Acerca del contenido de seguridad de OS X Mountain Lion v10.8.4 y de la actualización de seguridad 2013-002

En este documento, se describe el contenido de seguridad de OS X Mountain Lion v10.8.4 y de la actualización de seguridad 2013-002, que se pueden descargar e instalar a través de las preferencias de Actualización de Software o desde Descargas de Apple.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, consulta el sitio web Seguridad de los productos de Apple.

Para obtener información acerca de la clave PGP de seguridad de los productos de Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.

A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.

Para obtener información acerca de las actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.
 

OS X Mountain Lion v10.8.4 y actualización de seguridad 2013-002

Nota: En OS X Mountain Lion v10.8.4, se incluye el contenido de Safari 6.0.5. Para obtener más información, consulta Acerca del contenido de seguridad de Safari 6.0.5.

  • CFNetwork

    Disponible para: OS X Mountain Lion v10.8 a v10.8.3

    Impacto: un atacante con acceso a la sesión de un usuario podría iniciar sesión en los sitios a los que accedió anteriormente, incluso aunque se haya usado navegación privada.

    Descripción: se guardaron cookies permanentes después de cerrar Safari, incluso aunque la navegación privada estuviera activada. Este problema se solucionó mejorando la administración de las cookies.

    ID CVE

    CVE-2013-0982: Alexander Traud, de www.traud.de

  • CoreAnimation

    Disponible para: OS X Mountain Lion v10.8 a v10.8.3

    Impacto: visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.

    Descripción: existía un problema de asignación de pila ilimitada en la administración de glifos de texto. Esto se podía activar gracias a las URL creadas con fines maliciosos de Safari. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2013-0983: David Fifield de la Universidad de Stanford, Ben Syverson

  • CoreMedia Playback

    Disponible para: OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5 y OS X Mountain Lion v10.8 a v10.8.3

    Impacto: la visualización de un archivo de película creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.

    Descripción: existía un problema de acceso a la memoria no inicializada en la administración de pistas de texto. Este problema se solucionó mediante la validación adicional de las pistas de texto.

    ID CVE

    CVE-2013-1024: Richard Kuo y Billy Suguitan de Triemt Corporation

  • CUPS

    Disponible para: OS X Mountain Lion v10.8 a v10.8.3

    Impacto: un usuario local del grupo lpadmin podría leer o escribir archivos desconocidos con privilegios del sistema.

    Descripción: existía un problema de escalación de privilegios en la administración de la configuración de CUPS mediante la interfaz web de CUPS. Un usuario local del grupo lpadmin podría leer o escribir archivos ocultos con privilegios del sistema. Este problema se solucionó moviendo determinadas directivas de configuración a cups-files.conf, que no se puede modificar desde la interfaz web de CUPS.

    ID CVE

    CVE-2012-5519

  • Servicio de directorio

    Disponible para: Mac OS X v 10.6.8, Mac OS X Server v 10.6.8

    Impacto: un atacante remoto podría ejecutar código arbitrario con privilegios del sistema en sistemas con Servicio de directorio activado.

    Descripción: existía un problema en la administración de los mensajes de la red por parte del servidor de directorios. Al enviar un mensaje creado con fines maliciosos, un atacante remoto podía ocasionar el cierre del servidor de directorios o la ejecución de código arbitrario con privilegios del sistema. Este problema se solucionó mejorando la comprobación de los límites y no afecta los sistemas con OS X Lion y OS X Mountain Lion.

    ID CVE

    CVE-2013-0984: Nicolas Economou de Core Security

  • Disk Management

    Disponible para: OS X Mountain Lion v10.8 a v10.8.3

    Impacto: un usuario local podría desactivar FileVault.

    Descripción: un usuario local que no es administrador podría desactivar FileVault usando la línea de comandos. Este problema se solucionó agregando autenticación adicional.

    ID CVE

    CVE-2013-0985

  • OpenSSL

    Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5 y OS X Mountain Lion v10.8 a v10.8.3

    Impacto: un atacante podría desencriptar datos protegidos mediante SSL.

    Descripción: se producían ataques conocidos en la confidencialidad de TLS 1.0 cuando se activaba la compresión. Este problema se solucionó desactivando la compresión en OpenSSL.

    ID CVE

    CVE-2012-4929: Juliano Rizzo y Thai Duong

  • OpenSSL

    Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5 y OS X Mountain Lion v10.8 a v10.8.3

    Impacto: varias vulnerabilidades en OpenSSL.

    Descripción: OpenSSL se actualizó a la versión 0.9.8x para solucionar varias vulnerabilidades, que podrían ocasionar la denegación de servicio o la revelación de una clave privada. Para obtener más información, visita el sitio web de OpenSSL: http://www.openssl.org/news/.

    ID CVE

    CVE-2011-1945

    CVE-2011-3207

    CVE-2011-3210

    CVE-2011-4108

    CVE-2011-4109

    CVE-2011-4576

    CVE-2011-4577

    CVE-2011-4619

    CVE-2012-0050

    CVE-2012-2110

    CVE-2012-2131

    CVE-2012-2333

  • QuickDraw Manager

    Disponible para: OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5 y OS X Mountain Lion v10.8 a v10.8.2

    Impacto: la apertura de una imagen PICT creada con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.

    Descripción: existía un desbordamiento del búfer en la administración de imágenes PICT. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2013-0975: Tobias Klein, colaborador de Zero Day Initiative de HP

  • QuickTime

    Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5 y OS X Mountain Lion v10.8 a v10.8.3

    Impacto: la visualización de un archivo de película creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.

    Descripción: se producía un desbordamiento del búfer en la administración de átomos ‘enof’. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2013-0986: Tom Gallagher (Microsoft) y Paul Bates (Microsoft), colaboradores de Zero Day Initiative de HP

  • QuickTime

    Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5 y OS X Mountain Lion v10.8 a v10.8.3

    Impacto: la visualización de un archivo QTIF creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.

    Descripción: existía un problema de errores de memoria en la administración de archivos QTIF. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2013-0987: roob, colaborador de iDefense VCP

  • QuickTime

    Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5 y OS X Mountain Lion v10.8 a v10.8.3

    Impacto: la visualización de un archivo FPX creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.

    Descripción: se producía un desbordamiento del búfer en la administración de archivos FPX. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2013-0988: G. Geshev, colaborador de Zero Day Initiative de HP

  • QuickTime

    Disponible para: OS X Mountain Lion v10.8 a v10.8.3

    Impacto: la reproducción de un archivo MP3 creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.

    Descripción: se producía un desbordamiento del búfer en la administración de archivos MP3. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2013-0989: G. Geshev, colaborador de Zero Day Initiative de HP

  • Ruby

    Disponible para: Mac OS X v 10.6.8, Mac OS X Server v 10.6.8

    Impacto: varias vulnerabilidades en Ruby on Rails.

    Descripción: existían varias vulnerabilidades en Ruby on Rails; la más grave podía ocasionar la ejecución de código arbitrario en sistemas que ejecutan aplicaciones con Ruby on Rails. Estos problemas, que podrían afectar sistemas con OS X Lion o OS X Mountain Lion que se hayan actualizado de Mac OS X 10.6.8 o una versión anterior, se solucionaron actualizando Ruby on Rails a la versión 2.3.18. Los usuarios pueden actualizar las partes afectadas de dichos sistemas con la utilidad /usr/bin/gem.

    ID CVE

    CVE-2013-0155

    CVE-2013-0276

    CVE-2013-0277

    CVE-2013-0333

    CVE-2013-1854

    CVE-2013-1855

    CVE-2013-1856

    CVE-2013-1857

  • SMB

    Disponible para: OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5 y OS X Mountain Lion v10.8 a v10.8.3

    Impacto: un usuario autenticado podría escribir archivos fuera del directorio compartido.

    Descripción: si está activada la función de compartir archivos SMB, un usuario autenticado podría escribir archivos fuera del directorio compartido. Este problema se solucionó mejorando el control de acceso.

    ID CVE

    CVE-2013-0990: Ward van Wanrooij

  • Nota: A partir de OS X v10.8.4, las aplicaciones de Java Web Start (es decir, JNLP) descargadas de Internet deben estar firmadas con un certificado de identificación de desarrollador. Gatekeeper comprueba si las aplicaciones de Java Web Start descargadas tienen firma y las bloquea para que no se inicien si no están debidamente firmadas.

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados o probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o productos de otros fabricantes. Apple no ofrece ninguna representación con relación a la precisión o fiabilidad de los sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Comunícate con el proveedor para obtener información adicional. Otros nombres de compañías y productos mencionados pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: