Acerca del contenido de seguridad de OS X Mavericks v10.9.4 y la actualización de seguridad 2014-003

En este documento, se describe el contenido de seguridad de OS X Mavericks v10.9.4 y la actualización de seguridad 2014-003.

Para instalar esta actualización, puedes descargarla con Actualización de software o desde el sitio web del Soporte técnico de Apple.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos Apple.

Siempre que sea posible, se utilizan ID CVE para hacer referencia a las vulnerabilidades a fin de obtener más información.

Para obtener información sobre otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

Nota: En OS X Mavericks 10.9.4, se incluye el contenido de seguridad de Safari 7.0.5.

OS X Mavericks v10.9.4 y actualización de seguridad 2014-003

  • Política de confianza en certificados

    Disponible para OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.3

    Impacto: Actualización en la política de confianza en certificados.

    Descripción: La política de confianza en certificados se actualizó. Se puede ver la lista completa de certificados en https://support.apple.com/es-lamr/HT6005.

  • archivo de copia

    Disponible para OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.3

    Impacto: Abrir un archivo .zip creado con fines malintencionados podía provocar el cierre inesperado de una app o la ejecución de código arbitrario.

    Descripción: Existía un problema de intercambio de bytes fuera de los límites en la administración de archivos AppleDouble en archivos .zip. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1370: Chaitanya (SegFault) en colaboración con iDefense VCP

  • curl

    Disponible para OS X Mavericks v10.9 a v10.9.3

    Impacto: Un atacante remoto podía obtener acceso a la sesión de otro usuario.

    Descripción: cURL reusaba las conexiones NTLM cuando se activaba más de un método de autenticación, lo que permitía a un atacante obtener acceso a la sesión de otro usuario.

    ID CVE

    CVE-2014-0015

  • Dock

    Disponible para OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.3

    Impacto: Una app en la zona protegida podía eludir las restricciones de la zona protegida.

    Descripción: Existía un problema de índice de matriz no validado en la administración de mensajes del Dock desde las apps Un mensaje creado con fines malintencionados podía provocar la eliminación de la referencia a un puntero de función no válido, lo que podía provocar el cierre inesperado de una app o la ejecución de código arbitrario.

    ID CVE

    CVE-2014-1371: Un investigador anónimo en colaboración con la iniciativa Zero Day de HP

  • Driver de gráficos

    Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.3

    Impacto: Un usuario local podía leer la memoria del kernel, que se puede usar para eludir la aleatorización del diseño del espacio de direcciones del kernel.

    Descripción: Existía un problema de lectura fuera de los límites en la administración de una llamada del sistema. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1372: Ian Beer de Google Project Zero

  • iBooks Commerce

    Disponible para OS X Mavericks v10.9 a v10.9.3

    Impacto: Un atacante con acceso a un sistema podía recuperar las credenciales de un Apple ID.

    Descripción: Existía un problema en la administración de los registros de iBooks. El proceso de iBooks podía registrar las credenciales de un Apple ID en el registro de iBooks donde otros usuarios del sistema podían leerlas. Este problema se solucionó desactivando el registro de credenciales.

    ID CVE

    CVE-2014-1317: Steve Dunham

  • Driver de gráficos Intel

    Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.3

    Impacto: Una app creada con fines malintencionados podía ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un problema de validación en la administración de una llamada de la API OpenGL. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1373: Ian Beer de Google Project Zero

  • Driver de gráficos Intel

    Disponible para OS X Mavericks v10.9 a v10.9.3

    Impacto: Un usuario local podía leer punteros del kernel, que podían usarse para eludir la aleatorización del diseño del espacio de direcciones del kernel.

    Descripción: Podía recuperarse un puntero del kernel almacenado en un objeto IOKit desde userland. Este problema se solucionó eliminando el puntero del objeto.

    ID CVE

    CVE-2014-1375

  • Intel Compute

    Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.3

    Impacto: Una app creada con fines malintencionados podía ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un problema de validación en la administración de una llamada API OpenCL. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1376: Ian Beer de Google Project Zero

  • IOAcceleratorFamily

    Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.3

    Impacto: Una app creada con fines malintencionados podía ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un problema de índice de matriz en IOAcceleratorFamily. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1377: Ian Beer de Google Project Zero

  • IOGraphicsFamily

    Disponible para OS X Mavericks v10.9 a v10.9.3

    Impacto: Un usuario local podía leer punteros del kernel, que podían usarse para eludir la aleatorización del diseño del espacio de direcciones del kernel.

    Descripción: Podía recuperarse un puntero del kernel almacenado en un objeto IOKit desde userland. Este problema se solucionó usando una identificación única en lugar de un puntero.

    ID CVE

    CVE-2014-1378

  • IOReporting

    Disponible para OS X Mavericks v10.9 a v10.9.3

    Impacto: Un usuario local podía provocar el reinicio inesperado del sistema.

    Descripción: Existía un problema de falta de referencia de puntero nulo en el procesamiento de argumentos IOKit API. Este problema se solucionó mediante la validación de los argumentos IOKit API.

    ID CVE

    CVE-2014-1355: cunzhang de Adlab de Venustech

  • launchd

    Disponible para OS X Mavericks v10.9 a v10.9.3

    Impacto: Una app creada con fines malintencionados podía ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un problema de falta de enteros en launchd. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1359: Ian Beer de Google Project Zero

  • launchd

    Disponible para OS X Mavericks v10.9 a v10.9.3

    Impacto: Una app creada con fines malintencionados podía ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un desbordamiento de la memoria dinámica de pila en la gestión de mensajes IPC por parte de launchd. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1356: Ian Beer de Google Project Zero

  • launchd

    Disponible para OS X Mavericks v10.9 a v10.9.3

    Impacto: Una app creada con fines malintencionados podía ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un desbordamiento de la memoria dinámica de pila en la gestión de mensajes de registro por parte de launchd. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1357: Ian Beer de Google Project Zero

  • launchd

    Disponible para OS X Mavericks v10.9 a v10.9.3

    Impacto: Una app creada con fines malintencionados podía ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un problema de desbordamiento de enteros en launchd. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1358: Ian Beer de Google Project Zero

  • Drivers de gráficos

    Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.3

    Impacto: Una app creada con fines malintencionados podía ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existían varios problemas de eliminación de referencia nula en los drivers de gráficos del kernel. Un archivo ejecutable de 32 bits creado con fines malintencionados podía obtener privilegios elevados.

    ID CVE

    CVE-2014-1379: Ian Beer de Google Project Zero

  • Seguridad: Llavero

    Disponible para OS X Mavericks v10.9 a v10.9.3

    Impacto: Un atacante podía escribir en las ventanas que están debajo del bloqueo de pantalla.

    Descripción: En circunstancias especiales, el bloqueo de pantalla no impedía que se pulsaran teclas. Esto podía permitir que un atacante escribiera en las ventanas que estaban debajo del bloqueo de pantalla. Este problema se solucionó mejorando la administración del supervisor de pulsación de teclas.

    ID CVE

    CVE-2014-1380: Ben Langfeld de Mojo Lingo LLC

  • Seguridad: Secure Transport

    Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.3

    Impacto: Dos bytes de memoria podían revelarse a un atacante remoto.

    Descripción: Existía un problema de acceso a la memoria no inicializada en la administración de mensajes DTLS en una conexión TLS. Este problema se solucionó aceptando únicamente mensajes DTLS en una conexión DTLS.

    ID CVE

    CVE-2014-1361: Thijs Alkemade de The Adium Project

  • Thunderbolt

    Disponible para OS X Mavericks v10.9 a v10.9.3

    Impacto: Una app creada con fines malintencionados podía ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un problema de acceso a la memoria fuera de los límites en la administración de las llamadas de la API IOThunderBoltController. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1381: Sarah, alias winocm

    Entrada actualizada el 3 de febrero de 2020

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.

Fecha de publicación: