Acerca del contenido de seguridad de OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 y de la Actualización de seguridad 2012-004

Infórmate sobre el contenido de seguridad de OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 y de la Actualización de seguridad 2012-004.

Este documento describe el contenido de seguridad de OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 y de la Actualización de seguridad 2012-004.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos de Apple, consulta "Cómo utilizar la clave PGP de seguridad de los productos de Apple".

Siempre que sea posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".

OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 y Actualización de seguridad 2012-004

Nota: OS X Mountain Lion v10.8.2 incluye el contenido de Safari 6.0.1. Para más detalles, consulta Acerca del contenido de seguridad de Safari 6.0.1.

  • Apache

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.4, OS X Lion Server v10.7 a v10.7.4

    Impacto: Varias vulnerabilidades en Apache

    Descripción: Apache se ha actualizado a la versión 2.2.22 para solucionar diversas vulnerabilidades. La más grave de ellas podría provocar la denegación del servicio. Para obtener más información, visita el sitio web de Apache: http://httpd.apache.org/. Este problema no afecta a los sistemas OS X Mountain Lion.

    ID CVE

    CVE-2011-3368

    CVE-2011-3607

    CVE-2011-4317

    CVE-2012-0021

    CVE-2012-0031

    CVE-2012-0053

  • BIND

    Disponible para: OS X Lion v10.7 a v10.7.4, OS X Lion Server v10.7 a v10.7.4

    Impacto: Un atacante remoto podría ser capaz de provocar una denegación del servicio en sistemas configurados para utilizar BIND como servidor de nombres DNS

    Descripción: Existía un problema de aserción asequible en la gestión de registros DNS. Este problema se ha solucionado actualizando a BIND 9.7.6-P1. Este problema no afecta a los sistemas OS X Mountain Lion.

    ID CVE

    CVE-2011-4313

  • BIND

    Disponible para: OS X Lion v10.7 a v10.7.4, OS X Lion Server v10.7 a v10.7.4, OS X Mountain Lion v10.8 y v10.8.1

    Impacto: Un atacante remoto podría ser capaz de provocar una denegación del servicio, corromper datos u obtener información confidencial a partir de la memoria de procesos en sistemas configurados para ejecutar BIND como servidor de nombres DNS

    Descripción: Existía un problema de administración de memoria en la gestión de registros DNS. Este problema se ha solucionado actualizando a BIND 9.7.6-P1 en sistemas OS X Lion, y a BIND 9.8.3-P1 en sistemas OS X Mountain Lion.

    ID CVE

    CVE-2012-1667

  • CoreText

    Disponible para: OS X Lion v10.7 a v10.7.4, OS X Lion Server v10.7 a v10.7.4

    Impacto: Las aplicaciones que utilizan CoreText podrían ser vulnerables al cierre inesperado de la aplicación o a la ejecución de código arbitrario

    Descripción: Existía un problema de comprobación de límites en la gestión de glifos de texto que podía provocar lecturas o escrituras de memoria fuera de límites. Este problema se ha solucionado mejorando la comprobación de límites. Este problema no afecta a los sistemas Mac OS X v10.6 u OS X Mountain Lion.

    ID CVE

    CVE-2012-3716: Jesse Ruderman de Mozilla Corporation

  • Seguridad de datos

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.4, OS X Lion Server v10.7 a v10.7.4, OS X Mountain Lion v10.8 y v10.8.1

    Impacto: Un atacante con una posición de red privilegiada podría interceptar credenciales de usuario u otra información confidencial

    Descripción: TrustWave, una AC raíz de confianza, ha emitido (y posteriormente revocado) un certificado sub-AC de uno de sus anclajes de confianza. Esta sub-AC facilitaba la intercepción de comunicaciones protegidas mediante TLS (seguridad de la capa de transporte). Esta actualización añade el certificado sub-AC implicado a la lista de certificados no fiables de OS X.

  • DirectoryService

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: Si se utiliza el proxy DirectoryService, un atacante remoto podría provocar una denegación del servicio o la ejecución de código arbitrario

    Descripción: Existía un problema de desbordamiento del búfer en el Proxy DirectoryService. Este problema se ha solucionado mejorando la comprobación de límites. Este problema no afecta a los sistemas OS X Lion y Mountain Lion.

    ID CVE

    CVE-2012-0650: aazubel, en colaboración con la Zero Day Initiative de HP

  • ImageIO

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.4, OS X Lion Server v10.7 a v10.7.4

    Impacto: Visualizar una imagen PNG creada con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existían varios problemas de corrupción de memoria en la gestión de imágenes PNG por parte de libpng. Estos problemas se han solucionado mejorando la validación de las imágenes PNG. Estos problemas no afectan a los sistemas OS X Mountain Lion.

    ID CVE

    CVE-2011-3026: Jüri Aedla

    CVE-2011-3048

  • ImageIO

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.4, OS X Lion Server v10.7 a v10.7.4

    Impacto: Visualizar una imagen TIFF creada con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de desbordamiento de enteros en la gestión de imágenes TIFF por parte de libTIFF. Este problema se ha solucionado mejorando la validación de las imágenes TIFF. Este problema no afecta a los sistemas OS X Mountain Lion.

    ID CVE

    CVE-2012-1173: Alexander Gavrun, colaborador de la Zero Day Initiative de HP

  • Installer

    Disponible para: OS X Lion v10.7 a v10.7.4, OS X Lion Server v10.7 a v10.7.4

    Impacto: Los administradores remotos y las personas con acceso físico al equipo podrían obtener información sobre las cuentas

    Descripción: La solución para CVE-2012-0652 en OS X Lion v10.7.4 impedía que las contraseñas de los usuarios se guardasen en el registro del sistema, pero no eliminaba las entradas de registro antiguas. Este problema se ha solucionado eliminando los archivos de registro que contenían contraseñas. Este problema no afecta a los sistemas Mac OS X v10.6 ni OS X Mountain Lion.

    ID CVE

    CVE-2012-0652

  • Componentes internacionales para Unicode

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.4, OS X Lion Server v10.7 a v10.7.4

    Impacto: Las aplicaciones que utilizan componentes internacionales para Unicode (ICU) podrían ser vulnerables al cierre inesperado de la aplicación o a la ejecución de código arbitrario

    Descripción: Existía un problema de desbordamiento del búfer de pila en la gestión de ID de ubicación de ICU. Este problema se ha solucionado mejorando la comprobación de límites. Este problema no afecta a los sistemas OS X Mountain Lion.

    ID CVE

    CVE-2011-4599

  • Kernel

    Disponible para: OS X Lion v10.7 a v10.7.4, OS X Lion Server v10.7 a v10.7.4

    Impacto: Un programa malicioso podría eludir las restricciones de la zona protegida

    Descripción: Existía un problema de lógica en la gestión de llamadas del sistema de depuración. Esto podría permitir que un programa malicioso obtuviera ejecución de código en otros programas con los mismos privilegios de usuario. Este problema se ha solucionado deshabilitando la gestión de direcciones en PT_STEP y PT_CONTINUE. Este problema no afecta a los sistemas OS X Mountain Lion.

    ID CVE

    CVE-2012-0643: iOS Jailbreak Dream Team

  • LoginWindow

    Disponible para: OS X Mountain Lion v10.8 y v10.8.1

    Impacto: Un usuario local podría ser capaz de obtener las contraseñas de inicio de sesión de otros usuarios

    Descripción: Un método de entrada instalado por un usuario podría interceptar las pulsaciones de tecla de contraseñas en la ventana de inicio de sesión o al desbloquear el salvapantallas. Este problema se ha solucionado impidiendo que se usen métodos instalados por el usuario cuando el sistema gestiona la información de inicio de sesión.

    ID CVE

    CVE-2012-3718: Lukhnos Liu

  • Mail

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.4, OS X Lion Server v10.7 a v10.7.4

    Impacto: Ver un mensaje electrónico podría provocar la ejecución de módulos web

    Descripción: Existía un error de validación de entrada en la gestión de módulos web incrustados por parte de Mail. Este problema se ha solucionado deshabilitando los módulos de terceros en Mail. Este problema no afecta a los sistemas OS X Mountain Lion.

    ID CVE

    CVE-2012-3719: Will Dormann de CERT/CC

  • Cuentas móviles

    Disponible para: OS X Mountain Lion v10.8 y v10.8.1

    Impacto: Un usuario con acceso a los contenidos de una cuenta móvil podría obtener la contraseña de la cuenta

    Descripción: Al crear una cuenta móvil se guardaba un hash de la contraseña en la cuenta, que se utilizaba para iniciar sesión cuando se empleaba la cuenta móvil como cuenta externa. El hash de la contraseña podría utilizarse para averiguar la contraseña del usuario. Este problema se ha solucionado creando el hash de contraseña solo si las cuentas externas están habilitadas en el equipo en el que se haya creado la cuenta móvil.

    ID CVE

    CVE-2012-3720: Harald Wagener de Google, Inc.

  • PHP

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.4, OS X Lion Server v10.7 a v10.7.4, OS X Mountain Lion v10.8 y v10.8.1

    Impacto: Varias vulnerabilidades en PHP

    Descripción: >PHP se ha actualizado a la versión 5.3.15 para solucionar varias vulnerabilidades, la más grave de las cuales podría provocar la ejecución de código arbitrario. Para obtener más información, visita el sitio web de PHP en http://www.php.net.

    ID CVE

    CVE-2012-0831

    CVE-2012-1172

    CVE-2012-1823

    CVE-2012-2143

    CVE-2012-2311

    CVE-2012-2386

    CVE-2012-2688

  • PHP

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.4, OS X Lion Server v10.7 a v10.7.4

    Impacto: Los scripts PHP que utilizan libpng podrían ser vulnerables al cierre inesperado de una aplicación o a la ejecución de código arbitrario

    Descripción: Existía un problema de corrupción de memoria en la gestión de archivos PNG. Este problema se ha solucionado actualizando la copia de libpng de PHP a la versión 1.5.10. El problema no afecta a los sistemas OS X Mountain Lion.

    ID CVE

    CVE-2011-3048

  • Gestor de Perfiles

    Disponible para: OS X Lion Server v10.7 a v10.7.4

    Impacto: Un usuario no autenticado podría enumerar dispositivos gestionados

    Descripción: Existía un problema de autenticación en la interfaz privada de Gestión de dispositivos. Este problema se ha solucionado eliminando la interfaz.

    Este problema no afecta a los sistemas OS X Mountain Lion.

    ID CVE

    CVE-2012-3721: Derick Cassidy de XEquals Corporation

  • QuickLook

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.4, OS X Lion Server v10.7 a v10.7.4

    Impacto: Visualizar un archivo .pict creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de corrupción de memoria en la gestión de archivos .pict. Este problema se ha solucionado mejorando la validación de los archivos .pict. Este problema no afecta a los sistemas OS X Mountain Lion.

    ID CVE

    CVE-2012-0671: Rodrigo Rubira Branco (twitter.com/bsdaemon) de Qualys Vulnerability & Malware Research Labs (VMRL)

  • QuickTime

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.4, OS X Lion Server v10.7 a v10.7.4

    Impacto: Visualizar un archivo de película creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de desbordamiento de enteros en la gestión de átomos "Sean" por parte de QuickTime. Este problema se ha solucionado mejorando la comprobación de límites. Este problema no afecta a los sistemas OS X Mountain Lion.

    ID CVE

    CVE-2012-0670: Tom Gallagher (Microsoft) y Paul Bates (Microsoft), en colaboración con la Zero Day Initiative de HP

  • QuickTime

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.4, OS X Lion Server v10.7 a v10.7.4

    Impacto: Visualizar un archivo de película creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de acceso a la memoria no inicializada en la gestión de archivos de película con codificación Sorenson. Este problema se ha solucionado mejorando la inicialización de la memoria. Este problema no afecta a los sistemas OS X Mountain Lion.

    ID CVE

    CVE-2012-3722: Will Dormann de CERT/CC

  • QuickTime

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.4, OS X Lion Server v10.7 a v10.7.4

    Impacto: Visualizar un archivo de película creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de desbordamiento de búfer en la gestión de archivos de película con codificación RLE. Este problema se ha solucionado mejorando la comprobación de límites. Este problema no afecta a los sistemas OS X Mountain Lion.

    ID CVE

    CVE-2012-0668: Luigi Auriemma, en colaboración con la Zero Day Initiative de HP

  • Ruby

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.4, OS X Lion Server v10.7 a v10.7.4

    Impacto: Un atacante podría ser capaz de desencriptar datos protegidos mediante SSL

    Descripción: Existen ataques conocidos contra la confidencialidad de SSL 3.0 y TLS 1.0 cuando una suite de cifrado utiliza un cifrado por bloques en modo CBC. El módulo OpenSSL de Ruby deshabilitaba la contramedida "fragmento vacío" que impedía estos ataques. Este problema se ha solucionado activando los fragmentos vacíos. Este problema no afecta a los sistemas OS X Mountain Lion.

    ID CVE

    CVE-2011-3389

  • USB

    Disponible para: OS X Lion v10.7 a v10.7.4, OS X Lion Server v10.7 a v10.7.4

    Impacto: Conectar un dispositivo USB podría provocar el cierre inesperado del sistema o la ejecución de código arbitrario

    Descripción: Existía un problema de corrupción de memoria en la gestión de descriptores de concentradores USB. Este problema se ha solucionado mejorando la gestión del campo descriptor bNbrPorts. Este problema no afecta a los sistemas OS X Mountain Lion.

    ID CVE

    CVE-2012-3723: Andy Davis de NGS Secure

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Fecha de publicación: