Esta actualización se puede descargar e instalar mediante Actualización de Software o desde el sitio web de Soporte técnico de Apple.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.
Para obtener más información sobre la clave PGP de seguridad de los productos de Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.
Siempre que sea posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.
Para obtener más información acerca de otras actualizaciones de seguridad, consulta las Actualizaciones de seguridad de Apple.
Nota: OS X Mavericks v10.9.4 incluye el contenido de seguridad de Safari 7.0.5.
OS X Mavericks v10.9.4 y Actualización de seguridad 2014-003
Política de confianza en certificados
Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.3
Impacto: actualización de la política de confianza en certificados
Descripción: La política de confianza en certificados se ha actualizado. Se puede ver la lista completa de certificados en https://support.apple.com/es-es/HT202858.
copyfile
Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.3
Impacto: Abrir un archivo zip creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Existía un problema de intercambio de bytes fuera de límites en la gestión de archivos AppleDouble en archivos zip. Este problema se ha solucionado mejorando la comprobación de los límites.
ID de CVE
CVE-2014-1370: Chaitanya (SegFault) en colaboración con iDefense VCP
curl
Disponible para: OS X Mavericks v10.9 a v10.9.3
Impacto: Un atacante remoto podría obtener acceso a la sesión de otro usuario
Descripción: cURL reutilizaba conexiones NTLM reutilizadas cuando se activaba más de un método de autenticación, lo que permitía a un atacante obtener acceso a la sesión de otro usuario.
ID de CVE
CVE-2014-0015
Dock
Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.3
Impacto: Una aplicación en la zona protegida podría eludir las restricciones de la zona protegida
Descripción: Existía un problema de índice de matriz no validado en la gestión de mensajes de aplicaciones por parte del Dock. Un mensaje creado con fines malintencionados podría provocar una falta de referencia a un puntero de función no válido, lo que podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.
ID de CVE
CVE-2014-1371: Un investigador anónimo en colaboración con la Zero Day Initiative de HP
Driver de gráficos
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.3
Impacto: Un usuario local podría leer la memoria del kernel, que puede usarse para eludir la aleatorización del espacio de direcciones del kernel
Descripción: Existía un problema de lectura fuera de límites en la gestión de una llamada del sistema. Este problema se ha solucionado mejorando la comprobación de los límites.
ID de CVE
CVE-2014-1372: Ian Beer de Google Project Zero
iBooks Commerce
Disponible para: OS X Mavericks v10.9 a v10.9.3
Impacto: Un atacante con acceso a un equipo podría hacerse con las credenciales de ID de Apple
Descripción: Existía un problema de gestión de los registros de iBooks. El proceso iBooks podía registrar credenciales de ID de Apple en el registro de iBooks donde otros usuarios del equipo podían leerlas. Este problema se ha solucionado desactivando el registro de credenciales.
ID de CVE
CVE-2014-1317: Steve Dunham
Driver de gráficos Intel
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.3
Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema
Descripción: Existía un problema de validación en la gestión de una llamada de la API OpenGL. Este problema se ha solucionado mejorando la comprobación de los límites.
ID de CVE
CVE-2014-1373: Ian Beer de Google Project Zero
Driver de gráficos Intel
Disponible para: OS X Mavericks v10.9 a v10.9.3
Impacto: Un usuario local podría leer un puntero del kernel, que podría usarse para eludir la aleatorización del espacio de direcciones del kernel
Descripción: Un puntero del kernel almacenado en un objeto IOKit podría recuperarse de userland. Este problema se ha solucionado eliminando el puntero del objeto.
ID de CVE
CVE-2014-1375
Intel Compute
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.3
Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema
Descripción: Existía un problema de validación en la gestión de una llamada de la API OpenCL. Este problema se ha solucionado mejorando la comprobación de los límites.
ID de CVE
CVE-2014-1376: Ian Beer de Google Project Zero
IOAcceleratorFamily
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.3
Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema
Descripción: Existía un problema de indexación de matrices en IOAcceleratorFamily. Este problema se ha solucionado mejorando la comprobación de los límites.
ID de CVE
CVE-2014-1377: Ian Beer de Google Project Zero
IOGraphicsFamily
Disponible para: OS X Mavericks v10.9 a v10.9.3
Impacto: Un usuario local podría leer un puntero del kernel, que podría usarse para eludir la aleatorización del espacio de direcciones del kernel
Descripción: Un puntero del kernel almacenado en un objeto IOKit podría recuperarse de userland. Este problema se solucionaba usando un ID único en lugar de un puntero.
ID de CVE
CVE-2014-1378
IOReporting
Disponible para: OS X Mavericks v10.9 a v10.9.3
Impacto: Un usuario local podría provocar que el equipo se reinicie de forma inesperada
Descripción: Existía un problema de falta de referencia de puntero nulo en el procesamiento de argumentos API IOKit. Este problema se ha solucionado mediante la validación de los argumentos API IOKit.
ID de CVE
CVE-2014-1355: cunzhang de Adlab de Venustech
launchd
Disponible para: OS X Mavericks v10.9 a v10.9.3
Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema
Descripción: Existía un problema de subdesbordamiento de enteros en launchd. Este problema se ha solucionado mejorando la comprobación de los límites.
ID de CVE
CVE-2014-1359: Ian Beer de Google Project Zero
launchd
Disponible para: OS X Mavericks v10.9 a v10.9.3
Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema
Descripción: Existía un desbordamiento del búfer de pila en la gestión de mensajes IPC por parte de launchd. Este problema se ha solucionado mejorando la comprobación de los límites.
ID de CVE
CVE-2014-1356: Ian Beer de Google Project Zero
launchd
Disponible para: OS X Mavericks v10.9 a v10.9.3
Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema
Descripción: Existía un desbordamiento del búfer de pila en la gestión de mensajes de registro por parte de launchd. Este problema se ha solucionado mejorando la comprobación de los límites.
ID de CVE
CVE-2014-1357: Ian Beer de Google Project Zero
launchd
Disponible para: OS X Mavericks v10.9 a v10.9.3
Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema
Descripción: Existía un problema de desbordamiento de enteros en launchd. Este problema se ha solucionado mejorando la comprobación de los límites.
ID de CVE
CVE-2014-1358: Ian Beer de Google Project Zero
Drivers de gráficos
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.3
Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema
Descripción: Existían múltiples problemas de falta de referencia nula en los drivers de gráficos del kernel. Un archivo ejecutable de 32 bits creado con fines malintencionados podría ser capaz de obtener privilegios elevados.
ID de CVE
CVE-2014-1379: Ian Beer de Google Project Zero
Seguridad: Llavero
Disponible para: OS X Mavericks v10.9 a v10.9.3
Impacto: Un atacante podría ser capaz de escribir en las ventanas que están bajo el bloqueo de pantalla
Descripción: En circunstancias muy poco habituales, el bloqueo de pantalla no impedía las pulsaciones de teclas. Esto podía permitir que un atacante escribiera en las ventanas bajo el bloqueo de pantalla. Este problema se ha solucionado mejorando la gestión del supervisor de pulsación de teclas.
ID de CVE
CVE-2014-1380: Ben Langfeld de Mojo Lingo LLC
Seguridad: Secure Transport
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.3
Impacto: Dos bytes de memoria podrían revelarse a un atacante remoto
Descripción: Existía un problema de acceso a la memoria no inicializada en la gestión de mensajes DTLS en una conexión TLS. Este problema se ha solucionado aceptando únicamente mensajes DTLS en una conexión DTLS.
ID de CVE
CVE-2014-1361: Thijs Alkemade de The Adium Project
Thunderbolt
Disponible para: OS X Mavericks v10.9 a v10.9.3
Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema
Descripción: Existía un problema de acceso a la memoria fuera de los límites en la gestión de las llamadas de la API IOThunderBoltController. Este problema se ha solucionado mejorando la comprobación de los límites.
ID de CVE
CVE-2014-1381: Sarah, alias "winocm"
Entrada añadida el 3 de febrero de 2020