Acerca del contenido de seguridad de OS X Mountain Lion v10.8.5 y de la Actualización de seguridad 2013-004

Este documento describe el contenido de seguridad de OS X Mountain Lion v10.8.5 y de la Actualización de seguridad 2013-004.

Ambas actualizaciones pueden descargarse e instalarse mediante las preferencias de Actualización de Software o bien desde Descargas del soporte técnico de Apple.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos de Apple, consulta "Cómo utilizar la clave PGP de seguridad de los productos de Apple".

Siempre que sea posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple". 

OS X Mountain Lion v10.8.5 y Actualización de seguridad 2013-004

  • Apache

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

    Impacto: Varias vulnerabilidades en Apache

    Descripción: Existían varias vulnerabilidades en Apache; la más importante podría permitir un ataque basado en la vulnerabilidad de secuencias de comandos en sitios cruzados. Estos problemas se han solucionado actualizando Apache a la versión 2.2.24.

    ID CVE

    CVE-2012-0883

    CVE-2012-2687

    CVE-2012-3499

    CVE-2012-4558

  • Bind

    Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

    Impacto: Varias vulnerabilidades en BIND

    Descripción: Existían varias vulnerabilidades en BIND; la más importante podría provocar una denegación del servicio. Estos problemas se han solucionado actualizando BIND a la versión 9.8.5-P1. CVE-2012-5688 no afectó a los equipos Mac OS X v10.7.

    ID CVE

    CVE-2012-3817

    CVE-2012-4244

    CVE-2012-5166

    CVE-2012-5688

    CVE-2013-2266

  • Política de confianza en certificados

    Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

    Impacto: Los certificados raíz se han actualizado

    Descripción: Se han añadido o eliminado varios certificados a la lista de certificados raíz del sistema. La lista completa de certificados raíz reconocidos puede verse mediante la aplicación Acceso a Llaveros.

  • ClamAV

    Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5

    Impacto: Varias vulnerabilidades en ClamAV

    Descripción: Existían varias vulnerabilidades en ClamAV; la más grave podría provocar la ejecución de código arbitrario. Esta actualización soluciona los problemas actualizando ClamAV a la versión 0.97.8.

    ID CVE

    CVE-2013-2020

    CVE-2013-2021

  • CoreGraphics

    Disponible para: OS X Mountain Lion v10.8 a v10.8.4

    Impacto: Visualizar un archivo PDF creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de desbordamiento de búfer en la gestión de datos con codificación JBIG2 en archivos PDF. Este problema se ha solucionado mediante comprobaciones de límites adicionales.

    ID CVE

    CVE-2013-1025: Felix Groebert, del Google Security Team

  • ImageIO

    Disponible para: OS X Mountain Lion v10.8 a v10.8.4

    Impacto: Visualizar un archivo PDF creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de desbordamiento de búfer en la gestión de datos con codificación JPEG2000 en archivos PDF. Este problema se ha solucionado mediante comprobaciones de límites adicionales.

    ID CVE

    CVE-2013-1026: Felix Groebert, del Google Security Team

  • Installer

    Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

    Impacto: Los paquetes podrían abrirse tras la revocación de un certificado

    Descripción: Cuando Installer se encontraba con un certificado revocado, mostraba un cuadro de diálogo con la opción de continuar. Este problema se ha solucionado eliminando el cuadro de diálogo y rechazando todo paquete revocado.

    ID CVE

    CVE-2013-1027

  • IPSec

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

    Impacto: Un atacante podría interceptar datos protegidos mediante IPSec Hybrid Auth

    Descripción: El nombre DNS de un servidor IPSec Hybrid Auth no se comparaba con el certificado, permitiendo que un atacante con un certificado de cualquier servidor pudiera hacerlo pasar por cualquier otro. Este problema se ha solucionado comprobando debidamente el certificado.

    ID CVE

    CVE-2013-1028: Alexander Traud, de www.traud.de

  • Kernel

    Disponible para: OS X Mountain Lion v10.8 a v10.8.4

    Impacto: Un usuario de red local podría provocar una denegación de servicio

    Descripción: Una comprobación incorrecta en el código de análisis de paquetes IGMP en el kernel permitía que un usuario capaz de enviar paquetes IGMP al sistema provocase un fallo de kernel. Este problema se ha solucionado eliminando la comprobación.

    ID CVE

    CVE-2013-1029: Christopher Bohn, de PROTECTSTAR INC.

  • Gestión de dispositivos móviles

    Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

    Impacto: Las contraseñas podrían divulgarse a otros usuarios locales

    Descripción: Una contraseña se pasaba desde la línea de comandos a mdmclient, haciéndola visible para otros usuarios en el mismo equipo. Este problema se ha solucionado comunicando la contraseña a través de un canal.

    ID CVE

    CVE-2013-1030: Per Olofsson, de la Universidad de Gotemburgo

  • OpenSSL

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

    Impacto: Varias vulnerabilidades en OpenSSL

    Descripción: Existían varias vulnerabilidades en OpenSSL; la más grave podría provocar la divulgación de datos de los usuarios. Estos problemas se han solucionado actualizando OpenSSL a la versión 0.9.8y.

    ID CVE

    CVE-2012-2686

    CVE-2013-0166

    CVE-2013-0169

  • PHP

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

    Impacto: Varias vulnerabilidades en PHP

    Descripción: Existían varias vulnerabilidades en PHP; la más grave podría provocar la ejecución de código arbitrario. Estos problemas se han solucionado actualizando PHP a la versión 5.3.26.

    ID CVE

    CVE-2013-1635

    CVE-2013-1643

    CVE-2013-1824

    CVE-2013-2110

  • PostgreSQL

    Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

    Impacto: Varias vulnerabilidades en PostgreSQL

    Descripción: Existían varias vulnerabilidades en PostgreSQL; la más grave podría provocar corrupción de datos o elevación de privilegios. CVE-2013-1901 no afecta a los sistemas OS X Lion. Esta actualización soluciona los problemas actualizando PostgreSQL a la versión 9.1.9 en sistemas OS X Mountain Lion y a la versión 9.0.4 en sistemas OS X Lion.

    ID CVE

    CVE-2013-1899

    CVE-2013-1900

    CVE-2013-1901

  • Gestión de la alimentación

    Disponible para: OS X Mountain Lion v10.8 a v10.8.4

    Impacto: El salvapantallas podría no iniciarse tras el periodo de tiempo especificado

    Descripción: Existía un problema de bloqueo de aserción de alimentación. Este problema se ha solucionado mejorando la gestión de bloqueos.

    ID CVE

    CVE-2013-1031

  • QuickTime

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

    Impacto: Visualizar un archivo de película creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de corrupción de memoria en la gestión de átomos "idsc" en los archivos de película QuickTime. Este problema se ha solucionado mediante comprobaciones de límites adicionales.

    ID CVE

    CVE-2013-1032: Jason Kratzer, colaborador de iDefense VCP

  • Bloqueo de pantalla

    Disponible para: OS X Mountain Lion v10.8 a v10.8.4

    Impacto: Un usuario con acceso a compartir pantalla podría ser capaz de eludir el bloqueo de pantalla cuando otro usuario había iniciado sesión

    Descripción: Existía un problema de administración de sesiones en la gestión de sesiones de compartir pantalla por parte del bloqueo de pantalla. Este problema se ha solucionado mediante el seguimiento mejorado de las sesiones.

    ID CVE

    CVE-2013-1033: Jeff Grisso, de Atos IT Solutions, Sébastien Stormacq

  • sudo

    Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

    Impacto: Un atacante con control de una cuenta de usuario administrador podría ser capaz de conseguir privilegios "root" sin conocer la contraseña del usuario

    Descripción: Ajustando el reloj del sistema, un atacante podría utilizar sudo para obtener privilegios "root" en equipos en los que sudo se hubiera utilizando antes. En OS X, solo los usuarios administradores pueden modificar el reloj del sistema. Este problema se ha solucionado comprobando si existe una marca temporal no válida.

    ID CVE

    CVE-2013-1775

 

  • Nota: OS X Mountain Lion v10.8.5 también soluciona un problema por el cual determinadas cadenas Unicode podían provocar el cierre inesperado de aplicaciones.

 

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se proporciona sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, rendimiento o uso de sitios web o productos de terceros. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Ponte en contacto con el proveedor para obtener información adicional. Otros nombres de empresas o productos pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: