Acerca del contenido de seguridad de OS X Mountain Lion v10.8.3 y la Actualización de seguridad 2013-001

Este documento describe el contenido de seguridad de OS X Mountain Lion v10.8.3 y la Actualización de seguridad 2013-001.

Puedes descargar e instalar OS X Mountain Lion v10.8.3 y la Actualización de seguridad 2013-001 desde las preferencias de Actualización de Software o desde Descargas de Apple.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos de Apple, consulta “Cómo utilizar la clave PGP de seguridad de los productos de Apple”.

Siempre que sea posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta “Actualizaciones de seguridad de Apple”.

Nota: OS X Mountain Lion v10.8.3 incluye el contenido de Safari 6.0.3. Encontrarás más detalles en Acerca del contenido de seguridad de Safari 6.0.3.

OS X Mountain Lion v10.8.3 y Actualización de seguridad 2013-001

  • Apache

    Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5, OS X Mountain Lion v10.8 a v10.8.2

    Impacto: un atacante podría ser capaz de acceder a directorios protegidos mediante autenticación HTTP sin necesidad de conocer las credenciales correctas

    Descripción: existía un problema de canonicalización en la gestión de URI con secuencias de caracteres Unicode “ignorables”. Este problema se ha solucionado actualizando mod_hfs_apple para que prohíba el acceso a URI con secuencias de caracteres Unicode “ignorables”.

    ID CVE

    CVE-2013-0966: Clint Ruoho de Laconic Security

  • CoreTypes

    Disponible para: OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5, OS X Mountain Lion v10.8 a v10.8.2

    Impacto: visitar un sitio web creado con fines malintencionados podría permitir que una aplicación Java Web Start se iniciase automáticamente incluso si el plug-in Java está desactivado

    Descripción: las aplicaciones Java Web Start se ejecutarían incluso aunque el plug-in Java estuviese deshabilitado. Este problema se ha solucionado eliminando archivos JNLP de la lista de tipos de archivo seguro CoreTypes, de forma que la aplicación Web Start no se ejecutará a menos que el usuario la abra en el directorio Descargas.

    ID CVE

    CVE-2013-0967

  • Componentes internacionales para Unicode

    Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5, OS X Mountain Lion v10.8 a v10.8.2

    Impacto: visitar un sitio web creado con fines malintencionados podría provocar un ataque basado en la vulnerabilidad de secuencias de comandos en sitios cruzados

    Descripción: existía un problema de canonicalización en la gestión de la codificación EUC-JP que podía desencadenar un ataque basado en la vulnerabilidad de secuencias de comandos entre sitios cruzados en sitios web con codificación EUC-JP. Este problema se ha solucionado actualizando la tabla de asignación EUC-JP.

    ID CVE

    CVE-2011-3058: Masato Kinugawa

  • Servicios de identificación

    Disponible para: OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5, OS X Mountain Lion v10.8 a v10.8.2

    Impacto: la autenticación que dependía de la autenticación del ID de Apple basada en certificados podía ser anulada

    Descripción: existía un problema de gestión de errores en servicios de identidad. Si el certificado del ID de Apple del usuario no se validaba correctamente, se presuponía que el ID de Apple del usuario era una cadena vacía. Si varios equipos pertenecientes a distintos usuarios entraban en este estado, las aplicaciones que dependieran de esta forma de determinar la identidad podían extender su confianza erróneamente. Este problema se ha solucionado asegurándose de que se devuelve NULL en vez de una cadena vacía.

    ID CVE

    CVE-2013-0963

  • ImageIO

    Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5, OS X Mountain Lion v10.8 a v10.8.2

    Impacto: visualizar un archivo TIFF creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: había un desbordamiento de búfer en la gestión de imágenes TIFF por parte de libtiff. Este problema se ha solucionado mediante una validación adicional de las imágenes TIFF.

    ID CVE

    CVE-2012-2088

  • IOAcceleratorFamily

    Disponible para: OS X Mountain Lion v10.8 a v10.8.2

    Impacto: visualizar una imagen creada con fines malintencionados podría provocar el cierre inesperado del sistema o la ejecución de código arbitrario

    Descripción: existía un problema de corrupción de memoria en la gestión de datos de gráficos. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2013-0976: Un investigador anónimo

  • Kernel

    Disponible para: OS X Mountain Lion v10.8 a v10.8.2

    Impacto: ciertas aplicaciones creadas con fines malintencionados o en riesgo podrían ser capaces de determinar direcciones en el kernel

    Descripción: existía un problema de divulgación de información en la gestión de API relacionadas con las extensiones de kernel. Las respuestas que contenían una clave OSBundleMachOHeaders podrían haber incluido direcciones de kernel, las cuales podrían ayudar a ignorar la protección ASLR (Address space layout randomization, aleatorización del espacio de direcciones). Este problema se ha solucionado desligando las direcciones antes de devolverlas.

    ID CVE

    CVE-2012-3749: Mark Dowd de Azimuth Security, Eric Monti de Square y otros investigadores anónimos

  • Ventana de inicio de sesión

    Disponible para: OS X Mountain Lion v10.8 a v10.8.2

    Impacto: un atacante con acceso al teclado podría modificar la configuración del equipo

    Descripción: existía un error lógico en la gestión de VoiceOver en la ventana de inicio de sesión debido al cual un atacante con acceso al teclado podría ejecutar Preferencias del Sistema y modificar la configuración del equipo. Este problema se ha solucionado impidiendo que VoiceOver ejecute aplicaciones en la ventana de inicio de sesión.

    ID CVE

    CVE-2013-0969: Eric A. Schulman de Purpletree Labs

  • Mensajes

    Disponible para: OS X Mountain Lion v10.8 a v10.8.2

    Impacto: hacer clic en un enlace de Mensajes podría iniciar una llamada FaceTime sin pedir permiso

    Descripción: hacer clic en una URL FaceTime:// con un formato concreto en Mensajes podría omitir el cuadro de diálogo de confirmación estándar. Este problema se ha solucionado mediante la validación adicional de URL FaceTime://.

    ID CVE

    CVE-2013-0970: Aaron Sigel de vtty.com

  • Servidor Mensajes

    Disponible para: Mac OS X Server 10.6.8, OS X Lion Server v10.7 a v10.7.5

    Impacto: un atacante remoto podría redirigir mensajes federados de Jabber

    Descripción: existía un problema en la gestión del servidor Jabber de mensajes de resultados de marcado. Un atacante podría provocar que el servidor Jabber revelara información destinada a usuarios de servidores federados. Este problema se ha solucionado mejorando la gestión de los mensajes de resultados de marcado.

    ID CVE

    CVE-2012-3525

  • PDFKit

    Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5, OS X Mountain Lion v10.8 a v10.8.2

    Impacto: visualizar un archivo PDF creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: existía un problema de uso después de liberación en la gestión de anotaciones con tinta en archivos PDF. Este problema se ha solucionado mejorando la gestión de memoria.

    ID CVE

    CVE-2013-0971: Tobias Klein, colaborador de la HP TippingPoint's Zero Day Initiative

  • Podcast Producer Server

    Disponible para: Mac OS X Server 10.6.8, OS X Lion Server v10.7 a v10.7.5

    Impacto: un atacante remoto podría provocar la ejecución de código arbitrario

    Descripción: existía un problema de “type casting” en la gestión de parámetros XML por parte de Ruby on Rails. Este problema se ha solucionado deshabilitando los parámetros XML en la implementación de Rails utilizada por Podcast Producer Server.

    ID CVE

    CVE-2013-0156

  • Podcast Producer Server

    Disponible para: OS X Lion Server v10.7 a v10.7.5

    Impacto: un atacante remoto podría provocar la ejecución de código arbitrario

    Descripción: existía un problema de “type casting” en la gestión de datos JSON por parte de Ruby on Rails. Este problema se ha solucionado pasando a utilizar el sistema de base JSONGem para el procesamiento de JSON en la implementación de Rails utilizada por Podcast Producer Server.

    ID CVE

    CVE-2013-0333

  • PostgreSQL

    Disponible para: Mac OS X Server 10.6.8, OS X Lion Server v10.7 a v10.7.5

    Impacto: varias vulnerabilidades en PostgreSQL

    Descripción: PostgreSQL se actualizó a la versión 9.1.5 para solucionar múltiples vulnerabilidades, la más grave de las cuales podría permitir a los usuarios de bases de datos leer archivos del sistema de archivos con los privilegios del rol de la cuenta del servidor de la base de datos. Hay más información disponible en el sitio web de PostgreSQL en http://www.postgresql.org/docs/9.1/static/release-9-1-5.html

    ID CVE

    CVE-2012-3488

    CVE-2012-3489

  • Gestor de Perfiles

    Disponible para: OS X Lion Server v10.7 a v10.7.5

    Impacto: un atacante remoto podría provocar la ejecución de código arbitrario

    Descripción: existía un problema de “type casting” en la gestión de parámetros XML por parte de Ruby on Rails. Este problema se ha solucionado deshabilitando parámetros XML en la implementación de Rails utilizada por Gestor de Perfiles.

    ID CVE

    CVE-2013-0156

  • QuickTime

    Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5, OS X Mountain Lion v10.8 a v10.8.2

    Impacto: visualizar un archivo de película creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: existía un desbordamiento del búfer en la gestión de cuadros “rnet” de los archivos MP4. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2012-3756: Kevin Szkudlapski de QuarksLab

  • Ruby

    Disponible para: Mac OS X Server 10.6.8

    Impacto: un atacante remoto podría ser capaz de provocar la ejecución de código arbitrario si se estaba ejecutando una aplicación Rails

    Descripción: existía un problema de “type casting” en la gestión de parámetros XML por parte de Ruby on Rails. Este problema se ha solucionado deshabilitando YAML y lo símbolos en parámetros XML en Rails.

    ID CVE

    CVE-2013-0156

  • Seguridad

    Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5, OS X Mountain Lion v10.8 a v10.8.2

    Impacto: un atacante con una posición de red privilegiada podría interceptar credenciales de usuario u otra información confidencial

    Descripción: TURKTRUST emitió incorrectamente varios certificados CA intermedios. Esto podría permitir que un atacante “man in-the-middle” (intermediario) redirigiese las conexiones e interceptase las credenciales de usuario u otra información confidencial. Este problema se ha solucionado no permitiendo los certificados SSL incorrectos.

  • Actualización de Software

    Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5

    Impacto: un atacante con una posición de red privilegiada podría ser capaz de provocar la ejecución de código arbitrario

    Descripción: Actualización de Software permitía a un atacante “man in-the-middle” (intermediario) insertar contenido de plug-ins en el texto de marketing mostrado para las actualizaciones. Esto podría permitir aprovecharse de un plug-in vulnerable o facilitar ataques de ingeniería social utilizando plug-ins. Este problema no afecta a los equipos con OS X Mountain Lion. Este problema se ha solucionado impidiendo que se carguen plug-ins en el texto de marketing WebView de Actualización de Software.

    ID CVE

    CVE-2013-0973: Emilio Escobar

  • Wiki Server

    Disponible para: OS X Lion Server v10.7 a v10.7.5

    Impacto: un atacante remoto podría provocar la ejecución de código arbitrario

    Descripción: existía un problema de “type casting” en la gestión de parámetros XML por parte de Ruby on Rails. Este problema se ha solucionado deshabilitando parámetros XML en la implementación de Rails utilizada por Wiki Server.

    ID CVE

    CVE-2013-0156

  • Wiki Server

    Disponible para: OS X Lion Server v10.7 a v10.7.5

    Impacto: un atacante remoto podría provocar la ejecución de código arbitrario

    Descripción: existía un problema de “type casting” en la gestión de datos JSON por parte de Ruby on Rails. Este problema se ha solucionado pasando a utilizar el sistema de base JSONGem para el procesamiento de JSON en la implementación de Rails utilizada por Wiki Server.

    ID CVE

    CVE-2013-0333

  • Eliminación de software malicioso

    Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5, OS X Mountain Lion v10.8 a v10.8.2

    Descripción: esta actualización ejecuta una herramienta de eliminación de software malicioso que eliminará las variantes más comunes de software malicioso. Si se encuentra software malicioso, aparecerá un cuadro de diálogo informando al usuario de que ese software se ha eliminado. Si no se encuentra ningún software malicioso, el usuario no recibirá ningún aviso.

 

FaceTime no está disponible en todos los países o regiones.

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se proporciona sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, rendimiento o uso de sitios web o productos de terceros. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Ponte en contacto con el proveedor para obtener información adicional. Otros nombres de empresas o productos pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: