Acerca del contenido de seguridad de OS X Mountain Lion v10.8.3 y la actualización de seguridad 2013-001
En este documento, se describe el contenido de seguridad de OS X Mountain Lion v10.8.3 y la actualización de seguridad 2013-001.
OS X Mountain Lion v10.8.3 y la actualización de seguridad 2013-001 se pueden descargar e instalar por medio de las preferencias de Actualización de Software o desde Descargas de Apple.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web sobre seguridad de los productos Apple.
Para obtener información acerca de la clave PGP de seguridad de los productos Apple, visita "Cómo usar la clave PGP de seguridad de los productos Apple".
Siempre que sea posible, se usan ID de CVE para hacer referencia a las vulnerabilidades a fin de obtener más información.
Para obtener información acerca de las actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".
Nota: OS X Mountain Lion v10.8.3 incluye el contenido de Safari 6.0.3. Para obtener más información, consulta Acerca del contenido de seguridad de Safari 6.0.3.
OS X Mountain Lion v10.8.3 y la actualización de seguridad 2013-001
Apache
Disponible para Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion de v10.7 a v10.7.5, OS X Lion Server de v10.7 a v10.7.5 y OS X Mountain Lion de v10.8 a v10.8.2
Impacto: un atacante podía acceder a los directorios protegidos con autenticación HTTP sin conocer las credenciales correctas.
Descripción: Existía un problema de canonización en el manejo de URI con secuencias de caracteres Unicode que se pueden omitir. Para solucionar este problema, se actualizó mod_hfs_apple para prohibir el acceso a URI con secuencias de caracteres Unicode que se pueden omitir.
ID CVE
CVE-2013-0966: Clint Ruoho de Laconic Security
CoreTypes
Disponible para OS X Lion de v10.7 a v10.7.5, OS X Lion Server de v10.7 a v10.7.5 y OS X Mountain Lion de v10.8 a v10.8.2
Impacto: Visitar un sitio web creado con fines malintencionados podía permitir que una aplicación Java Web Start se inicie automáticamente aunque el módulo Java esté desactivado.
Descripción: Las aplicaciones Java Web Start se ejecutaban aunque el módulo Java se encontrara desactivado. Para solucionar este problema, se eliminaron los archivos JNLP de la lista de tipos de archivos seguros CoreTypes, de modo que la aplicación Web Start no se ejecute a menos que el usuario la abra en el directorio Descargas.
ID CVE
CVE-2013-0967
Componentes internacionales para Unicode
Disponible para Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion de v10.7 a v10.7.5, OS X Lion Server de v10.7 a v10.7.5 y OS X Mountain Lion de v10.8 a v10.8.2
Impacto: Visitar un sitio web creado con fines malintencionados podía derivar en un ataque de scripts entre sitios.
Descripción: Existía un problema de canonización en el manejo de la codificación EUC-JP por el cual se podía desencadenar un ataque de scripts entre sitios en sitios web con codificación EUC-JP. Este problema se solucionó actualizando la tabla de asignación EUC-JP.
ID CVE
CVE-2011-3058: Masato Kinugawa
Servicios de identidad
Disponible para OS X Lion de v10.7 a v10.7.5, OS X Lion Server de v10.7 a v10.7.5 y OS X Mountain Lion de v10.8 a v10.8.2
Impacto: Se podía omitir la autenticación de Apple ID basada en certificados.
Descripción: Existía un problema en el manejo de errores en los servicios de identidad. Si no se podía validar el certificado de la Apple ID del usuario, se presuponía que la Apple ID de ese usuario era una cadena vacía. Si varios sistemas pertenecientes a distintos usuarios entraban en este estado, las aplicaciones en las que se usaba este método para determinar la identidad podían extender su confianza erróneamente. Para solucionar este problema, se procuró que se devuelva NULL en lugar de una cadena vacía.
ID CVE
CVE-2013-0963
ImageIO
Disponible para Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion de v10.7 a v10.7.5, OS X Lion Server de v10.7 a v10.7.5 y OS X Mountain Lion de v10.8 a v10.8.2
Impacto: Ver un archivo TIFF creado con fines malintencionados podía ocasionar el cierre de la aplicación de manera inesperada o la ejecución de código arbitrario.
Descripción: Existía un desbordamiento de búfer en el manejo de imágenes TIFF por parte de libtiff. Este problema se solucionó mediante una validación adicional de las imágenes TIFF.
ID CVE
CVE-2012-2088
IOAcceleratorFamily
Disponible para OS X Mountain Lion de v10.8 a v10.8.2
Impacto: Ver una imagen creada con fines malintencionados podría ocasionar la finalización inesperada de un sistema o la ejecución de código arbitrario.
Descripción: Existía un problema de daños en la memoria en el procesamiento de datos de gráficos. Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2013-0976: Un investigador anónimo
Kernel
Disponible para OS X Mountain Lion de v10.8 a v10.8.2
Impacto: Las aplicaciones diseñadas o comprometidas con fines malintencionados podían determinar las direcciones en el kernel.
Descripción: Existía un problema de divulgación de información en el manejo de las API relacionadas con las extensiones de kernel. Las respuestas que contenían una clave OSBundleMachOHeaders podían haber incluido direcciones de kernel, las cuales podían ayudar a omitir la protección por selección aleatoria del diseño de espacio de direcciones. Este problema se solucionó desligando las direcciones antes de devolverlas.
ID CVE
CVE-2012-3749: Mark Dowd de Azimuth Security, Eric Monti de Square y otros investigadores anónimos
Ventana de inicio de sesión
Disponible para OS X Mountain Lion de v10.8 a v10.8.2
Impacto: Un atacante con acceso al teclado podía modificar la configuración del sistema.
Descripción: Existía un error lógico en el manejo de VoiceOver en la ventana de inicio de sesión debido al cual un atacante con acceso al teclado podía ejecutar Preferencias del Sistema y modificar la configuración del sistema. Este problema se solucionó impidiendo que VoiceOver ejecute aplicaciones en la ventana de inicio de sesión.
ID CVE
CVE-2013-0969: Eric A. Schulman de Purpletree Labs
Mensajes
Disponible para OS X Mountain Lion de v10.8 a v10.8.2
Impacto: Hacer clic en un enlace de Mensajes podía iniciar una llamada FaceTime sin pedir confirmación.
Descripción: Al hacer clic en una URL de FaceTime con un formato concreto en Mensajes, se podía omitir el cuadro de diálogo de confirmación estándar. Para solucionar este problema, se agregó una validación para las URL de FaceTime.
ID CVE
CVE-2013-0970: Aaron Sigel de vtty.com
Servidor de Mensajes
Disponible para Mac OS X Server 10.6.8 y OS X Lion Server de v10.7 a v10.7.5
Impacto: Un atacante remoto podría redirigir mensajes federados de Jabber.
Descripción: Existía un problema en el manejo de mensajes de resultados de marcado desde el servidor Jabber. Un atacante podía provocar que el servidor Jabber revelara información destinada a usuarios de servidores federados. Este problema se solucionó mejorando el manejo de los mensajes de resultados de marcado.
ID CVE
CVE-2012-3525
PDFKit
Disponible para Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion de v10.7 a v10.7.5, OS X Lion Server de v10.7 a v10.7.5 y OS X Mountain Lion de v10.8 a v10.8.2
Impacto: La visualización de un archivo PDF creado con fines malintencionados podía provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.
Descripción: Existía un problema de uso después de liberación en la gestión de anotaciones con tinta en archivos PDF. Este problema se solucionó mejorando la administración de la memoria.
ID CVE
CVE-2013-0971: Tobias Klein en colaboración con Zero Day Initiative de TippingPoint
Podcast Producer Server
Disponible para Mac OS X Server 10.6.8 y OS X Lion Server de v10.7 a v10.7.5
Impacto: Un atacante remoto podía provocar la ejecución de código arbitrario.
Descripción: Existía un problema de "type casting" en la gestión de parámetros XML por parte de Ruby on Rails. Este problema se solucionó desactivando los parámetros XML en la implementación de Rails usada por Podcast Producer Server.
ID CVE
CVE-2013-0156
Podcast Producer Server
Disponible para OS X Lion Server de v10.7 a v10.7.5
Impacto: Un atacante remoto podía provocar la ejecución de código arbitrario.
Descripción: Existía un problema de "type casting" en la gestión de datos JSON por parte de Ruby on Rails. Para solucionar este problema, se pasó a usar el sistema back-end JSONGem para el análisis de JSON en la implementación de Rails usada por Podcast Producer Server.
ID CVE
CVE-2013-0333
PostgreSQL
Disponible para Mac OS X Server 10.6.8 y OS X Lion Server de v10.7 a v10.7.5
Impacto: Existían varias vulnerabilidades en PostgreSQL.
Descripción: PostgreSQL se actualizó a la versión 9.1.5 para solucionar múltiples vulnerabilidades, la más grave de las cuales podía permitir a los usuarios de bases de datos leer archivos del sistema de archivos con los privilegios de la cuenta de función de servidor de base de datos. En el sitio web de PostgreSQL se ofrece más información: http://www.postgresql.org/docs/9.1/static/release-9-1-5.html
ID CVE
CVE-2012-3488
CVE-2012-3489
Administrador de perfiles
Disponible para OS X Lion Server de v10.7 a v10.7.5
Impacto: Un atacante remoto podía provocar la ejecución de código arbitrario.
Descripción: Existía un problema de "type casting" en la gestión de parámetros XML por parte de Ruby on Rails. Este problema se solucionó desactivando los parámetros XML en la implementación de Rails usada por el Administrador de perfiles.
ID CVE
CVE-2013-0156
QuickTime
Disponible para Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion de v10.7 a v10.7.5, OS X Lion Server de v10.7 a v10.7.5 y OS X Mountain Lion de v10.8 a v10.8.2
Impacto: La visualización de un archivo de película creado con fines malintencionados podía provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.
Descripción: Existía un desbordamiento de búfer en el manejo de cuadros "rnet" en los archivos MP4. Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2012-3756: Kevin Szkudlapski de QuarksLab
Ruby
Disponible para Mac OS X Server 10.6.8
Impacto: Un atacante remoto podía ser capaz de provocar la ejecución de código arbitrario si había una app Rails en ejecución.
Descripción: Existía un problema de "type casting" en la gestión de parámetros XML por parte de Ruby on Rails. Este problema se solucionó desactivando YAML y los símbolos en parámetros XML de Rails.
ID CVE
CVE-2013-0156
Seguridad
Disponible para Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion de v10.7 a v10.7.5, OS X Lion Server de v10.7 a v10.7.5 y OS X Mountain Lion de v10.8 a v10.8.2
Impacto: Un atacante con una posición de red privilegiada podía interceptar las credenciales de usuario u otra información confidencial.
Descripción: TURKTRUST emitía erróneamente varios certificados CA intermedios. Esto podía permitir que un atacante intermediario redirigiera las conexiones e interceptara las credenciales del usuario u otra información confidencial. Para solucionar este problema, no se permiten los certificados SSL incorrectos.
Actualización de software
Disponible para Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion de v10.7 a v10.7.5 y OS X Lion Server de v10.7 a v10.7.5
Impacto: Un atacante con una posición de red privilegiada podía ser capaz de provocar la ejecución de código arbitrario.
Descripción: Actualización de Software permitía a un atacante intermediario insertar contenido de módulos en el texto de marketing mostrado para las actualizaciones. Esto podía permitir que se aprovechara un módulo vulnerable o facilitar ataques de ingeniería social mediante módulos. Este problema no afecta a los sistemas OS X Mountain Lion. Este problema se solucionó impidiendo que se carguen módulos en el texto de marketing WebView de Actualización de Software.
ID CVE
CVE-2013-0973: Emilio Escobar
Wiki Server
Disponible para OS X Lion Server de v10.7 a v10.7.5
Impacto: Un atacante remoto podía provocar la ejecución de código arbitrario.
Descripción: Existía un problema de "type casting" en la gestión de parámetros XML por parte de Ruby on Rails. Este problema se solucionó desactivando los parámetros XML en la implementación de Rails usada por Wiki Server.
ID CVE
CVE-2013-0156
Wiki Server
Disponible para OS X Lion Server de v10.7 a v10.7.5
Impacto: Un atacante remoto podía provocar la ejecución de código arbitrario.
Descripción: Existía un problema de "type casting" en la gestión de datos JSON por parte de Ruby on Rails. Para solucionar este problema, se pasó a usar el sistema back-end JSONGem para el análisis de JSON en la implementación de Rails usada por Wiki Server.
ID CVE
CVE-2013-0333
Eliminación de software malicioso
Disponible para Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion de v10.7 a v10.7.5, OS X Lion Server de v10.7 a v10.7.5 y OS X Mountain Lion de v10.8 a v10.8.2
Descripción: Esta actualización ejecuta una herramienta de eliminación de software malicioso que elimina las variantes más comunes de software malicioso. Si se encuentra software malicioso, se muestra un cuadro de diálogo para informar al usuario que se eliminó el software malicioso. No se le indica nada al usuario en el caso de que no se encuentre software malicioso.
FaceTime no está disponible en todos los países o regiones.
La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.