Acerca del contenido de seguridad de OS X Yosemite v10.10.2 y la actualización de seguridad 2015-001
Este documento describe el contenido de seguridad de OS X Yosemite v10.10.2 y la actualización de seguridad 2015-001
Con el fin de proteger a nuestros clientes, Apple no revelará, comentará ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos Apple, visita el sitio web Seguridad de los productos Apple.
Para obtener más información sobre la clave PGP de seguridad de los productos de Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.
Siempre que sea posible, se utilizan ID de CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.
Para obtener más información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.
OS X Yosemite v10.10.2 y actualización de seguridad 2015-001
AFP Server
Disponible para: OS X Mavericks v10.9.5
Impacto: un atacante remoto podría averiguar todas las direcciones de red del sistema.
Descripción: el servidor de archivos AFP admitía un comando que devolvía todas las direcciones de red del sistema. Este problema se ha solucionado eliminando las direcciones del resultado.
CVE-ID
CVE-2014-4426: Craig Young de Tripwire VERT
bash
Disponible para: OS X Yosemite v10.10 y v10.10.1
Impacto: varios puntos vulnerables de bash, incluido uno que podría permitir a los atacantes locales ejecutar código arbitrario.
Descripción: había varios puntos vulnerables en bash. Estos problemas se han solucionado actualizando la versión de bash al nivel de patch 57.
CVE-ID
CVE-2014-6277
CVE-2014-7186
CVE-2014-7187
Bluetooth
Disponible para: OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9.5
Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema.
Descripción: había un error de asignación de enteros en IOBluetoothFamily que permitía la manipulación de la memoria de kernel. Este problema se ha solucionado mejorando la comprobación de los límites. Este problema no afecta a los sistemas OS X Yosemite.
CVE-ID
CVE-2014-4497
Bluetooth
Disponible para: OS X Yosemite v10.10 y v10.10.1
Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema.
Descripción: había un error en el controlador de Bluetooth que permitía que una aplicación creada con fines malintencionados controlara el tamaño de las unidades de escritura en la memoria de kernel. El problema se ha solucionado incrementando la validación de las entradas.
CVE-ID
CVE-2014-8836: Ian Beer de Google Project Zero
Bluetooth
Disponible para: OS X Yosemite v10.10 y v10.10.1
Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema.
Descripción: había varios problemas de seguridad en el controlador de Bluetooth que permitían que una aplicación creada con fines malintencionados ejecutara código arbitrario con privilegios del sistema. Los problemas se han solucionado incrementando la validación de las entradas.
CVE-ID
CVE-2014-8837: Roberto Paleari y Aristide Fattori de Emaze Networks
CFNetwork Cache
Disponible para: OS X Yosemite v10.10 y v10.10.1
Impacto: la caché del sitio web podría no borrarse por completo tras salir de la navegación privada.
Descripción: había un problema de privacidad debido al cual se conservaban los datos de navegación en la caché tras salir de la navegación privada. Este problema se ha solucionado modificando el comportamiento del almacenamiento en caché.
CVE-ID
CVE-2014-4460
CoreGraphics
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: abrir un archivo PDF creado con fines malintencionados podría provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario.
Descripción: había un desbordamiento de enteros en la gestión de archivos PDF. Este problema se ha solucionado mejorando la comprobación de los límites.
CVE-ID
CVE-2014-4481: Felipe Andrés Manzano de Binamuse VRT en colaboración con iSIGHT Partners GVP Program
CPU Software
Disponible para: OS X Yosemite v10.10 y v10.10.1, MacBook Pro Retina, MacBook Air (mediados de 2013 y modelos posteriores), iMac (finales de 2013 y modelos posteriores), Mac Pro (finales de 2013)
Impacto: un dispositivo Thunderbolt creado con fines malintencionados podría afectar al almacenamiento en memoria flash del firmware.
Descripción: los dispositivos Thunderbolt podrían modificar el firmware del host si se conectan durante una actualización de EFI. Este problema se ha solucionado omitiendo la carga de las memorias ROM opcionales durante las actualizaciones.
CVE-ID
CVE-2014-4498 : Trammell Hudson de Two Sigma Investments
CommerceKit Framework
Disponible para: OS X Yosemite v10.10 y v10.10.1
Impacto: un atacante con acceso a un sistema podría ser capaz de recuperar credenciales de ID de Apple.
Descripción: había un problema en la gestión de registros del App Store. El proceso del App Store podría incluir credenciales de ID de Apple en el registro cuando se activaba el registro adicional. Este problema se ha solucionado desactivando el registro de credenciales.
CVE-ID
CVE-2014-4499: Sten Petersen
CoreGraphics
Disponible para: OS X Yosemite v10.10 y v10.10.1
Impacto: algunas aplicaciones de terceros con eventos no seguros de entrada de texto y ratón podrían registrar dichos eventos.
Descripción: debido a la combinación de una variable no inicializada con el asignador personalizado de una aplicación, es posible que se hayan registrado eventos no seguros de entrada de texto y ratón. Este problema se ha solucionado asegurando que el registro esté desactivado de forma predeterminada. Este problema no afectaba a los sistemas anteriores a OS X Yosemite.
CVE-ID
CVE-2014-1595: Steven Michaud de Mozilla en colaboración con Kent Howard
CoreGraphics
Disponible para: OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9.5
Impacto: abrir un archivo PDF creado con fines malintencionados podría provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario.
Descripción: había un problema de corrupción de memoria en la gestión de archivos PDF. Este problema se ha solucionado mejorando la comprobación de los límites. Este problema no afecta a los sistemas OS X Yosemite.
CVE-ID
CVE-2014-8816: Mike Myers de Digital Operatives LLC
CoreSymbolication
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema.
Descripción: había varios problemas de confusión de tipo en la gestión de mensajes XPC de coresymbolicationd. Estos problemas se han solucionado mejorando la comprobación de tipos.
CVE-ID
CVE-2014-8817: Ian Beer de Google Project Zero
FontParser
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: procesar un archivo .dfont creado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario.
Descripción: había un problema de corrupción de memoria en la gestión de archivos .dfont. Este problema se ha solucionado mejorando la comprobación de los límites.
CVE-ID
CVE-2014-4484: Gaurav Baruah en colaboración con Zero Day Initiative de HP
FontParser
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: abrir un archivo PDF creado con fines malintencionados podría provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario.
Descripción: había un desbordamiento de búfer en la gestión de archivos de tipos de letra. Este problema se ha solucionado mejorando la comprobación de los límites.
CVE-ID
CVE-2014-4483: Apple
Foundation
Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: visualizar un archivo XML creado con fines malintencionados podría provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario.
Descripción: había un desbordamiento de búfer en el analizador XML. Este problema se ha solucionado mejorando la comprobación de los límites.
CVE-ID
CVE-2014-4485: Apple
Intel Graphics Driver
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: varios puntos vulnerables en Intel Graphics Driver.
Descripción: había varios puntos vulnerables en Intel. El más grave podría provocar la ejecución de código arbitrario con privilegios del sistema. Esta actualización soluciona los problemas realizando comprobaciones adicionales de límites.
CVE-ID
CVE-2014-8819: Ian Beer de Google Project Zero
CVE-2014-8820: Ian Beer de Google Project Zero
CVE-2014-8821: Ian Beer de Google Project Zero
IOAcceleratorFamily
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema.
Descripción: había una falta de referencia a un puntero nulo en la gestión de tipos de userclient de IOService en IOAcceleratorFamily. Este problema se ha solucionado mejorando la validación de contextos de IOAcceleratorFamily.
CVE-ID
CVE-2014-4486: Ian Beer de Google Project Zero
IOHIDFamily
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema.
Descripción: había un desbordamiento de búfer en IOHIDFamily. Este problema se ha solucionado mejorando la comprobación de los límites.
CVE-ID
CVE-2014-4487: TaiG Jailbreak Team
IOHIDFamily
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema.
Descripción: había un problema de validación en la gestión de metadatos de la cola de recursos en IOHIDFamily. Este problema se ha solucionado mejorando la validación de los metadatos.
CVE-ID
CVE-2014-4488: Apple
IOHIDFamily
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema.
Descripción: había una falta de referencia a un puntero nulo en la gestión de colas de eventos en IOHIDFamily. Este problema se ha solucionado mejorando la validación de la inicialización de la cola de eventos de IOHIDFamily.
CVE-ID
CVE-2014-4489: @beist
IOHIDFamily
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: ejecutar una aplicación creada con fines malintencionados podría provocar la ejecución de código arbitrario en el kernel.
Descripción: había un problema de comprobación de los límites en un cliente de usuario aprovisionado por el controlador IOHIDFamily que permitía a una aplicación creada con fines malintencionados sobrescribir partes arbitrarias del espacio de direcciones del kernel. El problema se ha solucionado eliminando el método de cliente de usuario vulnerable.
CVE-ID
CVE-2014-8822: Vitaliy Toropov en colaboración con Zero Day Initiative de HP
IOKit
Disponible para: OS X Yosemite v10.10 y v10.10.1
Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema.
Descripción: había un desbordamiento de enteros en la gestión de funciones IOKit. Este problema se ha solucionado mejorando la validación de los argumentos IOKit API.
CVE-ID
CVE-2014-4389: Ian Beer de Google Project Zero
IOUSBFamily
Disponible para: OS X Yosemite v10.10 y v10.10.1
Impacto: una aplicación con privilegios podría ser capaz de leer datos arbitrarios de la memoria de kernel.
Descripción: había un problema de acceso a la memoria en la gestión de funciones de cliente de usuario del controlador IOUSB. Este problema se ha solucionado mejorando la validación de argumentos.
CVE-ID
CVE-2014-8823: Ian Beer de Google Project Zero
Kerberos
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema.
Descripción: la biblioteca libgssapi de Kerberos devolvía un token de contexto con un puntero final. Este problema se ha solucionado mejorando la gestión del estado.
CVE-ID
CVE-2014-5352
Kernel
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema.
Descripción: especificar un modo de caché personalizado permitía escribir en segmentos de memoria compartida de solo lectura de kernel. Este problema se ha solucionado dejando de conceder permisos de escritura como efecto secundario de algunos modos de caché personalizados.
CVE-ID
CVE-2014-4495: Ian Beer de Google Project Zero
Kernel
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema.
Descripción: había un problema de validación en la gestión de ciertos campos de metadatos de objetos IODataQueue. Este problema se ha solucionado mejorando la validación de los metadatos.
CVE-ID
CVE-2014-8824: @PanguTeam
Kernel
Disponible para: OS X Yosemite v10.10 y v10.10.1
Impacto: un atacante local puede suplantar respuestas del servicio de directorio para el kernel, elevar los privilegios o ejecutar el kernel.
Descripción: había problemas en la validación de identitysvc en la gestión de indicadores y errores, y el proceso de resolución del servicio de directorio. Para resolver este problema se ha mejorado la validación.
CVE-ID
CVE-2014-8825: Alex Radocea de CrowdStrike
Kernel
Disponible para: OS X Yosemite v10.10 y v10.10.1
Impacto: un usuario local podría ser capaz de determinar el diseño de la memoria de kernel.
Descripción: había varios problemas de memoria no inicializada en la interfaz de estadísticas de red que provocaban la divulgación de contenido de la memoria de kernel. Este problema se ha solucionado mediante la inicialización adicional de la memoria.
CVE-ID
CVE-2014-4371: Fermín J. Serna de Google Security Team
CVE-2014-4419: Fermín J. Serna de Google Security Team
CVE-2014-4420: Fermín J. Serna de Google Security Team
CVE-2014-4421: Fermín J. Serna de Google Security Team
Kernel

Impact: A person with a privileged network position may cause a denial of service
Description: A race condition issue existed in the handling of IPv6 packets. This issue was addressed through improved lock state checking.
CVE-ID
CVE-2011-2391
Kernel
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: aplicaciones creadas con fines malintencionados o comprometidas podrían determinar direcciones en el kernel.
Descripción: había un problema de divulgación de información en la gestión de API en relación con las extensiones del kernel. Las respuestas que contenían una clave OSBundleMachOHeaders podrían haber incluido direcciones de kernel, las cuales podrían ayudar a ignorar la protección ASLR (Address space layout randomization, aleatorización del espacio de direcciones). Este problema se ha solucionado desligando las direcciones antes de devolverlas.
CVE-ID
CVE-2014-4491: @PanguTeam, Stefan Esser
Kernel
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema.
Descripción: había un problema de validación en la gestión de ciertos campos de metadatos de objetos IOSharedDataQueue. Este problema se ha solucionando reubicando los metadatos.
CVE-ID
CVE-2014-4461: @PanguTeam
LaunchServices
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: un archivo JAR creado con fines malintencionados podría omitir las comprobaciones de Gatekeeper.
Descripción: había un problema en la gestión del inicio de aplicaciones con ciertos archivos JAR creados con fines malintencionados para omitir las comprobaciones de Gatekeeper. Este problema se ha solucionado mejorando la gestión de los metadatos de tipo de archivo.
CVE-ID
CVE-2014-8826: Hernan Ochoa de Amplia Security
libnetcore
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: una app aislada creada con fines malintencionados podría comprometer el daemon networkd.
Descripción: había varios problemas de confusión de tipo en la gestión de la comunicación entre procesos en networkd. Se podría ejecutar código arbitrario como proceso de networkd al enviar un mensaje con formato malicioso a networkd. El problema se ha solucionado realizando comprobaciones de tipos adicionales.
CVE-ID
CVE-2014-4492: Ian Beer de Google Project Zero
LoginWindow
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: un Mac podría no bloquearse inmediatamente tras activarse.
Descripción: había un problema en la renderización de la pantalla de bloqueo. Este problema se ha solucionado mejorando la renderización de pantalla en el estado de bloqueo.
CVE-ID
CVE-2014-8827: Xavier Bertels de Mono y varios evaluadores de seeds de OS X
lukemftp
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: recuperar archivos de un host HTTP creado con fines malintencionados mediante la herramienta de FTP de línea de comandos podría provocar la ejecución de código arbitrario.
Descripción: había un problema de inyección de comandos en la gestión de redireccionamientos HTTP. Este problema se ha solucionado mediante la mejora de la validación de caracteres especiales.
CVE-ID
CVE-2014-8517
ntpd
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: usar el daemon ntp con la autenticación criptográfica activada podría provocar filtraciones de información.
Descripción: había varios problemas de validación de las entradas en ntpd. Estos problemas se han solucionado mejorando la validación de datos.
CVE-ID
CVE-2014-9297
OpenSSL
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: varios puntos vulnerables en OpenSSL 0.9.8za, incluido uno que podría permitir a un atacante reducir las conexiones para usar suites de cifrado más débiles en aplicaciones mediante la biblioteca.
Descripción: había varios puntos vulnerables en OpenSSL 0.9.8za. Estos problemas se han solucionado actualizando OpenSSL a la versión 0.9.8zc.
CVE-ID
CVE-2014-3566
CVE-2014-3567
CVE-2014-3568
Sandbox
Disponible para: OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9.5
Impacto: un proceso aislado podría ser capaz de eludir las restricciones de la zona protegida.
Descripción: había un problema de diseño en el almacenamiento en caché de los perfiles de zona protegida que permitía a aplicaciones aisladas obtener acceso de escritura a la caché. Este problema se ha solucionado restringiendo el acceso de lectura a las rutas que contienen un segmento “com.apple.sandbox”. Este problema no afecta a OS X Yosemite v10.10 o versiones posteriores.
CVE-ID
CVE-2014-8828: Apple
SceneKit
Disponible para: OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9.5
Impacto: una aplicación creada con fines malintencionados podría ejecutar código arbitrario y comprometer la información del usuario.
Descripción: había varios problemas de lectura fuera de los límites en SceneKit. Estos problemas se han solucionado mejorando la comprobación de los límites.
CVE-ID
CVE-2014-8829: Jose Duart de Google Security Team
SceneKit
Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: visualizar un archivo Collada creado con fines malintencionados podría provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario.
Descripción: había un desbordamiento de búfer de pila en la gestión de archivos Collada en SceneKit. Visualizar un archivo Collada creado con fines malintencionados podría provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Se ha solucionado el problema mejorando la validación de los elementos del programa de acceso.
ID de CVE
CVE-2014-8830: Jose Duart del equipo de seguridad de Google
Security
Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: una aplicación descargada firmada con un certificado revocado de ID de desarrollador podría superar las comprobaciones de Gatekeeper.
Descripción: había un problema relacionado con cómo se evaluaba la información del certificado de aplicación almacenada en caché. Este problema se ha solucionado mejorando la lógica de caché.
CVE-ID
CVE-2014-8838: Apple
security_taskgate
Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: una app podría acceder a elementos del llavero que pertenecen a otras apps.
Descripción: había un problema de control de acceso en el llavero. Las aplicaciones firmadas con certificados de ID de desarrollador o autofirmados podrían acceder a elementos del llavero cuyas listas de control de acceso se basaban en grupos del llavero. Este problema se ha solucionado validando la identidad de firma al conceder acceso a los grupos del llavero.
CVE-ID
CVE-2014-8831: Apple
Spotlight
Disponible para: OS X Yosemite v10.10 y v10.10.1
Impacto: el remitente de un correo electrónico podría determinar la dirección IP del destinatario.
Descripción: Spotlight no comprobaba el estado del ajuste de Mail Cargar contenido remoto en mensajes. Este problema se ha solucionado mejorando la comprobación de la configuración.
CVE-ID
CVE-2014-8839: John Whitehead de The New York Times y Frode Moe de LastFriday.no
Spotlight
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: Spotlight podría guardar información inesperada en un disco duro externo.
Descripción: había un problema en Spotlight por el que se podría haber escrito contenido de la memoria en discos duros externos al indexar. Este problema se ha solucionado mejorando la gestión de la memoria.
CVE-ID
CVE-2014-8832: F-Secure
SpotlightIndex
Disponible para: OS X Yosemite v10.10 y v10.10.1
Impacto: Spotlight podría mostrar resultados de archivos que no pertenecen al usuario.
Descripción: había un problema de deserialización en la gestión de cachés de permisos en Spotlight. Un usuario que realizara una consulta en Spotlight podría haber obtenido resultados de búsqueda referentes a archivos que no debería poder leer por no tener privilegios suficientes. Este problema se ha solucionado mejorando la comprobación de los límites.
CVE-ID
CVE-2014-8833: David J Peacock, Independent Technology Consultant
sysmond
Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios de raíz.
Descripción: había un punto vulnerable de confusión de tipo en sysmond que permitía a una aplicación local conseguir privilegios. Este problema se ha solucionado mejorando la comprobación de tipos.
CVE-ID
CVE-2014-8835: Ian Beer de Google Project Zero
UserAccountUpdater
Disponible para: OS X Yosemite v10.10 y v10.10.1
Impacto: los archivos de preferencias de impresión podrían contener información confidencial sobre documentos PDF.
Descripción: se solucionó un problema que había en OS X Yosemite v10.10 relacionado con la gestión de archivos PDF protegidos por contraseña creados desde el cuadro de diálogo de impresión, debido al cual podrían haberse incluido contraseñas en los archivos de preferencias de impresión. Esta actualización elimina esta información ajena que podría aparecer en los archivos de preferencias de impresión.
CVE-ID
CVE-2014-8834: Apple
Nota: OS X Yosemite 10.10.2 incluye el contenido de seguridad de Safari 8.0.3.
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.