Acerca del contenido de seguridad de OS X Mavericks v10.9.5 y la Actualización de seguridad 2014-004

Este documento describe el contenido de seguridad de OS X Mavericks v10.9.5 y la Actualización de seguridad 2014-004.

Esta actualización se puede descargar e instalar mediante la Actualización de software o desde el sitio web del soporte de Apple.

Con el fin de proteger a nuestros clientes, Apple no revelará, comentará ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos Apple, visita el sitio web Seguridad de los productos Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos Apple.

Siempre que sea posible, se utilizan ID de CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

Nota: OS X Mavericks v10.9.5 incluye el contenido de seguridad de Safari 7.0.6.

OS X Mavericks v10.9.5 y Actualización de seguridad 2014-004

  • apache_mod_php

    Disponible para: OS X Mavericks v10.9 a v10.9.4

    Impacto: diversas vulnerabilidades en PHP 5.4.24.

    Descripción: había diversas vulnerabilidades en PHP 5.4.24, la más grave de las cuales podía generar la ejecución de código arbitrario. Esta actualización aborda los problemas expuestos mediante la actualización de PHP a la versión 5.4.30

    CVE-ID

    CVE-2013-7345

    CVE-2014-0185

    CVE-2014-0207

    CVE-2014-0237

    CVE-2014-0238

    CVE-2014-1943

    CVE-2014-2270

    CVE-2014-3478

    CVE-2014-3479

    CVE-2014-3480

    CVE-2014-3487

    CVE-2014-3515

    CVE-2014-3981

    CVE-2014-4049

  • Bluetooth

    Disponible para: OS X Mavericks v10.9 a v10.9.4

    Impacto: una app maliciosa puede ser capaz de ejecutar código arbitrario con privilegios del sistema.

    Descripción: había un problema de validación en la gestión de una llamada a una API Bluetooth. Este problema se ha solucionado mejorando la comprobación de los límites.

    CVE-ID

    CVE-2014-4390: Ian Beer de Google Project Zero

  • CoreGraphics

    Disponible para: OS X Mavericks v10.9 a v10.9.4

    Impacto: abrir un archivo PDF creado con fines malintencionados podía provocar el cierre inesperado de una aplicación o la divulgación de información.

    Descripción: había un problema de lectura de memoria fuera de los límites en la gestión de archivos PDF. Este problema se ha solucionado mejorando la comprobación de los límites.

    CVE-ID

    CVE-2014-4378: Felipe Andrés Manzano de Binamuse VRT en colaboración con iSIGHT Partners GVP Program

  • CoreGraphics

    Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4

    Impacto: abrir un archivo PDF creado con fines malintencionados podría provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario.

    Descripción: había un desbordamiento de enteros en la gestión de archivos PDF. Este problema se ha solucionado mejorando la comprobación de los límites.

    CVE-ID

    CVE-2014-4377: Felipe Andrés Manzano de Binamuse VRT en colaboración con iSIGHT Partners GVP Program

  • Foundation

    Disponible para: OS X Mavericks v10.9 a v10.9.4

    Impacto: una aplicación con NSXMLParser podía utilizarse incorrectamente para divulgar información.

    Descripción: había un problema con entidades externas XML en la gestión que NSXMLParser hace de XML. Este problema se ha solucionado evitando la carga de entidades externas entre orígenes.

    CVE-ID

    CVE-2014-4374: George Gal de VSR (http://www.vsecurity.com/)

  • Intel Graphics Driver

    Disponible para: OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4

    Impacto: la compilación de sombreados GLSL que no son de confianza podía provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    Descripción: había un desbordamiento del búfer en el espacio del usuario en el compilador de sombreados. Este problema se ha solucionado mejorando la comprobación de los límites.

    CVE-ID

    CVE-2014-4393: Apple

  • Intel Graphics Driver

    Disponible para: OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4

    Impacto: una app maliciosa podía ser capaz de ejecutar código arbitrario con privilegios del sistema.

    Descripción: varios problemas de validación en algunas rutinas del controlador de gráficos integrado. Estos problemas se han solucionado mejorando la comprobación de los límites.

    CVE-ID

    CVE-2014-4394: Ian Beer de Google Project Zero

    CVE-2014-4395: Ian Beer de Google Project Zero

    CVE-2014-4396: Ian Beer de Google Project Zero

    CVE-2014-4397: Ian Beer de Google Project Zero

    CVE-2014-4398: Ian Beer de Google Project Zero

    CVE-2014-4399: Ian Beer de Google Project Zero

    CVE-2014-4400: Ian Beer de Google Project Zero

    CVE-2014-4401: Ian Beer de Google Project Zero

    CVE-2014-4416: Ian Beer de Google Project Zero

  • IOAcceleratorFamily

    Disponible para: OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4

    Impacto: una aplicación creada con fines malintencionados puede ejecutar código arbitrario con privilegios del sistema.

    Descripción: había una falta de referencia a un puntero nulo durante la gestión de argumentos de la API IOKit. Este problema se ha solucionado mejorando la validación de los argumentos IOKit API.

    CVE-ID

    CVE-2014-4376: Ian Beer de Google Project Zero

  • IOAcceleratorFamily

    Disponible para: OS X Mavericks v10.9 a v10.9.4

    Impacto: una app maliciosa puede ser capaz de ejecutar código arbitrario con privilegios del sistema.

    Descripción: había un problema de lectura fuera de límites en la gestión de una función IOAcceleratorFamily. Este problema se ha solucionado mejorando la comprobación de los límites.

    CVE-ID

    CVE-2014-4402: Ian Beer de Google Project Zero

  • IOHIDFamily

    Disponible para: OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4

    Impacto: un usuario local puede leer los punteros del kernel, lo que puede utilizarse para eludir la aleatorización de la disposición del espacio de direcciones del kernel.

    Descripción: había un problema de lectura fuera de límites en la gestión de una función IOHIDFamily. Este problema se ha solucionado mejorando la comprobación de los límites.

    CVE-ID

    CVE-2014-4379: Ian Beer de Google Project Zero

  • IOKit

    Disponible para: OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4

    Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema.

    Descripción: había un problema de validación en la gestión de ciertos campos de metadatos de objetos IODataQueue. Este problema se ha solucionado mejorando la validación de los metadatos.

    CVE-ID

    CVE-2014-4388: @PanguTeam

  • IOKit

    Disponible para: OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4

    Impacto: una aplicación creada con fines malintencionados puede ejecutar código arbitrario con privilegios del sistema.

    Descripción: había un desbordamiento de enteros en la gestión de funciones IOKit. Este problema se ha solucionado mejorando la comprobación de los límites.

    CVE-ID

    CVE-2014-4389: Ian Beer de Google Project Zero

  • Kernel

    Disponible para: OS X Mavericks v10.9 a v10.9.4

    Impacto: un usuario local puede leer las direcciones del kernel, lo que puede utilizarse para eludir la aleatorización de la disposición del espacio de direcciones del kernel.

    Descripción: en algunos casos, la tabla global de descriptores de CPU se asignaba a una dirección predecible. Este problema se ha solucionado asignando siempre la tabla global de descriptores a direcciones aleatorias.

    CVE-ID

    CVE-2014-4403: Ian Beer de Google Project Zero

  • Libnotify

    Disponible para: OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4

    Impacto: una aplicación creada con fines malintencionados puede ejecutar código arbitrario con privilegios de raíz del sistema.

    Descripción: había un problema de escritura fuera de límites en Libnotify. Este problema se abordó mediante la mejora de la comprobación de los límites.

    CVE-ID

    CVE-2014-4381: Ian Beer de Google Project Zero

  • OpenSSL

    Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4

    Impacto: diversas vulnerabilidades en OpenSSL 0.9.8y, incluida una que podría desembocar la ejecución de código arbitrario.

    Descripción: había diversas vulnerabilidades en OpenSSL 0.9.8y. Este problema se ha solucionado actualizando OpenSSL a la versión 0.9.8za.

    CVE-ID

    CVE-2014-0076

    CVE-2014-0195

    CVE-2014-0221

    CVE-2014-0224

    CVE-2014-3470

  • QT Media Foundation

    Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4

    Impacto: la reproducción de un archivo de película creado con fines malintencionados puede provocar el cierre inesperado de la app o la ejecución de código arbitrario.

    Descripción: había un problema de corrupción de memoria en la gestión de los archivos de película codificados mediante RLE. Este problema se ha solucionado mejorando la comprobación de los límites.

    CVE-ID

    CVE-2014-1391: Fernando Muñoz en colaboración con iDefense VCP, Tom Gallagher y Paul Bates en colaboración con la Iniciativa Día Cero de HP

  • QT Media Foundation

    Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4

    Impacto: la reproducción de un archivo MIDI creado con fines malintencionados puede provocar el cierre inesperado de la app o la ejecución de código arbitrario.

    Descripción: había un problema de desbordamiento del búfer durante la gestión de archivos MIDI. Este problema se ha solucionado mejorando la comprobación de los límites.

    CVE-ID

    CVE-2014-4350: s3tm3m con la Iniciativa Día Cero de HP

  • QT Media Foundation

    Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4

    Impacto: la reproducción de un archivo de película creado con fines malintencionados puede provocar el cierre inesperado de la app o la ejecución de código arbitrario.

    Descripción: había un problema de corrupción de memoria en la gestión de átomos “mvhd”. Este problema se ha solucionado mejorando la comprobación de los límites.

    CVE-ID

    CVE-2014-4979: Andrea Micalizzi aka rgod en colaboración con la Iniciativa Día Cero de HP

  • ruby

    Disponible para: OS X Mavericks v10.9 a v10.9.4

    Impacto: un atacante remoto podría ser capaz de provocar la ejecución de código arbitrario.

    Descripción: había un desbordamiento del búfer de montón en la gestión de caracteres codificados con código por ciento en un URI por parte de LibYAML. Este problema se ha solucionado mejorando la comprobación de los límites. Esta actualización soluciona los problemas actualizando LibYAML a la versión 0.1.6.

    CVE-ID

    CVE-2014-2525

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Fecha de publicación: