Acerca del contenido de seguridad de OS X Mavericks v10.9.5 y la Actualización de seguridad 2014-004

Este documento describe el contenido de seguridad de OS X Mavericks v10.9.5 y la Actualización de seguridad 2014-004.

Esta actualización se puede descargar e instalar mediante Actualización de Software o el sitio web del Soporte técnico de Apple.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos de Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.

Siempre que sea posible, se utilizan ID de CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta las Actualizaciones de seguridad de Apple.

Nota: OS X Mavericks v10.9.5 incluye el contenido de seguridad de Safari 7.0.6.

OS X Mavericks v10.9.5 y Actualización de seguridad 2014-004

  • apache_mod_php

    Disponible para: OS X Mavericks v10.9 a v10.9.4

    Impacto: Existían varias vulnerabilidades en PHP 5.4.24

    Descripción: Existían varias vulnerabilidades en PHP 5.4.24, la más grave de las cuales podría provocar la ejecución de código arbitrario. Esta actualización soluciona los problemas mediante la actualización de PHP a la versión 5.4.30

    ID CVE

    CVE-2013-7345

    CVE-2014-0185

    CVE-2014-0207

    CVE-2014-0237

    CVE-2014-0238

    CVE-2014-1943

    CVE-2014-2270

    CVE-2014-3478

    CVE-2014-3479

    CVE-2014-3480

    CVE-2014-3487

    CVE-2014-3515

    CVE-2014-3981

    CVE-2014-4049

  • Bluetooth

    Disponible para: OS X Mavericks v10.9 a v10.9.4

    Impacto: Una aplicación malintencionada puede ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un problema de validación en la gestión de una llamada API Bluetooth. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-4390: Ian Beer de Google Project Zero

  • CoreGraphics

    Disponible para: OS X Mavericks v10.9 a v10.9.4

    Impacto: abrir un archivo PDF creado con fines malintencionados podía provocar el cierre inesperado de una aplicación o la divulgación de información

    Descripción: existía un problema de lectura fuera de los límites en la gestión de archivos PDF. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-4378: Felipe Andrés Manzano de Binamuse VRT en colaboración con iSIGHT Partners GVP Program

  • CoreGraphics

    Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4

    Impacto: la apertura de un archivo PDF creado de manera malintencionada puede ocasionar la terminación inesperada de la aplicación o la ejecución de un código arbitrario

    Descripción: existía un problema de desbordamiento de enteros en la gestión de archivos PDF. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-4377: Felipe Andrés Manzano de Binamuse VRT en colaboración con iSIGHT Partners GVP Program

  • Foundation

    Disponible para: OS X Mavericks v10.9 a v10.9.4

    Impacto: Una aplicación que use NSXMLParser podía utilizarse de forma indebida para divulgar información

    Descripción: Había un problema con entidades externas XML en la gestión que NSXMLParser hace de XML. Este problema se ha solucionado evitando la carga de entidades externas entre orígenes.

    ID CVE

    CVE-2014-4374: George Gal de VSR (http://www.vsecurity.com/)

  • Controlador de gráficos Intel

    Disponible para: OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4

    Impacto: La compilación de sombreados GLSL que no son de confianza podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: Existía un desbordamiento del buffer en el espacio del usuario en el compilador de sombreados. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-4393: Apple

  • Controlador de gráficos Intel

    Disponible para: OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4

    Impacto: Una aplicación malintencionada puede ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: Existían varios problemas de validación en ciertas rutinas de driver con gráficos integrados. Estos problemas se han solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-4394: Ian Beer de Google Project Zero

    CVE-2014-4395: Ian Beer de Google Project Zero

    CVE-2014-4396: Ian Beer de Google Project Zero

    CVE-2014-4397: Ian Beer de Google Project Zero

    CVE-2014-4398: Ian Beer de Google Project Zero

    CVE-2014-4399: Ian Beer de Google Project Zero

    CVE-2014-4400: Ian Beer de Google Project Zero

    CVE-2014-4401: Ian Beer de Google Project Zero

    CVE-2014-4416: Ian Beer de Google Project Zero

  • IOAcceleratorFamily

    Disponible para: OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4

    Impacto: Una aplicación malintencionada puede ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un problema de falta de referencia de puntero nulo en el procesamiento de argumentos API IOKit. Este problema se ha solucionado mejorando la validación de los argumentos IOKit API.

    ID CVE

    CVE-2014-4376: Ian Beer de Google Project Zero

  • IOAcceleratorFamily

    Disponible para: OS X Mavericks v10.9 a v10.9.4

    Impacto: Una aplicación malintencionada puede ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un problema de lectura fuera de los límites en la gestión de una función IOAcceleratorFamily. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-4402: Ian Beer de Google Project Zero

  • IOHIDFamily

    Disponible para: OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4

    Impacto: Un usuario local puede leer punteros de kernel, que pueden usarse para omitir la aleatorización del espacio de direcciones de kernel

    Descripción: existía un problema de lectura fuera de los límites en la gestión de una función IOHIDFamily. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-4379: Ian Beer de Google Project Zero

  • IOKit

    Disponible para: OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4

    Impacto: Una aplicación malintencionada puede ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: existía un problema de validación en la gestión de determinados campos de metadatos de objetos IODataQueue. Este problema se ha solucionado mejorando la validación de los metadatos.

    ID CVE

    CVE-2014-4388: @PanguTeam

  • IOKit

    Disponible para: OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4

    Impacto: Una aplicación malintencionada puede ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un desbordamiento de enteros en la gestión de las funciones IOKit. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-4389: Ian Beer de Google Project Zero

  • Kernel

    Disponible para: OS X Mavericks v10.9 a v10.9.4

    Impacto: Un usuario local puede inferir las direcciones kernel y omitir la aleatorización del espacio de direcciones de kernel

    Descripción: En algunos casos, la tabla global de descriptores de CPU se ha asignado a una dirección predecible. Este problema se ha solucionado asignando siempre la tabla global de descriptores a direcciones aleatorias.

    ID CVE

    CVE-2014-4403: Ian Beer de Google Project Zero

  • Libnotify

    Disponible para: OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios root

    Descripción: existía un problema de escritura fuera de los límites en Libnotify. Este problema se ha solucionado mejorando la comprobación de los límites

    ID CVE

    CVE-2014-4381: Ian Beer de Google Project Zero

  • OpenSSL

    Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4

    Impacto: Existían varias vulnerabilidades en OpenSSL 0.9.8y, una de las cuales podría provocar la ejecución de código arbitrario

    Descripción: Existían varias vulnerabilidades en OpenSSL 0.9.8y. Este problema se ha solucionado actualizando OpenSSL a la versión 0.9.8za.

    ID CVE

    CVE-2014-0076

    CVE-2014-0195

    CVE-2014-0221

    CVE-2014-0224

    CVE-2014-3470

  • QT Media Foundation

    Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4

    Impacto: Reproducir un archivo de película creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de corrupción de la memoria en la gestión de archivos de película codificados con RLE. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-1391: Fernando Muñoz en colaboración con iDefense VCP, Tom Gallagher y Paul Bates en colaboración con Zero Day Initiative de HP

  • QT Media Foundation

    Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4

    Impacto: Reproducir un archivo MIDI creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: Existía un desbordamiento del buffer en la gestión de los archivos MIDI. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-4350: s3tm3m en colaboración con Zero Day Initiative de HP

  • QT Media Foundation

    Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4

    Impacto: Reproducir un archivo de película creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de corrupción de la memoria en la gestión de los átomos "mvhd". Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-4979: Andrea Micalizzi, alias "rgod", en colaboración con Zero Day Initiative de HP

  • ruby

    Disponible para: OS X Mavericks v10.9 a v10.9.4

    Impacto: un atacante remoto podría provocar la ejecución de código arbitrario

    Descripción: Existía un desbordamiento del buffer de pila en la gestión que realizaba LibYAML de los caracteres codificados con código porciento en un URI. Este problema se ha solucionado mejorando la comprobación de los límites. Este problema se ha solucionado actualizando LibYAML a la versión 0.1.6

    ID CVE

    CVE-2014-2525

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se proporciona sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, rendimiento o uso de sitios web o productos de terceros. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Ponte en contacto con el proveedor para obtener información adicional. Otros nombres de empresas o productos pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: