Puedes descargar e instalar OS X Lion v10.7.4 y la Actualización de seguridad 2012-002 desde las preferencias de Actualización de Software o desde Descargas de Apple.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.
Para obtener más información sobre la clave PGP de seguridad de los productos de Apple, consulta "Cómo utilizar la clave PGP de seguridad de los productos de Apple".
Siempre que sea posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.
Para obtener más información acerca de otras actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".


OS X Lion v10.7.4 y Actualización de seguridad 2012-002
- 

- 

Ventana de inicio de sesión

Disponible para: OS X Lion v10.7.3, OS X Lion Server v10.7.3

Impacto: Los administradores remotos y las personas con acceso físico al sistema podrían obtener información sobre las cuentas

Descripción: Existía un problema en la gestión de los datos de inicio de sesión de las cuentas de red. El proceso de inicio de sesión grababa información confidencial en el registro del sistema, en el que otros usuarios del sistema podían leerla. La información confidencial podría permanecer en registros guardados tras la instalación de esta actualización. Este problema solo afecta 		a los sistemas que utilizan OS X Lion v10.7.3 con usuarios de FileVault "original" y/o directorios de inicio conectados en red. Consulta http://support.apple.com/kb/TS4272?viewlocale=es_ES para obtener más información sobre cómo eliminar de forma segura cualquier registro que aún se encuentre en el sistema.

ID CVE

CVE-2012-0652: Terry Reeves y Tim Winningham de la Ohio State University, Markus "Jaroneko" Räty de la Finnish Academy of Fine Arts, Jaakko Pero de la Aalto University, Mark Cohen de la Oregon State University, Paul Nelson

 

- 

- 

Bluetooth

Disponible para: OS X Lion v10.7 a v10.7.3, OS X Lion Server v10.7 a v10.7.3

Impacto: Un usuario local podría ejecutar código arbitrario con privilegios del sistema

Descripción: Existía un problema con el estado de carrera de los archivos temporales en la rutina de inicialización de blued.

ID CVE

CVE-2012-0649: Aaron Sigel de vtty.com

 

- 

- 

curl

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.3, OS X Lion Server v10.7 a v10.7.3

Impacto: Un atacante podría ser capaz de desencriptar datos protegidos mediante SSL

Descripción: Existen ataques conocidos contra la confidencialidad de SSL 3.0 y TLS 1.0 cuando una suite de cifrado utiliza un cifrado por bloques en modo CBC. curl desactivaba la contramedida "empty fragment" que impedía estos ataques. Este problema se ha solucionado activando los fragmentos vacíos.

ID CVE

CVE-2011-3389: Apple

 

- 

- 

curl

Disponible para: OS X Lion v10.7 a v10.7.3, OS X Lion Server v10.7 a v10.7.3

Impacto: Usar curl o libcurl con una URL creada con fines malintencionados podría provocar ataques de inyección de datos contra protocolos específicos

Descripción: Existía un problema de inyección de datos en la gestión de las URL por parte de curl. Este problema se ha solucionado mediante la mejora de la validación de las URL. Este problema no afecta a los sistemas anteriores a OS X Lion.

ID CVE

CVE-2012-0036

 

- 

- 

Servicio de directorios

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: Un atacante remoto podría obtener información confidencial

Descripción: Existían varios problemas en la gestión de los mensajes de la red por parte del servidor de directorios. Al enviar un mensaje creado con fines malintencionados, un atacante remoto podía provocar que el servidor de directorios hiciera pública la memoria de su espacio de direcciones, revelando potencialmente credenciales de cuentas y otra información de carácter confidencial. Este problema no afecta a los sistemas OS X Lion. El servidor de directorios se encuentra desactivado de manera predeterminada en las instalaciones de OS X que no se realizan en servidores.

ID CVE

CVE-2012-0651: Agustín Azubel

 

- 

- 

HFS

Disponible para: OS X Lion v10.7 a v10.7.3, OS X Lion Server v10.7 a v10.7.3

Impacto: Montar una imagen de disco creada con fines malintencionados podría provocar un cierre del sistema o la ejecución de código arbitrario

Descripción: Existía un problema de subdesbordamiento de enteros en la gestión de archivos de catálogo HFS.

ID CVE

CVE-2012-0642: pod2g

 

- 

- 

ImageIO

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: Visualizar un archivo TIFF creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

Descripción: Existía un problema de desbordamiento de búfer en la gestión de archivos TIFF con codificación CCITT Grupo 4 por parte de ImageIO. Este problema no afecta a los sistemas OS X Lion.

ID CVE

CVE-2011-0241: Cyril CATTIAUX de Tessi Technologies

 

- 

- 

ImageIO

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: Varias vulnerabilidades en libpng

Descripción: libpng se ha actualizado a la versión 1.5.5 para solucionar varias vulnerabilidades; la más grave de ellas podría provocar la divulgación de información. Para obtener más información, visita el sitio web de libpng en http://www.libpng.org/pub/png/libpng.html.

ID CVE

CVE-2011-2692

CVE-2011-3328

 

- 

- 

ImageIO

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: Visualizar un archivo TIFF creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

Descripción: Existía un problema de desbordamiento de búfer en la gestión de imágenes TIFF con codificación ThunderScan por parte de libtiff. Este problema se ha solucionado actualizando libtiff a la versión 3.9.5.

ID CVE

CVE-2011-1167

 

- 

- 

Kernel

Disponible para: OS X Lion v10.7 a v10.7.3, OS X Lion Server v10.7 a v10.7.3

Impacto: Cuando se utiliza FileVault, el disco podría contener datos de usuario no cifrados.

Descripción: Un problema del kernel en la gestión de la imagen de reposo que se utiliza para la hibernación dejaba algunos datos sin cifrar en el disco incluso cuando FileVault se encontraba activado. Este problema se ha solucionado mejorando la gestión de la imagen de reposo y sobrescribiendo la imagen de reposo existente cuando se realiza la actualización a OS X v10.7.4. Este problema no afecta a sistemas anteriores a OS X Lion.

ID CVE

CVE-2011-3212: Felix Groebert del Google Security Team

 

- 

- 

libarchive

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.3, OS X Lion Server v10.7 a v10.7.3

Impacto: Extraer un archivo creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

Descripción: Existían varios problemas de desbordamiento de búfer en la gestión de archivos tar y archivos iso9660.

ID CVE

CVE-2011-1777

CVE-2011-1778

 

- 

- 

libsecurity

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.3, OS X Lion Server v10.7 a v10.7.3

Impacto: Verificar un certificado X.509 creado con fines malintencionados, por ejemplo cuando se visita un sitio web creado con fines malintencionados, podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

Descripción: Existía un problema de acceso a la memoria no inicializada en la gestión de certificados X.509.

ID CVE

CVE-2012-0654: Dirk-Willem van Gulik de WebWeaving.org, Guilherme Prado de Conselho da Justiça Federal, Ryan Sleevi de Google

 

- 

- 

libsecurity

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.3, OS X Lion Server v10.7 a v10.7.3

Impacto: La compatibilidad con certificados X.509 con claves RSA con longitudes inseguras podría exponer a los usuarios a suplantaciones y a la divulgación de información

Descripción: libsecurity aceptaba certificados firmados mediante claves RSA con longitudes de clave inseguras. Este problema se ha solucionado rechazando los certificados que contengan claves RSA con menos de 1024 bits.

ID CVE

CVE-2012-0655

 

- 

- 

libxml

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.3, OS X Lion Server v10.7 a v10.7.3

Impacto: Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

Descripción: Existían varias vulnerabilidades en libxml; la más grave de ellas podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario. Estos problemas se han solucionado aplicando los parches upstream correspondientes.

ID CVE

CVE-2011-1944: Chris Evans del Google Chrome Security Team

CVE-2011-2821: Yang Dingning de la NCNIPC, Graduate University of Chinese Academy of Sciences

CVE-2011-2834: Yang Dingning de la NCNIPC, Graduate University of Chinese Academy of Sciences

CVE-2011-3919: Jüri Aedla

 

- 

- 

LoginUIFramework

Disponible para: OS X Lion v10.7 a v10.7.3, OS X Lion Server v10.7 a v10.7.3

Impacto: Si el usuario invitado se encuentra habilitado, un usuario con acceso físico al ordenador podría iniciar sesión en un usuario distinto al usuario invitado sin introducir ninguna contraseña

Descripción: Existía una situación de carrera en la gestión de los datos de inicio de sesión de los usuarios invitados. Este problema no afecta a los sistemas anteriores a OS X Lion.

ID CVE

CVE-2012-0656: Francisco Gómez (espectalll123)

 

- 

- 

PHP

Disponible para: OS X Lion v10.7 a v10.7.3, OS X Lion Server v10.7 a v10.7.3

Impacto: Varias vulnerabilidades en PHP

Descripción: PHP se ha actualizado a la versión 5.3.10 para solucionar diversas vulnerabilidades, la más grave de las cuales podría provocar la ejecución de código arbitrario. Para obtener más información, visita el sitio web de PHP en http://www.php.net.

ID CVE

CVE-2011-4566

CVE-2011-4885

CVE-2012-0830

 

- 

- 

Quartz Composer

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.3, OS X Lion Server v10.7 a v10.7.3

Impacto: Un usuario con acceso físico al ordenador podría hacer que Safari se iniciara si la pantalla se encuentra bloqueada y se utiliza el salvapantallas del Visualizador RSS.

Descripción: Existía un problema de control de acceso en la gestión de los salvapantallas por parte de Quartz Composer. Este problema se ha solucionado mejorando la comprobación del bloqueo de la pantalla.

ID CVE

CVE-2012-0657: Aaron Sigel de vtty.com

 

- 

- 

QuickTime

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.3, OS X Lion Server v10.7 a v10.7.3

Impacto: Visualizar un archivo de película creado con fines malintencionados durante su descarga progresiva podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

Descripción: Existía un problema de desbordamiento de búfer en la gestión de las tablas de samples de audio.

ID CVE

CVE-2012-0658: Luigi Auriemma en colaboración con la Zero Day Initiative de HP

 

- 

- 

QuickTime

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.3, OS X Lion Server v10.7 a v10.7.3

Impacto: Visualizar un archivo MPEG creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

Descripción: Existía un problema de desbordamiento de enteros en la gestión de archivos MPEG.

ID CVE

CVE-2012-0659: Un investigador anónimo en colaboración con la Zero Day Initiative de HP

 

- 

- 

QuickTime

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.3, OS X Lion Server v10.7 a v10.7.3

Impacto: Visualizar un archivo MPEG creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

Descripción: Existía un problema de desbordamiento de búfer en la gestión de archivos MPEG.

ID CVE

CVE-2012-0660: Justin Kim de Microsoft y Microsoft Vulnerability Research

 

- 

- 

QuickTime

Disponible para: OS X Lion v10.7 a v10.7.3, OS X Lion Server v10.7 a v10.7.3

Impacto: Visualizar un archivo de película creado con fines malintencionados podía provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

Descripción: Existía un problema de uso después de liberación en la gestión de archivos de película con codificación JPEG2000. Este problema no afecta a los sistemas anteriores a OS X Lion.

ID CVE

CVE-2012-0661: Damian Put en colaboración con la Zero Day Initiative de HP

 

- 

- 

Ruby

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.3, OS X Lion Server v10.7 a v10.7.3

Impacto: Varias vulnerabilidades en Ruby

Descripción: Ruby se ha actualizado a la versión 1.8.7-p357 para solucionar varias vulnerabilidades.

ID CVE

CVE-2011-1004

CVE-2011-1005

CVE-2011-4815

 

- 

- 

Samba

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: Si el uso compartido de archivos mediante SMB se encuentra habilitado, un atacante remoto no autenticado podría provocar una denegación de servicio o la ejecución de código arbitrario con privilegios del sistema

Descripción: Existían varios problemas de desbordamiento de búfer en la gestión de llamadas a procedimientos remotos por parte de Samba. Al enviar un paquete creado con fines malintencionados, un atacante remoto no autenticado podría provocar una denegación de servicio o la ejecución de código arbitrario con privilegios del sistema. Este problema no afecta a los sistemas OS X Lion.

ID CVE

CVE-2012-0870: Andy Davis de NGS Secure

CVE-2012-1182: Un investigador anónimo en colaboración con la Zero Day Initiative de HP

 

- 

- 

Marco de seguridad

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.3, OS X Lion Server v10.7 a v10.7.3

Impacto: Un atacante remoto podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

Descripción: Existía un problema de desbordamiento de enteros en el marco de seguridad. Procesar datos que no fueran de confianza con el marco de seguridad podría dañar la memoria. Este problema no afecta a procesos de 32 bits.

ID CVE

CVE-2012-0662: aazubel en colaboración con la Zero Day Initiative de HP

 

- 

- 

Time Machine

Disponible para: OS X Lion v10.7 a v10.7.3, OS X Lion Server v10.7 a v10.7.3

Impacto: Un atacante remoto podría acceder a las credenciales de las copias de seguridad de Time Machine de un usuario

Descripción: El usuario podría designar un volumen de Time Capsule o AFP remoto conectado a una estación base AirPort para utilizarlo para alojar las copias de seguridad de Time Machine. Desde la actualización de firmware 7.6 para la estación base AirPort y Time Capsule, las Time Capsule y las estaciones base admiten un mecanismo de autenticación basado en SRP seguro a través de AFP. Sin embargo, Time Machine no requería que el mecanismo de autenticación basado en SRP se utilizara para las subsiguientes operaciones de realización de copias de seguridad, incluso aunque Time Machine se hubiera configurado inicialmente o se hubiera puesto en contacto alguna vez con una Time Capsule o una estación base compatible con este mecanismo. Un atacante capaz de suplantar el volumen remoto podía acceder a las credenciales de Time Capsule del usuario, aunque no a los datos de las copias de seguridad, enviados por el equipo del usuario. Este problema se ha solucionado exigiendo el uso del mecanismo de autenticación basado en SRP si el destino de la copia de seguridad alguna vez ha sido compatible con el mismo.

ID CVE

CVE-2012-0675: Renaud Deraison de Tenable Network Security, Inc.

 

- 

- 

X11

Disponible para: OS X Lion v10.7 a v10.7.3, OS X Lion Server v10.7 a v10.7.3

Impacto: Las aplicaciones que utilizan libXfont para procesar datos comprimidos mediante LZW podrían ser vulnerables a un cierre de inesperado de aplicación o a la ejecución de código arbitrario

Descripción: Existía un problema de desbordamiento de búfer en la gestión de datos comprimidos mediante LZW por parte de libXfont. Este problema se ha solucionado actualizando libXfont a la versión 1.4.4.

ID CVE

CVE-2011-2895: Tomas Hoger de Red Hat



 

Nota: Además, esta actualización filtra las variables dinámicas del entorno del enlazador a partir de una lista personalizada de propiedades del entorno en el directorio de inicio del usuario, si la hay.