado mejorando la comprobación de los límites.

    CVE-ID

    CVE-2013-0986: Tom Gallagher (Microsoft) y Paul Bates (Microsoft), en colaboración con la Zero Day Initiative de HP

  • QuickTime

    Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5 y OS X Mountain Lion v10.8 a v10.8.3

    Impacto: la visualización de un archivo QTIF creado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario.

    Descripción: había un problema de corrupción de la memoria en la gestión de archivos QTIF. Este problema se ha solucionado mejorando la comprobación de los límites.

    CVE-ID

    CVE-2013-0987: roob en colaboración con iDefense VCP

  • QuickTime

    Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5 y OS X Mountain Lion v10.8 a v10.8.3

    Impacto: la visualización de un archivo FPX creado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario.

    Descripción: había un problema de desbordamiento del búfer en la gestión de archivos FPX. Este problema se ha solucionado mejorando la comprobación de los límites.

    CVE-ID

    CVE-2013-0988: G. Geshev en colaboración con la Zero Day Initiative de HP

  • QuickTime

    Disponible para: OS X Mountain Lion v10.8 a v10.8.3

    Impacto: la reproducción de un archivo MP3 creado con fines malintencionados puede provocar el cierre inesperado de la app o a la ejecución de código arbitrario.

    Descripción: había un desbordamiento del búfer en la gestión de archivos MP3. Este problema se ha solucionado mejorando la comprobación de los límites.

    CVE-ID

    CVE-2013-0989: G. Geshev en colaboración con la Zero Day Initiative de HP

  • Ruby

    Disponible para: Mac OS X 10.6.8 y Mac OS X Server 10.6.8

    Impacto: diversas vulnerabilidades en Ruby on Rails.

    Descripción: había diversas vulnerabilidades en Ruby on Rails, la más grave de las cuales podía provocar la ejecución de código arbitrario en sistemas que ejecutaban aplicaciones de Ruby on Rails. Estos problemas se han solucionado mediante la actualización de Ruby on Rails a la versión 2.3.18. Este problema podría afectar a sistemas OS X Lion o OS X Mountain Lion que se hayan actualizado desde Mac OS X 10.6.8 o una versión anterior. Los usuarios pueden actualizar las gemas afectadas de esos sistemas mediante la utilidad /usr/bin/gem.

    CVE-ID

    CVE-2013-0155

    CVE-2013-0276

    CVE-2013-0277

    CVE-2013-0333

    CVE-2013-1854

    CVE-2013-1855

    CVE-2013-1856

    CVE-2013-1857

  • SMB

    Disponible para: OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5 y OS X Mountain Lion v10.8 a v10.8.3

    Impacto: un usuario autenticado podría escribir archivos fuera del directorio compartido.

    Descripción: si el uso compartido de archivos en SMB está activado, un usuario autenticado podría escribir archivos fuera del directorio compartido. Se ha solucionado el problema mejorando el control de acceso.

    CVE-ID

    CVE-2013-0990: Ward van Wanrooij

  • Nota: a partir de OS X v10.8.4, las aplicaciones de Java Web Start (o JNLP) que se descarguen de internet tendrán que estar firmadas con un certificado de ID de desarrollador. Gatekeeper comprobará si dichas aplicaciones están firmadas e impedirá que estas se abran si no incluyen la firma correspondiente.

    Puedes usar la utilidad codesign para firmar el archivo JNLP. De esta manera, la firma de código se adjuntará al archivo JNLP en forma de atributos ampliados. Para conservar estos atributos, incluye el archivo JNLP en un archivo ZIP, XIP o DMG. Si utilizas el formato ZIP, presta atención, porque algunas herramientas de otros fabricantes podrían no capturar correctamente los atributos ampliados necesarios.

    Tienes más información en la nota técnica TN2206: OS X Code Signing In Depth (Información detallada sobre la firma de código en OS X).

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Fecha de publicación: