Acerca del contenido de seguridad de OS X Mavericks v10.9.4 y de la Actualización de seguridad 2014-003

En este documento se describe el contenido de seguridad de OS X Mavericks v10.9.4 y de la Actualización de seguridad 2014-003.

Esta actualización se puede descargar e instalar mediante Actualización de Software o desde el sitio web de Soporte técnico de Apple.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos de Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.

Siempre que sea posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta las Actualizaciones de seguridad de Apple.

Nota: OS X Mavericks v10.9.4 incluye el contenido de seguridad de Safari 7.0.5.

OS X Mavericks v10.9.4 y Actualización de seguridad 2014-003

  • Política de confianza en certificados

    Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.3

    Impacto: Actualización de la política de confianza en certificados

    Descripción: La política de confianza en certificados se ha actualizado. Se puede ver la lista completa de certificados en http://support.apple.com/kb/HT6005?viewlocale=es_ES.

  • copyfile

    Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.3

    Impacto: Abrir un archivo zip creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de intercambio de bytes fuera de límites en la gestión de archivos AppleDouble en archivos zip. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1370: Chaitanya (SegFault) en conjunción con iDefense VCP

  • curl

    Disponible para: OS X Mavericks v10.9 a v10.9.3

    Impacto: Un atacante remoto podría obtener acceso a la sesión de otro usuario

    Descripción: cURL reutilizaba conexiones NTLM reutilizadas cuando se activaba más de un método de autenticación, lo que permitía a un atacante obtener acceso a la sesión de otro usuario.

    ID CVE

    CVE-2014-0015

  • Dock

    Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.3

    Impacto: Una aplicación en la zona protegida podría eludir las restricciones de la zona protegida

    Descripción: Existía un problema de índice de matriz no validado en la gestión de mensajes de aplicaciones por parte del Dock. Un mensaje creado con fines malintencionados podría provocar una falta de referencia a un puntero de función no válido, lo que podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    ID CVE

    CVE-2014-1371: Un investigador anónimo trabajando con la Zero Day Initiative de HP

  • Driver de gráficos

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.3

    Impacto: Un usuario local podría leer la memoria del kernel, que puede usarse para eludir la aleatorización del espacio de direcciones del kernel

    Descripción: Existía un problema de lectura fuera de límites en la gestión de una llamada del sistema. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1372: Ian Beer de Google Project Zero

  • iBooks Commerce

    Disponible para: OS X Mavericks v10.9 a v10.9.3

    Impacto: Un atacante con acceso a un equipo podría hacerse con las credenciales de ID de Apple

    Descripción: Existía un problema de gestión de los registros de iBooks. El proceso iBooks podía registrar credenciales de ID de Apple en el registro de iBooks donde otros usuarios del equipo podían leerlas. Este problema se ha solucionado desactivando el registro de credenciales.

    ID CVE

    CVE-2014-1317: Steve Dunham

  • Driver de gráficos Intel

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.3

    Impacto: Una aplicación malintencionada podría ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un problema de validación en la gestión de una llamada de la API OpenGL. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1373: Ian Beer de Google Project Zero

  • Driver de gráficos Intel

    Disponible para: OS X Mavericks v10.9 a v10.9.3

    Impacto: Un usuario local podría leer un puntero del kernel, que podría usarse para eludir la aleatorización del espacio de direcciones del kernel

    Descripción: Un puntero del kernel almacenado en un objeto IOKit podría recuperarse de userland. Este problema se ha solucionado eliminando el puntero del objeto.

    ID CVE

    CVE-2014-1375

  • Intel Compute

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.3

    Impacto: Una aplicación malintencionada podría ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un problema de validación en la gestión de una llamada de la API OpenCL. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1376: Ian Beer de Google Project Zero

  • IOAcceleratorFamily

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.3

    Impacto: Una aplicación malintencionada podría ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un problema de indexación de matrices en IOAcceleratorFamily. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1377: Ian Beer de Google Project Zero

  • IOGraphicsFamily

    Disponible para: OS X Mavericks v10.9 a v10.9.3

    Impacto: Un usuario local podría leer un puntero del kernel que podría usarse para eludir la aleatorización del espacio de direcciones del kernel

    Descripción: Un puntero del kernel almacenado en un objeto IOKit podría recuperarse de userland. Este problema se solucionaba usando un ID único en lugar de un puntero.

    ID CVE

    CVE-2014-1378

  • IOReporting

    Disponible para: OS X Mavericks v10.9 a v10.9.3

    Impacto: Un usuario local podría provocar que el equipo se reinicie de forma inesperada

    Descripción: Existía un problema de falta de referencia de puntero nulo en la gestión de argumentos de la API IOKit. Este problema se ha solucionado mediante la validación de los argumentos de la API IOKit.

    ID CVE

    CVE-2014-1355: cunzhang de Adlab de Venustech

  • launchd

    Disponible para: OS X Mavericks v10.9 a v10.9.3

    Impacto: Una aplicación malintencionada podría ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un problema de subdesbordamiento de enteros en launchd. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1359: Ian Beer de Google Project Zero

  • launchd

    Disponible para: OS X Mavericks v10.9 a v10.9.3

    Impacto: Una aplicación malintencionada podría ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un problema de desbordamiento del búfer de pila en la gestión de mensajes IPC por parte de launchd. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1356: Ian Beer de Google Project Zero

  • launchd

    Disponible para: OS X Mavericks v10.9 a v10.9.3

    Impacto: Una aplicación malintencionada podría ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un problema de desbordamiento del búfer de pila en la gestión de mensajes de registro por parte de launchd. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1357: Ian Beer de Google Project Zero

  • launchd

    Disponible para: OS X Mavericks v10.9 a v10.9.3

    Impacto: Una aplicación malintencionada podría ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un problema de desbordamiento de enteros en launchd. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1358: Ian Beer de Google Project Zero

  • Drivers de gráficos

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.3

    Impacto: Una aplicación malintencionada podría ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: Existían múltiples problemas de falta de referencia nula en los drivers de gráficos del kernel. Un archivo ejecutable de 32 bits creado con fines malintencionados podría ser capaz de obtener privilegios elevados.

    ID CVE

    CVE-2014-1379: Ian Beer de Google Project Zero

  • Seguridad: Llavero

    Disponible para: OS X Mavericks v10.9 a v10.9.3

    Impacto: Un atacante podría ser capaz de escribir en las ventanas que están bajo el bloqueo de pantalla

    Descripción: En circunstancias muy poco habituales, el bloqueo de pantalla no impedía las pulsaciones de teclas. Esto podía permitir que un atacante escribiera en las ventanas bajo el bloqueo de pantalla. Este problema se ha solucionado mejorando la gestión del supervisor de pulsación de teclas.

    ID CVE

    CVE-2014-1380: Ben Langfeld de Mojo Lingo LLC

  • Seguridad: Secure Transport

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.3

    Impacto: Dos bytes de memoria podrían revelarse a un atacante remoto

    Descripción: Existía un problema de acceso a la memoria no inicializada en la gestión de mensajes DTLS en una conexión TLS. Este problema se ha solucionado aceptando únicamente mensajes DTLS en una conexión DTLS.

    ID CVE

    CVE-2014-1361: Thijs Alkemade de The Adium Project

  • Thunderbolt

    Disponible para: OS X Mavericks v10.9 a v10.9.3

    Impacto: Una aplicación malintencionada podría ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un problema de acceso a la memoria fuera de los límites en la gestión de las llamadas de la API IOThunderBoltController. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1381: Catherine, alias "winocm"

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se proporciona sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, rendimiento o uso de sitios web o productos de terceros. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Ponte en contacto con el proveedor para obtener información adicional. Otros nombres de empresas o productos pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: