Esta actualización se puede descargar e instalar mediante Actualización de Software o el sitio web del Soporte técnico de Apple.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.
Para obtener más información sobre la clave PGP de seguridad de los productos de Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.
Siempre que sea posible, se utilizan ID de CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.
Para obtener más información acerca de otras actualizaciones de seguridad, consulta las Actualizaciones de seguridad de Apple.
Nota: OS X Mavericks v10.9.5 incluye el contenido de seguridad de Safari 7.0.6.
OS X Mavericks v10.9.5 y Actualización de seguridad 2014-004
apache_mod_php
Disponible para: OS X Mavericks v10.9 a v10.9.4
Impacto: Existían varias vulnerabilidades en PHP 5.4.24
Descripción: Existían varias vulnerabilidades en PHP 5.4.24, la más grave de las cuales podría provocar la ejecución de código arbitrario. Esta actualización soluciona los problemas mediante la actualización de PHP a la versión 5.4.30
ID CVE
CVE-2013-7345
CVE-2014-0185
CVE-2014-0207
CVE-2014-0237
CVE-2014-0238
CVE-2014-1943
CVE-2014-2270
CVE-2014-3478
CVE-2014-3479
CVE-2014-3480
CVE-2014-3487
CVE-2014-3515
CVE-2014-3981
CVE-2014-4049
Bluetooth
Disponible para: OS X Mavericks v10.9 a v10.9.4
Impacto: Una aplicación malintencionada puede ser capaz de ejecutar código arbitrario con privilegios del sistema
Descripción: Existía un problema de validación en la gestión de una llamada API Bluetooth. Este problema se ha solucionado mejorando la comprobación de los límites.
ID CVE
CVE-2014-4390: Ian Beer de Google Project Zero
CoreGraphics
Disponible para: OS X Mavericks v10.9 a v10.9.4
Impacto: abrir un archivo PDF creado con fines malintencionados podía provocar el cierre inesperado de una aplicación o la divulgación de información
Descripción: existía un problema de lectura fuera de los límites en la gestión de archivos PDF. Este problema se ha solucionado mejorando la comprobación de los límites.
ID CVE
CVE-2014-4378: Felipe Andrés Manzano de Binamuse VRT en colaboración con iSIGHT Partners GVP Program
CoreGraphics
Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4
Impacto: la apertura de un archivo PDF creado de manera malintencionada puede ocasionar la terminación inesperada de la aplicación o la ejecución de un código arbitrario
Descripción: existía un problema de desbordamiento de enteros en la gestión de archivos PDF. Este problema se ha solucionado mejorando la comprobación de los límites.
ID CVE
CVE-2014-4377: Felipe Andrés Manzano de Binamuse VRT en colaboración con iSIGHT Partners GVP Program
Foundation
Disponible para: OS X Mavericks v10.9 a v10.9.4
Impacto: Una aplicación que use NSXMLParser podía utilizarse de forma indebida para divulgar información
Descripción: Había un problema con entidades externas XML en la gestión que NSXMLParser hace de XML. Este problema se ha solucionado evitando la carga de entidades externas entre orígenes.
ID CVE
CVE-2014-4374: George Gal de VSR (http://www.vsecurity.com/)
Controlador de gráficos Intel
Disponible para: OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4
Impacto: La compilación de sombreados GLSL que no son de confianza podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario
Descripción: Existía un desbordamiento del buffer en el espacio del usuario en el compilador de sombreados. Este problema se ha solucionado mejorando la comprobación de los límites.
ID CVE
CVE-2014-4393: Apple
Controlador de gráficos Intel
Disponible para: OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4
Impacto: Una aplicación malintencionada puede ser capaz de ejecutar código arbitrario con privilegios del sistema
Descripción: Existían varios problemas de validación en ciertas rutinas de driver con gráficos integrados. Estos problemas se han solucionado mejorando la comprobación de los límites.
ID CVE
CVE-2014-4394: Ian Beer de Google Project Zero
CVE-2014-4395: Ian Beer de Google Project Zero
CVE-2014-4396: Ian Beer de Google Project Zero
CVE-2014-4397: Ian Beer de Google Project Zero
CVE-2014-4398: Ian Beer de Google Project Zero
CVE-2014-4399: Ian Beer de Google Project Zero
CVE-2014-4400: Ian Beer de Google Project Zero
CVE-2014-4401: Ian Beer de Google Project Zero
CVE-2014-4416: Ian Beer de Google Project Zero
IOAcceleratorFamily
Disponible para: OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4
Impacto: Una aplicación malintencionada puede ser capaz de ejecutar código arbitrario con privilegios del sistema
Descripción: Existía un problema de falta de referencia de puntero nulo en el procesamiento de argumentos API IOKit. Este problema se ha solucionado mejorando la validación de los argumentos IOKit API.
ID CVE
CVE-2014-4376: Ian Beer de Google Project Zero
IOAcceleratorFamily
Disponible para: OS X Mavericks v10.9 a v10.9.4
Impacto: Una aplicación malintencionada puede ser capaz de ejecutar código arbitrario con privilegios del sistema
Descripción: Existía un problema de lectura fuera de los límites en la gestión de una función IOAcceleratorFamily. Este problema se ha solucionado mejorando la comprobación de los límites.
ID CVE
CVE-2014-4402: Ian Beer de Google Project Zero
IOHIDFamily
Disponible para: OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4
Impacto: Un usuario local puede leer punteros de kernel, que pueden usarse para omitir la aleatorización del espacio de direcciones de kernel
Descripción: existía un problema de lectura fuera de los límites en la gestión de una función IOHIDFamily. Este problema se ha solucionado mejorando la comprobación de los límites.
ID CVE
CVE-2014-4379: Ian Beer de Google Project Zero
IOKit
Disponible para: OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4
Impacto: Una aplicación malintencionada puede ser capaz de ejecutar código arbitrario con privilegios del sistema
Descripción: existía un problema de validación en la gestión de determinados campos de metadatos de objetos IODataQueue. Este problema se ha solucionado mejorando la validación de los metadatos.
ID CVE
CVE-2014-4388: @PanguTeam
IOKit
Disponible para: OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4
Impacto: Una aplicación malintencionada puede ser capaz de ejecutar código arbitrario con privilegios del sistema
Descripción: Existía un desbordamiento de enteros en la gestión de las funciones IOKit. Este problema se ha solucionado mejorando la comprobación de los límites.
ID CVE
CVE-2014-4389: Ian Beer de Google Project Zero
Kernel
Disponible para: OS X Mavericks v10.9 a v10.9.4
Impacto: Un usuario local puede inferir las direcciones kernel y omitir la aleatorización del espacio de direcciones de kernel
Descripción: En algunos casos, la tabla global de descriptores de CPU se ha asignado a una dirección predecible. Este problema se ha solucionado asignando siempre la tabla global de descriptores a direcciones aleatorias.
ID CVE
CVE-2014-4403: Ian Beer de Google Project Zero
Libnotify
Disponible para: OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4
Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios root
Descripción: existía un problema de escritura fuera de los límites en Libnotify. Este problema se ha solucionado mejorando la comprobación de los límites
ID CVE
CVE-2014-4381: Ian Beer de Google Project Zero
OpenSSL
Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4
Impacto: Existían varias vulnerabilidades en OpenSSL 0.9.8y, una de las cuales podría provocar la ejecución de código arbitrario
Descripción: Existían varias vulnerabilidades en OpenSSL 0.9.8y. Este problema se ha solucionado actualizando OpenSSL a la versión 0.9.8za.
ID CVE
CVE-2014-0076
CVE-2014-0195
CVE-2014-0221
CVE-2014-0224
CVE-2014-3470
QT Media Foundation
Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4
Impacto: Reproducir un archivo de película creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario
Descripción: Existía un problema de corrupción de la memoria en la gestión de archivos de película codificados con RLE. Este problema se ha solucionado mejorando la comprobación de los límites.
ID CVE
CVE-2014-1391: Fernando Muñoz en colaboración con iDefense VCP, Tom Gallagher y Paul Bates en colaboración con Zero Day Initiative de HP
QT Media Foundation
Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4
Impacto: Reproducir un archivo MIDI creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario
Descripción: Existía un desbordamiento del buffer en la gestión de los archivos MIDI. Este problema se ha solucionado mejorando la comprobación de los límites.
ID CVE
CVE-2014-4350: s3tm3m en colaboración con Zero Day Initiative de HP
QT Media Foundation
Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9 a v10.9.4
Impacto: Reproducir un archivo de película creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario
Descripción: Existía un problema de corrupción de la memoria en la gestión de los átomos "mvhd". Este problema se ha solucionado mejorando la comprobación de los límites.
ID CVE
CVE-2014-4979: Andrea Micalizzi, alias "rgod", en colaboración con Zero Day Initiative de HP
ruby
Disponible para: OS X Mavericks v10.9 a v10.9.4
Impacto: un atacante remoto podría provocar la ejecución de código arbitrario
Descripción: Existía un desbordamiento del buffer de pila en la gestión que realizaba LibYAML de los caracteres codificados con código porciento en un URI. Este problema se ha solucionado mejorando la comprobación de los límites. Este problema se ha solucionado actualizando LibYAML a la versión 0.1.6
ID CVE
CVE-2014-2525