Acerca del contenido de seguridad de OS X Mountain Lion v10.8.5 y la Actualización de seguridad 2013-004

Este documento describe el contenido de seguridad de OS X Mountain Lion v10.8.5 y la Actualización de seguridad 2013-004.

Se pueden descargar e instalar a través de las preferencias de Actualización de software o desde Descargas de Apple.

Con el fin de proteger a nuestros clientes, Apple no revelará, comentará ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos Apple, visita el sitio web Seguridad de los productos Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos Apple.

Siempre que sea posible, se utilizan ID de CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

OS X Mountain Lion v10.8.5 y Actualización de seguridad 2013-004

• Apache

  Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5 y OS X Mountain Lion v10.8 a v10.8.4

  Impacto: varias vulnerabilidades en Apache.

  Descripción: había varias vulnerabilidades en Apache, la más grave de las cuales puede provocar un problema de secuencias de comandos entre sitios. Estos problemas se han solucionado actualizando Apache a la versión 2.2.24.

  CVE-ID

  CVE-2012-0883

  CVE-2012-2687

  CVE-2012-3499

  CVE-2012-4558

• Bind

  Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5 y OS X Mountain Lion v10.8 a v10.8.4

  Impacto: varias vulnerabilidades en BIND.

  Descripción: había varias vulnerabilidades en BIND, la más grave de las cuales puede provocar una denegación de servicio. Estos problemas se han solucionado actualizando BIND a la versión 9.8.5-P1. CVE-2012-5688 no afectaba a los sistemas Mac OS X v10.7.

  CVE-ID

  CVE-2012-3817

  CVE-2012-4244

  CVE-2012-5166

  CVE-2012-5688

  CVE-2013-2266

• Certificate Trust Policy

  Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5 y OS X Mountain Lion v10.8 a v10.8.4

  Impacto: se han actualizado los certificados raíz.

  Descripción: se han añadido o eliminado varios certificados de la lista de raíces del sistema. La lista completa de las raíces del sistema reconocidas puede consultarse a través de la app Acceso a Llaveros.

• ClamAV

  Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5 y OS X Lion Server v10.7.5

  Impacto: múltiples vulnerabilidades en ClamAV.

  Descripción: existen varias vulnerabilidades en ClamAV, la más grave de las cuales puede provocar la ejecución arbitraria de código. Esta actualización soluciona los problemas actualizando ClamAV a la versión 0.97.8.

  CVE-ID

  CVE-2013-2020

  CVE-2013-2021

• CoreGraphics

  Disponible para: OS X Mountain Lion v10.8 a v10.8.4

  Impacto: la visualización de un archivo PDF creado con fines malintencionados puede provocar una terminación inesperada de la app o a la ejecución de código arbitrario.

  Descripción: había un desbordamiento de búfer en la gestión de datos codificados por JBIG2 en archivos PDF. Este problema se ha solucionado mejorando la comprobación adicional de los límites.

  CVE-ID

  CVE-2013-1025: Felix Groebert de Google Security Team

• ImageIO

  Disponible para: OS X Mountain Lion v10.8 a v10.8.4

  Impacto: la visualización de un archivo PDF creado con fines malintencionados puede provocar una terminación inesperada de la app o a la ejecución de código arbitrario.

  Descripción: había un desbordamiento de búfer en la gestión de datos codificados por JPEG2000 en archivos PDF. Este problema se ha solucionado mejorando la comprobación adicional de los límites.

  CVE-ID

  CVE-2013-1026: Felix Groebert de Google Security Team

• Installer

  Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5 y OS X Mountain Lion v10.8 a v10.8.4

  Impacto: los paquetes podrían abrirse tras la revocación del certificado.

  Descripción: cuando el instalador encontraba un certificado revocado, presentaba un cuadro de diálogo con la opción de continuar. El problema se resolvió eliminando el diálogo y rechazando cualquier paquete revocado.

  CVE-ID

  CVE-2013-1027

• IPSec

  Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5 y OS X Mountain Lion v10.8 a v10.8.4

  Impacto: un atacante puede interceptar datos protegidos con IPSec Hybrid Auth.

  Descripción: el nombre DNS de un servidor IPSec Hybrid Auth no se comparaba con el certificado, lo que permitía a un atacante con un certificado para cualquier servidor hacerse pasar por cualquier otro. Este problema se solucionó comprobando adecuadamente el certificado.

  CVE-ID

  CVE-2013-1028: Alexander Traud de www.traud.de

• Kernel

  Disponible para: OS X Mountain Lion v10.8 a v10.8.4

  Impacto: un usuario de la red local puede provocar una denegación de servicio.

  Descripción: una comprobación incorrecta en el código de análisis de paquetes IGMP en el kernel permitía a un usuario que podía enviar paquetes IGMP al sistema provocar un kernel panic. El problema se resolvió eliminando el cheque.

  CVE-ID

  CVE-2013-1029: Christopher Bohn de PROTECTSTAR INC.

• Mobile Device Management

  Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5 y OS X Mountain Lion v10.8 a v10.8.4

  Impacto: las contraseñas pueden ser reveladas a otros usuarios locales.

  Descripción: se pasaba una contraseña en la línea de comandos a mdmclient, lo que la hacía visible para otros usuarios del mismo sistema. El problema se resolvió comunicando la contraseña a través de una tubería.

  CVE-ID

  CVE-2013-1030: Per Olofsson en la Universidad de Gotemburgo

• OpenSSL

  Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5 y OS X Mountain Lion v10.8 a v10.8.4

  Impacto: varias vulnerabilidades en OpenSSL.

  Descripción: había varias vulnerabilidades en OpenSSL, la más grave de las cuales puede provocar la revelación de datos de usuario. Estos problemas se han solucionado actualizando OpenSSL a la versión 0.9.8y.

  CVE-ID

  CVE-2012-2686

  CVE-2013-0166

  CVE-2013-0169

• PHP

  Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

  Impacto: varias vulnerabilidades en PHP.

  Descripción: hay varias vulnerabilidades en PHP, la más grave de las cuales puede provocar la ejecución de código arbitrario. Estos problemas se han solucionado actualizando Apache a la versión 5.3.26.

  CVE-ID

  CVE-2013-1635

  CVE-2013-1643

  CVE-2013-1824

  CVE-2013-2110

• PostgreSQL

  Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5 y OS X Mountain Lion v10.8 a v10.8.4

  Impacto: varias vulnerabilidades en PostgreSQL.

  Descripción: había varias vulnerabilidades en PostgreSQL, la más grave de las cuales puede llevar a la corrupción de datos o a la escalada de privilegios. CVE-2013-1901 no afecta a los sistemas OS X Lion. Esta actualización soluciona los problemas actualizando PostgreSQL a la versión 9.1.9 en sistemas OS X Mountain Lion, y a la 9.0.4 en sistemas OS X Lion.

  CVE-ID

  CVE-2013-1899

  CVE-2013-1900

  CVE-2013-1901

• Power Management

  Disponible para: OS X Mountain Lion v10.8 a v10.8.4

  Impacto: es posible que el salvapantallas no se inicie tras el periodo de tiempo especificado.

  Descripción: había un problema de bloqueo de la afirmación de energía. Este problema se solucionó mejorando la gestión de los bloqueos.

  CVE-ID

  CVE-2013-1031

• QuickTime

  Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5 y OS X Mountain Lion v10.8 a v10.8.4

  Impacto: la visualización de un archivo de película malicioso puede provocar la finalización inesperada de la app o la ejecución de código arbitrario.

  Descripción: había un problema de corrupción de memoria en el manejo de átomos “idsc” en archivos de película QuickTime. Este problema se ha solucionado mejorando la comprobación adicional de los límites.

  CVE-ID

  CVE-2013-1032: Jason Kratzer en colaboración con iDefense VCP

• Screen Lock

  Disponible para: OS X Mountain Lion v10.8 a v10.8.4

  Impacto: un usuario con acceso a pantalla compartida puede saltarse el bloqueo de pantalla cuando otro usuario ha iniciado sesión.

  Descripción: había un problema de gestión de sesiones en la gestión de las sesiones de pantalla compartida por parte del bloqueo de pantalla. Este problema se ha solucionado mediante el seguimiento mejorado de las sesiones.

  CVE-ID

  CVE-2013-1033: Jeff Grisso de Atos IT Solutions, Sébastien Stormacq

• sudo

  Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5 y OS X Mountain Lion v10.8 a v10.8.4

  Impacto: un atacante con control de la cuenta de un usuario admin puede obtener privilegios de root sin conocer la contraseña del usuario.

  Descripción: mediante la configuración del reloj del sistema, un atacante puede ser capaz de utilizar sudo para obtener privilegios de root en sistemas en los que se haya utilizado sudo anteriormente. En OS X, solo los usuarios administradores pueden cambiar el reloj del sistema. Este problema se solucionó comprobando si la marca de tiempo no era válida.

  CVE-ID

  CVE-2013-1775

• Nota: OS X Mountain Lion v10.8.5 también soluciona un problema por el que determinadas cadenas Unicode podían hacer que las apps se cerraran inesperadamente.