Acerca del contenido de seguridad de OS X Mountain Lion v10.8.5 y la actualización de seguridad 2013-004
En este documento, se describe el contenido de seguridad de OS X Mountain Lion v10.8.5 y la actualización de seguridad 2013-004.
El contenido y la actualización de seguridad se pueden descargar e instalar a través de las preferencias de Actualización de software o desde la página Descargas de Apple.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, consulta el sitio web Seguridad de los productos Apple.
Para obtener información acerca de la clave PGP de seguridad de los productos Apple, consulta “Cómo usar la clave PGP de seguridad de los productos Apple”.
A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.
Para obtener información acerca de las actualizaciones de seguridad, consulta “Actualizaciones de seguridad de Apple”.
OS X Mountain Lion v10.8.5 y la actualización de seguridad 2013-004
Apache
Disponible para Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4
Impacto: Varias vulnerabilidades en Apache.
Descripción: Existían varias vulnerabilidades en Apache. La más grave de ellas podía provocar un ataque de scripts de sitios. Estos problemas se solucionaron mediante la actualización de Apache a la versión 2.2.24.
ID CVE
CVE-2012-0883
CVE-2012-2687
CVE-2012-3499
CVE-2012-4558
Bind
Disponible para OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4
Impacto: Varias vulnerabilidades en BIND.
Descripción: Existían varias vulnerabilidades en BIND. La más grave de ellas podía provocar una denegación de servicio. Estos problemas se solucionaron mediante la actualización de BIND a la versión 9.8.5-P1. CVE-2012-5688 no afectó a los sistemas Mac OS X v10.7.
ID CVE
CVE-2012-3817
CVE-2012-4244
CVE-2012-5166
CVE-2012-5688
CVE-2013-2266
Certificate Trust Policy
Disponible para Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4
Impacto: Se actualizaron los certificados raíz.
Descripción: Se agregaron o eliminaron varios certificados de la lista de raíces del sistema. La lista completa de las raíces reconocidas del sistema se puede consultar mediante la aplicación Acceso a Llaveros.
ClamAV
Disponible para Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5
Impacto: Varias vulnerabilidades en ClamAV.
Descripción: Existen varias vulnerabilidades en ClamAV. La más grave de ellas puede provocar la ejecución de código arbitrario. En esta actualización, los problemas se solucionan mediante la actualización de ClamAV a la versión 0.97.8.
ID CVE
CVE-2013-2020
CVE-2013-2021
CoreGraphics
Disponible para OS X Mountain Lion v10.8 a v10.8.4
Impacto: La visualización de un archivo PDF creado con fines malintencionados podía provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.
Descripción: Existía un desbordamiento de búferes en el manejo de datos codificados JBIG2 en archivos PDF. Este problema se solucionó mediante una comprobación adicional de los límites.
ID CVE
CVE-2013-1025: Felix Groebert del equipo de seguridad de Google
ImageIO
Disponible para OS X Mountain Lion v10.8 a v10.8.4
Impacto: La visualización de un archivo PDF creado con fines malintencionados podía provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.
Descripción: Existía un desbordamiento de búferes en el manejo de datos codificados JPEG2000 en archivos PDF. Este problema se solucionó mediante una comprobación adicional de los límites.
ID CVE
CVE-2013-1026: Felix Groebert del equipo de seguridad de Google
Installer
Disponible para OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4
Impacto: Los paquetes se podían abrir después de la revocación del certificado.
Descripción: Cuando Installer encontraba un certificado revocado, aparecía un cuadro de diálogo con una opción para continuar. El problema se solucionó mediante la eliminación del cuadro de diálogo y el rechazo de paquetes revocados.
ID CVE
CVE-2013-1027
IPSec
Disponible para Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4
Impacto: Un atacante podía interceptar datos protegidos con autenticación híbrida IPSec.
Descripción: El nombre DNS de un servidor de autenticación híbrida IPSec no coincidía con el certificado, lo que permitía que un atacante con un certificado para cualquier servidor suplantara a cualquier otro. Este problema se solucionó mediante la verificación adecuada del certificado.
ID CVE
CVE-2013-1028: Alexander Traud de www.traud.de
Kernel
Disponible para OS X Mountain Lion v10.8 a v10.8.4
Impacto: Un usuario de la red local podía provocar una denegación de servicio.
Descripción: Una verificación incorrecta del código de análisis de paquetes IGMP en el kernel permitía a un usuario capaz de enviar paquetes IGMP al sistema provocar fallos del kernel. Este problema se solucionó mediante la eliminación de la verificación.
ID CVE
CVE-2013-1029: Christopher Bohn de PROTECTSTAR INC.
Mobile Device Management
Disponible para OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4
Impacto: Las contraseñas se podían revelar a otros usuarios locales.
Descripción: La contraseña se transmitía en la línea de comandos a mdmclient, lo que permitía que otros usuarios del mismo sistema pudieran verla. Este problema se solucionó comunicando la contraseña mediante un canal.
ID CVE
CVE-2013-1030: Per Olofsson de la Universidad de Gothenburg
OpenSSL
Disponible para Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4
Impacto: Varias vulnerabilidades en OpenSSL.
Descripción: Existían varias vulnerabilidades en OpenSSL. La más grave de ellas podía provocar la divulgación de los datos de los usuarios. Estos problemas se solucionaron mediante la actualización de OpenSSL a la versión 0.9.8y.
ID CVE
CVE-2012-2686
CVE-2013-0166
CVE-2013-0169
PHP
Disponible para Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4
Impacto: Varias vulnerabilidades en PHP.
Descripción: Existían varias vulnerabilidades en PHP. La más grave de ellas podía provocar la ejecución de código arbitrario. Estos problemas se solucionaron mediante la actualización de PHP a la versión 5.3.26.
ID CVE
CVE-2013-1635
CVE-2013-1643
CVE-2013-1824
CVE-2013-2110
PostgreSQL
Disponible para OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4
Impacto: Varias vulnerabilidades en PostgreSQL.
Descripción: Existen varias vulnerabilidades en PostgreSQL. La más grave de ellas puede provocar daños en los datos o la extensión de privilegios. CVE-2013-1901 no afecta a los sistemas OS X Lion. En esta actualización, los problemas se solucionan mediante la actualización de PostgreSQL a la versión 9.1.9 en los sistemas OS X Mountain Lion y a la versión 9.0.4 en los sistemas OS X Lion.
ID CVE
CVE-2013-1899
CVE-2013-1900
CVE-2013-1901
Power Management
Disponible para OS X Mountain Lion v10.8 a v10.8.4
Impacto: El protector de pantalla no se iniciaba tras el período especificado.
Descripción: Existía un problema de bloqueo de la aserción de energía. Este problema se solucionó mediante la mejora del manejo de bloqueos.
ID CVE
CVE-2013-1031
QuickTime
Disponible para Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4
Impacto: La visualización de un archivo de video creado con fines malintencionados podía provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.
Descripción: Existía un problema de daños en la memoria en el manejo de átomos “idsc” en los archivos de video de QuickTime. Este problema se solucionó mediante una comprobación adicional de los límites.
ID CVE
CVE-2013-1032: Jason Kratzer en colaboración con iDefense VCP
Screen Lock
Disponible para OS X Mountain Lion v10.8 a v10.8.4
Impacto: Un usuario con acceso a la función Compartir pantalla podía evitar el bloqueo de pantalla cuando había otra sesión de usuario iniciada.
Descripción: Existía un problema de administración de sesiones en el manejo de las sesiones en las que se compartía la pantalla por parte del bloqueo de pantalla. Este problema se solucionó mejorando el seguimiento de las sesiones.
ID CVE
CVE-2013-1033: Jeff Grisso de Atos IT Solutions, Sébastien Stormacq
sudo
Disponible para OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4
Impacto: Un atacante que tenía el control de la cuenta de un usuario administrador podía obtener privilegios de usuario raíz sin saber la contraseña del usuario.
Descripción: Mediante la configuración del reloj del sistema, un atacante podía usar sudo para obtener privilegios de usuario raíz en los sistemas en los que ya se había usado sudo. En OS X, solo los usuarios administradores pueden modificar el reloj del sistema. Este problema se solucionó mediante la verificación de marcas de fecha y hora no válidas.
ID CVE
CVE-2013-1775
Nota: En OS X Mountain Lion v10.8.5 también se soluciona un problema en el que determinadas cadenas Unicode pueden provocar el cierre inesperado de las aplicaciones.
La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.