Acerca del contenido de seguridad de OS X Mavericks v10.9.4 y la actualización de seguridad 2014-003

En este documento, se describe el contenido de seguridad de OS X Mavericks v10.9.4 y la actualización de seguridad 2014-003.

Para instalar esta actualización, puedes descargarla con Actualización de Software o del sitio web de Soporte técnico de Apple.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, consulta el sitio web Seguridad de los productos de Apple.

Para obtener información acerca de la clave PGP de seguridad de los productos de Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.

A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.

Para obtener información acerca de las actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

Nota: En OS X Mavericks 10.9.4, se incluye el contenido de seguridad de Safari 7.0.5.

OS X Mavericks v10.9.4 y actualización de seguridad 2014-003

  • Política de confianza en certificados

    Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.3

    Impacto: actualización en la política de confianza en certificados

    Descripción: la política de confianza en certificados se actualizó. Se puede ver la lista completa de certificados en http://support.apple.com/kb/HT6005?viewlocale=es_LA.

  • archivo de copia

    Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.3

    Impacto: la apertura de un archivo .zip creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.

    Descripción: existía un problema de intercambio de bytes fuera de límites en la administración de archivos AppleDouble en archivos zip. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1370: Chaitanya (SegFault), colaborador de iDefense VCP

  • curl

    Disponible para: OS X Mavericks v10.9 a v10.9.3

    Impacto: un atacante remoto podría obtener acceso a la sesión de otro usuario.

    Descripción: las conexiones NTLM eran reutilizadas por cURL cuando se activaba más de un método de autenticación, lo que permitía a un atacante obtener acceso a la sesión de otro usuario.

    ID CVE

    CVE-2014-0015

  • Dock

    Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.3

    Impacto: una aplicación enjaulada podría evitar las restricciones de la zona protegida.

    Descripción: existía un problema de índice de matriz no validado en la administración de mensajes del Dock desde las aplicaciones. Un mensaje creado con fines maliciosos podría ocasionar la eliminación de la referencia a un puntero de función no válido, lo que podría ocasionar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    ID CVE

    CVE-2014-1371: un investigador anónimo, colaborador de la Zero Day Initiative de HP

  • Driver de gráficos

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.3

    Impacto: un usuario local puede leer la memoria del kernel, que se puede usar para eludir la aleatorización del espacio de direcciones de kernel.

    Descripción: existía un problema de lectura fuera de límites en la administración de una llamada del sistema. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1372: Ian Beer de Google Project Zero

  • iBooks Commerce

    Disponible para: OS X Mavericks v10.9 a v10.9.3

    Impacto: un atacante con acceso a un sistema puede recuperar las credenciales de Identificación de Apple.

    Descripción: existía un problema en la administración de los registros de iBooks. El proceso de iBooks podía registrar credenciales de Identificación de Apple en el registro de iBooks donde otros usuarios del sistema podían leerlas. Este problema se solucionó desactivando el registro de credenciales.

    ID CVE

    CVE-2014-1317: Steve Dunham

  • Driver de gráficos Intel

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.3

    Impacto: una aplicación maliciosa podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: existía un problema de validación de firma en la administración de una llamada de la API OpenGL. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1373: Ian Beer de Google Project Zero

  • Driver de gráficos Intel

    Disponible para: OS X Mavericks v10.9 a v10.9.3

    Impacto: un usuario local podría leer un puntero kernel, que se podría usar para eludir la aleatorización del espacio de direcciones de kernel.

    Descripción: podría recuperarse un puntero kernel almacenado en un objeto IOKit de userland. Este problema se solucionó eliminando el puntero del objeto.

    ID CVE

    CVE-2014-1375

  • Intel Compute

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.3

    Impacto: una aplicación maliciosa podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: existía un problema de validación de firma en la administración de una llamada API OpenCL. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1376: Ian Beer de Google Project Zero

  • IOAcceleratorFamily

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.3

    Impacto: una aplicación maliciosa podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: existía un problema de índice de matriz en IOAcceleratorFamily. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1377: Ian Beer de Google Project Zero

  • IOGraphicsFamily

    Disponible para: OS X Mavericks v10.9 a v10.9.3

    Impacto: un usuario local podría leer un puntero kernel, que se podría usar para eludir la aleatorización del espacio de direcciones de kernel.

    Descripción: podría recuperarse un puntero kernel almacenado en un objeto IOKit de userland. Este problema se solucionó usando una identificación única en lugar de un puntero.

    ID CVE

    CVE-2014-1378

  • IOReporting

    Disponible para: OS X Mavericks v10.9 a v10.9.3

    Impacto: un usuario local podría ocasionar el reinicio inesperado del sistema.

    Descripción: existía un problema de eliminación de referencia de puntero nulo en la administración de argumentos de la API IOKit. Este problema se solucionó mediante la validación adicional de los argumentos de la API IOKit.

    ID CVE

    CVE-2014-1355: cunzhang de Adlab de Venustech

  • launchd

    Disponible para: OS X Mavericks v10.9 a v10.9.3

    Impacto: una aplicación maliciosa podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: existía un problema de subdesbordamiento de enteros en launchd. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1359: Ian Beer de Google Project Zero

  • launchd

    Disponible para: OS X Mavericks v10.9 a v10.9.3

    Impacto: una aplicación maliciosa podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: existía un desbordamiento del búfer de montículo en la administración de mensajes IPC por parte de launchd. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1356: Ian Beer de Google Project Zero

  • launchd

    Disponible para: OS X Mavericks v10.9 a v10.9.3

    Impacto: una aplicación maliciosa podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: existía un desbordamiento del búfer de montículo en la administración de mensajes de registro por parte de launchd. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1357: Ian Beer de Google Project Zero

  • launchd

    Disponible para: OS X Mavericks v10.9 a v10.9.3

    Impacto: una aplicación maliciosa podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: existía un problema de desbordamiento de enteros en launchd. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1358: Ian Beer de Google Project Zero

  • Drivers de gráficos

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.3

    Impacto: una aplicación maliciosa podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: existían varios problemas de eliminación de referencia nula en los controladores de gráficos del kernel. Un archivo ejecutable de 32 bits creado con fines maliciosos podría obtener privilegios elevados.

    ID CVE

    CVE-2014-1379: Ian Beer de Google Project Zero

  • Seguridad: Llavero

    Disponible para: OS X Mavericks v10.9 a v10.9.3

    Impacto: un atacante podría escribir en las ventanas que están debajo del bloqueo de pantalla.

    Descripción: en circunstancias especiales, el bloqueo de pantalla no impedía que se pulsaran teclas. Esto podía permitir que un atacante escribiera en las ventanas que estaban debajo del bloqueo de pantalla. Este problema se solucionó mejorando la administración del supervisor de pulsación de teclas.

    ID CVE

    CVE-2014-1380: Ben Langfeld de Mojo Lingo LLC

  • Seguridad: Secure Transport

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.3

    Impacto: dos bytes de memoria podrían revelarse a un atacante remoto.

    Descripción: existía un problema de acceso a la memoria no inicializada en la administración de mensajes DTLS en una conexión TLS. Este problema se solucionó aceptando únicamente mensajes DTLS en una conexión DTLS.

    ID CVE

    CVE-2014-1361: Thijs Alkemade de The Adium Project

  • Thunderbolt

    Disponible para: OS X Mavericks v10.9 a v10.9.3

    Impacto: una aplicación maliciosa podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: existía un acceso a la memoria fuera de límites en la administración de las llamadas de la API IOThunderBoltController. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1381: Catherine, alias winocm

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados o probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o productos de otros fabricantes. Apple no ofrece ninguna representación con relación a la precisión o fiabilidad de los sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Comunícate con el proveedor para obtener información adicional. Otros nombres de compañías y productos mencionados pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: