Acerca del contenido de seguridad de OS X Lion v10.7.4 y la actualización de seguridad 2012-002

Este documento describe el contenido de seguridad de OS X Lion v10.7.4 y la actualización de seguridad 2012-002.

OS X Lion v10.7.4 y la actualización de seguridad 2012-002 pueden descargarse e instalarse desde las preferencias de Actualización de Software o desde Descargas de Apple.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.

Para obtener información sobre la clave PGP de seguridad de los productos Apple, visita "Cómo usar la clave PGP de seguridad de los productos Apple".

Siempre que sea posible, se usan ID CVE para hacer referencia a las vulnerabilidades a fin de obtener más información.

Para obtener información sobre las actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".
 

OS X Lion v10.7.4 y actualización de seguridad 2012-002

  • Ventana de inicio de sesión

    Disponible para OS X Lion v10.7.3, OS X Lion Server v10.7.3

    Impacto: Los administradores remotos y las personas con acceso físico al sistema podrían obtener información sobre las cuentas.

    Descripción: Existía un problema en la manipulación de los datos de inicio de sesión de las cuentas de red. El proceso de inicio de sesión grababa información confidencial en el registro del sistema, donde otros usuarios del sistema podían leerla. La información confidencial podría permanecer en registros guardados tras la instalación de esta actualización. Este problema solo afecta a los sistemas que usan OS X Lion v10.7.3 con usuarios de File Vault Original o directorios de inicio conectados en red. Consulta http://support.apple.com/kb/TS4272?viewlocale=es_LA para obtener más información sobre cómo eliminar de forma segura cualquier registro que aún se encuentre en el sistema.

    ID CVE

    CVE-2012-0652: Terry Reeves y Tim Winningham, de Ohio State University; Markus 'Jaroneko' Räty, de Finnish Academy of Fine Arts; Jaakko Pero, de Aalto University; Mark Cohen, de Oregon State University; Paul Nelson

  • Bluetooth

    Disponible para OS X Lion v10.7 a v10.7.3 y OS X Lion Server v10.7 a v10.7.3

    Impacto: Un usuario local podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un problema con el estado de carrera de los archivos temporales en la rutina de inicialización de blued.

    ID CVE

    CVE-2012-0649: Aaron Sigel, de vtty.com

  • curl

    Disponible para Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.3 y OS X Lion Server v10.7 a v10.7.3

    Impacto: Un atacante podría ser capaz de descifrar datos protegidos mediante SSL.

    Descripción: Existen ataques conocidos contra la confidencialidad de SSL 3.0 y TLS 1.0 cuando una suite de cifrado usa un cifrado por bloques en modo CBC. curl desactivaba la contramedida "empty fragment" que impedía estos ataques. Este problema se soluciona activando los fragmentos vacíos.

    ID CVE

    CVE-2011-3389: Apple

  • curl

    Disponible para OS X Lion v10.7 a v10.7.3 y OS X Lion Server v10.7 a v10.7.3

    Impacto: El uso de curl o libcurl con una URL creada con fines malintencionados podría provocar ataques de inserción de datos específicos de cada protocolo.

    Descripción: Existía un problema de inserción de datos en la manipulación de las URL por parte de curl. Este problema se soluciona a través de una validación mejorada de las URL. Este problema no afecta a los sistemas anteriores a OS X Lion.

    ID CVE

    CVE-2012-0036

  • Servicio de directorio

    Disponible para Mac OS X 10.6.8 y Mac OS X Server 10.6.8

    Impacto: Un atacante remoto podría obtener información confidencial.

    Descripción: Existían varios problemas en la manipulación de los mensajes de la red por parte del servidor de directorios. Al enviar un mensaje creado con fines malintencionados, un atacante remoto podía provocar que el servidor de directorios hiciera pública la memoria de su espacio de direcciones, revelando potencialmente credenciales de cuentas y otra información de carácter confidencial. Este problema no afecta a los sistemas OS X Lion. Por omisión, el servidor de directorios se encuentra desactivado en las instalaciones de OS X que no se realizan en servidores.

    ID CVE

    CVE-2012-0651: Agustin Azubel

  • HFS

    Disponible para OS X Lion v10.7 a v10.7.3 y OS X Lion Server v10.7 a v10.7.3

    Impacto: Montar una imagen de disco creada con fines malintencionados podría provocar un cierre del sistema o la ejecución de código arbitrario.

    Descripción: Existía un subdesbordamiento de enteros en la manipulación de archivos de catálogo HFS.

    ID CVE

    CVE-2012-0642: pod2g

  • ImageIO

    Disponible para Mac OS X v10.6.8 y Mac OS X Server v10.6.8

    Impacto: Ver un archivo TIFF creado con fines malintencionados puede ocasionar el cierre de la aplicación de manera inesperada o la ejecución de código arbitrario.

    Descripción: Existía un desbordamiento del búfer en la manipulación de archivos TIFF con codificación de CCITT Group 4 por parte de ImageIO. Este problema no afecta a los sistemas OS X Lion.

    ID CVE

    CVE-2011-0241: Cyril CATTIAUX, de Tessi Technologies

  • ImageIO

    Disponible para Mac OS X 10.6.8 y Mac OS X Server 10.6.8

    Impacto: Varias vulnerabilidades en libpng.

    Descripción: libpng se ha actualizado a la versión 1.5.5 para solucionar varias vulnerabilidades. La más grave de ellas podía provocar una divulgación de información. Para obtener más información, visita el sitio web de libpng en http://www.libpng.org/pub/png/libpng.html

    ID CVE

    CVE-2011-2692

    CVE-2011-3328

  • ImageIO

    Disponible para Mac OS X v10.6.8 y Mac OS X Server v10.6.8

    Impacto: Ver un archivo TIFF creado con fines malintencionados puede ocasionar el cierre de la aplicación de manera inesperada o la ejecución de código arbitrario.

    Descripción: Existía un desbordamiento del búfer en la manipulación de imágenes TIFF con codificación ThunderScan por parte de libtiff. Este problema se soluciona actualizando libtiff a la versión 3.9.5.

    ID CVE

    CVE-2011-1167

  • Kernel

    Disponible para OS X Lion v10.7 a v10.7.3 y OS X Lion Server v10.7 a v10.7.3

    Impacto: Cuando se usa FileVault, el disco podría contener datos de usuarios no cifrados.

    Descripción: Un problema en la manipulación de la imagen de reposo por parte del kernel que se usa para la hibernación dejaba algunos datos sin cifrar en el disco, incluso cuando FileVault se encontraba activado. Este problema se soluciona mejorando la manipulación de la imagen de reposo y sobrescribiendo la imagen de reposo existente cuando se realiza la actualización a OS X v10.7.4. Este problema no afecta a sistemas anteriores a OS X Lion.

    ID CVE

    CVE-2011-3212: Felix Groebert, de Google Security Team

  • libarchive

    Disponible para Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.3 y OS X Lion Server v10.7 a v10.7.3

    Impacto: Visitar un sitio web creado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario.

    Descripción: Existían varios desbordamientos del búfer en la manipulación de archivos tar y archivos iso9660.

    ID CVE

    CVE-2011-1777

    CVE-2011-1778

  • libsecurity

    Disponible para Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.3 y OS X Lion Server v10.7 a v10.7.3

    Impacto: Verificar un certificado X.509 creado con fines malintencionados, como cuando se visita un sitio web creado con fines malintencionados, podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    Descripción: Existía un problema de acceso a memoria sin inicializar en la manipulación de certificados X.509.

    ID CVE

    CVE-2012-0654: Dirk-Willem van Gulik de WebWeaving.org; Guilherme Prado, de Conselho da Justiça Federal; Ryan Sleevi, de Google

  • libsecurity

    Disponible para Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.3 y OS X Lion Server v10.7 a v10.7.3

    Impacto: La compatibilidad con certificados X.509 con claves RSA de longitudes inseguras podría exponer a los usuarios a suplantaciones y a la divulgación de información.

    Descripción: libsecurity aceptaba certificados firmados mediante claves RSA con longitudes de clave inseguras. Este problema se soluciona rechazando los certificados que contengan claves RSA con menos de 1024 bits.

    ID CVE

    CVE-2012-0655

  • libxml

    Disponible para Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.3 y OS X Lion Server v10.7 a v10.7.3

    Impacto: Ver una página web creada con fines malintencionados puede ocasionar el cierre de la aplicación de manera inesperada o la ejecución de código arbitrario.

    Descripción: Existían varias vulnerabilidades en libxml. La más grave de ellas podía provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario. Estos problemas se solucionan aplicando los parches de upstream correspondientes.

    ID CVE

    CVE-2011-1944: Chris Evans, de Google Chrome Security Team

    CVE-2011-2821: Yang Dingning, de NCNIPC, Graduate University de Chinese Academy of Sciences

    CVE-2011-2834: Yang Dingning, de NCNIPC, Graduate University de Chinese Academy of Sciences

    CVE-2011-3919: Jüri Aedla

  • LoginUIFramework

    Disponible para OS X Lion v10.7 a v10.7.3 y OS X Lion Server v10.7 a v10.7.3

    Impacto: Si el usuario invitado se encuentra activado, un usuario con acceso físico a la computadora podría iniciar sesión con un usuario distinto al del usuario invitado sin introducir ninguna contraseña.

    Descripción: Existía una situación de carrera en la manipulación de los datos de inicio de sesión de los usuarios invitados. Este problema no afecta a los sistemas anteriores a OS X Lion.

    ID CVE

    CVE-2012-0656: Francisco Gómez (espectalll123)

  • PHP

    Disponible para OS X Lion v10.7 a v10.7.3 y OS X Lion Server v10.7 a v10.7.3

    Impacto: Varias vulnerabilidades en PHP.

    Descripción: PHP se ha actualizado a la versión 5.3.10 para solucionar varias vulnerabilidades. La más grave de ellas podía provocar la ejecución de código arbitrario. Para obtener más información, visita el sitio web de PHP en http://www.php.net

    ID CVE

    CVE-2011-4566

    CVE-2011-4885

    CVE-2012-0830

  • Quartz Composer

    Disponible para Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.3 y OS X Lion Server v10.7 a v10.7.3

    Impacto: Un usuario con acceso físico a la computadora podría provocar que Safari se iniciara si la pantalla se encuentra bloqueada y se usa el protector de pantalla del Visualizador RSS.

    Descripción: Existía un problema de control de acceso en la manipulación de los protectores de pantalla por parte de Quartz Composer. Este problema se soluciona mejorando la comprobación del bloqueo de la pantalla.

    ID CVE

    CVE-2012-0657: Aaron Sigel, de vtty.com

  • QuickTime

    Disponible para Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.3 y OS X Lion Server v10.7 a v10.7.3

    Impacto: Ver un archivo de película creado con fines malintencionados durante la descarga progresiva puede ocasionar el cierre de la aplicación de manera inesperada o la ejecución de código arbitrario.

    Descripción: Existía un desbordamiento del búfer en la manipulación de tablas de muestras de audio.

    ID CVE

    CVE-2012-0658: Luigi Auriemma, que trabaja con Zero Day Initiative de HP

  • QuickTime

    Disponible para Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.3 y OS X Lion Server v10.7 a v10.7.3

    Impacto: Ver un archivo MPEG creado con fines malintencionados puede ocasionar el cierre de la aplicación de manera inesperada o la ejecución de código arbitrario.

    Descripción: Existía un desbordamiento de enteros en la gestión de archivos MPEG.

    ID CVE

    CVE-2012-0659: Un investigador anónimo que trabaja con Zero Day Initiative de HP

  • QuickTime

    Disponible para Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.3 y OS X Lion Server v10.7 a v10.7.3

    Impacto: Ver un archivo MPEG creado con fines malintencionados puede ocasionar el cierre de la aplicación de manera inesperada o la ejecución de código arbitrario.

    Descripción: Existe un problema de desbordamiento del búfer en la manipulación de archivos MPEG.

    ID CVE

    CVE-2012-0660: Justin Kim de Microsoft y Microsoft Vulnerability Research

  • QuickTime

    Disponible para OS X Lion v10.7 a v10.7.3 y OS X Lion Server v10.7 a v10.7.3

    Impacto: Ver un archivo de película creado con fines malintencionados puede ocasionar el cierre de la aplicación de manera inesperada o la ejecución de código arbitrario.

    Descripción: Existe un problema en el uso después de la liberación en la manipulación de archivos de película con cifrado JPEG2000. Este problema no afecta a los sistemas anteriores a OS X Lion.

    ID CVE

    CVE-2012-0661: Damian Put, que trabaja con Zero Day Initiative de HP

  • Ruby

    Disponible para Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.3 y OS X Lion Server v10.7 a v10.7.3

    Impacto: Varias vulnerabilidades en Ruby.

    Descripción: Ruby se ha actualizado a la versión 1.8.7-p357 para solucionar varias vulnerabilidades.

    ID CVE

    CVE-2011-1004

    CVE-2011-1005

    CVE-2011-4815

  • Samba

    Disponible para Mac OS X 10.6.8 y Mac OS X Server 10.6.8

    Impacto: Si el uso compartido de archivos mediante SMB se encuentra activado, un atacante remoto no autenticado podría provocar una denegación de servicio o la ejecución de código arbitrario con privilegios del sistema.

    Descripción: Existían varios desbordamientos del búfer en la manipulación de llamadas al procedimiento remoto por parte de Samba. Mediante el envío de un paquete creado con fines malintencionados, un atacante remoto no autenticado podía provocar una denegación de servicio o la ejecución de código arbitrario con privilegios del sistema. Este problema no afecta a los sistemas OS X Lion.

    ID CVE

    CVE-2012-0870: Andy Davis, de NGS Secure

    CVE-2012-1182: Un investigador anónimo que trabaja con Zero Day Initiative de HP

  • Marco de seguridad

    Disponible para Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.3 y OS X Lion Server v10.7 a v10.7.3

    Impacto: Un atacante remoto puede provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    Descripción: Existía un desbordamiento de enteros en el Marco de seguridad. El procesamiento de datos que no son de confianza con el Marco de seguridad podía dañar la memoria. Este problema no afecta a procesos de 32 bits.

    ID CVE

    CVE-2012-0662: aazubel, que trabaja con Zero Day Initiative de HP

  • Time Machine

    Disponible para OS X Lion v10.7 a v10.7.3 y OS X Lion Server v10.7 a v10.7.3

    Impacto: Un atacante remoto podría acceder a las credenciales de las copias de seguridad de Time Machine de un usuario.

    Descripción: El usuario podía designar un volumen de Time Capsule o de AFP remoto conectado a una estación base AirPort a fin de usarlo para alojar las copias de seguridad de Time Machine. Desde la actualización de firmware 7.6 de la estación base AirPort y Time Capsule, las Time Capsule y las estaciones base admiten un mecanismo de autenticación basado en SRP seguro mediante AFP. Sin embargo, Time Machine no requería que el mecanismo de autenticación basado en SRP se usara para las operaciones de realización de copias de seguridad posteriores, incluso en el caso de que Time Machine se hubiera configurado inicialmente o se hubiera puesto en contacto alguna vez con una Time Capsule o una estación base compatible con ella. Un atacante capaz de suplantar el volumen remoto podía acceder a las credenciales de Time Capsule del usuario, aunque no a los datos de las copias de seguridad, enviados por el sistema del usuario. Este problema se soluciona exigiendo el uso del mecanismo de autenticación basado en SRP si el destino de la copia de seguridad alguna vez ha sido compatible con él.

    ID CVE

    CVE-2012-0675: Renaud Deraison, de Tenable Network Security, Inc.

  • X11

    Disponible para OS X Lion v10.7 a v10.7.3 y OS X Lion Server v10.7 a v10.7.3

    Impacto: Las aplicaciones que usan libXfont para procesar datos comprimidos mediante LZW pueden ser vulnerables a un cierre de la aplicación inesperado o a la ejecución de código arbitrario.

    Descripción: Existía un desbordamiento del búfer en la manipulación de los datos comprimidos mediante LZW por parte de libXfont. Este problema se soluciona actualizando libXfont a la versión 1.4.4.

    ID CVE

    CVE-2011-2895: Tomas Hoger, de Red Hat
     

Nota: Además, esta actualización filtra las variables dinámicas del entorno del enlazador de una lista personalizada de propiedades del entorno en el directorio de inicio del usuario, si lo hay.

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados o probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o productos de otros fabricantes. Apple no ofrece ninguna representación con relación a la precisión o fiabilidad de los sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Comunícate con el proveedor para obtener información adicional. Otros nombres de compañías y productos mencionados pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: