Para instalar esta actualización, puedes descargarla con Actualización de software o desde el sitio web del Soporte técnico de Apple.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.
Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos Apple.
Siempre que sea posible, se utilizan ID CVE para hacer referencia a las vulnerabilidades a fin de obtener más información.
Para obtener información sobre otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.
Nota: En OS X Mavericks 10.9.4, se incluye el contenido de seguridad de Safari 7.0.5.
OS X Mavericks v10.9.4 y actualización de seguridad 2014-003
Política de confianza en certificados
Disponible para OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.3
Impacto: Actualización en la política de confianza en certificados.
Descripción: La política de confianza en certificados se actualizó. Se puede ver la lista completa de certificados en https://support.apple.com/es-lamr/HT6005.
archivo de copia
Disponible para OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.3
Impacto: Abrir un archivo .zip creado con fines malintencionados podía provocar el cierre inesperado de una app o la ejecución de código arbitrario.
Descripción: Existía un problema de intercambio de bytes fuera de los límites en la administración de archivos AppleDouble en archivos .zip. Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2014-1370: Chaitanya (SegFault) en colaboración con iDefense VCP
curl
Disponible para OS X Mavericks v10.9 a v10.9.3
Impacto: Un atacante remoto podía obtener acceso a la sesión de otro usuario.
Descripción: cURL reusaba las conexiones NTLM cuando se activaba más de un método de autenticación, lo que permitía a un atacante obtener acceso a la sesión de otro usuario.
ID CVE
CVE-2014-0015
Dock
Disponible para OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.3
Impacto: Una app en la zona protegida podía eludir las restricciones de la zona protegida.
Descripción: Existía un problema de índice de matriz no validado en la administración de mensajes del Dock desde las apps Un mensaje creado con fines malintencionados podía provocar la eliminación de la referencia a un puntero de función no válido, lo que podía provocar el cierre inesperado de una app o la ejecución de código arbitrario.
ID CVE
CVE-2014-1371: Un investigador anónimo en colaboración con la iniciativa Zero Day de HP
Driver de gráficos
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.3
Impacto: Un usuario local podía leer la memoria del kernel, que se puede usar para eludir la aleatorización del diseño del espacio de direcciones del kernel.
Descripción: Existía un problema de lectura fuera de los límites en la administración de una llamada del sistema. Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2014-1372: Ian Beer de Google Project Zero
iBooks Commerce
Disponible para OS X Mavericks v10.9 a v10.9.3
Impacto: Un atacante con acceso a un sistema podía recuperar las credenciales de un Apple ID.
Descripción: Existía un problema en la administración de los registros de iBooks. El proceso de iBooks podía registrar las credenciales de un Apple ID en el registro de iBooks donde otros usuarios del sistema podían leerlas. Este problema se solucionó desactivando el registro de credenciales.
ID CVE
CVE-2014-1317: Steve Dunham
Driver de gráficos Intel
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.3
Impacto: Una app creada con fines malintencionados podía ejecutar código arbitrario con privilegios del sistema.
Descripción: Existía un problema de validación en la administración de una llamada de la API OpenGL. Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2014-1373: Ian Beer de Google Project Zero
Driver de gráficos Intel
Disponible para OS X Mavericks v10.9 a v10.9.3
Impacto: Un usuario local podía leer punteros del kernel, que podían usarse para eludir la aleatorización del diseño del espacio de direcciones del kernel.
Descripción: Podía recuperarse un puntero del kernel almacenado en un objeto IOKit desde userland. Este problema se solucionó eliminando el puntero del objeto.
ID CVE
CVE-2014-1375
Intel Compute
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.3
Impacto: Una app creada con fines malintencionados podía ejecutar código arbitrario con privilegios del sistema.
Descripción: Existía un problema de validación en la administración de una llamada API OpenCL. Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2014-1376: Ian Beer de Google Project Zero
IOAcceleratorFamily
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.3
Impacto: Una app creada con fines malintencionados podía ejecutar código arbitrario con privilegios del sistema.
Descripción: Existía un problema de índice de matriz en IOAcceleratorFamily. Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2014-1377: Ian Beer de Google Project Zero
IOGraphicsFamily
Disponible para OS X Mavericks v10.9 a v10.9.3
Impacto: Un usuario local podía leer punteros del kernel, que podían usarse para eludir la aleatorización del diseño del espacio de direcciones del kernel.
Descripción: Podía recuperarse un puntero del kernel almacenado en un objeto IOKit desde userland. Este problema se solucionó usando una identificación única en lugar de un puntero.
ID CVE
CVE-2014-1378
IOReporting
Disponible para OS X Mavericks v10.9 a v10.9.3
Impacto: Un usuario local podía provocar el reinicio inesperado del sistema.
Descripción: Existía un problema de falta de referencia de puntero nulo en el procesamiento de argumentos IOKit API. Este problema se solucionó mediante la validación de los argumentos IOKit API.
ID CVE
CVE-2014-1355: cunzhang de Adlab de Venustech
launchd
Disponible para OS X Mavericks v10.9 a v10.9.3
Impacto: Una app creada con fines malintencionados podía ejecutar código arbitrario con privilegios del sistema.
Descripción: Existía un problema de falta de enteros en launchd. Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2014-1359: Ian Beer de Google Project Zero
launchd
Disponible para OS X Mavericks v10.9 a v10.9.3
Impacto: Una app creada con fines malintencionados podía ejecutar código arbitrario con privilegios del sistema.
Descripción: Existía un desbordamiento de la memoria dinámica de pila en la gestión de mensajes IPC por parte de launchd. Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2014-1356: Ian Beer de Google Project Zero
launchd
Disponible para OS X Mavericks v10.9 a v10.9.3
Impacto: Una app creada con fines malintencionados podía ejecutar código arbitrario con privilegios del sistema.
Descripción: Existía un desbordamiento de la memoria dinámica de pila en la gestión de mensajes de registro por parte de launchd. Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2014-1357: Ian Beer de Google Project Zero
launchd
Disponible para OS X Mavericks v10.9 a v10.9.3
Impacto: Una app creada con fines malintencionados podía ejecutar código arbitrario con privilegios del sistema.
Descripción: Existía un problema de desbordamiento de enteros en launchd. Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2014-1358: Ian Beer de Google Project Zero
Drivers de gráficos
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.3
Impacto: Una app creada con fines malintencionados podía ejecutar código arbitrario con privilegios del sistema.
Descripción: Existían varios problemas de eliminación de referencia nula en los drivers de gráficos del kernel. Un archivo ejecutable de 32 bits creado con fines malintencionados podía obtener privilegios elevados.
ID CVE
CVE-2014-1379: Ian Beer de Google Project Zero
Seguridad: Llavero
Disponible para OS X Mavericks v10.9 a v10.9.3
Impacto: Un atacante podía escribir en las ventanas que están debajo del bloqueo de pantalla.
Descripción: En circunstancias especiales, el bloqueo de pantalla no impedía que se pulsaran teclas. Esto podía permitir que un atacante escribiera en las ventanas que estaban debajo del bloqueo de pantalla. Este problema se solucionó mejorando la administración del supervisor de pulsación de teclas.
ID CVE
CVE-2014-1380: Ben Langfeld de Mojo Lingo LLC
Seguridad: Secure Transport
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.3
Impacto: Dos bytes de memoria podían revelarse a un atacante remoto.
Descripción: Existía un problema de acceso a la memoria no inicializada en la administración de mensajes DTLS en una conexión TLS. Este problema se solucionó aceptando únicamente mensajes DTLS en una conexión DTLS.
ID CVE
CVE-2014-1361: Thijs Alkemade de The Adium Project
Thunderbolt
Disponible para OS X Mavericks v10.9 a v10.9.3
Impacto: Una app creada con fines malintencionados podía ejecutar código arbitrario con privilegios del sistema.
Descripción: Existía un problema de acceso a la memoria fuera de los límites en la administración de las llamadas de la API IOThunderBoltController. Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2014-1381: Sarah, alias winocm
Entrada actualizada el 3 de febrero de 2020