Acerca del contenido de seguridad de OS X Yosemite v10.10.4 y de la actualización de seguridad 2015-005
En este documento, se describe el contenido de seguridad de OS X Yosemite v10.10.4 y la actualización de seguridad 2015-005.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web de seguridad de los productos Apple
Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta el artículo Cómo utilizar la clave PGP de seguridad de los productos de Apple.
A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.
Para obtener información acerca de otras actualizaciones de seguridad, consulta el artículo Actualizaciones de seguridad de Apple.
OS X Yosemite v10.10.4 y actualización de seguridad 2015-005
Admin Framework
Disponible para OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3
Impacto: Es posible que un proceso obtenga privilegios de administrador sin autenticación adecuada
Descripción: Existía un problema al comprobar los derechos de XPC. Este problema se solucionó mejorando la comprobación de autorizaciones.
ID CVE
CVE-2015-3671: Emil Kvarnhammar de TrueSec
Admin Framework
Disponible para OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3
Impacto: Es posible que un usuario no administrador obtenga derechos de administrador
Descripción: Existía un problema con el manejo de la autenticación de usuarios. Este problema se solucionó mejorando la comprobación de errores.
ID CVE
CVE-2015-3672: Emil Kvarnhammar de TrueSec
Admin Framework
Disponible para OS X Yosemite v10.10 a v10.10.3
Impacto: Es posible que un atacante haga un mal uso de la utilidad de directorios para obtener privilegios de usuario raíz
Descripción: Se podía trasladar y modificar la utilidad de directorios para lograr la ejecución de códigos dentro de un proceso autorizado. Este problema se solucionó limitando la ubicación de disco desde la que se podían ejecutar los clientes de writeconfig.
ID CVE
CVE-2015-3673: Patrick Wardle de Synack y Emil Kvarnhammar de TrueSec
afpserver
Disponible para OS X Yosemite v10.10 a v10.10.3
Impacto: Es posible que un atacante remoto pueda provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Existía un problema de daños en la memoria en el servidor AFP. Este problema se solucionó mejorando el manejo de la memoria.
ID CVE
CVE-2015-3674: Dean Jerkovich de NCC Group
apache
Disponible para OS X Yosemite v10.10 a v10.10.3
Impacto: Es posible que un atacante pueda acceder a directorios protegidos con autenticación HTTP sin saber las credenciales correctas
Descripción: La configuración predeterminada de Apache no incluía mod_hfs_apple. Si Apache se activó de manera manual y la configuración no se modificó, es posible que algunos archivos que no debían ser accesibles lo fueran mediante una URL creada especialmente. Este problema se solucionó activando mod_hfs_apple.
ID CVE
CVE-2015-3675: Apple
apache
Disponible para OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3
Impacto: Existen varias vulnerabilidades en PHP, de las cuales la más grave podría causar la ejecución de código arbitrario
Descripción: Existían varias vulnerabilidades en las versiones de PHP anteriores a 5.5.24 y 5.4.40. Se solucionaron actualizando PHP a las versiones 5.5.24 y 5.4.40.
ID CVE
CVE-2015-0235
CVE-2015-0273
AppleGraphicsControl
Disponible para OS X Yosemite v10.10 a v10.10.3
Impacto: Es posible que una aplicación malintencionada pueda determinar la distribución de la memoria del kernel
Descripción: Existía un problema de AppleGraphicsControl que podría haber ocasionado la divulgación de la distribución de la memoria del kernel. Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2015-3676: Chen Liang de KEEN Team
AppleFSCompression
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3
Impacto: Es posible que una aplicación malintencionada pueda determinar la distribución de la memoria del kernel
Descripción: Existía un problema de compresión de LZVN que podría haber ocasionado la divulgación del contenido de la memoria del kernel. Este problema se solucionó mejorando el manejo de la memoria.
ID CVE
CVE-2015-3677: un investigador anónimo, en colaboración con la programa Zero Day Initiative de HP
AppleThunderboltEDMService
Disponible para OS X Yosemite v10.10 a v10.10.3
Impacto: Es posible que una aplicación malintencionada pueda ejecutar código arbitrario con privilegios del sistema
Descripción: Existía un problema de daños en la memoria en el manejo de ciertos comandos de Thunderbolt de procesos locales. Este problema se solucionó mejorando el manejo de la memoria.
ID CVE
CVE-2015-3678: Apple
ATS
Disponible para OS X Yosemite v10.10 a v10.10.3
Impacto: Es posible que el procesamiento de un archivo de tipo de letra creado con fines malintencionados ocasione el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Existían varios problemas de daños en la memoria en el manejo de ciertas fuentes. Para solucionar estos problemas, se mejoró el manejo de la memoria.
ID CVE
CVE-2015-3679: Pawel Wylecial, en colaboración con la programa Zero Day Initiative de HP
CVE-2015-3680: Pawel Wylecial, en colaboración con la programa Zero Day Initiative de HP
CVE-2015-3681: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-3682: 魏诺德
Bluetooth
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3
Impacto: Es posible que una aplicación malintencionada pueda ejecutar código arbitrario con privilegios del sistema
Descripción: Existía un problema de daños en la memoria en la interfaz de Bluetooth HCI. Este problema se solucionó mejorando el manejo de la memoria.
ID CVE
CVE-2015-3683: Roberto Paleari y Aristide Fattori de Emaze Networks
Certificate Trust Policy
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3
Impacto: Es posible que un atacante con una posición de red privilegiada pueda interceptar el tráfico de red
Descripción: La autoridad de certificados CNNIC emitió un certificado intermedio incorrecto. Este problema se solucionó agregando un mecanismo que permite confiar solamente en un subconjunto de certificados emitidos antes de la emisión errónea del certificado intermedio. Puedes obtener más información acerca de la lista de seguridad de confianza parcial.
Certificate Trust Policy
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 to v10.10.3
Descripción: Se actualizó la política de confianza en certificados. La lista de certificados completa se puede ver en OS X Trust Store.
CFNetwork HTTPAuthentication
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3
Impacto: Es posible que el seguimiento de una URL creada con fines malintencionados ocasione la ejecución de código arbitrario
Descripción: Existía un problema de daños en la memoria en el manejo de ciertas credenciales de la URL. Este problema se solucionó mejorando el manejo de la memoria.
ID CVE
CVE-2015-3684: Apple
CoreText
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3
Impacto: Es posible que el procesamiento de un archivo de texto creado con fines malintencionados ocasione el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Existían varios problemas de daños en la memoria en el procesamiento de archivos de texto. Para solucionar estos problemas, se mejoró la comprobación de límites.
ID CVE
CVE-2015-1157
CVE-2015-3685: Apple
CVE-2015-3686: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-3687: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-3688: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-3689: Apple
coreTLS
Disponible para OS X Yosemite v10.10 a v10.10.3
Impacto: Es posible que un atacante con una posición de red privilegiada intercepte las conexiones SSL/TLS
Descripción: coreTLS aceptó claves Diffie-Hellman (DH) cortas y efímeras, como las que se usan en los conjuntos de encriptación efímera DH con fortaleza de exportación. Este problema, también conocido como Logjam, permitía que un atacante con una posición de red privilegiada redujera la seguridad de DH a 512 bits si el servidor admitía un conjunto de encriptación efímera DH con fortaleza de exportación. Para solucionar este problema, se aumentó el tamaño mínimo predeterminado que se admite para las claves efímeras a 768 bits.
ID CVE
CVE-2015-4000: equipo de weakdh (weakdh.org) y Hanno Boeck
DiskImages
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3
Impacto: Es posible que una aplicación malintencionada pueda determinar la distribución de la memoria del kernel
Descripción: Existía un problema de divulgación de información en el procesamiento de las imágenes de disco. Este problema se solucionó mejorando la administración de la memoria.
ID CVE
CVE-2015-3690: Peter Rutenbar, en colaboración con la programa Zero Day Initiative de HP
Display Drivers
Disponible para OS X Yosemite v10.10 a v10.10.3
Impacto: Es posible que una aplicación malintencionada pueda ejecutar código arbitrario con privilegios del sistema
Descripción: Existía un problema en la extensión del kernel Monitor Control Comando Set, mediante la cual un proceso de UserLAnd podía controlar el valor de un puntero de funciones del kernel. Este problema se solucionó eliminando la interfaz afectada.
ID CVE
CVE-2015-3691: Roberto Paleari y Aristide Fattori de Emaze Networks
EFI
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3
Impacto: Es posible que una aplicación malintencionada con privilegios de usuario de raíz pueda modificar la memoria flash EFI
Descripción: Existía un problema de bloqueo insuficiente con flash EFI cuando se reanudaba después de estar en reposo . Este problema se solucionó mejorando el bloqueo.
ID CVE
CVE-2015-3692: Trammell Hudson de Two Sigma Investments, Xeno Kovah y Corey Kallenberg de LegbaCore LLC, y Pedro Vilaça
EFI
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3
Impacto: Es posible que una aplicación malintencionada provoque daños en la memoria para elevar los privilegios
Descripción: Existe un error de interrupción (también denominado Rowhammer) con algunas memorias RAM DDR3 que podría haber ocasionado daños en la memoria. El problema se mitigó aumentando los índices de actualización de la memoria.
ID CVE
CVE-2015-3693: Mark Seaborn y Thomas Dullien de Google, sobre la base de la investigación previa de Yoongu Kim y otros (2014)
FontParser
Disponible para OS X Yosemite v10.10 a v10.10.3
Impacto: Es posible que el procesamiento de un archivo de tipo de letra creado con fines malintencionados ocasione el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Existía un problema de daños en la memoria en el procesamiento de archivos de tipos de letra. Este problema se solucionó mejorando la validación de entradas.
ID CVE
CVE-2015-3694: John Villamil (@day6reak), Yahoo Pentest Team
Graphics Driver
Disponible para OS X Yosemite v10.10 a v10.10.3
Impacto: Es posible que una aplicación malintencionada pueda ejecutar código arbitrario con privilegios del sistema
Descripción: Existía un problema de escritura fuera de los límites en el controlador de gráficos NVIDIA. Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2015-3712: Ian Beer de Google Project Zero
Intel Graphics Driver
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3
Impacto: Existen varios problemas de desbordamiento de búferes en el controlador de gráficos Intel, de los cuales el más grave podría causar la ejecución de código arbitrario con privilegios del sistema
Descripción: Existían varios problemas de desbordamiento de búferes en el controlador de gráficos Intel. Estos problemas se solucionaron mediante comprobaciones de límites adicionales.
ID CVE
CVE-2015-3695: Ian Beer de Google Project Zero
CVE-2015-3696: Ian Beer de Google Project Zero
CVE-2015-3697: Ian Beer de Google Project Zero
CVE-2015-3698: Ian Beer de Google Project Zero
CVE-2015-3699: Ian Beer de Google Project Zero
CVE-2015-3700: Ian Beer de Google Project Zero
CVE-2015-3701: Ian Beer de Google Project Zero
CVE-2015-3702: KEEN Team
ImageIO
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3
Impacto: Existían varias vulnerabilidades en libtiff, de las cuales la más grave podría causar la ejecución de código arbitrario
Descripción: Existían varias vulnerabilidades en las versiones de libtiff anteriores a 4.0.4. Se solucionaron actualizando libtiff a la versión 4.0.4.
ID CVE
CVE-2014-8127
CVE-2014-8128
CVE-2014-8129
CVE-2014-8130
ImageIO
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3
Impacto: Es posible que el procesamiento de un archivo .tiff creado con fines malintencionados ocasione el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Existía un problema de daños en la memoria en el procesamiento de archivos .tiff. Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2015-3703: Apple
Install Framework Legacy
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3
Impacto: Es posible que una aplicación malintencionada pueda ejecutar código arbitrario con privilegios del sistema
Descripción: Existían varios problemas con la manera en la que el código binario de setuid “corredor” de Install.framework interrumpía los privilegios. Esto se solucionó restringiendo los privilegios correctamente.
ID CVE
CVE-2015-3704: Ian Beer de Google Project Zero
IOAcceleratorFamily
Disponible para OS X Yosemite v10.10 a v10.10.3
Impacto: Es posible que una aplicación malintencionada pueda ejecutar código arbitrario con privilegios del sistema
Descripción: Existían varios problemas de daños en la memoria en IOAcceleratorFamily. Para solucionar estos problemas, se mejoró el manejo de la memoria.
ID CVE
CVE-2015-3705: KEEN Team
CVE-2015-3706: KEEN Team
IOFireWireFamily
Disponible para OS X Yosemite v10.10 a v10.10.3
Impacto: Es posible que una aplicación malintencionada pueda ejecutar código arbitrario con privilegios del sistema
Descripción: Existían varios problemas de falta de referencia de puntero nulo en el controlador de FireWire. Estos problemas se solucionaron mejorando la comprobación de errores.
ID CVE
CVE-2015-3707: Roberto Paleari y Aristide Fattori de Emaze Networks
Kernel
Disponible para OS X Yosemite v10.10 a v10.10.3
Impacto: Es posible que una aplicación malintencionada pueda determinar la distribución de la memoria del kernel
Descripción: Existía un problema de administración de la memoria en el manejo de las API relacionadas con las extensiones del kernel que podría haber ocasionado la divulgación de la distribución de la memoria del kernel. Este problema se solucionó mejorando la administración de la memoria.
ID CVE
CVE-2015-3720: Stefan Esser
Kernel
Disponible para OS X Yosemite v10.10 a v10.10.3
Impacto: Es posible que una aplicación malintencionada pueda determinar la distribución de la memoria del kernel
Descripción: Existía un problema de administración de la memoria en el manejo de los parámetros HFS que podría haber ocasionado la divulgación de la distribución de la memoria del kernel. Este problema se solucionó mejorando la administración de la memoria.
ID CVE
CVE-2015-3721: Ian Beer de Google Project Zero
kext tools
Disponible para OS X Yosemite v10.10 a v10.10.3
Impacto: Es posible que una aplicación malintencionada pueda sobrescribir archivos arbitrarios
Descripción: kextd seguía enlaces simbólicos al crear un archivo nuevo. Este problema se solucionó mejorando el manejo de enlaces simbólicos.
ID CVE
CVE-2015-3708: Ian Beer de Google Project Zero
kext tools
Disponible para OS X Yosemite v10.10 a v10.10.3
Impacto: Es posible que un usuario local pueda cargar extensiones del kernel no firmadas
Descripción: Existía un problema de condición de carrera de tiempo de verificación/tiempo de uso (TOCTOU) al validar las rutas de las extensiones del kernel. Este problema se solucionó mejorando las comprobaciones para validar la ruta de las extensiones del kernel.
ID CVE
CVE-2015-3709: Ian Beer de Google Project Zero
Mail
Disponible para OS X Yosemite v10.10 a v10.10.3
Impacto: Un correo electrónico creado con fines malintencionados puede reemplazar el contenido del mensaje por una página web arbitraria cuando se visualiza el mensaje
Descripción: Existía un problema con el soporte técnico de correos electrónicos HTML, que permitía que el contenido del mensaje mostrara una página web arbitraria al actualizarse. Para solucionar este problema, se restringió la compatibilidad con contenido HTML.
ID CVE
CVE-2015-3710: Aaron Sigel de vtty.com y Jan Souček
ntfs
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3
Impacto: Es posible que una aplicación malintencionada pueda determinar la distribución de la memoria del kernel
Descripción: Existía un problema de NTFS que podría haber ocasionado la divulgación del contenido de la memoria del kernel. Este problema se solucionó mejorando el manejo de la memoria.
ID CVE
CVE-2015-3711: Peter Rutenbar, en colaboración con la programa Zero Day Initiative de HP
ntp
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3
Impacto: Es posible que un atacante en una posición privilegiada pueda ocasionar un ataque de denegación de servicio en contra de dos clientes ntp
Descripción: Existían varios problemas con la autenticación de los paquetes ntp que recibían los puntos finales configurados. Estos problemas se solucionaron mejorando la administración del estado de conexión.
ID CVE
CVE-2015-1798
CVE-2015-1799
OpenSSL
Disponible para OS X Yosemite v10.10 a v10.10.3
Impacto: Existen varios problemas en OpenSSL, incluido uno que podría permitir que un atacante intercepte las conexiones de un servidor compatible con cifrados de grado de exportación
Descripción: Existían varios problemas en OpenSSL 0.9.8zd, que se solucionaron actualizando OpenSSL a la versión 0.9.8zf.
ID CVE
CVE-2015-0209
CVE-2015-0286
CVE-2015-0287
CVE-2015-0288
CVE-2015-0289
CVE-2015-0293
QuickTime
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3
Impacto: Es posible que el procesamiento de un archivo de video creado con fines malintencionados ocasione el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Existían varios problemas de daños en la memoria en QuickTime. Para solucionar estos problemas, se mejoró el manejo de la memoria.
ID CVE
CVE-2015-3661: G. Geshev, en colaboración con la programa Zero Day Initiative de HP
CVE-2015-3662: kdot, en colaboración con la programa Zero Day Initiative de HP
CVE-2015-3663: kdot, en colaboración con la programa Zero Day Initiative de HP
CVE-2015-3666: Steven Seeley de Source Incite, en colaboración con la programa Zero Day Initiative de HP
CVE-2015-3667: Ryan Pentney y Richard Johnson de Cisco Talos y Kai Lu de FortiGuard Labs de Fortinet
CVE-2015-3668: Kai Lu de FortiGuard Labs de Fortinet
CVE-2015-3713: Apple
Security
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3
Impacto: Es posible que un atacante remoto provoque el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Existía un problema de desbordamiento de enteros en el código del marco de seguridad para el análisis de correos electrónicos S/MIME y algunos otros objetos firmados o cifrados. Para solucionar este problema, se mejoró la comprobación de validez.
ID CVE
CVE-2013-1741
Security
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3
Impacto: Es posible que no se impida el inicio de las aplicaciones manipuladas
Descripción: Las aplicaciones que utilizan reglas de recursos podrían haber quedado expuestas a una manipulación que no habría invalidado la firma. Este problema se solucionó mejorando la validación de recursos.
ID CVE
CVE-2015-3714: Joshua Pitts de Leviathan Security Group
Security
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3
Impacto: Es posible que una aplicación malintencionada pueda omitir las comprobaciones de firma de código
Descripción: Existía un problema en que la firma de código no verificaba las bibliotecas cargadas fuera del paquete de la aplicación. Este problema se solucionó mejorando la verificación de paquetes.
ID CVE
CVE- ID CVE-2015-3715: Patrick Wardle de Synack
Spotlight
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3
Impacto: La búsqueda de un archivo malintencionado con Spotlight podría provocar una inyección de comandos
Descripción: Existía una vulnerabilidad de inyección de comandos en el manejo de los nombres de los archivos de fotos agregados a la biblioteca de fotos local. Este problema se solucionó mejorando la validación de entradas.
ID CVE
CVE-2015-3716: Apple
SQLite
Disponible para OS X Yosemite v10.10 a v10.10.3
Impacto: Un atacante remoto podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Existían varios problemas de desbordamiento de búferes en la implementación de printf de SQLite. Para solucionar estos problemas, se mejoró la comprobación de límites.
ID CVE
CVE-2015-3717: Peter Rutenbar, en colaboración con la programa Zero Day Initiative de HP
SQLite
Disponible para OS X Yosemite v10.10 a v10.10.3
Impacto: Es posible que un comando SQL creado con fines malintencionados permita el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Existía un problema con la API en la funcionalidad de SQLite. Para resolver el problema, se mejoraron las restricciones.
ID CVE
CVE-2015-7036: Peter Rutenbar, en colaboración con la programa Zero Day Initiative de HP
System Stats
Disponible para OS X Yosemite v10.10 a v10.10.3
Impacto: Es posible que una aplicación malintencionada pueda comprometer systemstatsd
Descripción: Existía un problema de confusión de tipo en la forma en que systemstatsd manejaba la comunicación entre procesos. Al enviar un mensaje con formato malicioso a systemstatsd, podría haber sido posible ejecutar código arbitrario como el proceso systemstatsd. Este problema se solucionó mediante la comprobación adicional de los tipos.
ID CVE
CVE-2015-3718: Roberto Paleari y Aristide Fattori de Emaze Networks
TrueTypeScaler
Disponible para OS X Yosemite v10.10 a v10.10.3
Impacto: Es posible que el procesamiento de un archivo de tipo de letra creado con fines malintencionados ocasione el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Existía un problema de daños en la memoria en el procesamiento de archivos de tipos de letra. Este problema se solucionó mejorando la validación de entradas.
ID CVE
CVE-2015-3719: John Villamil (@day6reak), Yahoo Pentest Team
zip
Disponible para OS X Yosemite v10.10 a v10.10.3
Impacto: Es posible que la extracción de un archivo zip creado con fines malintencionados con la herramienta de descompresión ocasione el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Existían varios problemas de daños en la memoria en el manejo de archivos zip. Para solucionar estos problemas, se mejoró el manejo de la memoria.
ID CVE
CVE-2014-8139
CVE-2014-8140
CVE-2014-8141
En OS X Yosemite v10.10.4, se incluye el contenido de seguridad de Safari 8.0.7.
La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.