Acerca del contenido de seguridad de OS X Yosemite v10.10.5 y la Actualización de seguridad 2015-006
En este documento se describe el contenido de seguridad de OS X Yosemite v10.10.5 y la Actualización de seguridad 2015-006.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.
Para obtener información acerca de la clave de seguridad PGP de los productos de Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.
Siempre que sea posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.
Para obtener más información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.
OS X Yosemite v10.10.5 y la Actualización de seguridad 2015-006
apache
Disponible para: OS X Mavericks v10.9.5 y OS X Yosemite v10.10 a v10.10.4
Impacto: Había varias vulnerabilidades en Apache 2.4.16; la más grave de ellas podría permitir que un atacante remoto ocasionara una denegación de servicio.
Descripción: Había varias vulnerabilidades en las versiones de Apache anteriores a la 2.4.16. Estas se solucionaron actualizando Apache a la versión 2.4.16.
ID CVE
CVE-2014-3581
CVE-2014-3583
CVE-2014-8109
CVE-2015-0228
CVE-2015-0253
CVE-2015-3183
CVE-2015-3185
apache_mod_php
Disponible para: OS X Mavericks v10.9.5 y OS X Yosemite v10.10 a v10.10.4
Impacto: Había varias vulnerabilidades en PHP 5.5.20; la más grave de ellas podría provocar la ejecución de código arbitrario.
Descripción: Había varias vulnerabilidades en las versiones de PHP anteriores a la 5.5.20. Estas se han solucionado actualizando Apache a la versión 5.5.27.
ID CVE
CVE-2015-2783
CVE-2015-2787
CVE-2015-3307
CVE-2015-3329
CVE-2015-3330
CVE-2015-4021
CVE-2015-4022
CVE-2015-4024
CVE-2015-4025
CVE-2015-4026
CVE-2015-4147
CVE-2015-4148
Módulo OD del ID de Apple
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Una aplicación creada con fines malintencionados podría ser capaz de cambiar la contraseña de un usuario local
Descripción: En ocasiones había un problema de gestión de estado en la autenticación de la contraseña. El problema se ha solucionado mejorando la gestión de estado.
ID CVE
CVE-2015-3799: Un investigador anónimo en colaboración con la Zero Day Initiative de HP
AppleGraphicsControl
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Una aplicación creada con fines malintencionados podría ser capaz de determinar el diseño de la memoria de kernel
Descripción: Había un problema en AppleGraphicsControl que podría provocar la revelación del diseño de la memoria de kernel. Este problema se ha solucionado mejorando la comprobación de los límites.
ID CVE
CVE-2015-5768: JieTao Yang de KeenTeam
Bluetooth
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Un usuario local podría ejecutar código arbitrario con privilegios de sistema
Descripción: Había un problema de corrupción de la memoria en IOBluetoothHCIController. Este problema se ha solucionado mejorando la gestión de la memoria.
ID CVE
CVE-2015-3779: Teddy Reed de Facebook Security
Bluetooth
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Una aplicación creada con fines malintencionados podría ser capaz de determinar el diseño de la memoria de kernel
Descripción: Había un problema de gestión de la memoria que podía provocar la revelación del diseño de la memoria de kernel. Este problema se ha solucionado mejorando la gestión de la memoria.
ID CVE
CVE-2015-3780: Roberto Paleari y Aristide Fattori de Emaze Networks
Bluetooth
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Una app creada con fines malintencionados podría ser capaz de acceder a las notificaciones de otros dispositivos de iCloud
Descripción: Había un problema que hacía que una app creada con fines malintencionados pudiera acceder a las notificaciones del Centro de notificaciones de un dispositivo iOS o un Mac conectado por Bluetooth a través del servicio de centro de notificaciones de Apple. El problema afectaba a los dispositivos que utilizaban Handoff y habían iniciado sesión en la misma cuenta de iCloud. Este problema se ha solucionado revocando el acceso al servicio de centro de notificaciones de Apple.
ID CVE
CVE-2015-3786: Xiaolong Bai (Universidad de Tsinghua), System Security Lab (Universidad de Indiana), Tongxin Li (Universidad de Pekín) y XiaoFeng Wang (Universidad de Indiana)
Bluetooth
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Un atacante con una posición de red privilegiada podría ser capaz de realizar un ataque de denegación del servicio utilizando paquetes Bluetooth incorrectamente formados
Descripción: Había un problema de validación de entradas al analizar los paquetes Bluetooth ACL. Este problema se ha solucionado mejorando la validación de las entradas.
ID CVE
CVE-2015-3787: Trend Micro
Bluetooth
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Un atacante local podría ser capaz de provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Había varios problemas de exceso de datos en el buffer en la gestión de los mensajes XPC que llevaba a cabo blued. Estos problemas se han solucionado mejorando la comprobación de los límites.
ID CVE
CVE-2015-3777: mitp0sh de [PDX]
bootp
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Una red Wi-Fi creada con fines malintencionados podría ser capaz de determinar las redes a las que ha accedido un dispositivo previamente
Descripción: Al conectarse a una red Wi-Fi, iOS podría transmitir las direcciones MAC de las redes a las que se ha accedido previamente por medio del protocolo DNAv4. Este problema se ha solucionado desactivando DNAv4 en las redes Wi-Fi no cifradas.
ID CVE
CVE-2015-3778: Piers O'Hanlon de Oxford Internet Institute, Universidad de Oxford (para el proyecto EPSRC Being There)
CloudKit
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Una aplicación creada con fines malintencionados podría ser capaz de acceder al registro de usuarios de iCloud de un usuario que se ha conectado previamente
Descripción: Había una inconsistencia de estado en CloudKit cuando los usuarios se desconectaban. Este problema se ha solucionado mejorando la gestión de estado.
ID CVE
CVE-2015-3782: Deepkanwal Plaha de la Universidad de Toronto
CoreMedia Playback
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Visualizar un archivo de película creado con fines malintencionados podría provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario
Descripción: Había problemas de corrupción de la memoria en CoreMedia Playback. Estos problemas se han solucionado mejorando la gestión de la memoria.
ID CVE
CVE-2015-5777: Apple
CVE-2015-5778: Apple
CoreText
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 a v10.10.4
Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Había un problema de corrupción de la memoria en el procesamiento de archivos de tipo de letra. Este problema se ha solucionado mejorando la validación de las entradas.
ID CVE
CVE-2015-5761: John Villamil (@day6reak), Yahoo Pentest Team
CoreText
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Había un problema de corrupción de la memoria en el procesamiento de archivos de tipo de letra. Este problema se ha solucionado mejorando la validación de las entradas.
ID CVE
CVE-2015-5755: John Villamil (@day6reak), Yahoo Pentest Team
curl
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Había varias vulnerabilidades en las versiones de cURL y libcurlprior anteriores a la 7.38.0. Una de ellas podría permitir que atacantes remotos desactivaran la política del mismo origen.
Descripción: Había varias vulnerabilidades en las versiones de cURL y libcurl anteriores a la 7.38.0. Estos problemas se solucionaron actualizando cURL a la versión 7.43.0.
ID CVE
CVE-2014-3613
CVE-2014-3620
CVE-2014-3707
CVE-2014-8150
CVE-2014-8151
CVE-2015-3143
CVE-2015-3144
CVE-2015-3145
CVE-2015-3148
CVE-2015-3153
Data Detectors Engine
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Procesar una secuencia de caracteres Unicode podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Había problemas de corrupción de la memoria al procesar caracteres Unicode. Estos problemas se han solucionado mejorando la gestión de la memoria.
ID CVE
CVE-2015-5750: M1x7e1 de Safeye Team (www.safeye.org)
Panel de preferencias de fecha y hora
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Las aplicaciones que se basan en la hora del sistema podrían mostrar un comportamiento inesperado
Descripción: Había un problema de autorización al modificar las preferencias de fecha y hora del sistema. Este problema se ha solucionado con comprobaciones de autorización adicionales.
ID CVE
CVE-2015-3757: Mark S C Smith
Aplicación Diccionario
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Un atacante con una posición de red privilegiada podría ser capaz de interceptar las consultas realizadas por los usuarios en la app Diccionario
Descripción: Había un problema en la app Diccionario que no protegía adecuadamente las comunicaciones de los usuarios. Este problema se ha solucionados trasladando las consultas de Diccionario a HTTPS.
ID CVE
CVE-2015-3774: Jeffrey Paul de EEQJ, Jan Bee de Google Security Team
DiskImages
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Procesar un archivo DMG creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario con privilegios de sistema
Descripción: Había un problema de corrupción de la memoria al analizar las imágenes DMG incorrectamente formadas. Este problema se ha solucionado mejorando la gestión de la memoria.
ID CVE
CVE-2015-3800: Frank Graziano de Yahoo Pentest Team
dyld
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Un usuario local podría ejecutar código arbitrario con privilegios de sistema
Descripción: Había un problema de validación de rutas en dyld. Este problema se ha solucionado mejorando el saneamiento del entorno.
ID CVE
CVE-2015-3760: beist de grayhash, Stefan Esser
FontParser
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 a v10.10.4
Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Había un problema de corrupción de la memoria en el procesamiento de archivos de tipo de letra. Este problema se ha solucionado mejorando la validación de las entradas.
ID CVE
CVE-2015-3804: Apple
CVE-2015-5775: Apple
FontParser
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 a v10.10.4
Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Había un problema de corrupción de la memoria en el procesamiento de archivos de tipo de letra. Este problema se ha solucionado mejorando la validación de las entradas.
ID CVE
CVE-2015-5756: John Villamil (@day6reak), Yahoo Pentest Team
groff
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Había varios problemas en pdfroff
Descripción: Había varios problemas en pdfroff, el más grave de ellos podría permitir la modificación del sistema de archivos arbitrario. Estos problemas se han solucionado eliminando pdfroff.
ID CVE
CVE-2009-5044
CVE-2009-5078
ImageIO
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Procesar una imagen TIFF creada con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Había un problema de corrupción de la memoria en el procesamiento de las imágenes TIFF. Este problema se ha solucionado mejorando la comprobación de los límites.
ID CVE
CVE-2015-5758: Apple
ImageIO
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Visitar un sitio web creado con fines malintencionados podría provocar la revelación de la memoria de procesos
Descripción: Había un problema de acceso a la memoria no inicializada en la gestión que hacía ImageIO de las imágenes PNG y TIFF. Visitar un sitio web creado con fines malintencionados podría provocar el envío de datos desde la memoria de procesos al sitio web. Este problema se ha solucionado mejorando la inicialización de la memoria y la validación adicional de las imágenes PNG y TIFF.
ID CVE
CVE-2015-5781: Michal Zalewski
CVE-2015-5782: Michal Zalewski
Instalación de estructuras antiguas
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Una aplicación creada con fines malintencionados podría ejecutar código arbitrario con privilegios root
Descripción: Había un problema en cómo el binario "runner" de Install.framework suprimía los privilegios. Este problema se ha solucionado mejorando la gestión de los privilegios.
ID CVE
CVE-2015-5784: Ian Beer de Google Project Zero
Instalación de estructuras antiguas
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios de sistema
Descripción: Había un estado de carrera en el binario "runner" de Install.framework que provocaba que los privilegios se suprimieran incorrectamente. Este problema se ha solucionado mejorando el bloqueo de objetos.
ID CVE
CVE-2015-5754: Ian Beer de Google Project Zero
IOFireWireFamily
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Un usuario local podría ejecutar código arbitrario con privilegios de sistema
Descripción: Había problemas de corrupción de la memoria en IOFireWireFamily. Estos problemas se han solucionado añadiendo validación adicional de entrada de escritura.
ID CVE
CVE-2015-3769: Ilja van Sprundel
CVE-2015-3771: Ilja van Sprundel
CVE-2015-3772: Ilja van Sprundel
IOGraphics
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios de sistema
Descripción: Había un problema de corrupción de la memoria en IOGraphics. Este problema se ha solucionado añadiendo validación adicional de entrada de escritura.
ID CVE
CVE-2015-3770: Ilja van Sprundel
CVE-2015-5783: Ilja van Sprundel
IOHIDFamily
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Un usuario local podría ejecutar código arbitrario con privilegios de sistema
Descripción: Había un problema de exceso de datos en el buffer en IOHIDFamily. Este problema se ha solucionado mejorando la gestión de la memoria.
ID CVE
CVE-2015-5774: TaiG Jailbreak Team
Kernel
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Una aplicación creada con fines malintencionados podría ser capaz de determinar el diseño de la memoria de kernel
Descripción: Había un problema en la interfaz mach_port_space_info que podría provocar la revelación del diseño de la memoria de kernel. Este problema se ha solucionado desactivando la interfaz mach_port_space_info.
ID CVE
CVE-2015-3766: Cererdlong de Alibaba Mobile Security Team, @PanguTeam
Kernel
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios de sistema
Descripción: Había un desbordamiento de enteros en la gestión de funciones IOKit. Este problema se ha solucionado mejorando la validación de los argumentos de la API IOKit.
ID CVE
CVE-2015-3768: Ilja van Sprundel
Kernel
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Un usuario local podría ser capaz de provocar la denegación de servicio del sistema
Descripción: Había un problema de agotamiento de recursos en el driver fasttrap. Este problema se ha solucionado mejorando la gestión de la memoria.
ID CVE
CVE-2015-5747: Maxime VILLARD de m00nbsd
Kernel
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Un usuario local podría ser capaz de provocar la denegación de servicio del sistema
Descripción: Había un problema en el montaje de los volúmenes HFS. Este problema se ha solucionado añadiendo comprobaciones adicionales.
ID CVE
CVE-2015-5748: Maxime VILLARD de m00nbsd
Kernel
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Una aplicación creada con fines malintencionados podría ser capaz de ejecutar código no firmado
Descripción: Había un problema que permitía que el código no firmado se agregara al código firmado en un archivo ejecutable creado específicamente. Este problema se ha solucionado mejorando la validación de firma del código.
ID CVE
CVE-2015-3806: TaiG Jailbreak Team
Kernel
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Un archivo ejecutable creado específicamente podría permitir la ejecución de código no firmado creado con fines malintencionados
Descripción: Había un problema en la forma en que los archivos ejecutables multiarquitectura se evaluaban para permitir que el código no firmado se ejecutara. Este problema se ha solucionado mejorando la validación de los archivos ejecutables.
ID CVE
CVE-2015-3803: TaiG Jailbreak Team
Kernel
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Un usuario local podría ser capaz de ejecutar código no firmado
Descripción: Había un problema de validación en la gestión de los archivos Mach-O. Este problema se ha solucionado añadiendo comprobaciones adicionales.
ID CVE
CVE-2015-3802: TaiG Jailbreak Team
CVE-2015-3805: TaiG Jailbreak Team
Kernel
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Analizar un archivo plist creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario con privilegios de sistema
Descripción: Había un problema de corrupción de la memoria en el procesamiento de archivos plist incorrectamente formados. Este problema se ha solucionado mejorando la gestión de la memoria.
ID CVE
CVE-2015-3776: Teddy Reed de Facebook Security, Patrick Stein (@jollyjinx) de Jinx Germany
Kernel
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Un usuario local podría ejecutar código arbitrario con privilegios de sistema
Descripción: Había un problema de validación de rutas. Este problema se ha solucionado mejorando el saneamiento del entorno.
ID CVE
CVE-2015-3761: Apple
Libc
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: El procesamiento de una expresión regular creada con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Había problemas de corrupción de la memoria en la biblioteca TRE. Estos problemas se han solucionado mejorando la gestión de la memoria.
ID CVE
CVE-2015-3796: Ian Beer de Google Project Zero
CVE-2015-3797: Ian Beer de Google Project Zero
CVE-2015-3798: Ian Beer de Google Project Zero
Libinfo
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 a v10.10.4
Impacto: Un atacante remoto podría ser capaz de provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Había problemas de corrupción de la memoria en la gestión de los sockets AF_INET6. Estos problemas se han solucionado mejorando la gestión de la memoria.
ID CVE
CVE-2015-5776: Apple
libpthread
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios de sistema
Descripción: Había un problema de corrupción de la memoria en la gestión de las llamadas del sistema. Este problema se ha solucionado mejorando la comprobación del estado de bloqueo.
ID CVE
CVE-2015-5757: Lufeng Li de Qihoo 360
libxml2
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 a v10.10.4
Impacto: Había varias vulnerabilidades en las versiones de libxml2 anteriores a la 2.9.2; la más grave de ellas podría provocar que un atacante remoto provocara la denegación de servicio
Descripción: Había varias vulnerabilidades en las versiones de libxml2 anteriores a la 2.9.2. Estos problemas se han solucionado actualizando libxml2 a la versión 2.9.2.
ID CVE
CVE-2012-6685: Felix Groebert de Google
CVE-2014-0191: Felix Groebert de Google
libxml2
Disponible para: OS X Mavericks v10.9.5 y OS X Yosemite v10.10 a v10.10.4
Impacto: Analizar un documento XML creado con fines malintencionados podría provocar la revelación de información del usuario
Descripción: Había un problema de acceso a la memoria en libxml2. Este problema se ha solucionado mejorando la gestión de la memoria
ID CVE
CVE-2014-3660: Felix Groebert de Google
libxml2
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 a v10.10.4
Impacto: Analizar un documento XML creado con fines malintencionados podría provocar la revelación de información del usuario
Descripción: Había un problema de corrupción de la memoria en el análisis de archivos XML. Este problema se ha solucionado mejorando la gestión de la memoria.
ID CVE
CVE-2015-3807: Apple
libxpc
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios de sistema
Descripción: Había un problema de corrupción de la memoria en la gestión de mensajes XPC incorrectamente formados. Este problema se ha solucionado mejorando la comprobación de los límites.
ID CVE
CVE-2015-3795: Mathew Rowley
mail_cmds
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Un usuario local podría ser capaz de ejecutar comandos de shell arbitrarios
Descripción: Había un problema de validación en el análisis mailx de las direcciones de correo electrónico. Este problema se ha solucionado mejorando el saneamiento.
ID CVE
CVE-2014-7844
Centro de notificaciones de OSX
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Una aplicación creada con fines malintencionados podría ser capaz de acceder a todas las notificaciones mostradas previamente a los usuarios
Descripción: Había un problema en el Centro de notificaciones que impedía la correcta eliminación de las notificaciones de los usuarios. Este problema se ha solucionado eliminando correctamente las notificaciones aceptadas por los usuarios.
ID CVE
CVE-2015-3764: Jonathan Zdziarski
ntfs
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Un usuario local podría ejecutar código arbitrario con privilegios de sistema
Descripción: Había un problema de corrupción de la memoria en NTFS. Este problema se ha solucionado mejorando la gestión de la memoria.
ID CVE
CVE-2015-5763: Roberto Paleari y Aristide Fattori de Emaze Networks
OpenSSH
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Los atacantes remotos podrían ser capaces de eludir un retraso de tiempo de los intentos fallidos de inicio de sesión y realizar ataques de fuerza bruta
Descripción: Había un problema al procesar dispositivos con los que se puede interactuar mediante el teclado. Este problema se ha solucionado mejorando la validación de la solicitud de autenticación.
ID CVE
CVE-2015-5600
OpenSSL
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 a v10.10.4
Impacto: Había varias vulnerabilidades en las versiones de OpenSSL anteriores a la 0.9.8zg; la más grave de ellas podría permitir que un atacante remoto provocara la denegación del servicio.
Descripción: Había varias vulnerabilidades en las versiones de OpenSSL anteriores a la 0.9.8zg. Estos problemas se han solucionado actualizando OpenSSL a la versión 0.9.8zg.
ID CVE
CVE-2015-1788
CVE-2015-1789
CVE-2015-1790
CVE-2015-1791
CVE-2015-1792
perl
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Analizar una expresión regular creada con fines malintencionados podría provocar la revelación del cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Había un problema de subdesbordamiento de enteros en la forma en que Perl analiza las expresiones regulares. Este problema se ha solucionado mejorando la gestión de la memoria.
ID CVE
CVE-2013-7422
PostgreSQL
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 a v10.10.4
Impacto: Un atacante podría ser capaz de provocar el cierre inesperado de una aplicación u obtener acceso a los datos sin la autenticación pertinente
Descripción: Había varios problemas en PostgreSQL 9.2.4 que se han solucionado actualizando PostgreSQL a 9.2.13.
ID CVE
CVE-2014-0067
CVE-2014-8161
CVE-2015-0241
CVE-2015-0242
CVE-2015-0243
CVE-2015-0244
python
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Había varias vulnerabilidades en Python 2.7.6, las más grave de ellas podría provocar la ejecución de código arbitrario
Descripción: Había varias vulnerabilidades en las versiones de Python anteriores a la 2.7.6 que se han solucionado actualizando Python a la versión 2.7.10.
ID CVE
CVE-2013-7040
CVE-2013-7338
CVE-2014-1912
CVE-2014-7185
CVE-2014-9365
QL Office
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 a v10.10.4
Impacto: Analizar un documento de Office creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Había un problema de corrupción de la memoria al analizar documentos de Office. Este problema se ha solucionado mejorando la gestión de la memoria.
ID CVE
CVE-2015-5773: Apple
QL Office
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Analizar un archivo XML creado con fines malintencionados podría provocar la revelación de la información de los usuarios
Descripción: Había un problema de referencia de entidad externa en el análisis de archivos XML. Este problema se ha solucionado mejorando el análisis.
ID CVE
CVE-2015-3784: Bruno Morisson de INTEGRITY S.A.
Quartz Composer Framework
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 a v10.10.4
Impacto: Analizar un archivo de QuickTime creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Había un problema de corrupción de la memoria al analizar archivos de QuickTime. Este problema se ha solucionado mejorando la gestión de la memoria.
ID CVE
CVE-2015-5771: Apple
Vista Rápida
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Buscar un sitio web visitado anteriormente podría ocasionar el inicio de un navegador web y la aparición de dicho sitio web
Descripción: Había un problema que conseguía que QuickLook tuviera la capacidad de ejecutar JavaScript. El problema se ha solucionado desactivando la ejecución de JavaScript.
ID CVE
CVE-2015-3781: Andrew Pouliot de Facebook y Anto Loyola de Qubole
QuickTime 7
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 a v10.10.4
Impacto: El procesamiento de un archivo creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Había varios problemas de corrupción de memoria en QuickTime. Estos problemas se han solucionado mejorando la gestión de la memoria.
ID CVE
CVE-2015-3772
CVE-2015-3779
CVE-2015-5753: Apple
CVE-2015-5779: Apple
QuickTime 7
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 a v10.10.4
Impacto: El procesamiento de un archivo creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Había varios problemas de corrupción de la memoria en QuickTime. Estos problemas se han solucionado mejorando la gestión de la memoria.
ID CVE
CVE-2015-3765: Joe Burnett de Audio Poison
CVE-2015-3788: Ryan Pentney y Richard Johnson de Cisco Talos
CVE-2015-3789: Ryan Pentney y Richard Johnson de Cisco Talos
CVE-2015-3790: Ryan Pentney y Richard Johnson de Cisco Talos
CVE-2015-3791: Ryan Pentney y Richard Johnson de Cisco Talos
CVE-2015-3792: Ryan Pentney y Richard Johnson de Cisco Talos
CVE-2015-5751: WalkerFuz
SceneKit
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Ver un archivo de Collada creado con fines malintencionados podría provocar la ejecución de código arbitrario
Descripción: Había un exceso de datos en el buffer de pila en la gestión que hacía SceneKit de los archivos de Collada. Este problema se ha solucionado mejorando la validación de las entradas.
ID CVE
CVE-2015-5772: Apple
SceneKit
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 a v10.10.4
Impacto: Un atacante remoto podría ser capaz de provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Había un problema de corrupción de la memoria en SceneKit. Este problema se ha solucionado mejorando la gestión de la memoria.
ID CVE
CVE-2015-3783: Haris Andrianakis de Google Security Team
Seguridad
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Un usuario estándar podría ser capaz de obtener acceso a privilegios de administrador sin la autenticación pertinente
Descripción: Había un problema en la gestión de la autenticación del usuario. Este problema se ha solucionado mejorando las comprobaciones de autenticación.
ID CVE
CVE-2015-3775: [Eldon Ahrold]
SMBClient
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Un atacante remoto podría ser capaz de provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Había un problema de corrupción de la memoria en el cliente SMB. Este problema se ha solucionado mejorando la gestión de la memoria.
ID CVE
CVE-2015-3773: Ilja van Sprundel
IU de Habla
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Analizar una cadena Unicode creada con fines malintencionados con las alertas de Habla activadas podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Había un problema de corrupción de la memoria en la gestión de las cadenas Unicode. Este problema se ha solucionado mejorando la gestión de la memoria.
ID CVE
CVE-2015-3794: Adam Greenbaum de Refinitive
sudo
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Había varias vulnerabilidades en las versiones de sudo anteriores a la 1.7.10p9; la más grave de ellas podría permitir que un atacante accediera a archivos arbitrarios
Descripción: Había varias vulnerabilidades en las versiones de sudo anteriores a la 1.7.10p9. Estos problemas se han solucionado actualizando sudo a la versión 1.7.10p9.
ID CVE
CVE-2013-1775
CVE-2013-1776
CVE-2013-2776
CVE-2013-2777
CVE-2014-0106
CVE-2014-9680
tcpdump
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Había varias vulnerabilidades en tcpdump 4.7.3; la más grave de ellas podría permitir que un atacante remoto provocara la denegación de servicio.
Descripción: Había varias vulnerabilidades en las versiones de tcpdump anteriores a la 4.7.3. Estos problemas se han solucionado actualizando tcpdump a la versión 4.7.3.
ID CVE
CVE-2014-8767
CVE-2014-8769
CVE-2014-9140
Formatos de texto
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Analizar un archivo de texto creado con fines malintencionados podría provocar la revelación de la información del usuario
Descripción: Había un problema de referencia de entidades externas XML con el análisis de TextEdit. Este problema se ha solucionado mejorando el análisis.
ID CVE
CVE-2015-3762: Xiaoyong Wu de Evernote Security Team
udf
Disponible para: OS X Yosemite v10.10 a v10.10.4
Impacto: Procesar un archivo DMG creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario con privilegios de sistema
Descripción: Había un problema de corrupción de la memoria al analizar las imágenes DMG incorrectamente formadas. Este problema se ha solucionado mejorando la gestión de la memoria.
ID CVE
CVE-2015-3767: beist de grayhash
OS X Yosemite v10.10.5 incluye el contenido de seguridad de Safari 8.0.8.
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.