Acerca del contenido de seguridad de OS X Mountain Lion v10.8.5 y la Actualización de seguridad 2013-004
Este documento describe el contenido de seguridad de OS X Mountain Lion v10.8.5 y la Actualización de seguridad 2013-004.
Se pueden descargar e instalar a través de las preferencias de Actualización de software o desde Descargas de Apple.
Con el fin de proteger a nuestros clientes, Apple no revelará, comentará ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos Apple, visita el sitio web Seguridad de los productos Apple.
Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos Apple.
Siempre que sea posible, se utilizan ID de CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.
Para obtener más información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.
OS X Mountain Lion v10.8.5 y Actualización de seguridad 2013-004
Apache
Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5 y OS X Mountain Lion v10.8 a v10.8.4
Impacto: varias vulnerabilidades en Apache.
Descripción: había varias vulnerabilidades en Apache, la más grave de las cuales puede provocar un problema de secuencias de comandos entre sitios. Estos problemas se han solucionado actualizando Apache a la versión 2.2.24.
CVE-ID
CVE-2012-0883
CVE-2012-2687
CVE-2012-3499
CVE-2012-4558
Bind
Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5 y OS X Mountain Lion v10.8 a v10.8.4
Impacto: varias vulnerabilidades en BIND.
Descripción: había varias vulnerabilidades en BIND, la más grave de las cuales puede provocar una denegación de servicio. Estos problemas se han solucionado actualizando BIND a la versión 9.8.5-P1. CVE-2012-5688 no afectaba a los sistemas Mac OS X v10.7.
CVE-ID
CVE-2012-3817
CVE-2012-4244
CVE-2012-5166
CVE-2012-5688
CVE-2013-2266
Certificate Trust Policy
Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5 y OS X Mountain Lion v10.8 a v10.8.4
Impacto: se han actualizado los certificados raíz.
Descripción: se han añadido o eliminado varios certificados de la lista de raíces del sistema. La lista completa de las raíces del sistema reconocidas puede consultarse a través de la app Acceso a Llaveros.
ClamAV
Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5 y OS X Lion Server v10.7.5
Impacto: múltiples vulnerabilidades en ClamAV.
Descripción: existen varias vulnerabilidades en ClamAV, la más grave de las cuales puede provocar la ejecución arbitraria de código. Esta actualización soluciona los problemas actualizando ClamAV a la versión 0.97.8.
CVE-ID
CVE-2013-2020
CVE-2013-2021
CoreGraphics
Disponible para: OS X Mountain Lion v10.8 a v10.8.4
Impacto: la visualización de un archivo PDF creado con fines malintencionados puede provocar una terminación inesperada de la app o a la ejecución de código arbitrario.
Descripción: había un desbordamiento de búfer en la gestión de datos codificados por JBIG2 en archivos PDF. Este problema se ha solucionado mejorando la comprobación adicional de los límites.
CVE-ID
CVE-2013-1025: Felix Groebert de Google Security Team
ImageIO
Disponible para: OS X Mountain Lion v10.8 a v10.8.4
Impacto: la visualización de un archivo PDF creado con fines malintencionados puede provocar una terminación inesperada de la app o a la ejecución de código arbitrario.
Descripción: había un desbordamiento de búfer en la gestión de datos codificados por JPEG2000 en archivos PDF. Este problema se ha solucionado mejorando la comprobación adicional de los límites.
CVE-ID
CVE-2013-1026: Felix Groebert de Google Security Team
Installer
Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5 y OS X Mountain Lion v10.8 a v10.8.4
Impacto: los paquetes podrían abrirse tras la revocación del certificado.
Descripción: cuando el instalador encontraba un certificado revocado, presentaba un cuadro de diálogo con la opción de continuar. El problema se resolvió eliminando el diálogo y rechazando cualquier paquete revocado.
CVE-ID
CVE-2013-1027
IPSec
Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5 y OS X Mountain Lion v10.8 a v10.8.4
Impacto: un atacante puede interceptar datos protegidos con IPSec Hybrid Auth.
Descripción: el nombre DNS de un servidor IPSec Hybrid Auth no se comparaba con el certificado, lo que permitía a un atacante con un certificado para cualquier servidor hacerse pasar por cualquier otro. Este problema se solucionó comprobando adecuadamente el certificado.
CVE-ID
CVE-2013-1028: Alexander Traud de www.traud.de
Kernel
Disponible para: OS X Mountain Lion v10.8 a v10.8.4
Impacto: un usuario de la red local puede provocar una denegación de servicio.
Descripción: una comprobación incorrecta en el código de análisis de paquetes IGMP en el kernel permitía a un usuario que podía enviar paquetes IGMP al sistema provocar un kernel panic. El problema se resolvió eliminando el cheque.
CVE-ID
CVE-2013-1029: Christopher Bohn de PROTECTSTAR INC.
Mobile Device Management
Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5 y OS X Mountain Lion v10.8 a v10.8.4
Impacto: las contraseñas pueden ser reveladas a otros usuarios locales.
Descripción: se pasaba una contraseña en la línea de comandos a mdmclient, lo que la hacía visible para otros usuarios del mismo sistema. El problema se resolvió comunicando la contraseña a través de una tubería.
CVE-ID
CVE-2013-1030: Per Olofsson en la Universidad de Gotemburgo
OpenSSL
Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5 y OS X Mountain Lion v10.8 a v10.8.4
Impacto: varias vulnerabilidades en OpenSSL.
Descripción: había varias vulnerabilidades en OpenSSL, la más grave de las cuales puede provocar la revelación de datos de usuario. Estos problemas se han solucionado actualizando OpenSSL a la versión 0.9.8y.
CVE-ID
CVE-2012-2686
CVE-2013-0166
CVE-2013-0169
PHP
Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4
Impacto: varias vulnerabilidades en PHP.
Descripción: hay varias vulnerabilidades en PHP, la más grave de las cuales puede provocar la ejecución de código arbitrario. Estos problemas se han solucionado actualizando Apache a la versión 5.3.26.
CVE-ID
CVE-2013-1635
CVE-2013-1643
CVE-2013-1824
CVE-2013-2110
PostgreSQL
Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5 y OS X Mountain Lion v10.8 a v10.8.4
Impacto: varias vulnerabilidades en PostgreSQL.
Descripción: había varias vulnerabilidades en PostgreSQL, la más grave de las cuales puede llevar a la corrupción de datos o a la escalada de privilegios. CVE-2013-1901 no afecta a los sistemas OS X Lion. Esta actualización soluciona los problemas actualizando PostgreSQL a la versión 9.1.9 en sistemas OS X Mountain Lion, y a la 9.0.4 en sistemas OS X Lion.
CVE-ID
CVE-2013-1899
CVE-2013-1900
CVE-2013-1901
Power Management
Disponible para: OS X Mountain Lion v10.8 a v10.8.4
Impacto: es posible que el salvapantallas no se inicie tras el periodo de tiempo especificado.
Descripción: había un problema de bloqueo de la afirmación de energía. Este problema se solucionó mejorando la gestión de los bloqueos.
CVE-ID
CVE-2013-1031
QuickTime
Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5 y OS X Mountain Lion v10.8 a v10.8.4
Impacto: la visualización de un archivo de película malicioso puede provocar la finalización inesperada de la app o la ejecución de código arbitrario.
Descripción: había un problema de corrupción de memoria en el manejo de átomos “idsc” en archivos de película QuickTime. Este problema se ha solucionado mejorando la comprobación adicional de los límites.
CVE-ID
CVE-2013-1032: Jason Kratzer en colaboración con iDefense VCP
Screen Lock
Disponible para: OS X Mountain Lion v10.8 a v10.8.4
Impacto: un usuario con acceso a pantalla compartida puede saltarse el bloqueo de pantalla cuando otro usuario ha iniciado sesión.
Descripción: había un problema de gestión de sesiones en la gestión de las sesiones de pantalla compartida por parte del bloqueo de pantalla. Este problema se ha solucionado mediante el seguimiento mejorado de las sesiones.
CVE-ID
CVE-2013-1033: Jeff Grisso de Atos IT Solutions, Sébastien Stormacq
sudo
Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5 y OS X Mountain Lion v10.8 a v10.8.4
Impacto: un atacante con control de la cuenta de un usuario admin puede obtener privilegios de root sin conocer la contraseña del usuario.
Descripción: mediante la configuración del reloj del sistema, un atacante puede ser capaz de utilizar sudo para obtener privilegios de root en sistemas en los que se haya utilizado sudo anteriormente. En OS X, solo los usuarios administradores pueden cambiar el reloj del sistema. Este problema se solucionó comprobando si la marca de tiempo no era válida.
CVE-ID
CVE-2013-1775
Nota: OS X Mountain Lion v10.8.5 también soluciona un problema por el que determinadas cadenas Unicode podían hacer que las apps se cerraran inesperadamente.
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.