Acerca del contenido de seguridad de OS X Mavericks v10.9.5 y la Actualización de seguridad 2014-004
Este documento describe el contenido de seguridad de OS X Mavericks v10.9.5 y la Actualización de seguridad 2014-004.
Esta actualización se puede descargar e instalar mediante la Actualización de software o desde el sitio web del soporte de Apple.
Con el fin de proteger a nuestros clientes, Apple no revelará, comentará ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos Apple, visita el sitio web Seguridad de los productos Apple.
Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos Apple.
Siempre que sea posible, se utilizan ID de CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.
Para obtener más información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.
Nota: OS X Mavericks v10.9.5 incluye el contenido de seguridad de Safari 7.0.6.
OS X Mavericks v10.9.5 y Actualización de seguridad 2014-004
apache_mod_php
Disponible para: OS X Mavericks v10.9 a v10.9.4
Impacto: diversas vulnerabilidades en PHP 5.4.24.
Descripción: había diversas vulnerabilidades en PHP 5.4.24, la más grave de las cuales podía generar la ejecución de código arbitrario. Esta actualización aborda los problemas expuestos mediante la actualización de PHP a la versión 5.4.30
CVE-ID
CVE-2013-7345
CVE-2014-0185
CVE-2014-0207
CVE-2014-0237
CVE-2014-0238
CVE-2014-1943
CVE-2014-2270
CVE-2014-3478
CVE-2014-3479
CVE-2014-3480
CVE-2014-3487
CVE-2014-3515
CVE-2014-3981
CVE-2014-4049
Bluetooth
Disponible para: OS X Mavericks v10.9 a v10.9.4
Impacto: una app maliciosa puede ser capaz de ejecutar código arbitrario con privilegios del sistema.
Descripción: había un problema de validación en la gestión de una llamada a una API Bluetooth. Este problema se ha solucionado mejorando la comprobación de los límites.
CVE-ID
CVE-2014-4390: Ian Beer de Google Project Zero
CoreGraphics
Disponible para: OS X Mavericks v10.9 a v10.9.4
Impacto: abrir un archivo PDF creado con fines malintencionados podía provocar el cierre inesperado de una aplicación o la divulgación de información.
Descripción: había un problema de lectura de memoria fuera de los límites en la gestión de archivos PDF. Este problema se ha solucionado mejorando la comprobación de los límites.
CVE-ID
CVE-2014-4378: Felipe Andrés Manzano de Binamuse VRT en colaboración con iSIGHT Partners GVP Program
CoreGraphics
Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4
Impacto: abrir un archivo PDF creado con fines malintencionados podría provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario.
Descripción: había un desbordamiento de enteros en la gestión de archivos PDF. Este problema se ha solucionado mejorando la comprobación de los límites.
CVE-ID
CVE-2014-4377: Felipe Andrés Manzano de Binamuse VRT en colaboración con iSIGHT Partners GVP Program
Foundation
Disponible para: OS X Mavericks v10.9 a v10.9.4
Impacto: una aplicación con NSXMLParser podía utilizarse incorrectamente para divulgar información.
Descripción: había un problema con entidades externas XML en la gestión que NSXMLParser hace de XML. Este problema se ha solucionado evitando la carga de entidades externas entre orígenes.
CVE-ID
CVE-2014-4374: George Gal de VSR (http://www.vsecurity.com/)
Intel Graphics Driver
Disponible para: OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4
Impacto: la compilación de sombreados GLSL que no son de confianza podía provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.
Descripción: había un desbordamiento del búfer en el espacio del usuario en el compilador de sombreados. Este problema se ha solucionado mejorando la comprobación de los límites.
CVE-ID
CVE-2014-4393: Apple
Intel Graphics Driver
Disponible para: OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4
Impacto: una app maliciosa podía ser capaz de ejecutar código arbitrario con privilegios del sistema.
Descripción: varios problemas de validación en algunas rutinas del controlador de gráficos integrado. Estos problemas se han solucionado mejorando la comprobación de los límites.
CVE-ID
CVE-2014-4394: Ian Beer de Google Project Zero
CVE-2014-4395: Ian Beer de Google Project Zero
CVE-2014-4396: Ian Beer de Google Project Zero
CVE-2014-4397: Ian Beer de Google Project Zero
CVE-2014-4398: Ian Beer de Google Project Zero
CVE-2014-4399: Ian Beer de Google Project Zero
CVE-2014-4400: Ian Beer de Google Project Zero
CVE-2014-4401: Ian Beer de Google Project Zero
CVE-2014-4416: Ian Beer de Google Project Zero
IOAcceleratorFamily
Disponible para: OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4
Impacto: una aplicación creada con fines malintencionados puede ejecutar código arbitrario con privilegios del sistema.
Descripción: había una falta de referencia a un puntero nulo durante la gestión de argumentos de la API IOKit. Este problema se ha solucionado mejorando la validación de los argumentos IOKit API.
CVE-ID
CVE-2014-4376: Ian Beer de Google Project Zero
IOAcceleratorFamily
Disponible para: OS X Mavericks v10.9 a v10.9.4
Impacto: una app maliciosa puede ser capaz de ejecutar código arbitrario con privilegios del sistema.
Descripción: había un problema de lectura fuera de límites en la gestión de una función IOAcceleratorFamily. Este problema se ha solucionado mejorando la comprobación de los límites.
CVE-ID
CVE-2014-4402: Ian Beer de Google Project Zero
IOHIDFamily
Disponible para: OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4
Impacto: un usuario local puede leer los punteros del kernel, lo que puede utilizarse para eludir la aleatorización de la disposición del espacio de direcciones del kernel.
Descripción: había un problema de lectura fuera de límites en la gestión de una función IOHIDFamily. Este problema se ha solucionado mejorando la comprobación de los límites.
CVE-ID
CVE-2014-4379: Ian Beer de Google Project Zero
IOKit
Disponible para: OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4
Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema.
Descripción: había un problema de validación en la gestión de ciertos campos de metadatos de objetos IODataQueue. Este problema se ha solucionado mejorando la validación de los metadatos.
CVE-ID
CVE-2014-4388: @PanguTeam
IOKit
Disponible para: OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4
Impacto: una aplicación creada con fines malintencionados puede ejecutar código arbitrario con privilegios del sistema.
Descripción: había un desbordamiento de enteros en la gestión de funciones IOKit. Este problema se ha solucionado mejorando la comprobación de los límites.
CVE-ID
CVE-2014-4389: Ian Beer de Google Project Zero
Kernel
Disponible para: OS X Mavericks v10.9 a v10.9.4
Impacto: un usuario local puede leer las direcciones del kernel, lo que puede utilizarse para eludir la aleatorización de la disposición del espacio de direcciones del kernel.
Descripción: en algunos casos, la tabla global de descriptores de CPU se asignaba a una dirección predecible. Este problema se ha solucionado asignando siempre la tabla global de descriptores a direcciones aleatorias.
CVE-ID
CVE-2014-4403: Ian Beer de Google Project Zero
Libnotify
Disponible para: OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4
Impacto: una aplicación creada con fines malintencionados puede ejecutar código arbitrario con privilegios de raíz del sistema.
Descripción: había un problema de escritura fuera de límites en Libnotify. Este problema se abordó mediante la mejora de la comprobación de los límites.
CVE-ID
CVE-2014-4381: Ian Beer de Google Project Zero
OpenSSL
Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4
Impacto: diversas vulnerabilidades en OpenSSL 0.9.8y, incluida una que podría desembocar la ejecución de código arbitrario.
Descripción: había diversas vulnerabilidades en OpenSSL 0.9.8y. Este problema se ha solucionado actualizando OpenSSL a la versión 0.9.8za.
CVE-ID
CVE-2014-0076
CVE-2014-0195
CVE-2014-0221
CVE-2014-0224
CVE-2014-3470
QT Media Foundation
Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4
Impacto: la reproducción de un archivo de película creado con fines malintencionados puede provocar el cierre inesperado de la app o la ejecución de código arbitrario.
Descripción: había un problema de corrupción de memoria en la gestión de los archivos de película codificados mediante RLE. Este problema se ha solucionado mejorando la comprobación de los límites.
CVE-ID
CVE-2014-1391: Fernando Muñoz en colaboración con iDefense VCP, Tom Gallagher y Paul Bates en colaboración con la Iniciativa Día Cero de HP
QT Media Foundation
Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4
Impacto: la reproducción de un archivo MIDI creado con fines malintencionados puede provocar el cierre inesperado de la app o la ejecución de código arbitrario.
Descripción: había un problema de desbordamiento del búfer durante la gestión de archivos MIDI. Este problema se ha solucionado mejorando la comprobación de los límites.
CVE-ID
CVE-2014-4350: s3tm3m con la Iniciativa Día Cero de HP
QT Media Foundation
Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4
Impacto: la reproducción de un archivo de película creado con fines malintencionados puede provocar el cierre inesperado de la app o la ejecución de código arbitrario.
Descripción: había un problema de corrupción de memoria en la gestión de átomos “mvhd”. Este problema se ha solucionado mejorando la comprobación de los límites.
CVE-ID
CVE-2014-4979: Andrea Micalizzi aka rgod en colaboración con la Iniciativa Día Cero de HP
ruby
Disponible para: OS X Mavericks v10.9 a v10.9.4
Impacto: un atacante remoto podría ser capaz de provocar la ejecución de código arbitrario.
Descripción: había un desbordamiento del búfer de montón en la gestión de caracteres codificados con código por ciento en un URI por parte de LibYAML. Este problema se ha solucionado mejorando la comprobación de los límites. Esta actualización soluciona los problemas actualizando LibYAML a la versión 0.1.6.
CVE-ID
CVE-2014-2525
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.