Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Las versiones más recientes se pueden encontrar en la página Actualizaciones de seguridad de Apple.
Para obtener más información sobre la seguridad, consulta la página de seguridad de los productos Apple. Puedes encriptar las comunicaciones con Apple mediante la clave PGP de seguridad de los productos Apple.
Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.
macOS Sierra 10.12.2 y actualizaciones de seguridad 2016-003 de El Capitan y 2016-007 de Yosemite
Publicado el 13 de diciembre de 2016
apache_mod_php
Disponible para macOS Sierra 10.12.1
Impacto: Un atacante remoto podía provocar el cierre inesperado de una app o la ejecución de código arbitrario.
Descripción: Existían varios problemas en las versiones de PHP anteriores a 5.6.26. Se solucionaron mediante la actualización de PHP a la versión 5.6.26.
CVE-2016-7411
CVE-2016-7412
CVE-2016-7413
CVE-2016-7414
CVE-2016-7416
CVE-2016-7417
CVE-2016-7418
AppleGraphicsPowerManagement
Disponible para macOS Sierra 10.12.1
Impacto: Un usuario local podía provocar una denegación de servicio del sistema.
Descripción: Se solucionó un problema de falta de referencia de puntero nulo mejorando la validación de entradas.
CVE-2016-7609: daybreaker@Minionz en colaboración con la iniciativa Zero Day de Trend Micro
Recursos
Disponible para macOS Sierra 10.12.1
Impacto: Un atacante local podía modificar recursos para dispositivos móviles descargados.
Descripción: Existía un problema de permisos en recursos para dispositivos móviles. El problema se solucionó mejorando las restricciones de acceso.
CVE-2016-7628: Marcel Bresink de Marcel Bresink Software-Systeme
Entrada actualizada el 15 de diciembre de 2016
Audio
Disponible para macOS Sierra 10.12.1
Impacto: El procesamiento de un archivo creado con fines malintencionados podía provocar la ejecución de código arbitrario.
Descripción: Se solucionó un problema de daños en la memoria mejorando la validación de entradas.
CVE-2016-7658: Haohao Kong de Keen Lab (@keen_lab) de Tencent
CVE-2016-7659: Haohao Kong de Keen Lab (@keen_lab) de Tencent
Bluetooth
Disponible para macOS Sierra 10.12.1, OS X El Capitan 10.11.6 y OS X Yosemite 10.10.5
Impacto: Una app podía ejecutar código arbitrario con privilegios del kernel.
Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.
CVE-2016-7596: Pekka Oikarainen, Matias Karhumaa y Marko Laakso de Synopsys Software Integrity Group
Entrada actualizada el 14 de diciembre de 2016
Bluetooth
Disponible para macOS Sierra 10.12.1
Impacto: Una app podía provocar una denegación de servicio.
Descripción: Se solucionó un problema de falta de referencia de puntero nulo mejorando la validación de entradas.
CVE-2016-7605: daybreaker de Minionz
Bluetooth
Disponible para macOS Sierra 10.12.1
Impacto: Una app podía ejecutar código arbitrario con privilegios del sistema.
Descripción: Se solucionó un problema de confusión de tipo mejorando el manejo de la memoria.
CVE-2016-7617: Radu Motspan en colaboración con la iniciativa Zero Day de Trend Micro e Ian Beer de Google Project Zero
CoreCapture
Disponible para macOS Sierra 10.12.1 y OS X El Capitan 10.11.6
Impacto: Un usuario local podía provocar una denegación de servicio del sistema.
Descripción: Se solucionó el problema de falta de referencia de puntero nulo mejorando la administración de estado.
CVE-2016-7604: daybreaker de Minionz
Entrada actualizada el 14 de diciembre de 2016
CoreFoundation
Disponible para macOS Sierra 10.12.1
Impacto: El procesamiento de cadenas creadas con fines malintencionados podía provocar el cierre inesperado de una app o la ejecución de código arbitrario.
Descripción: Existía un problema de daños en la memoria en el procesamiento de cadenas. Este problema se solucionó mejorando la comprobación de los límites.
CVE-2016-7663: Un investigador anónimo
CoreGraphics
Disponible para macOS Sierra 10.12.1
Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podía provocar el cierre inesperado de la app.
Descripción: Se solucionó un problema de falta de referencia de puntero nulo mejorando la validación de entradas.
CVE-2016-7627: TRAPMINE Inc. y Meysam Firouzi @R00tkitSMM
Pantallas externas CoreMedia
Disponible para macOS Sierra 10.12.1
Impacto: Una app local podía ejecutar código arbitrario en el contexto del demonio mediaserver.
Descripción: Se solucionó un problema de confusión de tipo mejorando el manejo de la memoria.
CVE-2016-7655: Keen Lab en colaboración con la iniciativa Zero Day de Trend Micro
CoreMedia Playback
Disponible para macOS Sierra 10.12.1
Impacto: Procesar un archivo .mp4 creado con fines malintencionados podía provocar la ejecución de código arbitrario.
Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.
CVE-2016-7588: dragonltx de Laboratories de Huawei 2012
CoreStorage
Disponible para macOS Sierra 10.12.1
Impacto: Un usuario local podía provocar una denegación de servicio del sistema.
Descripción: Se solucionó un problema de falta de referencia de puntero nulo mejorando la validación de entradas.
CVE-2016-7603: daybreaker@Minionz en colaboración con la iniciativa Zero Day de Trend Micro
CoreText
Disponible para macOS Sierra 10.12.1
Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: Existían varios problemas de daños en la memoria en el manejo de archivos de tipo de letra. Estos problemas se solucionaron mejorando la comprobación de límites.
CVE-2016-7595: riusksk(泉哥) de Tencent Security Platform Department
CoreText
Disponible para macOS Sierra 10.12.1
Impacto: El procesamiento de una cadena creada con fines malintencionados podía provocar una denegación de servicio.
Descripción: Un problema que se producía al generar rangos superpuestos se solucionó mejorando la validación.
CVE-2016-7667: Nasser Al-Hadhrami (@fast_hack), Saif Al-Hinai (welcom_there) de Digital Unit (dgunit.com)
Entrada agregada el 15 de diciembre de 2016
curl
Disponible para macOS Sierra 10.12.1
Impacto: Un atacante con una posición de red privilegiada podía divulgar información confidencial del usuario.
Descripción: Existían varios problemas en curl. Estos problemas se solucionaron actualizando curl a la versión 7.51.0.
CVE-2016-5419
CVE-2016-5420
CVE-2016-5421
CVE-2016-7141
CVE-2016-7167
CVE-2016-8615
CVE-2016-8616
CVE-2016-8617
CVE-2016-8618
CVE-2016-8619
CVE-2016-8620
CVE-2016-8621
CVE-2016-8622
CVE-2016-8623
CVE-2016-8624
CVE-2016-8625
Servicios de directorio
Disponible para macOS Sierra 10.12.1
Impacto: Un usuario local podía obtener privilegios de usuario raíz.
Descripción: Se solucionó un problema de uso después de liberación mejorando la administración de la memoria.
CVE-2016-7633: Ian Beer de Google Project Zero
Imágenes de disco
Disponible para macOS Sierra 10.12.1
Impacto: Una app podía ejecutar código arbitrario con privilegios del kernel.
Descripción: Se solucionó un problema de daños en la memoria mejorando la validación de entradas.
CVE-2016-7616: daybreaker@Minionz en colaboración con la iniciativa Zero Day de Trend Micro
FontParser
Disponible para macOS Sierra 10.12.1
Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: Existían varios problemas de daños en la memoria en el manejo de archivos de tipo de letra. Estos problemas se solucionaron mejorando la comprobación de límites.
CVE-2016-4691: riusksk(泉哥) de Tencent Security Platform Department
Foundation
Disponible para macOS Sierra 10.12.1
Impacto: La apertura de un archivo .gcx creado con fines malintencionados podía provocar el cierre inesperado de una app o la ejecución de código arbitrario.
Descripción: Se solucionó un problema de daños en la memoria mejorando la validación de entradas.
CVE-2016-7618: riusksk(泉哥) de Tencent Security Platform Department
Grapher
Disponible para macOS Sierra 10.12.1
Impacto: La apertura de un archivo .gcx creado con fines malintencionados podía provocar el cierre inesperado de una app o la ejecución de código arbitrario.
Descripción: Se solucionó un problema de daños en la memoria mejorando la validación de entradas.
CVE-2016-7622: riusksk(泉哥) de Tencent Security Platform Department
ICU
Disponible para macOS Sierra 10.12.1
Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.
CVE-2016-7594: André Bargull
ImageIO
Disponible para macOS Sierra 10.12.1
Impacto: Un atacante remoto podía producir una fuga de memoria.
Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la comprobación de límites.
CVE-2016-7643: Yangkang (@dnpushme) de Qihoo360 Qex Team
Controlador de gráficos Intel
Disponible para macOS Sierra 10.12.1
Impacto: Una app podía ejecutar código arbitrario con privilegios del kernel.
Descripción: Se solucionó un problema de daños en la memoria mejorando la validación de entradas.
CVE-2016-7602: daybreaker@Minionz en colaboración con la iniciativa Zero Day de Trend Micro
IOFireWireFamily
Disponible para macOS Sierra 10.12.1
Impacto: Un atacante local podía leer la memoria del kernel.
Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.
CVE-2016-7608: Brandon Azad
IOAcceleratorFamily
Disponible para macOS Sierra 10.12.1
Impacto: Un usuario local podía determinar el diseño de memoria del kernel.
Descripción: Un problema en la memoria compartida se solucionó mejorando el manejo de la memoria.
CVE-2016-7624: Qidan He (@flanker_hqd) de KeenLab en colaboración con la iniciativa Zero Day de Trend Micro
IOHIDFamily
Disponible para macOS Sierra 10.12.1
Impacto: Una app local con privilegios del sistema podía ejecutar código arbitrario con privilegios del kernel.
Descripción: Se solucionó un problema de uso después de liberación mejorando la administración de la memoria.
CVE-2016-7591: daybreaker de Minionz
IOKit
Disponible para macOS Sierra 10.12.1
Impacto: Una app podía leer la memoria del kernel.
Descripción: Se solucionó un problema de daños en la memoria mejorando la validación de entradas.
CVE-2016-7657: Keen Lab en colaboración con la iniciativa Zero Day de Trend Micro.
IOKit
Disponible para macOS Sierra 10.12.1
Impacto: Un usuario local podía determinar el diseño de memoria del kernel.
Descripción: Un problema en la memoria compartida se solucionó mejorando el manejo de la memoria.
CVE-2016-7625: Qidan He (@flanker_hqd) de KeenLab en colaboración con la iniciativa Zero Day de Trend Micro
IOKit
Disponible para macOS Sierra 10.12.1
Impacto: Un usuario local podía determinar el diseño de memoria del kernel.
Descripción: Un problema en la memoria compartida se solucionó mejorando el manejo de la memoria.
CVE-2016-7714: Qidan He (@flanker_hqd) de KeenLab en colaboración con la iniciativa Zero Day de Trend Micro
Entrada agregada el 25 de enero de 2017
IOSurface
Disponible para macOS Sierra 10.12.1
Impacto: Un usuario local podía determinar el diseño de memoria del kernel.
Descripción: Un problema en la memoria compartida se solucionó mejorando el manejo de la memoria.
CVE-2016-7620: Qidan He (@flanker_hqd) de KeenLab en colaboración con la iniciativa Zero Day de Trend Micro
Kernel
Disponible para macOS Sierra 10.12.1
Impacto: Una app podía ejecutar código arbitrario con privilegios del kernel.
Descripción: Varios problemas de daños en la memoria se solucionaron mejorando la validación de entradas.
CVE-2016-7606: @cocoahuke, Chen Qin de Topsec Alpha Team (topsec.com)
CVE-2016-7612: Ian Beer de Google Project Zero
Kernel
Disponible para macOS Sierra 10.12.1
Impacto: Una app podía leer la memoria del kernel.
Descripción: Se solucionó un problema de inicialización insuficiente inicializando correctamente la memoria devuelta al espacio del usuario.
CVE-2016-7607: Brandon Azad
Kernel
Disponible para macOS Sierra 10.12.1
Impacto: Un usuario local podía provocar una denegación de servicio del sistema.
Descripción: Se solucionó un problema de denegación de servicio mejorando el manejo de la memoria.
CVE-2016-7615: National Cyber Security Centre (NCSC) del Reino Unido
Kernel
Disponible para macOS Sierra 10.12.1
Impacto: Un usuario local podía provocar el cierre inesperado del sistema o la ejecución de código arbitrario en el kernel.
Descripción: Se solucionó un problema de uso después de liberación mejorando la administración de la memoria.
CVE-2016-7621: Ian Beer de Google Project Zero
Kernel
Disponible para macOS Sierra 10.12.1
Impacto: Un usuario local podía obtener privilegios de usuario raíz.
Descripción: Se solucionó un problema de daños en la memoria mejorando la validación de entradas.
CVE-2016-7637: Ian Beer de Google Project Zero
Kernel
Disponible para macOS Sierra 10.12.1
Impacto: Una app local con privilegios del sistema podía ejecutar código arbitrario con privilegios del kernel.
Descripción: Se solucionó un problema de uso después de liberación mejorando la administración de la memoria.
CVE-2016-7644: Ian Beer de Google Project Zero
Kernel
Disponible para macOS Sierra 10.12.1
Impacto: Una app podía provocar una denegación de servicio.
Descripción: Se solucionó un problema de denegación de servicio mejorando el manejo de la memoria.
CVE-2016-7647: Lufeng Li de Qihoo 360 Vulcan Team
Entrada agregada el 17 de mayo de 2017
Herramientas kext
Disponible para macOS Sierra 10.12.1
Impacto: Una app podía ejecutar código arbitrario con privilegios del kernel.
Descripción: Se solucionó un problema de daños en la memoria mejorando la validación de entradas.
CVE-2016-7629: @cocoahuke
libarchive
Disponible para macOS Sierra 10.12.1
Impacto: Un atacante local podía sobrescribir archivos existentes.
Descripción: Existía un problema de validación en el manejo de enlaces simbólicos. Este problema se solucionó mejorando la validación de enlaces simbólicos.
CVE-2016-7619: Un investigador anónimo
LibreSSL
Disponible para macOS Sierra 10.12.1 y OS X El Capitan 10.11.6
Impacto: Un atacante con una posición de red privilegiada podía provocar una denegación de servicio.
Descripción: Se solucionó un problema de denegación del servicio en el crecimiento OCSP sin límites mejorando el manejo de la memoria.
CVE-2016-6304
Entrada actualizada el 14 de diciembre de 2016
OpenLDAP
Disponible para macOS Sierra 10.12.1
Impacto: Un atacante podía aprovechar las vulnerabilidades en el algoritmo criptográfico RC4.
Descripción: Se quitó RC4 como cifrado predeterminado.
CVE-2016-1777: Pepi Zawodsky
OpenPAM
Disponible para macOS Sierra 10.12.1
Impacto: Un usuario local sin privilegios podía obtener acceso a aplicaciones privilegiadas.
Descripción: La autenticación PAM dentro de aplicaciones en la zona protegida fallaba de forma insegura. Este problema se solucionó mejorando el manejo de los errores.
CVE-2016-7600: Perette Barella de DeviousFish.com
OpenSSL
Disponible para macOS Sierra 10.12.1
Impacto: Una app podía ejecutar código arbitrario.
Descripción: Existía un problema de desbordamiento en MDC2 _Update(). Este problema se solucionó mejorando la validación de entradas.
CVE-2016-6303
OpenSSL
Disponible para macOS Sierra 10.12.1
Impacto: Un atacante con una posición de red privilegiada podía provocar una denegación de servicio.
Descripción: Se solucionó un problema de denegación del servicio en el crecimiento OCSP sin límites mejorando el manejo de la memoria.
CVE-2016-6304
Administración de energía
Disponible para macOS Sierra 10.12.1
Impacto: Un usuario local podía obtener privilegios de usuario raíz.
Descripción: Se solucionó un problema en las referencias de puertos Mach mejorando la validación.
CVE-2016-7661: Ian Beer de Google Project Zero
Seguridad
Disponible para macOS Sierra 10.12.1
Impacto: Un atacante podía explotar las debilidades en el algoritmo criptográfico 3DES.
Descripción: Se quitó 3DES como cifrado predeterminado.
CVE-2016-4693: Gaëtan Leurent y Karthikeyan Bhargavan de INRIA París
Seguridad
Disponible para macOS Sierra 10.12.1
Impacto: Un atacante con una posición de red privilegiada podía provocar una denegación de servicio.
Descripción: Existía un problema de validación en el manejo de las URL del respondedor OCSP. Este problema se solucionó verificando la revocación del estado de OCSP posterior a la validación de CA y limitando la cantidad de solicitudes OCSP por certificado.
CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)
Seguridad
Disponible para macOS Sierra 10.12.1
Impacto: Los certificados se podían evaluar como confiables de forma inesperada.
Descripción: Existía un problema de evaluación de certificados en la validación de certificados. Este problema se solucionó mediante una validación adicional de certificados.
CVE-2016-7662: Apple
syslog
Disponible para macOS Sierra 10.12.1
Impacto: Un usuario local podía obtener privilegios de usuario raíz.
Descripción: Se solucionó un problema en las referencias de puertos Mach mejorando la validación.
CVE-2016-7660: Ian Beer de Google Project Zero
Wi-Fi
Disponible para macOS Sierra 10.12.1
Impacto: Un usuario local malicioso podía ver información confidencial de configuración de red.
Descripción: La configuración de red era inesperadamente global. Este problema se solucionó transfiriendo la configuración de red confidencial a la configuración por usuario.
CVE-2016-7761: Peter Loos, Karlsruhe, Alemania
Entrada agregada el 24 de enero de 2017
xar
Disponible para macOS Sierra 10.12.1
Impacto: Abrir un certificado creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: La utilización de una variable no inicializada se solucionó mejorando la validación.
CVE-2016-7742: Gareth Evans de Context Information Security
Entrada agregada el 10 de enero de 2017
macOS Sierra 10.12.2 y las actualizaciones de seguridad 2016-003 de El Capitan y 2016-007 de Yosemite incluyen el contenido de seguridad de Safari 10.0.2.