Esta actualización se puede descargar e instalar mediante Actualización de software o desde el sitio web del Soporte técnico de Apple.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información acerca de la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.
Para obtener información acerca de la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos Apple.
A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.
Para obtener información acerca de las actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.
Nota: OS X Mavericks v10.9.5 incluye el contenido de seguridad de Safari 7.0.6.
OS X Mavericks v10.9.5 y Actualización de seguridad 2014-004
apache_mod_php
Disponible para OS X Mavericks v10.9 a v10.9.4
Impacto: Existían varias vulnerabilidades en PHP 5.4.24.
Descripción: Existían varias vulnerabilidades en PHP 5.4.24, la más grave de las cuales podía provocar la ejecución de código arbitrario. Esta actualización soluciona los problemas mediante la actualización de PHP a la versión 5.4.30.
ID CVE
CVE-2013-7345
CVE-2014-0185
CVE-2014-0207
CVE-2014-0237
CVE-2014-0238
CVE-2014-1943
CVE-2014-2270
CVE-2014-3478
CVE-2014-3479
CVE-2014-3480
CVE-2014-3487
CVE-2014-3515
CVE-2014-3981
CVE-2014-4049
Bluetooth
Disponible para OS X Mavericks v10.9 a v10.9.4
Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.
Descripción: Existía un problema de validación en la administración de una llamada API Bluetooth. Para solucionar este problema, se mejoró la comprobación de los límites.
ID CVE
CVE-2014-4390: Ian Beer de Google Project Zero
CoreGraphics
Disponible para OS X Mavericks v10.9 a v10.9.4
Impacto: La apertura de un archivo PDF creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la divulgación de información.
Descripción: Existía un problema de lectura de memoria fuera de los límites en la administración de archivos PDF. Para solucionar este problema, se mejoró la comprobación de los límites.
ID CVE
CVE-2014-4378: Felipe Andrés Manzano de Binamuse VRT, en colaboración con el programa iSIGHT Partners GVP
CoreGraphics
Disponible para OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4
Impacto: La apertura de un archivo PDF creado con fines maliciosos podría ocasionar el cierre inesperado de la app o la ejecución de código arbitrario.
Descripción: Existía un desbordamiento de enteros en la administración de archivos PDF. Para solucionar este problema, se mejoró la comprobación de los límites.
ID CVE
CVE-2014-4377: Felipe Andrés Manzano de Binamuse VRT, en colaboración con el programa iSIGHT Partners GVP
Foundation
Disponible para OS X Mavericks v10.9 a v10.9.4
Impacto: Una aplicación que use NSXMLParser podría emplearse para divulgar información.
Descripción: Existía un problema con entidades externas XML en el manejo de XML por parte de NSXMLParser. Para solucionar este problema, se detuvo la carga de entidades externas en los orígenes.
ID CVE
CVE-2014-4374: George Gal de VSR (http://www.vsecurity.com/)
Driver de gráficos Intel
Disponible para OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4
Impacto: La compilación de sombreados GLSL que no son de confianza podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario.
Descripción: Existía un desbordamiento del búfer en el espacio del usuario en el compilador de sombreados. Para solucionar este problema, se mejoró la comprobación de los límites.
ID CVE
CVE-2014-4393: Apple
Driver de gráficos Intel
Disponible para OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4
Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.
Descripción: Existían varios problemas de validación en ciertas rutinas del driver con gráficos integrados. Para solucionar estos problemas, se mejoró la comprobación de los límites.
ID CVE
CVE-2014-4394: Ian Beer de Google Project Zero
CVE-2014-4395: Ian Beer de Google Project Zero
CVE-2014-4396: Ian Beer de Google Project Zero
CVE-2014-4397: Ian Beer de Google Project Zero
CVE-2014-4398: Ian Beer de Google Project Zero
CVE-2014-4399: Ian Beer de Google Project Zero
CVE-2014-4400: Ian Beer de Google Project Zero
CVE-2014-4401: Ian Beer de Google Project Zero
CVE-2014-4416: Ian Beer de Google Project Zero
IOAcceleratorFamily
Disponible para OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4
Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.
Descripción: Existía un problema de falta de referencia de puntero nulo en el procesamiento de argumentos IOKit API. Para solucionar este problema, se mejoró la validación de los argumentos de la API IOKit.
ID CVE
CVE-2014-4376: Ian Beer de Google Project Zero
IOAcceleratorFamily
Disponible para OS X Mavericks v10.9 a v10.9.4
Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.
Descripción: Existía un problema de lectura fuera de los límites en la administración de una función IOAcceleratorFamily. Para solucionar este problema, se mejoró la comprobación de los límites.
ID CVE
CVE-2014-4402: Ian Beer de Google Project Zero
IOHIDFamily
Disponible para OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4
Impacto: Un usuario local puede leer punteros de kernel, los cuales pueden usarse para omitir la aleatorización del espacio de direcciones de kernel.
Descripción: Existía un problema de lectura fuera de límites en la administración de una función IOHIDFamily. Para solucionar este problema, se mejoró la comprobación de los límites.
ID CVE
CVE-2014-4379: Ian Beer de Google Project Zero
IOKit
Disponible para OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4
Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.
Descripción: Existía un problema de validación en la administración de determinados campos de metadatos en objetos IODataQueue. Este problema se solucionó mediante la mejora de la validación de metadatos.
ID CVE
CVE-2014-4388: @PanguTeam
IOKit
Disponible para OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4
Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.
Descripción: Existía un desbordamiento de números enteros en el manejo de funciones IOKit. Para solucionar este problema, se mejoró la comprobación de los límites.
ID CVE
CVE-2014-4389: Ian Beer de Google Project Zero
Kernel
Disponible para OS X Mavericks v10.9 a v10.9.4
Impacto: Un usuario local puede inferir las direcciones de kernel y omitir la aleatorización del espacio de direcciones de kernel.
Descripción: En algunos casos, la tabla global de descriptores de CPU se ha asignado a una dirección predecible. Este problema se solucionó asignando la tabla de descriptor global siempre a direcciones aleatorias.
ID CVE
CVE-2014-4403: Ian Beer de Google Project Zero
Libnotify
Disponible para OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4
Impacto: Una aplicación maliciosa podría ejecutar un código arbitrario con privilegios de usuario root.
Descripción: Existía un problema de escritura fuera de los límites en Libnotify. Para solucionar este problema, se mejoró la comprobación de los límites.
ID CVE
CVE-2014-4381: Ian Beer de Google Project Zero
OpenSSL
Disponible para OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4
Impacto: Existían varias vulnerabilidades en OpenSSL 0.9.8y, una de las cuales podía provocar la ejecución de código arbitrario.
Descripción: Existían varias vulnerabilidades en OpenSSL 0.9.8y. Este problema se solucionó actualizando OpenSSL a la versión 0.9.8za.
ID CVE
CVE-2014-0076
CVE-2014-0195
CVE-2014-0221
CVE-2014-0224
CVE-2014-3470
QT Media Foundation
Disponible para OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4
Impacto: Reproducir un archivo de película creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario.
Descripción: Existía un problema de daños en la memoria en la administración de archivos de película codificados con RLE. Para solucionar este problema, se mejoró la comprobación de los límites.
ID CVE
CVE-2014-1391: Fernando Munoz, en colaboración con iDefense VCP; Tom Gallagher y Paul Bates, en colaboración con la iniciativa Zero Day de HP
QT Media Foundation
Disponible para OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4
Impacto: Reproducir un archivo MIDI creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario.
Descripción: Existía un desbordamiento del búfer en la administración de los archivos MIDI. Para solucionar este problema, se mejoró la comprobación de los límites.
ID CVE
CVE-2014-4350: s3tm3m, en colaboración con la iniciativa Zero Day de HP
QT Media Foundation
Disponible para OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4
Impacto: Reproducir un archivo de película creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario.
Descripción: Existía un problema de daños en la memoria en la administración de los átomos "mvhd". Para solucionar este problema, se mejoró la comprobación de los límites.
ID CVE
CVE-2014-4979: Andrea Micalizzi, alias rgod, en colaboración con la iniciativa Zero Day de HP
ruby
Disponible para OS X Mavericks v10.9 a v10.9.4
Impacto: Un atacante remoto podía provocar la ejecución de código arbitrario.
Descripción: Existía un desbordamiento del búfer de pila en la administración que realizaba LibYAML de los caracteres codificados con código porciento en un URI. Para solucionar este problema, se mejoró la comprobación de los límites. Esta actualización soluciona los problemas al actualizar LibYAML a la versión 0.1.6.
ID CVE
CVE-2014-2525