Acerca del contenido de seguridad de OS X El Capitan 10.11.2, la actualización de seguridad 2015-005 de Yosemite y la actualización de seguridad 2015-008 de Mavericks
Este documento describe el contenido de seguridad de OS X El Capitan 10.11.2, la actualización de seguridad 2015-005 de Yosemite y la actualización de seguridad 2015-008 de Mavericks.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.
Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.
A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.
Para obtener información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.
OS X El Capitan 10.11.2, actualización de seguridad 2015-005 de Yosemite y actualización de seguridad 2015-008 de Mavericks
apache_mod_php
Disponible para: OS X El Capitan v10.11 y v10.11.1.
Impacto: Diversas vulnerabilidades en PHP.
Descripción: Existían diversas vulnerabilidades en las versiones PHP anteriores a 5.5.29, la más grave podría haber derivado en la ejecución remota del código. Se solucionaron al actualizar PHP a la versión 5.5.30.
ID CVE
CVE-2015-7803
CVE-2015-7804
AppSandbox
Disponible para: OS X El Capitan v10.11 y v10.11.1.
Impacto: Una aplicación malintencionada podía mantener acceso a Contactos después de la revocación del acceso.
Descripción: Existía un problema en el manejo de vínculos físicos por parte de la zona protegida. Para solucionar este problema, se mejoró la protección de la zona protegida de la aplicación.
ID CVE
CVE-2015-7001: Razvan Deaconescu y Mihai Bucicoiu de la Universidad Politécnica de Bucarest; Luke Deshotels y William Enck de la Universidad Estatal de Carolina del Norte; Lucas Vincenzo Davi y Ahmad-Reza Sadeghi de TU Darmstadt
Bluetooth
Disponible para: OS X El Capitan v10.11 y v10.11.1.
Impacto: Un usuario local podía ejecutar código arbitrario con privilegios del sistema.
Descripción: Existía un problema de errores de memoria en la interfaz de Bluetooth HCI. Para solucionar este problema se mejoró el manejo de la memoria.
ID CVE
CVE-2015-7108: Ian Beer de Google Project Zero
CFNetwork HTTPProtocol
Disponible para: OS X El Capitan v10.11 y v10.11.1.
Impacto: Un atacante con posición de red privilegiada podría omitir HSTS.
Descripción: Existía un problema de validación de entradas dentro del procesamiento URL. Este problema se solucionó mejorando la validación de URL.
ID CVE
CVE-2015-7094: Tsubasa Iinuma (@llamakko_cafe) de Gehirn Inc. y Muneaki Nishimura (nishimunea)
Compresión
Disponible para: OS X El Capitan v10.11 y v10.11.1.
Impacto: Visitar un sitio web creado con fines malintencionados podía provocar la ejecución de código arbitrario.
Descripción: Existía un problema de acceso a la memoria sin inicializar en zlib. Para solucionar este problema, se mejoró la inicialización de la memoria y se proporcionó validación adicional de secuencias zlib.
ID CVE
CVE-2015-7054: j00ru
Perfiles de configuración
Disponible para: OS X El Capitan v10.11 y v10.11.1.
Impacto: Un atacante local podría instalar un perfil de configuración sin privilegios de administrador.
Descripción: Existía un problema al instalar perfiles de configuración. Para resolver este problema, se mejoraron las comprobaciones de autorización.
ID CVE
CVE-2015-7062: David Mulder de Dell Software
CoreGraphics
Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11 y v10.11.1.
Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: Existía un problema de daños en la memoria en el procesamiento de archivos de fuente. Este problema se solucionó mejorando la validación de entradas.
ID CVE
CVE-2015-7105: John Villamil (@day6reak), Yahoo Pentest Team
CoreMedia Playback
Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11 y v10.11.1.
Impacto: Visitar un sitio web creado con fines malintencionados podía provocar la ejecución de código arbitrario.
Descripción: Existían varios problemas de daños en la memoria en el procesamiento de archivos de medios incorrectos. Estos problemas se solucionaron mejorando la administración de la memoria.
ID CVE
CVE-2015-7074: Apple
CVE-2015-7075
Imágenes de disco
Disponible para: OS X El Capitan v10.11 y v10.11.1.
Impacto: Un usuario local podía ejecutar código arbitrario con privilegios del kernel.
Descripción: Existía un problema de daños de memoria en el procesamiento de imágenes de disco. Para solucionar este problema se mejoró el manejo de la memoria.
ID CVE
CVE-2015-7110: Ian Beer de Google Project Zero
EFI
Disponible para: OS X El Capitan v10.11 y v10.11.1.
Impacto: Un usuario local podía ejecutar código arbitrario con privilegios del sistema.
Descripción: Existía un problema de validación de ruta en el cargador de kernel. Para solucionar esto, se mejoró el saneamiento del entorno.
ID CVE
CVE-2015-7063: Apple
Marcador de archivos
Disponible para: OS X El Capitan v10.11 y v10.11.1.
Impacto: Un proceso en la zona protegida podría evitar las restricciones de la zona protegida.
Descripción: Existía un problema de validación de ruta en los favoritos en el ámbito de la aplicación. Para solucionar esto, se mejoró el saneamiento del entorno.
ID CVE
CVE-2015-7071: Apple
Hipervisor
Disponible para: OS X El Capitan v10.11 y v10.11.1.
Impacto: Un usuario local podía ejecutar código arbitrario con privilegios del sistema.
Descripción: Existía un problema de uso después de liberación en el manejo de los objetos VM. Este problema se solucionó mejorando la administración de la memoria.
ID CVE
CVE-2015-7078: Ian Beer de Google Project Zero
iBooks
Disponible para: OS X El Capitan v10.11 y v10.11.1.
Impacto: Analizar un archivo de iBooks creado con fines malintencionados puede derivar en la divulgación de información del usuario.
Descripción: Existía un problema de referencia de entidad externa XML en el análisis de iBook. Este problema se solucionó mejorando el análisis.
ID CVE
CVE-2015-7081: Behrouz Sadeghipour (@Nahamsec) y Patrik Fehrenbach (@ITSecurityguard)
ImageIO
Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11 y v10.11.1.
Impacto: El procesamiento de una imagen creada con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: Existía un problema de corrupción de la memoria en ImageIO. Para solucionar este problema se mejoró el manejo de la memoria.
ID CVE
CVE-2015-7053: Apple
Controlador de gráficos Intel
Disponible para: OS X El Capitan v10.11 y v10.11.1.
Impacto: Un usuario local podía ejecutar código arbitrario con privilegios del sistema.
Descripción: La falta de referencia de puntero nulo se solucionó a través de la validación de entrada mejorada.
ID CVE
CVE-2015-7076: Juwei Lin de TrendMicro, beist y ABH de BoB, y JeongHoon Shin@A.D.D
Controlador de gráficos Intel
Disponible para: OS X El Capitan v10.11 y v10.11.1.
Impacto: Un usuario local podía ejecutar código arbitrario con privilegios del sistema.
Descripción: Existía un problema de daños en la memoria en el driver de gráficos Intel. Para solucionar este problema se mejoró el manejo de la memoria.
ID CVE
CVE-2015-7106: Ian Beer de Google Project Zero, Juwei Lin de TrendMicro, beist y ABH de BoB, y JeongHoon Shin@A.D.D
Controlador de gráficos Intel
Disponible para: OS X El Capitan v10.11 y v10.11.1.
Impacto: Un usuario local podía ejecutar código arbitrario con privilegios del sistema.
Descripción: Existía un problema de acceso a la memoria infranqueable en el driver de gráficos Intel. Para solucionar este problema se mejoró el manejo de la memoria.
ID CVE
CVE-2015-7077: Ian Beer de Google Project Zero
IOAcceleratorFamily
Disponible para: OS X El Capitan v10.11 y v10.11.1.
Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.
Descripción: Existía un problema de daños de memoria en IOAcceleratorFamily. Para solucionar este problema se mejoró el manejo de la memoria.
ID CVE
CVE-2015-7109: Juwei Lin de TrendMicro
IOHIDFamily
Disponible para: OS X El Capitan v10.11 y v10.11.1.
Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.
Descripción: Existían varios problemas de daños en la memoria en la API IOHIDFamily. Estos problemas se solucionaron mejorando la administración de la memoria.
ID CVE
CVE-2015-7111: beist y ABH de BoB
CVE-2015-7112: Ian Beer de Google Project Zero
IOKit SCSI
Disponible para: OS X El Capitan v10.11 y v10.11.1.
Impacto: Una aplicación maliciosa podía ejecutar código arbitrario con privilegios del kernel.
Descripción: Existía una falta de referencia de puntero nulo en el manejo de cierto tipo de userclient. Este problema se solucionó mejorando la validación.
ID CVE
CVE-2015-7068: Ian Beer de Google Project Zero
IOThunderboltFamily
Disponible para: OS X El Capitan v10.11 y v10.11.1.
Impacto: Un usuario local podía provocar una denegación de servicio del sistema.
Descripción: Existía un problema de falta de referencia de puntero nulo en el manejo de ciertos tipos de clientes de usuario por parte de IOThunderboltFamily. Para solucionar este problema, se mejoró la validación de los contextos de IOThunderboltFamily.
ID CVE
CVE-2015-7067: Juwei Lin de TrendMicro
Kernel
Disponible para: OS X El Capitan v10.11 y v10.11.1.
Impacto: Una aplicación local podía provocar una denegación de servicio.
Descripción: Para solucionar estos múltiples problemas de denegación del servicio, se mejoró el manejo de la memoria.
ID CVE
CVE-2015-7040: Lufeng Li de Qihoo 360 Vulcan Team
CVE-2015-7041: Lufeng Li de Qihoo 360 Vulcan Team
CVE-2015-7042: Lufeng Li de Qihoo 360 Vulcan Team
CVE-2015-7043: Tarjei Mandt (@kernelpool)
Kernel
Disponible para: OS X El Capitan v10.11 y v10.11.1.
Impacto: Un usuario local podía ejecutar código arbitrario con privilegios del kernel.
Descripción: Existían varios problemas de errores de memoria en el kernel. Estos problemas se solucionaron mejorando la administración de la memoria.
ID CVE
CVE-2015-7083: Ian Beer de Google Project Zero
CVE-2015-7084: Ian Beer de Google Project Zero
Kernel
Disponible para: OS X El Capitan v10.11 y v10.11.1.
Impacto: Un usuario local podía ejecutar código arbitrario con privilegios del kernel.
Descripción: Existía un problema en el análisis de mensajes Mach. Este problema se solucionó mediante la mejora de la validación de mensajes Mach.
ID CVE
CVE-2015-7047: Ian Beer de Google Project Zero
herramientas kext
Disponible para: OS X El Capitan v10.11 y v10.11.1.
Impacto: Un usuario local podía ejecutar código arbitrario con privilegios del kernel.
Descripción: Existía un problema de validación durante la carga de extensiones kernel. Este problema se solucionó mediante verificaciones adicionales.
ID CVE
CVE-2015-7052: Apple
Acceso a llaveros
Disponible para: OS X El Capitan v10.11 y v10.11.1.
Impacto: Una aplicación maliciosa podría hacerse pasar por el servidor de llaveros.
Descripción: Existía un problema en cómo interaccionaba el acceso de llaveros con el agente de llaveros. Este problema se resolvió al eliminar la funcionalidad heredada.
ID CVE
CVE-2015-7045: Luyi Xing y XiaoFeng Wang de Indiana University Bloomington, Xiaolong Bai de Indiana University Bloomington y Tsinghua University, Tongxin Li de Peking University, Kai Chen de Indiana University Bloomington y de Institute of Information Engineering, Xiaojing Liao de Georgia Institute of Technology, Shi-Min Hu de Tsinghua University, y Xinhui Han de Peking University
libarchive
Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11 y v10.11.1.
Impacto: Visitar un sitio web creado con fines malintencionados podía provocar la ejecución de código arbitrario.
Descripción: Existía un problema de errores de memoria en la administración de archivos. Para solucionar este problema se mejoró el manejo de la memoria.
ID CVE
CVE-2011-2895: @practicalswift
libc
Disponible para: OS X El Capitan v10.11 y v10.11.1.
Impacto: Procesar un paquete creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: Existían múltiples desbordamientos de búfer en la biblioteca estándar C. Estos problemas se solucionaron mejorando la comprobación de límites.
ID CVE
CVE-2015-7038: Brian D. Wells de E. W. Scripps, Narayan Subramanian of Symantec Corporation/Veritas LLC
CVE-2015-7039: Maksymilian Arciemowicz (CXSECURITY.COM)
Entrada actualizada el 3 de marzo de 2017
libexpat
Disponible para: OS X El Capitan v10.11 y v10.11.1.
Impacto: Diversas vulnerabilidades en expat.
Descripción: Existían varias vulnerabilidades en las versiones de expat anteriores a 2.1.0. Se solucionaron mediante la actualización de expat a la versión 2.1.0.
ID CVE
CVE-2012-0876: Vincent Danen
CVE-2012-1147: Kurt Seifried
CVE-2012-1148: Kurt Seifried
libxml2
Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11 y v10.11.1.
Impacto: El análisis de un documento XML creado con fines malintencionados podía provocar la divulgación de información del usuario.
Descripción: Existía un problema de daños en la memoria en el análisis de archivos XML. Para solucionar este problema se mejoró el manejo de la memoria.
ID CVE
CVE-2015-7115: Wei Lei y Liu Yang de la Universidad Tecnológica de Nanyang
CVE-2015-7116: Wei Lei y Liu Yang de la Universidad Tecnológica de Nanyang
OpenGL
Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11 y v10.11.1.
Impacto: Visitar un sitio web creado con fines malintencionados podía provocar la ejecución de código arbitrario.
Descripción: Existían varios problemas de daños en la memoria en OpenGL. Estos problemas se solucionaron mejorando la administración de la memoria.
ID CVE
CVE-2015-7064: Apple
CVE-2015-7065: Apple
CVE-2015-7066: Tongbo Luo y Bo Qu de Palo Alto Networks
OpenLDAP
Disponible para: OS X El Capitan v10.11 y v10.11.1.
Impacto: Un cliente remoto no autenticado podría provocar una denegación de servicio.
Descripción: Existía un problema de validación de entradas en OpenLDAP. Este problema se solucionó mejorando la validación de entradas.
ID CVE
CVE-2015-6908
OpenSSH
Disponible para: OS X El Capitan v10.11 y v10.11.1.
Impacto: Diversas vulnerabilidades en LibreSSL.
Descripción: Existían varias vulnerabilidades en las versiones de LibreSSL anteriores a 2.1.8. Se solucionaron mediante la actualización de LibreSSL a la versión 2.1.8.
ID CVE
CVE-2015-5333
CVE-2015-5334
QuickLook
Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11 y v10.11.1.
Impacto: Abrir un archivo iWork creado con fines malintencionados podría provocar la ejecución de código arbitrario.
Descripción: Existía un problema de daños en la memoria en el manejo de archivos iWork. Para solucionar este problema se mejoró el manejo de la memoria.
ID CVE
CVE-2015-7107
Sandbox
Disponible para: OS X El Capitan v10.11 y v10.11.1.
Impacto: Una aplicación malintencionada con privilegios de raíz podía desviar la distribución aleatoria del espacio de direcciones de kernel.
Descripción: Existía un problema de separación de privilegios insuficiente en xnu. Este problema se resolvió al mejorar la comprobación de autorizaciones.
ID CVE
CVE-2015-7046: Apple
Seguridad
Disponible para: OS X El Capitan v10.11 y v10.11.1.
Impacto: Un atacante remoto podía ocasionar el cierre inesperado de una aplicación o la ejecución de código arbitrario.
Descripción: Existía un problema de errores de memoria en el manejo de protocolos de enlace SSL. Para solucionar este problema se mejoró el manejo de la memoria.
ID CVE
CVE-2015-7073: Benoit Foucher de ZeroC, Inc.
Seguridad
Disponible para: OS X Mavericks v10.9.5 y OS X Yosemite v10.10.5.
Impacto: Procesar un certificado creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: Existían varios problemas de daños en la memoria en el decodificador ASN.1. Estos problemas se solucionaron mejorando la validación de entradas.
ID CVE
CVE-2015-7059: David Keeler de Mozilla
CVE-2015-7060: Tyson Smith de Mozilla
CVE-2015-7061: Ryan Sleevi de Google
Seguridad
Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11 y v10.11.1.
Impacto: Una aplicación malintencionada podría obtener acceso a elementos del llavero de un usuario.
Descripción: Existía un problema en la validación de listas de control de acceso para elementos del llavero. Este problema se solucionó mejorando las verificaciones de las listas de control de acceso.
ID CVE
CVE-2015-7058
Protección de integridad del sistema
Disponible para: OS X El Capitan v10.11 y v10.11.1.
Impacto: Una aplicación malintencionada con privilegios de root podría ejecutar código arbitrario con privilegios del sistema.
Descripción: Existía un problema de privilegios en el manejo de montaje de asociación. Este problema se resolvió al mejorar la comprobación de autorizaciones.
ID CVE
CVE-2015-7044: MacDefender
Notas
La actualización de seguridad 2015-005 y 2015-008 se recomienda para todos los usuarios y mejora la seguridad de OS X. Después de instalar esta actualización, el complemento del explorador web de QuickTime 7 ya no estará activado de manera predeterminada. Obtén información sobre qué hacer si igualmente necesitas este complemento heredado.
OS X El Capitan v10.11.2 incluye el contenido de seguridad de Safari 9.0.2.
La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.