Acerca del contenido de seguridad de OS X Mavericks v10.9.2 y la Actualización de seguridad 2014-001

En este documento se describe el contenido de seguridad de OS X Mavericks v10.9.2 y la Actualización de seguridad 2014-001.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.

Para obtener información acerca de la Clave PGP de la Seguridad de los productos de Apple, visita "Cómo usar la Clave PGP de la Seguridad de los productos de Apple".

Siempre que sea posible, se utilizan ID CVE para hacer referencia a las vulnerabilidades a fin de obtener más información.

Para obtener información acerca de las actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".

Esta actualización se puede descargar e instalar mediante Actualización de software o desde el sitio web del Soporte técnico de Apple.

OS X Mavericks 10.9.2 y Actualización de seguridad 2014-001

  • Apache

    Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1

    Impacto: Varias vulnerabilidades en Apache

    Descripción: Existían varias vulnerabilidades en Apache; la más importante podía permitir la ejecución de ataques de secuencias de comandos entre sitios. Estos problemas se solucionan mediante la actualización de Apache con la versión 2.2.26.

    ID CVE

    CVE-2013-1862

    CVE-2013-1896

  • Zona protegida (sandbox) de apps

    Disponible para: OS X Mountain Lion v10.8.5

    Impacto: La zona protegida de apps puede omitirse

    Descripción: La interfaz LaunchServices para iniciar aplicaciones permitía a las apps de la zona protegida especificar la lista de argumentos transmitida al nuevo proceso. Una aplicación vulnerable de la zona protegida podría hacer mal uso de esto para salir de dicha zona. El problema se solucionó mediante un proceso que impide que las aplicaciones de la zona protegida especifiquen argumentos. Este problema no afecta a los sistemas que ejecutan OS X Mavericks v10.9 o posteriores.

    ID CVE

    CVE-2013-5179 : Friedrich Graeter de The Soulmen GbR

  • ATS

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1

    Impacto: La visualización o la descarga de un documento que contenga una fuente incrustada creada con fines malintencionados pueden provocar la ejecución de código arbitrario

    Descripción: Existía un problema de corrupción de memoria al procesar fuentes de Tipo 1. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1254 : Felix Groebert del Google Security Team

  • ATS

    Disponible para: OS X Mavericks 10.9 y OS X Mavericks 10.9.1

    Impacto: La zona protegida de apps puede omitirse

    Descripción: Existía un problema de corrupción de memoria al procesar mensajes Mach pasados a ATS. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1262 : Meder Kydyraliev del Google Security Team

  • ATS

    Disponible para: OS X Mavericks 10.9 y OS X Mavericks 10.9.1

    Impacto: La zona protegida de apps puede omitirse

    Descripción: Existía un problema de liberación arbitraria al procesar mensajes Mach pasados a ATS. Este problema se solucionó mediante la validación de los mensajes Mach.

    ID CVE

    CVE-2014-1255 : Meder Kydyraliev del Google Security Team

  • ATS

    Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1

    Impacto: La zona protegida de apps puede omitirse

    Descripción: Existía un problema de desbordamiento del búfer al procesar mensajes Mach pasados a ATS. Este problema se solucionó mediante la comprobación adicional de los límites.

    ID CVE

    CVE-2014-1256 : Meder Kydyraliev del Google Security Team

  • Política de confianza en certificados

    Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1

    Impacto: Se actualizaron los certificados raíz

    Descripción: Se actualizó el conjunto de certificados raíz del sistema. La lista completa de certificados raíz reconocidos puede verse mediante la aplicación Acceso a Llaveros.

  • Cookies de CFNetwork

    Disponible para: OS X Mountain Lion v10.8.5

    Impacto: Las cookies de sesión pueden persistir incluso tras restablecer Safari

    Descripción: Al restablecer Safari no siempre se eliminaban las cookies de sesión hasta que Safari se cerraba. El problema se solucionó mediante una mejora del procesamiento de las cookies de sesión. Este problema no afecta a los sistemas que ejecutan OS X Mavericks v10.9 o posteriores.

    ID CVE

    CVE-2014-1257 : Rob Ansaldo de Amherst College, Graham Bennett

  • CoreAnimation

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1

    Impacto: Visitar un sitio web malicioso podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un desbordamiento del búfer de pila cuando CoreAnimation procesaba imágenes. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1258 : Karl Smith de NCC Group

  • CoreText

    Disponible para: OS X Mavericks 10.9 y OS X Mavericks 10.9.1

    Impacto: Las aplicaciones que utilizan CoreText pueden ser vulnerables al cierre inesperado de la aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de presencia de signo al procesar fuentes Unicode en CoreText. Este problema se resuelve mediante una mejora en la comprobación de los límites.

    ID CVE

    CVE-2014-1261 : Lucas Apa y Carlos Mario Penagos de IOActive Labs

  • curl

    Disponible para: OS X Mavericks 10.9 y OS X Mavericks 10.9.1

    Impacto: Un atacante con una posición de red privilegiada podía interceptar credenciales de usuario u otra información confidencial

    Descripción: Al usar curl para conectarse a una URL HTTPS que contiene una dirección IP, no se valida la dirección IP por comparación con el certificado. Este problema no afecta a los sistemas anteriores a OS X Mavericks v10.9.

    ID CVE

    CVE-2014-1263 : Roland Moriz de Moriz GmbH

  • Seguridad de los datos

    Disponible para: OS X Mavericks 10.9 y OS X Mavericks 10.9.1

    Impacto: Un atacante con una posición de red privilegiada podría capturar o modificar datos en sesiones protegidas con SSL/TLS

    Descripción: Secure Transport no validaba correctamente la autenticidad de la conexión. Este problema se solucionó mediante la restauración de los pasos de validación que faltaban.

    ID CVE

    CVE-2014-1266

  • Fecha y hora

    Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1

    Impacto: Un usuario sin privilegios podría cambiar el reloj del sistema

    Descripción: Esta actualización cambia el comportamiento del comando

    systemsetup
    de modo que exija tener privilegios de administrador para modificar el reloj del sistema.

    ID CVE

    CVE-2014-1265

  • Marcador de archivos

    Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1

    Impacto: La visualización de un archivo con un nombre malintencionado puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: Existía un desbordamiento del búfer al procesar nombres de archivos. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1259

  • Finder

    Disponible para: OS X Mavericks 10.9 y OS X Mavericks 10.9.1

    Impacto: Acceder a la ACL de un archivo a través del Finder puede hacer que otros usuarios obtengan acceso no autorizado a los archivos

    Descripción: Acceder a la ACL de un archivo a través del Finder puede dañar las ACL del archivo. Este problema se solucionó mediante la mejora del procesamiento de las ACL.

    ID CVE

    CVE-2014-1264

  • ImageIO

    Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1

    Impacto: Ver un archivo JPEG creado con fines malintencionados podría provocar la revelación de contenido de la memoria

    Descripción: Existía un problema de acceso a la memoria no inicializada cuando libjpeg procesaba marcadores JPEG, lo cual revelaba el contenido de la memoria. Este problema se solucionó mediante la mejora del procesamiento de JPEG.

    ID CVE

    CVE-2013-6629 : Michal Zalewski

  • IOSerialFamily

    Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5

    Impacto: La ejecución de una aplicación malintencionada podía provocar la ejecución de código arbitrario en el kernel

    Descripción: Existía un acceso a una matriz fuera de los límites en el driver IOSerialFamily. Este problema se solucionó mediante comprobaciones de límites adicionales. Este problema no afecta a los sistemas que ejecutan OS X Mavericks v10.9 o posteriores.

    ID CVE

    CVE-2013-5139 : @dent1zt

  • LaunchServices

    Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5

    Impacto: Un archivo podía mostrar una extensión incorrecta

    Descripción: Existía un problema en el procesamiento de determinados caracteres unicode que podía permitir que los nombres de archivo mostraran extensiones incorrectas. El problema se solucionó mediante el filtrado de los caracteres unicode no seguros para que no se muestren en los nombres de archivo. Este problema no afecta a los sistemas que ejecutan OS X Mavericks v10.9 o posteriores.

    ID CVE

    CVE-2013-5178 : Jesse Ruderman de Mozilla Corporation, Stephane Sudre de Intego

  • Drivers NVIDIA

    Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1

    Impacto: Ejecutar una aplicación malintencionada podía dar como resultado la ejecución de código arbitrario dentro de la tarjeta gráfica

    Descripción: Existía un problema que permitía escribir en una memoria de confianza de la tarjeta gráfica. El problema se solucionó mediante la eliminación de la capacidad del host para escribir en esa memoria.

    ID CVE

    CVE-2013-5986 : Marcin Kościelnicki del proyecto X.Org Foundation Nouveau

    CVE-2013-5987 : Marcin Kościelnicki del proyecto X.Org Foundation Nouveau

  • PHP

    Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1

    Impacto: Varias vulnerabilidades en PHP

    Descripción: Existían varias vulnerabilidades en PHP; la más grave podía haber provocado la ejecución de código arbitrario. Estos problemas se resolvieron mediante la actualización de PHP con la versión 5.4.24 en OS X Mavericks v10.9 y 5.3.28 en OS X Lion y Mountain Lion.

    ID CVE

    CVE-2013-4073

    CVE-2013-4113

    CVE-2013-4248

    CVE-2013-6420

  • QuickLook

    Disponible para: OS X Mountain Lion v10.8.5

    Impacto: La descarga de un archivo de Microsoft Office creado con fines malintencionados podría provocar el cierre de una aplicación de manera inesperada o la ejecución de código arbitrario

    Descripción: Existía un problema de corrupción de memoria cuando QuickLook procesaba archivos de Microsoft Office. La descarga de un archivo de Microsoft Office creado con fines malintencionados podría haber provocado la finalización inesperada de una aplicación o la ejecución de código arbitrario. Este problema no afecta a los sistemas que ejecutan OS X Mavericks v10.9 o posteriores.

    ID CVE

    CVE-2014-1260 : Felix Groebert del Google Security Team

  • QuickLook

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1

    Impacto: La descarga de un archivo de Microsoft Word creado con fines malintencionados podría provocar el cierre de una aplicación de manera inesperada o la ejecución de código arbitrario

    Descripción: Existía un problema de vulnerabilidad "double free" cuando QuickLook procesaba documentos de Microsoft Word. El problema se solucionó al mejorar la administración de la memoria.

    ID CVE

    CVE-2014-1252 : Felix Groebert del Google Security Team

  • QuickTime

    Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1

    Impacto: Reproducir un archivo de película creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: Existía un desbordamiento del búfer al procesar átomos "ftab". Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1246 : Investigador anónimo en colaboración con Zero Day Initiative de HP

  • QuickTime

    Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1

    Impacto: Reproducir un archivo de película creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de corrupción de memoria al procesar átomos "dref". Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1247 : Tom Gallagher y Paul Bates en colaboración con Zero Day Initiative de HP

  • QuickTime

    Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1

    Impacto: Reproducir un archivo de película creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: Existía un desbordamiento del búfer al procesar átomos "ldat". Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1248 : Jason Kratzer en colaboración con iDefense VCP

  • QuickTime

    Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1

    Impacto: La visualización de una imagen PSD creada con fines malintencionados puede ocasionar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: Existía un desbordamiento del búfer al procesar imágenes PSD. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1249 : dragonltx del Tencent Security Team

  • QuickTime

    Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1

    Impacto: Reproducir un archivo de película creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de intercambio de bytes fuera de límites al procesar elementos "ttfo". Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1250 : Jason Kratzer en colaboración con iDefense VCP

  • QuickTime

    Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1

    Impacto: Reproducir un archivo de película creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de corrupción de memoria al procesar átomos "stsz". Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1245 : Tom Gallagher y Paul Bates en colaboración con Zero Day Initiative de HP

  • Secure Transport

    Disponible para: OS X Mountain Lion v10.8.5

    Impacto: Un atacante podría ser capaz de descifrar datos protegidos mediante SSL

    Descripción: Había ataques conocidos contra la confidencialidad de SSL 3.0 y TLS 1.0 cuando un conjunto de cifrado utilizaba cifrado por bloques en modo CBC. Para resolver estos problemas en aplicaciones que usan Secure Transport, se habilitó la mitigación de fragmentos de 1 byte de manera predeterminada para esta configuración.

    ID CVE

    CVE-2011-3389 : Juliano Rizzo y Thai Duong

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados o probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o productos de otros fabricantes. Apple no ofrece ninguna representación con relación a la precisión o fiabilidad de los sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Comunícate con el proveedor para obtener información adicional. Otros nombres de compañías y productos mencionados pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: