Acerca del contenido de seguridad de OS X Mountain Lion v10.8.4 y la Actualización de seguridad 2013-002

Este documento describe el contenido de seguridad de OS X Mountain Lion v10.8.4 y de la Actualización de seguridad 2013-002, que se pueden descargar e instalar mediante las preferencias de Actualización de Software o desde Descargas de soporte técnico de Apple.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos de Apple, consulta "Cómo utilizar la clave PGP de seguridad de los productos de Apple".

Siempre que sea posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".
 

OS X Mountain Lion v10.8.4 y Actualización de seguridad 2013-002

Nota: OS X Mountain Lion v10.8.4 incluye el contenido de Safari 6.0.5. Encontrarás más información en Acerca del contenido de seguridad de Safari 6.0.5.

  • CFNetwork

    Disponible para: OS X Mountain Lion v10.8 a v10.8.3

    Impacto: Un atacante con acceso a la sesión de un usuario podría ser capaz de iniciar sesión en los sitios a los que ha accedido previamente, incluso aunque se haya usado la navegación privada

    Descripción: Las cookies permanentes se guardaron después de cerrar Safari, incluso aunque la navegación privada estuviera activada. Este problema se ha solucionado mejorando la gestión de las cookies.

    ID CVE

    CVE-2013-0982: Alexander Traud de www.traud.de

  • CoreAnimation

    Disponible para: OS X Mountain Lion v10.8 a v10.8.3

    Impacto: Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de asignación de pila ilimitada en la gestión de glifos de textos. Esto podría activarse gracias a las URL maliciosas de Safari. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2013-0983: David Fifield de la universidad de Stanford, Ben Syverson

  • Reproducción CoreMedia

    Disponible para: OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5, OS X Mountain Lion v10.8 a v10.8.3

    Impacto: Visualizar un archivo de película creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de acceso a la memoria no inicializada en la gestión de pistas de texto. Este problema se ha solucionado mediante la validación adicional de las pistas de texto.

    ID CVE

    CVE-2013-1024: Richard Kuo y Billy Suguitan de Triemt Corporation

  • CUPS

    Disponible para: OS X Mountain Lion v10.8 a v10.8.3

    Impacto: Un usuario local del grupo lpadmin podría leer o escribir archivos desconocidos con privilegios del sistema

    Descripción: Existía un problema de elevación de privilegios en la gestión de la configuración de CUPS mediante la interfaz de la web de CUPS. Un usuario local del grupo lpadmin podría leer o escribir archivos ocultos con privilegios del sistema. Este problema se ha solucionado moviendo determinadas directivas de configuración a cups-files.conf, que no se puede modificar desde la interfaz de la web de CUPS.

    ID CVE

    CVE-2012-5519

  • Servicio de directorio

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: Un atacante remoto podría ejecutar código arbitrario con privilegios del sistema en sistemas con Servicio de directorio activado

    Descripción: Existía un problema en la gestión de los mensajes de la red por parte del servidor de directorio. Al enviar un mensaje creado con fines malintencionados, un atacante remoto podría provocar que el servidor de directorio se cerrara o ejecutara código arbitrario con privilegios del sistema. Este problema se ha solucionado mejorando la comprobación de los límites. Este problema no afecta a los sistemas con OS X Lion o OS X Mountain Lion.

    ID CVE

    CVE-2013-0984: Nicolas Economou de Core Security

  • Administración de discos

    Disponible para: OS X Mountain Lion v10.8 a v10.8.3

    Impacto: Un usuario local podría desactivar FileVault

    Descripción: Un usuario local que no es administrador podría desactivar FileVault usando la línea de comandos. Este problema se ha solucionado añadiendo autenticación adicional.

    ID CVE

    CVE-2013-0985

  • OpenSSL

    Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5, OS X Mountain Lion v10.8 a v10.8.3

    Impacto: Un atacante podría ser capaz de descifrar datos protegidos mediante SSL

    Descripción: Se producían ataques conocidos en la confidencialidad de TLS 1.0 cuando se activaba la compresión. Este problema se ha solucionado desactivando la compresión en OpenSSL.

    ID CVE

    CVE-2012-4929: Juliano Rizzo y Thai Duong

  • OpenSSL

    Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5, OS X Mountain Lion v10.8 a v10.8.3

    Impacto: Varias vulnerabilidades en OpenSSL

    Descripción: OpenSSL se ha actualizado a la versión 0.9.8x a fin de solucionar varias vulnerabilidades, que podrían ocasionar la denegación de servicio o la revelación de una clave privada. Más información disponible en el sitio web de OpenSSL http://www.openssl.org/news/.

    ID CVE

    CVE-2011-1945

    CVE-2011-3207

    CVE-2011-3210

    CVE-2011-4108

    CVE-2011-4109

    CVE-2011-4576

    CVE-2011-4577

    CVE-2011-4619

    CVE-2012-0050

    CVE-2012-2110

    CVE-2012-2131

    CVE-2012-2333

  • QuickDraw Manager

    Disponible para: OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5, OS X Mountain Lion v10.8 a v10.8.2

    Impacto: La apertura de una imagen PICT creada con fines malintencionados puede ocasionar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: Existía un exceso de datos en el buffer en la gestión de las imágenes PICT. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2013-0975: Tobias Klein en colaboración con la Zero Day Initiative de HP

  • QuickTime

    Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5, OS X Mountain Lion v10.8 a v10.8.3

    Impacto: Visualizar un archivo de vídeo creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: Existía un desbordamiento del buffer en la gestión de átomos "enof". Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2013-0986: Tom Gallagher (Microsoft) y Paul Bates (Microsoft), en colaboración con la Zero Day Initiative de HP

  • QuickTime

    Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5, OS X Mountain Lion v10.8 a v10.8.3

    Impacto: La visualización de un archivo QTIF creado con fines malintencionados podía provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de corrupción de memoria en la gestión de archivos QTIF. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2013-0987: roob, en colaboración con VCP de iDefense

  • QuickTime

    Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5, OS X Mountain Lion v10.8 a v10.8.3

    Impacto: La visualización de un archivo FPX creado con fines malintencionados podía provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: Existía un desbordamiento del buffer en la gestión de archivos FPX. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2013-0988: G. Geshev, en colaboración con la Zero Day Initiative de HP

  • QuickTime

    Disponible para: OS X Mountain Lion v10.8 a v10.8.3

    Impacto: Reproducir un archivo MP3 creado con fines malintencionados podía provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: Existía un desbordamiento del buffer en la gestión de archivos MP3. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2013-0989: G. Geshev, en colaboración con la Zero Day Initiative de HP

  • Ruby

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: Varias vulnerabilidades en Ruby on Rails

    Descripción: Existían varias vulnerabilidades en Ruby on Rails, la más grave de ellas podría provocar la ejecución de código arbitrario en sistemas que ejecutan aplicaciones con Ruby on Rails. Estos problemas se han solucionado actualizando Ruby on Rails a la versión 2.3.18. Este problema podría afectar a sistemas con OS X Lion o OS X Mountain Lion que se hubieran actualizado desde Mac OS X 10.6.8 o versiones anteriores. Los usuarios pueden actualizar las partes afectadas de dichos sistemas usando la utilidad /usr/bin/gem.

    ID CVE

    CVE-2013-0155

    CVE-2013-0276

    CVE-2013-0277

    CVE-2013-0333

    CVE-2013-1854

    CVE-2013-1855

    CVE-2013-1856

    CVE-2013-1857

  • SMB

    Disponible para: OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5, OS X Mountain Lion v10.8 a v10.8.3

    Impacto: Un usuario autenticado podría escribir archivos fuera del directorio compartido

    Descripción: Si compartir archivos SMB está activado, un usuario autenticado podría ser capaz de escribir archivos fuera del directorio compartido. Este problema se ha solucionado mejorando el control de acceso.

    ID CVE

    CVE-2013-0990: Ward van Wanrooij

  • Nota: Comenzando por OS X v10.8.4, las aplicaciones de Java Web Start (es decir, JNLP) descargadas de Internet tienen que estar firmadas con un certificado de ID de desarrollador. Gatekeeper comprobará si las aplicaciones de Java Web Start descargadas tienen firma y las bloqueará para que no se inicien si no están debidamente firmadas.

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se proporciona sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, rendimiento o uso de sitios web o productos de terceros. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Ponte en contacto con el proveedor para obtener información adicional. Otros nombres de empresas o productos pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: