Acerca del contenido de seguridad de OS X Mavericks v10.9.5 y la Actualización de seguridad 2014-004

Este documento describe el contenido de seguridad de OS X Mavericks v10.9.5 y la Actualización de seguridad 2014-004.

Esta actualización se puede descargar e instalar mediante Actualización de software o desde el sitio web del Soporte técnico de Apple.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información acerca de la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.

Para obtener información acerca de la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos Apple.

A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.

Para obtener información acerca de las actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

Nota: OS X Mavericks v10.9.5 incluye el contenido de seguridad de Safari 7.0.6.

OS X Mavericks v10.9.5 y Actualización de seguridad 2014-004

  • apache_mod_php

    Disponible para OS X Mavericks v10.9 a v10.9.4

    Impacto: Existían varias vulnerabilidades en PHP 5.4.24.

    Descripción: Existían varias vulnerabilidades en PHP 5.4.24, la más grave de las cuales podía provocar la ejecución de código arbitrario. Esta actualización soluciona los problemas mediante la actualización de PHP a la versión 5.4.30.

    ID CVE

    CVE-2013-7345

    CVE-2014-0185

    CVE-2014-0207

    CVE-2014-0237

    CVE-2014-0238

    CVE-2014-1943

    CVE-2014-2270

    CVE-2014-3478

    CVE-2014-3479

    CVE-2014-3480

    CVE-2014-3487

    CVE-2014-3515

    CVE-2014-3981

    CVE-2014-4049

  • Bluetooth

    Disponible para OS X Mavericks v10.9 a v10.9.4

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un problema de validación en la administración de una llamada API Bluetooth. Para solucionar este problema, se mejoró la comprobación de los límites.

    ID CVE

    CVE-2014-4390: Ian Beer de Google Project Zero

  • CoreGraphics

    Disponible para OS X Mavericks v10.9 a v10.9.4

    Impacto: La apertura de un archivo PDF creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la divulgación de información.

    Descripción: Existía un problema de lectura de memoria fuera de los límites en la administración de archivos PDF. Para solucionar este problema, se mejoró la comprobación de los límites.

    ID CVE

    CVE-2014-4378: Felipe Andrés Manzano de Binamuse VRT, en colaboración con el programa iSIGHT Partners GVP

  • CoreGraphics

    Disponible para OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4

    Impacto: La apertura de un archivo PDF creado con fines maliciosos podría ocasionar el cierre inesperado de la app o la ejecución de código arbitrario.

    Descripción: Existía un desbordamiento de enteros en la administración de archivos PDF. Para solucionar este problema, se mejoró la comprobación de los límites.

    ID CVE

    CVE-2014-4377: Felipe Andrés Manzano de Binamuse VRT, en colaboración con el programa iSIGHT Partners GVP

  • Foundation

    Disponible para OS X Mavericks v10.9 a v10.9.4

    Impacto: Una aplicación que use NSXMLParser podría emplearse para divulgar información.

    Descripción: Existía un problema con entidades externas XML en el manejo de XML por parte de NSXMLParser. Para solucionar este problema, se detuvo la carga de entidades externas en los orígenes.

    ID CVE

    CVE-2014-4374: George Gal de VSR (http://www.vsecurity.com/)

  • Driver de gráficos Intel

    Disponible para OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4

    Impacto: La compilación de sombreados GLSL que no son de confianza podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario.

    Descripción: Existía un desbordamiento del búfer en el espacio del usuario en el compilador de sombreados. Para solucionar este problema, se mejoró la comprobación de los límites.

    ID CVE

    CVE-2014-4393: Apple

  • Driver de gráficos Intel

    Disponible para OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existían varios problemas de validación en ciertas rutinas del driver con gráficos integrados. Para solucionar estos problemas, se mejoró la comprobación de los límites.

    ID CVE

    CVE-2014-4394: Ian Beer de Google Project Zero

    CVE-2014-4395: Ian Beer de Google Project Zero

    CVE-2014-4396: Ian Beer de Google Project Zero

    CVE-2014-4397: Ian Beer de Google Project Zero

    CVE-2014-4398: Ian Beer de Google Project Zero

    CVE-2014-4399: Ian Beer de Google Project Zero

    CVE-2014-4400: Ian Beer de Google Project Zero

    CVE-2014-4401: Ian Beer de Google Project Zero

    CVE-2014-4416: Ian Beer de Google Project Zero

  • IOAcceleratorFamily

    Disponible para OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un problema de falta de referencia de puntero nulo en el procesamiento de argumentos IOKit API. Para solucionar este problema, se mejoró la validación de los argumentos de la API IOKit.

    ID CVE

    CVE-2014-4376: Ian Beer de Google Project Zero

  • IOAcceleratorFamily

    Disponible para OS X Mavericks v10.9 a v10.9.4

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un problema de lectura fuera de los límites en la administración de una función IOAcceleratorFamily. Para solucionar este problema, se mejoró la comprobación de los límites.

    ID CVE

    CVE-2014-4402: Ian Beer de Google Project Zero

  • IOHIDFamily

    Disponible para OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4

    Impacto: Un usuario local puede leer punteros de kernel, los cuales pueden usarse para omitir la aleatorización del espacio de direcciones de kernel.

    Descripción: Existía un problema de lectura fuera de límites en la administración de una función IOHIDFamily. Para solucionar este problema, se mejoró la comprobación de los límites.

    ID CVE

    CVE-2014-4379: Ian Beer de Google Project Zero

  • IOKit

    Disponible para OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un problema de validación en la administración de determinados campos de metadatos en objetos IODataQueue. Este problema se solucionó mediante la mejora de la validación de metadatos.

    ID CVE

    CVE-2014-4388: @PanguTeam

  • IOKit

    Disponible para OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un desbordamiento de números enteros en el manejo de funciones IOKit. Para solucionar este problema, se mejoró la comprobación de los límites.

    ID CVE

    CVE-2014-4389: Ian Beer de Google Project Zero

  • Kernel

    Disponible para OS X Mavericks v10.9 a v10.9.4

    Impacto: Un usuario local puede inferir las direcciones de kernel y omitir la aleatorización del espacio de direcciones de kernel.

    Descripción: En algunos casos, la tabla global de descriptores de CPU se ha asignado a una dirección predecible. Este problema se solucionó asignando la tabla de descriptor global siempre a direcciones aleatorias.

    ID CVE

    CVE-2014-4403: Ian Beer de Google Project Zero

  • Libnotify

    Disponible para OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4

    Impacto: Una aplicación maliciosa podría ejecutar un código arbitrario con privilegios de usuario root.

    Descripción: Existía un problema de escritura fuera de los límites en Libnotify. Para solucionar este problema, se mejoró la comprobación de los límites.

    ID CVE

    CVE-2014-4381: Ian Beer de Google Project Zero

  • OpenSSL

    Disponible para OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4

    Impacto: Existían varias vulnerabilidades en OpenSSL 0.9.8y, una de las cuales podía provocar la ejecución de código arbitrario.

    Descripción: Existían varias vulnerabilidades en OpenSSL 0.9.8y. Este problema se solucionó actualizando OpenSSL a la versión 0.9.8za.

    ID CVE

    CVE-2014-0076

    CVE-2014-0195

    CVE-2014-0221

    CVE-2014-0224

    CVE-2014-3470

  • QT Media Foundation

    Disponible para OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4

    Impacto: Reproducir un archivo de película creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario.

    Descripción: Existía un problema de daños en la memoria en la administración de archivos de película codificados con RLE. Para solucionar este problema, se mejoró la comprobación de los límites.

    ID CVE

    CVE-2014-1391: Fernando Munoz, en colaboración con iDefense VCP; Tom Gallagher y Paul Bates, en colaboración con la iniciativa Zero Day de HP

  • QT Media Foundation

    Disponible para OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4

    Impacto: Reproducir un archivo MIDI creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario.

    Descripción: Existía un desbordamiento del búfer en la administración de los archivos MIDI. Para solucionar este problema, se mejoró la comprobación de los límites.

    ID CVE

    CVE-2014-4350: s3tm3m, en colaboración con la iniciativa Zero Day de HP

  • QT Media Foundation

    Disponible para OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4

    Impacto: Reproducir un archivo de película creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario.

    Descripción: Existía un problema de daños en la memoria en la administración de los átomos "mvhd". Para solucionar este problema, se mejoró la comprobación de los límites.

    ID CVE

    CVE-2014-4979: Andrea Micalizzi, alias rgod, en colaboración con la iniciativa Zero Day de HP

  • ruby

    Disponible para OS X Mavericks v10.9 a v10.9.4

    Impacto: Un atacante remoto podía provocar la ejecución de código arbitrario.

    Descripción: Existía un desbordamiento del búfer de pila en la administración que realizaba LibYAML de los caracteres codificados con código porciento en un URI. Para solucionar este problema, se mejoró la comprobación de los límites. Esta actualización soluciona los problemas al actualizar LibYAML a la versión 0.1.6.

    ID CVE

    CVE-2014-2525

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.

Fecha de publicación: