Acerca del contenido de seguridad de OS X Mountain Lion v10.8.4 y la Actualización de seguridad 2013-002

En este documento, se describe el contenido de seguridad de OS X Mountain Lion v10.8.4 y la Actualización de seguridad 2013-002, la cual se puede descargar e instalar a través de las preferencias de Actualización de software o desde la página Descargas de Apple.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, consulta el sitio web Seguridad de los productos Apple.

Para obtener información acerca de la clave PGP de seguridad de los productos Apple, consulta “Cómo usar la clave PGP de seguridad de los productos Apple”.

A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.

Para obtener información acerca de las actualizaciones de seguridad, consulta “Actualizaciones de seguridad de Apple”.

OS X Mountain Lion v10.8.4 y la Actualización de seguridad 2013-002

Nota: OS X Mountain Lion v10.8.4 incluye el contenido de Safari 6.0.5. Para obtener más información, consulta Acerca del contenido de seguridad de Safari 6.0.5.

  • CFNetwork

    Disponible para: OS X Mountain Lion v10.8 a v10.8.3

    Impacto: un atacante con acceso a la sesión de un usuario puede iniciar sesión en sitios a los que se accedió previamente, incluso si se utilizó Navegación privada

    Descripción: las cookies permanentes se guardaron luego de cerrar Safari, incluso si Navegación privada se encontraba habilitado. El problema se solucionó mediante una mejora en el manejo de las cookies.

    CVE-ID

    CVE-2013-0982: Alexander Traud de www.traud.de

  • CoreAnimation

    Disponible para: OS X Mountain Lion v10.8 a v10.8.3

    Impacto: visitar un sitio creado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario

    Descripción: existía un problema de distribución de pila fuera de límites en el manejo de glifos de texto. Esto podía activarse mediante URL creadas con fines malintencionados en Safari. El problema se solucionó mediante una mejora en la comprobación de límites.

    CVE-ID

    CVE-2013-0983: David Fifield de Stanford University, Ben Syverson

  • CoreMedia Playback

    Disponible para: OS X Lion v10.7 to v10.7.5, OS X Lion Server v10.7 a v10.7.5, OS X Mountain Lion v10.8 a v10.8.3

    Impacto: ver un archivo de video creado con fines malintencionados puede ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario

    Descripción: existía un problema de acceso a la memoria no inicializada en el manejo de pistas de texto. El problema se solucionó mediante una validación adicional de pistas de texto.

    CVE-ID

    CVE-2013-1024: Richard Kuo y Billy Suguitan de Triemt Corporation

  • CUPS

    Disponible para: OS X Mountain Lion v10.8 to v10.8.3

    Impacto: un usuario local en el grupo Ipadmin puede leer o escribir archivos arbitrarios con privilegios del sistema

    Descripción: existía un problema de caso elevado de privilegio en el manejo de la configuración CUPS mediante la interfaz de la web de CUPS. Un usuario local en el grupo Ipadmin puede leer o escribir archivos arbitrarios con privilegios del sistema. Este problema se solucionó mediante el traslado de ciertas instrucciones de configuración a cups-files.conf, el cual no se puede modificar desde la interfaz web de CUPS.

    CVE-ID

    CVE-2012-5519

  • Directory Service

    Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Impacto: un atacante remoto puede ejecutar código arbitrario con privilegios del sistema en sistemas con Directory Service habilitado

    Descripción: existía un problema en el manejo del servidor del directorio de los mensajes que provenían de la red. Mediante el envío de un mensaje creado con fines malintencionados, un atacante remoto podía ocasionar que el servidor del directorio se cierre o que ejecute código arbitrario con privilegios del sistema. Este problema se solucionó mejorando la comprobación de los límites. Este problema no impacta en los sistemas OS X Lion ni OS X Mountain Lion.

    CVE-ID

    CVE-2013-0984: Nicolas Economou de Core Security

  • Disk Management

    Disponible para: OS X Mountain Lion v10.8 a v10.8.3

    Impacto: un usuario local puede desactivar FileVault

    Descripción: un usuario local que no es un administrador puede desactivar FileVault mediante la línea de comandos. Este problema se solucionó mediante el agregado de autenticación adicional.

    CVE-ID

    CVE-2013-0985

  • OpenSSL

    Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5, OS X Mountain Lion v10.8 a v10.8.3

    Impacto: un atacante puede descifrar datos protegidos mediante SSL

    Descripción: hubo ataques conocidos en la confidencialidad de TLS 1.0 cuando se habilitaba la compresión. Este problema se solucionó desactivando la compresión en OpenSSL.

    CVE-ID

    CVE-2012-4929: Juliano Rizzo y Thai Duong

  • OpenSSL

    Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5, OS X Mountain Lion v10.8 a v10.8.3

    Impacto: varias vulnerabilidades en OpenSSL

    Descripción: se actualizó OpenSSL a la versión 0.9.8x para solucionar distintas vulnerabilidades, las cuales podían resultar en la denegación de servicio o la divulgación de una clave privada. Se puede consultar más información en el sitio web de OpenSSL en http://www.openssl.org/news/

    CVE-ID

    CVE-2011-1945

    CVE-2011-3207

    CVE-2011-3210

    CVE-2011-4108

    CVE-2011-4109

    CVE-2011-4576

    CVE-2011-4577

    CVE-2011-4619

    CVE-2012-0050

    CVE-2012-2110

    CVE-2012-2131

    CVE-2012-2333

  • QuickDraw Manager

    Disponible para: OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5, OS X Mountain Lion v10.8 a v10.8.2

    Impacto: abrir una imagen PICT creada con fines malintencionados puede resultar en el cierre inesperado de la aplicación o en la ejecución de código arbitrario

    Descripción: existía un desbordamiento de búferes en el manejo de las imágenes PICT. Este problema se resolvió al mejorar la comprobación de límites.

    CVE-ID

    CVE-2013-0975: Tobias Klein en colaboración con el programa Zero Day Initiative de HP

  • QuickTime

    Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5, OS X Mountain Lion v10.8 a v10.8.3

    Impacto: ver un archivo de video creado con fines malintencionados puede resultar en el cierre inesperado de la aplicación o la ejecución de código arbitrario

    Descripción: existía un desbordamiento de búferes en el manejo de átomos “enof”. Este problema se resolvió al mejorar la comprobación de límites.

    CVE-ID

    CVE-2013-0986: Tom Gallagher (Microsoft) y Paul Bates (Microsoft), en colaboración con el programa Zero Day Initiative de HP

  • QuickTime

    Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5, OS X Mountain Lion v10.8 a v10.8.3

    Impacto: ver un archivo QTIF creado con fines malintencionados puede resultar en el cierre inesperado de la aplicación o en la ejecución de código arbitrario

    Descripción: existía un problema de daños en la memoria en el manejo de archivos QTIF. Este problema se resolvió al mejorar la comprobación de límites.

    CVE-ID

    CVE-2013-0987: roob en colaboración con iDefense VCP

  • QuickTime

    Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5, OS X Mountain Lion v10.8 a v10.8.3

    Impacto: ver un archivo FPX creado con fines malintencionados puede resultar en el cierre inesperado de la aplicación o en la ejecución de código arbitrario

    Descripción: existía un desbordamiento de búferes en el manejo de archivos FPX. Este problema se resolvió al mejorar la comprobación de límites.

    CVE-ID

    CVE-2013-0988: G. Geshev, en colaboración con el programa Zero Day Initiative de HP

  • QuickTime

    Disponible para: OS X Mountain Lion v10.8 a v10.8.3

    Impacto: reproducir un archivo MP3 creado con fines malintencionados puede resultar en el cierre inesperado de la aplicación o en la ejecución de código arbitrario

    Descripción: existía un desbordamiento de búferes en el manejo de archivos MP3. Este problema se resolvió al mejorar la comprobación de límites.

    CVE-ID

    CVE-2013-0989: G. Geshev, en colaboración con el programa Zero Day Initiative de HP

  • Ruby

    Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Impacto: varias vulnerabilidades en Ruby on Rails

    Descripción: existían varias vulnerabilidades en Ruby on Rails, de las cuales la más grave podía resultar en la ejecución de código arbitrario en los sistemas que ejecutan las aplicaciones de Ruby on Rails. Estos problemas se resolvieron mediante la actualización de Ruby on Rails a la versión 2.3.18. Este problema puede impactar en los sistemas OS X Lion u OS X Mountain Lion que se actualizaron desde Mac OS X 10.6.8 o versiones anteriores. Los usuarios pueden actualizar las gemas mediante la utilidad /usr/bin/gem.

    CVE-ID

    CVE-2013-0155

    CVE-2013-0276

    CVE-2013-0277

    CVE-2013-0333

    CVE-2013-1854

    CVE-2013-1855

    CVE-2013-1856

    CVE-2013-1857

  • SMB

    Disponible para: OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5, OS X Mountain Lion v10.8 a v10.8.3

    Impacto: un usuario autenticado puede escribir archivos por fuera del directorio compartido

    Descripción: si el uso de archivos compartidos SMB se encuentra habilitado, un usuario autenticado puede escribir archivos por fuera del directorio compartido. Este problema se solucionó mediante la mejora de las restricciones de acceso.

    CVE-ID

    CVE-2013-0990: Ward van Wanrooij

  • Nota: a partir de OS X v10.8.4, las aplicaciones de Java Web Start (i.e., JNLP) descargadas desde Internet deben estar firmadas con un certificado de Developer ID. Gatekeeper comprobará si las aplicaciones de Java Web Start cuentan con una firma y bloqueará el inicio de las aplicaciones que no cuenten con la firma apropiada.

    Puedes usar la utilidad codesign para firmar el archivo JNLP, la cual adjuntará la firma de código al archivo como atributos extendidos. Para preservar estos atributos, debes comprimir el archivo JNLP en un archivo ZIP, XIP o DMG. Ten cuidado cuando uses el formato ZIP, dado que puede que algunas herramientas de terceros no compriman los atributos extendidos requeridos de manera correcta.

    Obtén más información en Nota técnica TN2206: Firma de código en OS X en profundidad.

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.

Fecha de publicación: