Acerca de la actualización de seguridad 2014-005

En este documento, se describe el contenido de seguridad de la actualización de seguridad 2014-005.

Para instalar esta actualización, puedes descargarla con Actualización de software o desde el sitio web del Soporte técnico de Apple.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, consulta el sitio web Seguridad de los productos Apple.

Para obtener información acerca de la clave PGP de seguridad de los productos Apple, consulta el artículo Cómo usar la clave PGP de seguridad de los productos Apple.

A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.

Para obtener información acerca de las actualizaciones de seguridad, consulta el artículo Actualizaciones de seguridad de Apple.

Actualización de seguridad 2014-005

• Secure Transport

  Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

  Impacto: Un atacante podía desencriptar datos protegidos mediante SSL.

  Descripción: Había ataques conocidos contra la confidencialidad de SSL 3.0 cuando un conjunto de encriptación utilizaba una encriptación por bloques en modo CBC. Un atacante podía forzar el uso de SSL 3.0 incluso si el servidor era compatible con una versión mejor de TLS, mediante el bloqueo de los intentos de conexión TLS 1.0 y superior. Este problema se solucionó al desactivar los conjuntos de encriptacíón de CBC cuando fallaban los intentos de conexión TLS.

  CVE-ID

  CVE-2014-3566 : Bodo Moeller, Thai Duong y Krzysztof Kotowicz del equipo de seguridad de Google

Nota: La actualización de seguridad 2014-005 incluye el contenido de seguridad de la actualización de OS X bash 1.0.