Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.
Para obtener más información sobre la clave PGP de seguridad de los productos de Apple, consulta "Cómo utilizar la clave PGP de seguridad de los productos de Apple".
Siempre que sea posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.
Para obtener más información acerca de otras actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".
Esta actualización se puede descargar e instalar mediante Actualización de Software o el sitio web del Soporte técnico de Apple.
OS X Mavericks 10.9.2 y la actualización de seguridad 2014-001
- 

- 

Apache

Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 y v10.9.1

Impacto: Varias vulnerabilidades en Apache

Descripción: Existían varias vulnerabilidades en Apache; la más importante podría permitir la ejecución de ataques de secuencias de comandos entre sitios cruzados. Estos problemas se han solucionado actualizando Apache a la versión 2.2.26.

ID CVE

CVE-2013-1862

CVE-2013-1896

 

- 

- 

Zona protegida para apps

Disponible para: OS X Mountain Lion v10.8.5

Impacto: La zona protegida para apps podría ser circunvenida

Descripción: La interfaz LaunchServices para iniciar una aplicación permitía a las apps en la zona protegida especificar la lista de argumentos transmitida al nuevo proceso. Una aplicación vulnerable en la zona protegida podría hacer un mal uso de esto para circunvenir la zona protegida. Este problema se ha solucionado evitando que las aplicaciones en la zona protegida especifiquen argumentos. Este problema no afecta a los sistemas que ejecutan OS X Mavericks v10.9 o posterior.

ID CVE

CVE-2013-5179: Friedrich Graeter, de The Soulmen GbR

 

- 

- 

ATS

Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 y v10.9.1

Impacto: Visualizar o descargar un documento que contenga un tipo de letra incrustado creado con fines malintencionados podría provocar la ejecución de código arbitrario

Descripción: Existía un problema de corrupción de memoria en la gestión de tipos de letra Tipo 1. Este problema se ha solucionado mejorando la comprobación de los límites.

ID CVE

CVE-2014-1254: Felix Groebert, del Google Security Team

 

- 

- 

ATS

Disponible para: OS X Mavericks v10.9 y v10.9.1

Impacto: La zona protegida para apps podría ser circunvenida

Descripción: Existía un problema de corrupción de memoria en la gestión de mensajes Mach pasados a ATS. Este problema se ha solucionado mejorando la comprobación de los límites.

ID CVE

CVE-2014-1262: Meder Kydyraliev, del Google Security Team

 

- 

- 

ATS

Disponible para: OS X Mavericks v10.9 y v10.9.1

Impacto: La zona protegida para apps podría ser circunvenida

Descripción: Existía un problema de liberación arbitraria en la gestión de mensajes Mach pasados a ATS. Este problema se ha solucionado mediante la validación adicional de mensajes Mach.

ID CVE

CVE-2014-1255: Meder Kydyraliev, del Google Security Team

 

- 

- 

ATS

Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 y v10.9.1

Impacto: La zona protegida para apps podría ser circunvenida

Descripción: Existía un problema de desbordamiento del búfer en la gestión de mensajes Mach pasados a ATS. Este problema se ha solucionado mediante comprobaciones de límites adicionales.

ID CVE

CVE-2014-1256: Meder Kydyraliev, del Google Security Team

 

- 

- 

Política de confianza en certificados

Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 y v10.9.1

Impacto: Los certificados raíz se han actualizado

Descripción: Se ha actualizado el conjunto de certificados raíz del sistema. La lista completa de certificados raíz reconocidos puede verse mediante la aplicación Acceso a Llaveros.

 

- 

- 

Cookies de CFNetwork

Disponible para: OS X Mountain Lion v10.8.5

Impacto: Las cookies de sesión pueden persistir incluso tras restablecer Safari

Descripción: Restablecer Safari no siempre eliminaba las cookies de sesión hasta que Safari se cerraba. El problema se ha solucionado mejorando la gestión de las cookies de sesión. Este problema no afecta a los sistemas que ejecutan OS X Mavericks v10.9 o posterior.

ID CVE

CVE-2014-1257: Rob Ansaldo de Amherst College, Graham Bennett

 

- 

- 

CoreAnimation

Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 y v10.9.1

Impacto: Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

Descripción: Existía un problema de desbordamiento del búfer de pila en la gestión de imágenes por parte de CoreAnimation. Este problema se ha solucionado mejorando la comprobación de los límites.

ID CVE

CVE-2014-1258: Karl Smith de NCC Group

 

- 

- 

CoreText

Disponible para: OS X Mavericks v10.9 y v10.9.1

Impacto: Las aplicaciones que utilizan CoreText podrían ser vulnerables al cierre inesperado de la aplicación o la ejecución de código arbitrario

Descripción: Existía un problema de presencia de signo en la gestión de tipos de letra Unicode en CoreText. Este problema se ha solucionado mejorando la comprobación de los límites.

ID CVE

CVE-2014-1261: Lucas Apa y Carlos Mario Penagos de IOActive Labs

 

- 

- 

curl

Disponible para: OS X Mavericks v10.9 y v10.9.1

Impacto: Un atacante con una posición de red privilegiada podría interceptar credenciales de usuario u otra información confidencial

Descripción: Al usar curl para conectarse a una URL HTTPS que contuviera una dirección IP, esta no se validaba contrastándola con el certificado. Este problema no afecta a los sistemas anteriores a OS X Mavericks v10.9.

ID CVE

CVE-2014-1263: Roland Moriz de Moriz GmbH

 

- 

- 

Seguridad de datos

Disponible para: OS X Mavericks v10.9 y v10.9.1

Impacto: Un atacante con una posición de red privilegiada podría capturar o modificar datos en sesiones protegidas con SSL/TLS

Descripción: Secure Transport no validaba correctamente la autenticidad de la conexión. Este problema se ha solucionado restaurando los pasos de validación que faltaban.

ID CVE

CVE-2014-1266

 

- 

- 

Fecha y hora

Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 y v10.9.1

Impacto: Un usuario sin privilegios podría cambiar el reloj del sistema

Descripción: Esta actualización cambia el comportamiento del comando
systemsetup
de forma que ahora son necesarios privilegios de administrador para cambiar el reloj del sistema.
ID CVE

CVE-2014-1265

 

- 

- 

Marcador de archivos

Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 y v10.9.1

Impacto: Visualizar un archivo con un nombre creado con fines malintencionados podría provocar la finalización inesperada de una aplicación o la ejecución de código arbitrario

Descripción: Existía un problema de desbordamiento del búfer en la gestión de nombres de archivos. Este problema se ha solucionado mejorando la comprobación de los límites.

ID CVE

CVE-2014-1259

 

- 

- 

Finder

Disponible para: OS X Mavericks v10.9 y v10.9.1

Impacto: Acceder a la ACL de un archivo a través del Finder podría hacer que otros usuarios obtuvieran acceso no autorizado a los archivos

Descripción: Acceder a la ACL de un archivo a través del Finder podría dañar las ACL del archivo. Este problema se ha solucionado mejorando la gestión de las ACL.

ID CVE

CVE-2014-1264

 

- 

- 

ImageIO

Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 y v10.9.1

Impacto: Ver un archivo JPEG creado con fines malintencionados podría provocar la revelación de contenido de la memoria

Descripción: Existía un problema de acceso a la memoria no inicializada en la gestión de libjpeg de marcadores JPEG, lo cual revelaba el contenido de la memoria. Este problema se ha solucionado mejorando la gestión de JPEG.

ID CVE

CVE-2013-6629: Michal Zalewski

 

- 

- 

IOSerialFamily

Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5

Impacto: Ejecutar una aplicación creada con fines malintencionados podría provocar la ejecución de código arbitrario en el kernel

Descripción: Existía un acceso a una matriz fuera de los límites en el driver IOSerialFamily. Este problema se ha solucionado mediante comprobaciones de límites adicionales. Este problema no afecta a los sistemas que ejecutan OS X Mavericks v10.9 o posterior.

ID CVE

CVE-2013-5139: @dent1zt

 

- 

- 

LaunchServices

Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5

Impacto: Un archivo podía mostrar una extensión incorrecta

Descripción: Existía un problema en la gestión de determinados caracteres unicode que podía permitir que los nombres de archivo mostraran extensiones incorrectas. Este problema se ha solucionado filtrando los caracteres unicode no seguros para que no se muestren en los nombres de archivo. Este problema no afecta a los sistemas que ejecutan OS X Mavericks v10.9 o posterior.

ID CVE

CVE-2013-5178: Jesse Ruderman, de Mozilla Corporation; Stephane Sudre, de Intego

 

- 

- 

Drivers NVIDIA

Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 y v10.9.1

Impacto: Ejecutar una aplicación creada con fines malintencionados podría dar como resultado la ejecución de código arbitrario dentro de la tarjeta gráfica

Descripción: Existía un problema que permitía escribir en una memoria fiable de la tarjeta gráfica. Este problema se ha solucionado eliminando la capacidad de que el host escriba en esa memoria.

ID CVE

CVE-2013-5986: Marcin Kościelnicki del proyecto X.Org Foundation Nouveau

CVE-2013-5987: Marcin Kościelnicki del proyecto X.Org Foundation Nouveau

 

- 

- 

PHP

Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 y v10.9.1

Impacto: Varias vulnerabilidades en PHP

Descripción: Existían varias vulnerabilidades en PHP; la más grave podría haber provocado la ejecución de código arbitrario. Estos problemas se han solucionado actualizando PHP a la versión 5.4.24 en OS X Mavericks v10.9 y a la versión 5.3.28 en OS X Lion y Mountain Lion.

ID CVE

CVE-2013-4073

CVE-2013-4113

CVE-2013-4248

CVE-2013-6420

 

- 

- 

QuickLook

Disponible para: OS X Mountain Lion v10.8.5

Impacto: Descargar un archivo de Microsoft Office creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

Descripción: Existía un problema de corrupción de memoria en la gestión de archivos de Microsoft Office por parte de QuickLook. Descargar un archivo de Microsoft Office creado con fines malintencionados podría haber provocado el cierre inesperado de una aplicación o la ejecución de código arbitrario. Este problema no afecta a los sistemas que ejecutan OS X Mavericks v10.9 o posterior.

ID CVE

CVE-2014-1260: Felix Groebert, del Google Security Team

 

- 

- 

QuickLook

Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 y v10.9.1

Impacto: Descargar un archivo de Microsoft Word creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

Descripción: Existía un problema de vulnerabilidad "double free" en la gestión de documentos de Microsoft Word por parte de QuickLook. Este problema se ha solucionado mejorando la gestión de memoria.

ID CVE

CVE-2014-1252: Felix Groebert, del Google Security Team

 

- 

- 

QuickTime

Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 y v10.9.1

Impacto: Reproducir un archivo de película creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

Descripción: Existía un problema de desbordamiento del búfer en la gestión de átomos "ftab". Este problema se ha solucionado mejorando la comprobación de los límites.

ID CVE

CVE-2014-1246: Un investigador anónimo en colaboración con la Zero Day Initiative de HP

 

- 

- 

QuickTime

Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 y v10.9.1

Impacto: Reproducir un archivo de película creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

Descripción: Existía un problema de corrupción de memoria en la gestión de átomos "dref". Este problema se ha solucionado mejorando la comprobación de los límites.

ID CVE

CVE-2014-1247: Tom Gallagher y Paul Bates, en colaboración con la Zero Day Initiative de HP

 

- 

- 

QuickTime

Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 y v10.9.1

Impacto: Reproducir un archivo de película creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

Descripción: Existía un problema de desbordamiento del búfer en la gestión de átomos "ldat". Este problema se ha solucionado mejorando la comprobación de los límites.

ID CVE

CVE-2014-1248: Jason Kratzer, colaborador de iDefense VCP

 

- 

- 

QuickTime

Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 y v10.9.1

Impacto: Ver una imagen PSD creada con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

Descripción: Existía un problema de desbordamiento del búfer en la gestión de imágenes PSD. Este problema se ha solucionado mejorando la comprobación de los límites.

ID CVE

CVE-2014-1249: dragonltx de Tencent Security Team

 

- 

- 

QuickTime

Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 y v10.9.1

Impacto: Reproducir un archivo de película creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

Descripción: Existía un problema de intercambio de bytes fuera de límites en la gestión de elementos "ttfo". Este problema se ha solucionado mejorando la comprobación de los límites.

ID CVE

CVE-2014-1250: Jason Kratzer, colaborador de iDefense VCP

 

- 

- 

QuickTime

Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 y v10.9.1

Impacto: Reproducir un archivo de película creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

Descripción: Existía un problema de presencia de signo en la gestión de átomos "stsz". Este problema se ha solucionado mejorando la comprobación de los límites.

ID CVE

CVE-2014-1245: Tom Gallagher y Paul Bates, en colaboración con la Zero Day Initiative de HP

 

- 

- 

Secure Transport

Disponible para: OS X Mountain Lion v10.8.5

Impacto: Un atacante podría ser capaz de desencriptar datos protegidos mediante SSL

Descripción: Existían ataques conocidos contra la confidencialidad de SSL 3.0 y TLS 1.0 cuando una suite de cifrado utilizaba un cifrado por bloques en modo CBC. Para solucionar estos problemas en aplicaciones que usan Secure Transport, se habilitó la mitigación de fragmentos de 1 byte por omisión para esta configuración.

 
ID CVE

CVE-2011-3389: Juliano Rizzo y Thai Duong