Acerca del contenido de seguridad de OS X Yosemite v10.10.2 y de la Actualización de seguridad 2015-001

En este documento se describe el contenido de seguridad de OS X Yosemite v10.10.2 y de la Actualización de seguridad 2015-001

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos de Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.

Siempre que sea posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta las Actualizaciones de seguridad de Apple.

OS X Yosemite v10.10.2 y Actualización de seguridad 2015-001

  • Servidor AFP

    Disponible para: OS X Mavericks v10.9.5

    Impacto: Un atacante remoto podría ser capaz de determinar todas las direcciones de red del sistema

    Descripción: El servidor de archivos AFP permitía el uso de un comando que devolvía todas las direcciones de red del sistema. Este problema se ha solucionado eliminando las direcciones del resultado.

    ID CVE

    CVE-2014-4426: Craig Young de Tripwire VERT

  • bash

    Disponible para: OS X Yosemite v10.10 y v10.10.1

    Impacto: Varias vulnerabilidades en bash, incluyendo una que podría permitir a los atacantes locales la ejecución de código arbitrario

    Descripción: Existían varias vulnerabilidades en bash. Estos problemas se han solucionado actualizando bash al nivel de corrección 57.

    ID CVE

    CVE-2014-6277

    CVE-2014-7186

    CVE-2014-7187

  • Bluetooth

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

    Impacto: Una aplicación malintencionada puede ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un error de signo numérico de enteros en IOBluetoothFamily que permitía la manipulación de la memoria de kernel. Este problema se ha solucionado mejorando la comprobación de los límites. Este problema no afecta a los sistemas OS X Yosemite.

    ID CVE

    CVE-2014-4497

  • Bluetooth

    Disponible para: OS X Yosemite v10.10 y v10.10.1

    Impacto: Una aplicación malintencionada puede ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un error en el controlador de Bluetooth que permitía a una aplicación malintencionada controlar el tamaño de escritura en la memoria de kernel. Este problema se ha solucionado mediante la validación de entradas adicionales.

    ID CVE

    CVE-2014-8836: Ian Beer de Google Project Zero

  • Bluetooth

    Disponible para: OS X Yosemite v10.10 y v10.10.1

    Impacto: Una aplicación malintencionada puede ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: Existían varios problemas de seguridad en el controlador de Bluetooth que permitían a una aplicación malintencionada ejecutar código arbitrario con privilegios de sistema. Los problemas se han solucionado mediante la validación de entradas adicionales.

    ID CVE

    CVE-2014-8837: Roberto Paleari y Aristide Fattori de Emaze Networks

  • CFNetwork Cache

    Disponible para: OS X Yosemite v10.10 y v10.10.1

    Impacto: La caché de sitios web podría no limpiarse por completo después de abandonar la navegación privada

    Descripción: Existía un problema de privacidad debido al cual los datos de navegación podían permanecer en la caché después de abandonar la navegación privada. Este problema se ha solucionado mediante una modificación en el comportamiento de la caché.

    ID CVE

    CVE-2014-4460

  • CoreGraphics

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 y v10.10.1

    Impacto: Abrir un archivo PDF creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de desbordamiento de enteros en la gestión de archivos PDF. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-4481: Felipe Andrés Manzano de Binamuse VRT, a través del programa iSIGHT Partners GVP

  • CPU Software

    Disponible para: OS X Yosemite v10.10 y v10.10.1, para: MacBook Pro Retina, MacBook Air (mediados de 2013 y posterior), iMac (finales de 2013 y posterior) y Mac Pro (finales de 2013)

    Impacto: Un dispositivo Thunderbolt malintencionado podría ser capaz de afectar a la memoria flash del firmware

    Descripción: Los dispositivos Thunderbolt podrían modificar el firmware del host si se conectan durante una actualización de EFI. Este problema se ha solucionado no cargando las memorias ROM opcionales durante las actualizaciones.

    ID CVE

    CVE-2014-4498: Trammell Hudson de Two Sigma Investments

  • CommerceKit Framework

    Disponible para: OS X Yosemite v10.10 y v10.10.1

    Impacto: Un atacante con acceso a un equipo podría hacerse con las credenciales de ID de Apple

    Descripción: Existía un problema en la gestión de registros de la tienda App Store. El proceso de la tienda App Store podría registrar credenciales de ID de Apple en el registro si se habilitaba el registro adicional. Este problema se ha solucionado desactivando el registro de credenciales.

    ID CVE

    CVE-2014-4499: Sten Petersen

  • CoreGraphics

    Disponible para: OS X Yosemite v10.10 y v10.10.1

    Impacto: Algunas aplicaciones de terceros con eventos de ratón y de entrada de texto no seguros podrían registrar estos eventos

    Descripción: Debido a la combinación de una variable no inicializada y a un asignador personalizado de aplicación, se podrían registrar eventos de ratón y de entrada de texto no seguros. Este problema se ha solucionado asegurándose de que el registro está desactivado de forma predeterminada. Este problema no afectaba a los sistemas anteriores a OS X Yosemite.

    ID CVE

    CVE-2014-1595: Steven Michaud de Mozilla en colaboración con Kent Howard

  • CoreGraphics

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

    Impacto: Abrir un archivo PDF creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de corrupción de memoria en la gestión de archivos PDF. Este problema se ha solucionado mejorando la comprobación de los límites. Este problema no afecta a los sistemas OS X Yosemite.

    ID CVE

    CVE-2014-8816: Mike Myers de Digital Operatives LLC

  • CoreSymbolication

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 y v10.10.1

    Impacto: Una aplicación malintencionada puede ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: Existían varios problemas de confusión de tipo en la gestión de mensajes XPC de CoreSymbolication. Estos problemas se han solucionado mejorando la comprobación de los tipos.

    ID CVE

    CVE-2014-8817: Ian Beer de Google Project Zero

  • FontParser

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 y v10.10.1

    Impacto: Procesar un archivo .dfont creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de corrupción de memoria en la gestión de archivos .dfont. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-4484: Gaurav Baruah en colaboración con la Zero Day Initiative de HP

  • FontParser

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 y v10.10.1

    Impacto: Abrir un archivo PDF creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de desbordamiento de búfer en la gestión de archivos de tipo de letra. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-4483: Apple

  • Foundation

    Disponible para: OS X Mavericks v10.9.5 y OS X Yosemite v10.10 y v10.10.1

    Impacto: Visualizar un archivo XML creado con fines malintencionados podría provocar la finalización inesperada de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de desbordamiento del búfer en el analizador de XML. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-4485: Apple

  • Driver de gráficos Intel

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 y v10.10.1

    Impacto: Varias vulnerabilidades en el driver de gráficos Intel

    Descripción: Existían varias vulnerabilidades en el driver de gráficos Intel, la más grave de las cuales podría provocar la ejecución de código arbitrario con privilegios de sistema. En esta actualización se solucionan los problemas mediante comprobaciones de los límites adicionales.

    ID CVE

    CVE-2014-8819: Ian Beer de Google Project Zero

    CVE-2014-8820: Ian Beer de Google Project Zero

    CVE-2014-8821: Ian Beer de Google Project Zero

  • IOAcceleratorFamily

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 y v10.10.1

    Impacto: Una aplicación malintencionada puede ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía una falta de referencia a un puntero en la gestión que hacía IOAcceleratorFamily de determinados tipos de clientes de usuario de IOService. Este problema se ha solucionado mediante la mejora de la validación de contextos de IOAcceleratorFamily.

    ID CVE

    CVE-2014-4486: Ian Beer de Google Project Zero

  • IOHIDFamily

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 y v10.10.1

    Impacto: Una aplicación malintencionada puede ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un desbordamiento del búfer en IOHIDFamily. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-4487: TaiG Jailbreak Team

  • IOHIDFamily

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 y v10.10.1

    Impacto: Una aplicación malintencionada puede ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un problema de validación en la gestión de metadatos de la cola de recursos de IOHIDFamily. Este problema se ha solucionado mejorando la validación de los metadatos.

    ID CVE

    CVE-2014-4488: Apple

  • IOHIDFamily

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 y v10.10.1

    Impacto: Una aplicación malintencionada puede ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un problema de falta de referencia a un puntero en la gestión de las colas de eventos de IOHIDFamily. Este problema se ha solucionado mediante la mejora de la validación de la inicialización de colas de eventos en IOHIDFamily.

    ID CVE

    CVE-2014-4489: @beist

  • IOHIDFamily

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 y v10.10.1

    Impacto: Ejecutar una aplicación creada con fines malintencionados podría provocar la ejecución de código arbitrario en el kernel

    Descripción: Existía un problema de comprobación de límites en un cliente de usuario proporcionados por el controlador de IOHIDFamily que permitía que una aplicación malintencionada sobrescribiese partes arbitrarias del espacio de direcciones de kernel. Este problema se ha solucionado eliminando el método vulnerable de cliente de usuario.

    ID CVE

    CVE-2014-8822: Vitaliy Toropov en colaboración con la Zero Day Initiative de HP

  • IOKit

    Disponible para: OS X Yosemite v10.10 y v10.10.1

    Impacto: Una aplicación malintencionada puede ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un problema de desbordamiento de enteros en la gestión de funciones IOKit. Este problema se ha solucionado mejorando la validación de los argumentos de la API IOKit.

    ID CVE

    CVE-2014-4389: Ian Beer de Google Project Zero

  • IOUSBFamily

    Disponible para: OS X Yosemite v10.10 y v10.10.1

    Impacto: Una aplicación con privilegios podría ser capaz de leer datos arbitrarios de la memoria kernel

    Descripción: Existía un problema de acceso a la memoria en la gestión de las funciones del cliente de usuario del controlador de IOUSB. Este problema se ha solucionado mejorando la validación de los argumentos.

    ID CVE

    CVE-2014-8823: Ian Beer de Google Project Zero

  • Kerberos

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 y v10.10.1

    Impacto: Una aplicación malintencionada puede ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: La librería libgssapi de Kerberos devolvía un token de contexto con un puntero huérfano. Este problema se ha solucionado mejorando la administración de estado.

    ID CVE

    CVE-2014-5352

  • Kernel

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 y v10.10.1

    Impacto: Una aplicación malintencionada puede ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: Al especificar un modo de caché personalizado se permitía la escritura de segmentos de memoria compartida de solo lectura de kernel. Este problema se ha solucionado no concediendo permisos de escritura como efecto añadido a algunos modos de caché personalizados.

    ID CVE

    CVE-2014-4495: Ian Beer de Google Project Zero

  • Kernel

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 y v10.10.1

    Impacto: Una aplicación malintencionada puede ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un problema de validación en la gestión de determinados campos de metadatos de objetos IODataQueue. Este problema se ha solucionado mejorando la validación de los metadatos.

    ID CVE

    CVE-2014-8824: @PanguTeam

  • Kernel

    Disponible para: OS X Yosemite v10.10 y v10.10.1

    Impacto: Un atacante local puede suplantar las respuestas del servicio del directorio al kernel, mejorar privilegios u obtener ejecución del kernel

    Descripción: Existían problemas en la validación de identifysvc del proceso de resolución del servicio de directorio, la gestión de avisos y la gestión de errores. Este problema se ha solucionado mejorando la validación.

    ID CVE

    CVE-2014-8825: Alex Radocea de CrowdStrike

  • Kernel

    Disponible para: OS X Yosemite v10.10 y v10.10.1

    Impacto: Un usuario local podría ser capaz de determinar el diseño de memoria de kernel

    Descripción: Existían varios problemas de memoria no inicializada en la interfaz de estadísticas de red que provocaban la divulgación de contenido de la memoria del kernel. Este problema se ha solucionado mediante la inicialización adicional de la memoria.

    ID CVE

    CVE-2014-4371: Fermín J. Serna del Google Security Team

    CVE-2014-4419: Fermín J. Serna del Google Security Team

    CVE-2014-4420: Fermín J. Serna del Google Security Team

    CVE-2014-4421: Fermín J. Serna del Google Security Team

  • Kernel

    Disponible para: OS X Mavericks v10.9.5

    Impacto: Una persona con una posición de red privilegiada podría provocar una denegación de servicio

    Descripción: Existía un problema de condición de carrera en la gestión de paquetes IPv6. Este problema se ha solucionado mejorando la comprobación del estado de bloqueo.

    ID CVE

    CVE-2011-2391

  • Kernel

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 y v10.10.1

    Impacto: Ciertas aplicaciones creadas con fines malintencionados o en riesgo pueden ser capaces de determinar direcciones en el kernel

    Descripción: Existía un problema de divulgación de información en la gestión de API relacionadas con las extensiones de kernel. Las respuestas que contenían una clave OSBundleMachOHeaders podían haber incluido direcciones de kernel, las cuales podían ayudar a ignorar la protección ASLR (Address space layout randomization, aleatorización del espacio de direcciones). Este problema se ha solucionado desligando las direcciones antes de devolverlas.

    ID CVE

    CVE-2014-4491: @PanguTeam, Stefan Esser

  • Kernel

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 y v10.10.1

    Impacto: Una aplicación malintencionada puede ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un problema de validación en la gestión de determinados campos de metadatos en objetos IOSharedDataQueue. Este problema se ha solucionado mediante la reubicación de los metadatos.

    ID CVE

    CVE-2014-4461: @PanguTeam

  • LaunchServices

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 y v10.10.1

    Impacto: Un archivo JAR malintencionado podría anular las comprobaciones de Gatekeeper

    Descripción: Existía un problema en la gestión de inicios de aplicaciones que permitía que determinados archivos JAR malintencionados anulasen las comprobaciones de Gatekeeper. Este problema se ha solucionado mejorando la gestión de los metadatos de tipos de archivos.

    ID CVE

    CVE-2014-8826: Hernán Ochoa de Amplia Security

  • libnetcore

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 y v10.10.1

    Impacto: Una aplicación malintencionada de la zona protegida podría comprometer el daemon de networkd

    Descripción: Existían varios problemas de confusión de tipo en la gestión de la comunicación entre procesos de networkd. Enviando a networkd un mensaje con formato malintencionado se podía ejecutar código arbitrario como proceso de networkd. Este problema se ha solucionado mediante comprobaciones de tipo adicionales.

    ID CVE

    CVE-2014-4492: Ian Beer de Google Project Zero

  • LoginWindow

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 y v10.10.1

    Impacto: Un Mac no se podría bloquear inmediatamente después de la activación

    Descripción: Existía un problema con la renderización de la pantalla de bloqueo. Este problema se ha solucionado mediante la mejora de la renderización de la pantalla mientras está bloqueada.

    ID CVE

    CVE-2014-8827: Xavier Bertels de Mono y varios probadores de Seed de OS X

  • lukemftp

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 y v10.10.1

    Impacto: El uso de la herramienta ftp de línea de comando para obtener archivos de un servidor http malintencionado podría provocar la ejecución de código arbitrario

    Descripción: Existía un problema de inyección de comandos en la gestión de redirecciones HTTP. Este problema se ha solucionado mediante la mejora de la validación de caracteres especiales.

    ID CVE

    CVE-2014-8517

  • ntpd

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 y v10.10.1

    Impacto: El uso del daemon ntp con la autenticación criptográfica habilitada podría provocar filtraciones de información

    Descripción: Existían varios problemas de validación de entrada en ntpd. Estos problemas se han solucionado mediante la mejora de la validación de datos.

    ID CVE

    CVE-2014-9297

  • OpenSSL

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 y v10.10.1

    Impacto: Varias vulnerabilidades en OpenSSL 0.9.8za, incluyendo una que podría permitir a un atacante reducir las conexiones para utilizar paquetes de cifrado más débiles en aplicaciones que utilizan la biblioteca

    Descripción: Existían varias vulnerabilidades en OpenSSL 0.9.8za. Estos problemas se han solucionado actualizando OpenSSL a la versión 0.9.8zc.

    ID CVE

    CVE-2014-3566

    CVE-2014-3567

    CVE-2014-3568

  • Zona protegida

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

    Impacto: Un proceso aislado podría ser capaz de eludir las restricciones de la zona protegida

    Descripción: Existía un problema de diseño en la memoria caché de los perfiles aislados que permitía a las aplicaciones de la zona protegida obtener acceso de escritura a la caché. Este problema se ha solucionado restringiendo el acceso de escritura a las rutas que contienen un segmento "com.apple.sandbox". Este problema no afecta a los sistemas OS X Yosemite v10.10 o posteriores.

    ID CVE

    CVE-2014-8828: Apple

  • SceneKit

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario y comprometer información del usuario

    Descripción: Existían varios problemas de escritura fuera de los límites en SceneKit. Estos problemas se han solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-8829: José Duart del Google Security Team

  • SceneKit

    Disponible para: OS X Mavericks v10.9.5 y OS X Yosemite v10.10 y v10.10.1

    Impacto: Visualizar un archivo de Collada creado con fines malintencionados podría provocar la finalización inesperada de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un desbordamiento del búfer de pila en la gestión de archivos de Collada de SceneKit. La visualización de un archivo de Collada creado con fines malintencionados podría haber provocado la finalización inesperada de una aplicación o la ejecución de código arbitrario. Este problema se ha solucionado mediante la mejora de la validación de elementos de acceso.

    ID CVE

    CVE-2014-8830: José Duart del Google Security Team

  • Seguridad

    Disponible para: OS X Mavericks v10.9.5 y OS X Yosemite v10.10 y v10.10.1

    Impacto: Una aplicación descargada y firmada con un certificado de ID de desarrollador revocado podría pasar comprobaciones de Gatekeeper

    Descripción: Existía un problema en la forma en la que se evaluaba la información de certificación de una aplicación en caché. Este problema se ha solucionado con mejoras de la lógica de la caché.

    ID CVE

    CVE-2014-8838: Apple

  • security_taskgate

    Disponible para: OS X Mavericks v10.9.5 y OS X Yosemite v10.10 y v10.10.1

    Impacto: Una aplicación podría acceder a elementos del Llavero que pertenezcan a otras aplicaciones

    Descripción: Existía un problema de control de acceso en el Llavero. Las aplicaciones con autofirma o firmadas con certificados de ID de desarrollador podrían acceder a elementos del Llavero cuyas listas de control de acceso estuviesen basadas en grupos del Llavero. Este problema se ha solucionado validando la identidad de la firma a la hora de obtener acceso a los grupos del Llavero.

    ID CVE

    CVE-2014-8831: Apple

  • Spotlight

    Disponible para: OS X Yosemite v10.10 y v10.10.1

    Impacto: El remitente de un mensaje de correo electrónico podría determinar la dirección IP del destinatario

    Descripción: Spotlight no comprobaba el estado de la configuración de Mail "Cargar contenido remoto en los mensajes". Este problema se ha solucionado mejorando la comprobación de la configuración.

    ID CVE

    CVE-2014-8839: John Whitehead de The New York Times y Frode Moe de LastFriday.no

  • Spotlight

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 y v10.10.1

    Impacto: Spotlight podría guardar información no deseada en una unidad externa de disco duro

    Descripción: Existía un problema en Spotlight por el que el contenido de la memoria se podría escribir en unidades externas de disco duro durante la indexación. Este problema se ha solucionado mediante una mejor administración de la memoria.

    ID CVE

    CVE-2014-8832: F-Secure

  • SpotlightIndex

    Disponible para: OS X Yosemite v10.10 y v10.10.1

    Impacto: Spotlight podría mostrar resultados de archivos que no pertenecen al usuario

    Descripción: Existía un problema de deserialización en la gestión de memorias caché de permisos en Spotlight. Un usuario que realizase una consulta de Spotlight podría ver resultados que hiciesen referencia a archivos para los que no tuviese privilegios de lectura. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-8833: David J Peacock, Asesor de tecnología independiente

  • sysmond

    Disponible para: OS X Mavericks v10.9.5 y OS X Yosemite v10.10 y v10.10.1

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios root

    Descripción: Existía una vulnerabilidad de confusión de tipo en sysmod que permitía escalar privilegios a una aplicación local Este problema se ha solucionado mejorando la comprobación de tipo.

    ID CVE

    CVE-2014-8835: Ian Beer de Google Project Zero

  • UserAccountUpdater

    Disponible para: OS X Yosemite v10.10 y v10.10.1

    Impacto: Los archivos de preferencias de impresión podrían contener información confidencial de documentos PDF

    Descripción: Con OS X Yosemite v10.10 se ha solucionado un problema de la gestión de archivos PDF protegidos por contraseña y creados desde el cuadro de diálogo Imprimir por el que las contraseñas se podrían incluir en los archivos de preferencia de impresión. Esta actualización elimina la información extraña que podría estar presente en los archivos de preferencias de impresión.

    ID CVE

    CVE-2014-8834: Apple

Nota: OS X Yosemite 10.10.2 incluye el contenido de seguridad de Safari 8.0.3.

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se proporciona sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, rendimiento o uso de sitios web o productos de terceros. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Ponte en contacto con el proveedor para obtener información adicional. Otros nombres de empresas o productos pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: