Acerca del contenido de seguridad de OS X Yosemite v10.10.2 y la actualización de seguridad 2015-001

En este documento, se describe el contenido de seguridad de OS X Yosemite v10.10.2 y la actualización de seguridad 2015-001.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos Apple.

Siempre que sea posible, se utilizan ID CVE para hacer referencia a las vulnerabilidades a fin de obtener más información.

Para obtener información sobre otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

OS X Yosemite v10.10.2 y actualización de seguridad 2015-001

  • Servidor AFP

    Disponible para: OS X Mavericks v10.9.5

    Impacto: Un atacante remoto podría ser capaz de conocer todas las direcciones de red del sistema.

    Descripción: El servidor de archivos AFP admitía un comando que devolvía todas las direcciones de red del sistema. Para resolver este problema, se eliminaron todas las direcciones del resultado.

    ID CVE

    CVE-2014-4426: Craig Young de Tripwire VERT

  • bash

    Disponible para: OS X Yosemite v10.10 y v10.10.1

    Impacto: Varias vulnerabilidades en bash, incluida una que podría permitir que atacantes locales ejecuten código arbitrario.

    Descripción: Existían varias vulnerabilidades en bash. Para resolver estos problemas, se actualizó bash al nivel de revisión 57.

    ID CVE

    CVE-2014-6277

    CVE-2014-7186

    CVE-2014-7187

  • Bluetooth

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un error de tipo signed/unsigned de enteros en IOBluetoothFamily que permitía la manipulación de la memoria del kernel. Para resolver este problema, se mejoró la comprobación de los límites. Este problema no afecta a los sistemas OS X Yosemite.

    ID CVE

    CVE-2014-4497

  • Bluetooth

    Disponible para: OS X Yosemite v10.10 y v10.10.1

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un error en el driver de Bluetooth que permitía que una aplicación malintencionada controlara el tamaño de una escritura en la memoria del kernel. Este problema se resolvió mediante una validación de entrada adicional.

    ID CVE

    CVE-2014-8836: Ian Beer de Google Project Zero

  • Bluetooth

    Disponible para: OS X Yosemite v10.10 y v10.10.1

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existían varios problemas de seguridad en el driver Bluetooth que permitían que una aplicación malintencionada ejecutara código arbitrario con privilegios del sistema. Los problemas se resolvieron mediante una validación de entrada adicional.

    ID CVE

    CVE-2014-8837: Roberto Paleari y Aristide Fattori de Emaze Networks

  • CFNetwork Cache

    Disponible para: OS X Yosemite v10.10 y v10.10.1

    Impacto: Es posible que la caché del sitio web no se borre por completo después de abandonar la navegación privada.

    Descripción: Existía un problema de privacidad en el cual los datos de navegación podían permanecer en la caché después de abandonar la navegación privada. Este problema se solucionó al cambiar el comportamiento del almacenamiento en caché.

    ID CVE

    CVE-2014-4460

  • CoreGraphics

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1

    Impacto: La apertura de un archivo PDF creado con fines malintencionados podría ocasionar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    Descripción: Existía un desbordamiento de enteros en el procesamiento de archivos PDF. Para resolver este problema, se mejoró la comprobación de los límites.

    ID CVE

    CVE-2014-4481: Felipe Andrés Manzano de Binamuse VRT, a través del programa iSIGHT Partners GVP

  • CPU Software

    Disponible para: OS X Yosemite v10.10 y v10.10.1, para: MacBook Pro Retina, MacBook Air (mediados de 2013 y posteriores), iMac (finales de 2013 y posteriores), Mac Pro (finales de 2013).

    Impacto: Un dispositivo Thunderbolt malintencionado podría ser capaz de afectar la memoria flash del firmware.

    Descripción: Los dispositivos Thunderbolt podían modificar el firmware del host si se conectaban durante una actualización de EFI. Para solucionar este problema, no se cargan ROM opcionales durante las actualizaciones.

    ID CVE

    CVE-2014-4498: Trammell Hudson de Two Sigma Investments

  • CommerceKit Framework

    Disponible para: OS X Yosemite v10.10 y v10.10.1

    Impacto: Un atacante con acceso a un sistema podría ser capaz de recuperar las credenciales de Identificación de Apple.

    Descripción: Existía un problema en el procesamiento de los registros del App Store. El proceso del App Store podía inscribir credenciales de Identificación de Apple en el registro cuando el registro adicional estaba activado. Para resolver este problema, se desactivó el registro de credenciales.

    ID CVE

    CVE-2014-4499: Sten Petersen

  • CoreGraphics

    Disponible para: OS X Yosemite v10.10 y v10.10.1

    Impacto: Algunas aplicaciones de terceros con entrada de texto no segura y eventos del ratón podrían registrar esos eventos.

    Descripción: Debido a la combinación de una variable no inicializada y el asignador personalizado de una aplicación, puede que se hayan registrado entradas de texto no seguras y eventos del ratón. Para resolver el problema, se garantizó que el registro esté desactivado de manera predeterminada. Este problema no afecta a los sistemas anteriores a OS X Yosemite.

    ID CVE

    CVE-2014-1595: Steven Michaud de Mozilla, en colaboración con Kent Howard

  • CoreGraphics

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

    Impacto: La apertura de un archivo PDF creado con fines malintencionados podría ocasionar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    Descripción: Existía un problema de errores de memoria en el procesamiento de archivos PDF. Para solucionar el problema, se mejoró la comprobación de los límites. Este problema no afecta a los sistemas OS X Yosemite.

    ID CVE

    CVE-2014-8816: Mike Myers de Digital Operatives LLC

  • CoreSymbolication

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existían problemas de confusión de diversos tipos en el procesamiento de mensajes XPC por parte de coresymbolicationd. Para solucionar estos problemas, se mejoró la comprobación de tipos.

    ID CVE

    CVE-2014-8817: Ian Beer de Google Project Zero

  • FontParser

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1

    Impacto: El procesamiento de un archivo .dfont creado con fines malintencionados podría ocasionar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    Descripción: Existía un problema de errores de memoria en el procesamiento de archivos .dfont. Para resolver este problema, se mejoró la comprobación de los límites.

    ID CVE

    CVE-2014-4484: Gaurav Baruah, en colaboración con Zero Day Initiative de HP

  • FontParser

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1

    Impacto: La apertura de un archivo PDF creado con fines malintencionados podría ocasionar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    Descripción: Existía un desbordamiento del búfer en el procesamiento de los archivos de fuentes. Para resolver este problema, se mejoró la comprobación de los límites.

    ID CVE

    CVE-2014-4483: Apple

  • Foundation

    Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1

    Impacto: La visualización de un archivo XML creado con fines malintencionados podría ocasionar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    Descripción: Existía un desbordamiento del búfer en el analizador de XML. Para resolver este problema, se mejoró la comprobación de los límites.

    ID CVE

    CVE-2014-4485: Apple

  • Driver de gráficos Intel

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1

    Impacto: Varias vulnerabilidades en el driver de gráficos Intel.

    Descripción: Existían varias vulnerabilidades en el driver de gráficos Intel, el más grave podía provocar la ejecución de código arbitrario con privilegios del sistema. Esta actualización soluciona los problemas mediante comprobaciones adicionales de los límites.

    ID CVE

    CVE-2014-8819: Ian Beer de Google Project Zero

    CVE-2014-8820: Ian Beer de Google Project Zero

    CVE-2014-8821: Ian Beer de Google Project Zero

  • IOAcceleratorFamily

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un problema de falta de referencia de puntero nulo en el procesamiento de ciertos tipos de usuario cliente de IOService por parte de IOAcceleratorFamily. Para solucionar este problema, se mejoró la validación de los contextos de IOAcceleratorFamily.

    ID CVE

    CVE-2014-4486: Ian Beer de Google Project Zero

  • IOHIDFamily

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un desbordamiento del búfer en IOHIDFamily. Para resolver este problema, se mejoró la comprobación de los límites.

    ID CVE

    CVE-2014-4487: Equipo de TaiG Jailbreak

  • IOHIDFamily

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un problema de validación en el procesamiento de metadatos de la cola de recursos por parte de IOHIDFamily. Este problema se solucionó mediante la mejora de la validación de metadatos.

    ID CVE

    CVE-2014-4488: Apple

  • IOHIDFamily

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un problema de falta de referencia de puntero nulo en el procesamiento de colas de eventos por parte de IOHIDFamily. Para solucionar este problema, se mejoró la validación de la inicialización de la cola de eventos de IOHIDFamily.

    ID CVE

    CVE-2014-4489: @beist

  • IOHIDFamily

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1

    Impacto: La ejecución de una aplicación malintencionada podría provocar la ejecución de código arbitrario dentro del kernel.

    Descripción: Existía un problema de comprobación de los límites en un usuario cliente causado por el driver de IOHIDFamily, que permitía que una aplicación malintencionada sobrescribiera porciones arbitrarias del espacio de direcciones del kernel. Para solucionar el problema, se elimina el método de usuario cliente vulnerable.

    ID CVE

    CVE-2014-8822: Vitaliy Toropov, en colaboración con Zero Day Initiative de HP

  • IOKit

    Disponible para: OS X Yosemite v10.10 y v10.10.1

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un desbordamiento de enteros en el procesamiento de funciones IOKit. Para solucionar este problema, se mejoró la validación de los argumentos de API IOKit.

    ID CVE

    CVE-2014-4389: Ian Beer de Google Project Zero

  • IOUSBFamily

    Disponible para: OS X Yosemite v10.10 y v10.10.1

    Impacto: Una aplicación privilegiada podría leer datos arbitrarios de la memoria del kernel.

    Descripción: Existía un problema de acceso a la memoria en el procesamiento de las funciones de usuario cliente del controlador de IOUSB. Para solucionar este problema, se mejoró la validación de argumentos.

    ID CVE

    CVE-2014-8823: Ian Beer de Google Project Zero

  • Kerberos

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: La biblioteca libgssapi de Kerberos devolvía un identificador de contexto con un puntero colgante. Para solucionar este problema, se mejoró la administración de estados.

    ID CVE

    CVE-2014-5352

  • Kernel

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: Especificar un modo de caché personalizado permitía escribir en segmentos de memoria compartida de solo lectura del kernel. Para solucionar este problema, no se otorgan permisos de escritura como efecto secundario de algunos modos de caché personalizados.

    ID CVE

    CVE-2014-4495: Ian Beer de Google Project Zero

  • Kernel

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un problema de validación en el procesamiento de determinados campos de metadatos en objetos IODataQueue. Este problema se solucionó mediante la mejora de la validación de metadatos.

    ID CVE

    CVE-2014-8824: @PanguTeam

  • Kernel

    Disponible para: OS X Yosemite v10.10 y v10.10.1

    Impacto: Un atacante local puede suplantar las respuestas del servicio de directorios al kernel, elevar los privilegios o controlar la ejecución del kernel.

    Descripción: Existían problemas en la validación de identitysvc del proceso de resolución, el procesamiento de marcas y el procesamiento de errores del servicio de directorios. Para solucionar este problema, se mejoró la validación.

    ID CVE

    CVE-2014-8825: Alex Radocea de CrowdStrike

  • Kernel

    Disponible para: OS X Yosemite v10.10 y v10.10.1

    Impacto: Un usuario local podría determinar el diseño de memoria del kernel.

    Descripción: Existían varios problemas de memoria no inicializada en la interfaz de estadísticas de red que provocaban la divulgación de contenido de la memoria del kernel. Este problema se solucionó mediante la inicialización adicional de la memoria.

    ID CVE

    CVE-2014-4371: Fermín J. Serna del Google Security Team

    CVE-2014-4419: Fermín J. Serna del Google Security Team

    CVE-2014-4420: Fermín J. Serna del Google Security Team

    CVE-2014-4421: Fermín J. Serna del Google Security Team

  • Kernel

    Disponible para: OS X Mavericks v10.9.5

    Impacto: Una persona con una posición de red privilegiada podría provocar una denegación de servicio.

    Descripción: Existía un problema de condición de carrera en el procesamiento de paquetes IPv6. Para resolver este problema, se mejoró la comprobación del estado de bloqueo.

    ID CVE

    CVE-2011-2391

  • Kernel

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1

    Impacto: Las aplicaciones diseñadas o comprometidas para propósitos malintencionados podrían determinar las direcciones en el kernel.

    Descripción: Existía un problema de divulgación de información en el procesamiento de las API relacionadas con extensiones del kernel. Las respuestas que contengan una clave OSBundleMachOHeaders podrían tener direcciones de kernel incluidas, lo que podía contribuir a anular la protección por aleatorización del diseño de espacio de direcciones. El problema se solucionó al no deslizar las direcciones antes de devolverlas.

    ID CVE

    CVE-2014-4491: @PanguTeam, Stefan Esser

  • Kernel

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un problema de validación en el procesamiento de determinados campos de metadatos de los objetos IOSharedDataQueue. Este problema se solucionó mediante la reubicación de los metadatos.

    ID CVE

    CVE-2014-4461: @PanguTeam

  • LaunchServices

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1

    Impacto: Un archivo JAR malintencionado podría omitir las comprobaciones de Gatekeeper.

    Descripción: Existía un problema de procesamiento en el inicio de las aplicaciones que permitían que ciertos archivos JAR malintencionados omitieran las comprobaciones de Gatekeeper. Para solucionar este problema, se mejoró el procesamiento de los metadatos de tipo de archivo.

    ID CVE

    CVE-2014-8826: Hernán Ochoa de Amplia Security

  • libnetcore

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1

    Impacto: Una app maliciosa de zona protegida puede comprometer el daemon networkd.

    Descripción: Había problemas de confusión de diversos tipos en el procesamiento de la comunicación entre procesos por parte de networkd. Al enviar a networkd un mensaje con formato malicioso, podría haber sido posible ejecutar código arbitrario como el proceso de networkd. Para solucionar este problema, se agregaron comprobaciones de tipo adicionales.

    ID CVE

    CVE-2014-4492: Ian Beer de Google Project Zero

  • LoginWindow

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1

    Impacto: Una Mac podría no bloquearse de inmediato después de activarse.

    Descripción: Existía un problema en el procesamiento de la pantalla de bloqueo. Para solucionar este problema, se mejoró el procesamiento de la pantalla mientras está bloqueada.

    ID CVE

    CVE-2014-8827: Xavier Bertels de Mono y varios comprobadores de seed de OS X

  • lukemftp

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1

    Impacto: El uso de la herramienta ftp de línea de comandos para obtener archivos de un servidor http malicioso podría provocar la ejecución de código arbitrario.

    Descripción: Existía un problema de inyección de comandos en el procesamiento de redireccionamientos HTTP. Para solucionar este problema, se mejoró la validación de caracteres especiales.

    ID CVE

    CVE-2014-8517

  • ntpd

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1

    Impacto: El uso del daemon ntp con la autenticación criptográfica activada podría provocar fugas de información.

    Descripción: Existían varios problemas de validación de entrada en ntpd. Para solucionar estos problemas, se mejoró la validación de datos.

    ID CVE

    CVE-2014-9297

  • OpenSSL

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1

    Impacto: Varias vulnerabilidades en OpenSSL 0.9.8za, incluida una que podría permitir que un atacante desactualice las conexiones para usar conjuntos de cifrado más débiles en aplicaciones que usan la biblioteca.

    Descripción: Existían varias vulnerabilidades en OpenSSL 0.9.8za. Para solucionar estos problemas, se actualizó OpenSSL a la versión 0.9.8zc.

    ID CVE

    CVE-2014-3566

    CVE-2014-3567

    CVE-2014-3568

  • Sandbox

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

    Impacto: Un proceso en la zona protegida podría evitar las restricciones de la zona protegida.

    Descripción: Existía un problema de diseño en el almacenamiento en caché de perfiles de la zona protegida que permitían que aplicaciones en la zona protegida obtuvieran acceso de escritura a la caché. Para solucionar este problema, se restringió el acceso de escritura a las rutas que contienen un segmento “com.apple.sandbox”. Este problema no afecta a OS X Yosemite v10.10 o posterior.

    ID CVE

    CVE-2014-8828: Apple

  • SceneKit

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario, lo que expondría la información de los usuarios.

    Descripción: Existían varios errores de escritura fuera de los límites en SceneKit. Para solucionar estos problemas, se mejoró la comprobación de los límites.

    ID CVE

    CVE-2014-8829: Jose Duart de Google Security Team

  • SceneKit

    Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1

    Impacto: La visualización de un archivo Collada creado con fines malintencionados podría ocasionar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    Descripción: Existía un desbordamiento del búfer de pila en el procesamiento de los archivos de Collada por parte de SceneKit. La visualización de un archivo Collada creado con fines malintencionados podría haber ocasionado el cierre inesperado de una aplicación o la ejecución de código arbitrario. Para solucionar este problema, se mejoró la validación de los elementos del descriptor de acceso.

    ID CVE

    CVE-2014-8830: Jose Duart de Google Security Team

  • Seguridad

    Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1

    Impacto: Una aplicación descargada, firmada con un certificado revocado de ID de desarrollador podría pasar las comprobaciones de Gatekeeper.

    Descripción: Existía un error en la forma de evaluación de la información de los certificados de aplicaciones en caché. Para solucionar este problema, se mejoró la lógica de almacenamiento en caché.

    ID CVE

    CVE-2014-8838: Apple

  • security_taskgate

    Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1

    Impacto: Una app puede acceder a elementos del llavero que pertenecen a otras aplicaciones.

    Descripción: Existía un problema de control de acceso en el Llavero. Las aplicaciones firmadas con certificados autofirmados o del ID de desarrollador podían acceder a los elementos del llavero cuyas listas de control de acceso se basaban en grupos del llavero. Para solucionar este problema, se valida la identidad de firma al otorgar acceso a los grupos del llavero.

    ID CVE

    CVE-2014-8831: Apple

  • Spotlight

    Disponible para: OS X Yosemite v10.10 y v10.10.1

    Impacto: El remitente de un correo electrónico podía conocer la dirección IP del destinatario.

    Descripción: Spotlight no comprobaba el estado de la opción “Cargar contenido remoto en mensajes” de Mail. Para solucionar este problema, se mejoró la comprobación de la configuración.

    ID CVE

    CVE-2014-8839: John Whitehead de The New York Times, Frode Moe de LastFriday.no

  • Spotlight

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1

    Impacto: Spotlight puede guardar información inesperada en una unidad de disco duro externo.

    Descripción: Existía un problema en Spotlight por el que el contenido de la memoria podría haberse escrito en unidades de disco duro externas durante la indexación. Este problema se solucionó al mejorar la administración de la memoria.

    ID CVE

    CVE-2014-8832: F-Secure

  • SpotlightIndex

    Disponible para: OS X Yosemite v10.10 y v10.10.1

    Impacto: Spotlight podría mostrar resultados para archivos que no pertenecen al usuario.

    Descripción: Existía un problema de deserialización en la forma en que Spotlight administraba las cachés de permisos. Un usuario que hiciera una consulta en Spotlight podría haber recibido resultados de búsqueda que hicieran referencia a archivos para los que no tuviera privilegios de lectura suficientes. Para resolver este problema, se mejoró la comprobación de los límites.

    ID CVE

    CVE-2014-8833: David J. Peacock, asesor tecnológico independiente

  • sysmond

    Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios de raíz.

    Descripción: Existía una vulnerabilidad de confusión de tipos en sysmond que permitía que una aplicación local aumentara los privilegios. Para solucionar el problema, se mejoró la comprobación de los tipos.

    ID CVE

    CVE-2014-8835: Ian Beer de Google Project Zero

  • UserAccountUpdater

    Disponible para: OS X Yosemite v10.10 y v10.10.1

    Impacto: Los archivos de preferencias relacionadas con la impresión podían contener información confidencial sobre documentos PDF.

    Descripción: OS X Yosemite v10.10 solucionó un problema en el procesamiento de archivos PDF protegidos por contraseña creados desde el cuadro Imprimir, en el cual las contraseñas se podrían haber incluido en los archivos de preferencias de impresión. Esta actualización elimina dicha información ajena que pueda haber estado presente en los archivos de preferencias de impresión.

    ID CVE

    CVE-2014-8834: Apple

Nota: OS X Yosemite 10.10.2 incluye el contenido de seguridad de Safari 8.0.3.

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados o probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o productos de otros fabricantes. Apple no ofrece ninguna representación con relación a la precisión o fiabilidad de los sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Comunícate con el proveedor para obtener información adicional. Otros nombres de compañías y productos mencionados pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: