Acerca del contenido de seguridad de OS X Yosemite v10.10.4 y la Actualización de seguridad 2015-005

Este documento describe el contenido de seguridad de OS X Yosemite v10.10.4 y la Actualización de seguridad 2015-005.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.

Para obtener información sobre la clave de seguridad PGP de los productos de Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.

Siempre que sea posible, se utilizan ID de CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

OS X Yosemite v10.10.4 y Actualización de seguridad 2015-005

  • Estructura de administración

    Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: Un proceso podría adquirir privilegios de administrador sin la autenticación pertinente

    Descripción: Existía un problema al comprobar las autorizaciones XPC. Este problema se ha solucionado mejorando la comprobación de las autorizaciones.

    ID CVE

    CVE-2015-3671: Emil Kvarnhammar de TrueSec

  • Estructura de administración

    Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: Un usuario que no sea administrador podría obtener derechos de administración

    Descripción: Existía un problema en la gestión de la autenticación de los usuarios. Este problema se ha solucionado mejorando la comprobación de errores.

    ID CVE

    CVE-2015-3672: Emil Kvarnhammar de TrueSec

  • Estructura de administración

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: Un atacante podía hacer un uso malintencionado de Utilidad de Directorios para obtener privilegios raíz

    Descripción: Utilidad de Directorios podía moverse y modificarse para conseguir ejecutar código arbitrario con un proceso autorizado. Este problema se ha solucionado limitando la ubicación de disco desde la que los clientes de writeconfig podrían ejecutarse.

    ID CVE

    CVE-2015-3673: Patrick Wardle de Synack, Emil Kvarnhammar de TrueSec

  • afpserver

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: Un atacante remoto podría ser capaz de provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de corrupción de memoria en el servidor AFP. Este problema se ha solucionado mediante la mejora de la gestión de la memoria.

    ID CVE

    CVE-2015-3674: Dean Jerkovich de NCC Group

  • apache

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: Un atacante podría ser capaz de acceder a directorios protegidos mediante autenticación HTTP sin necesidad de conocer las credenciales correctas

    Descripción: La configuración por omisión de Apache no incluía mod_hfs_apple. Si Apache se activaba manualmente y no se cambiaba la configuración, se podría acceder a algunos archivos a los que no se debería poder acceder utilizando una URL creada especialmente para tal fin. Este problema se ha solucionado activando mod_hfs_apple.

    ID CVE

    CVE-2015-3675: Apple

  • apache

    Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: Existían varias vulnerabilidades en PHP, la más grave de ellas podría provocar la ejecución de código arbitrario

    Descripción: Existían varias vulnerabilidades en las versiones PHP anteriores a la 5.5.24 y la 5.4.40. Estas vulnerabilidades se han solucionado actualizando PHP a las versiones 5.5.24 y 5.4.40.

    ID CVE

    CVE-2015-0235

    CVE-2015-0273

  • AppleGraphicsControl

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: Una aplicación creada con fines malintencionados podría ser capaz de determinar el diseño de la memoria de kernel

    Descripción: Existía un problema en AppleGraphicsControl que podría provocar la revelación del diseño de la memoria de kernel. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2015-3676: Chen Liang de KEEN Team

  • AppleFSCompression

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: Una aplicación creada con fines malintencionados podría ser capaz de determinar el diseño de la memoria de kernel

    Descripción: Existía un problema en la compresión LZVN que podría provocar la revelación del contenido de la memoria de kernel. Este problema se ha solucionado mediante la mejora de la gestión de la memoria.

    ID CVE

    CVE-2015-3677: Un investigador anónimo en colaboración con Zero Day Initiative de HP

  • AppleThunderboltEDMService

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: Una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un problema de corrupción de memoria en la gestión de determinados comandos de Thunderbolt desde procesos locales. Este problema se ha solucionado mediante la mejora de la gestión de la memoria.

    ID CVE

    CVE-2015-3678: Apple

  • ATS

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existían varios problemas de corrupción de memoria en la gestión de determinados tipos de letra. Estos problemas se han solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-3679: Pawel Wylecial en colaboración con Zero Day Initiative de HP

    CVE-2015-3680: Pawel Wylecial en colaboración con Zero Day Initiative de HP

    CVE-2015-3681: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3682: 魏诺德

  • Bluetooth

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: Una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un problema de corrupción de memoria en la interfaz Bluetooth HCI. Este problema se ha solucionado mediante la mejora de la gestión de la memoria.

    ID CVE

    CVE-2015-3683: Roberto Paleari y Aristide Fattori de Emaze Networks

  • Política de confianza en certificados

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: Un atacante con una posición de red privilegiada podría ser capaz de interceptar el tráfico de red

    Descripción: La entidad de certificación CNNIC emitió incorrectamente un certificado intermedio. Este problema se ha solucionado mediante la incorporación de un mecanismo para confiar solamente en un subconjunto de certificados emitidos antes de la incorrecta emisión del intermedio. Puedes obtener más información acerca de la lista de permisos de seguridad de confianza parcial.

  • Política de confianza en certificados

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Descripción: La política de confianza en certificados se ha actualizado. Podrás encontrar la lista completa de certificados en Certificados de OS X.

  • CFNetwork HTTPAuthentication

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: La siguiente URL creada con fines malintencionados podría provocar la ejecución de código arbitrario

    Descripción: Existía un problema de corrupción de memoria en la gestión de determinadas credenciales de URL. Este problema se ha solucionado mediante la mejora de la gestión de la memoria.

    ID CVE

    CVE-2015-3684: Apple

  • CoreText

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: El procesamiento de un archivo de texto creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existían varios problemas de corrupción de memoria en el procesamiento de archivos de texto. Estos problemas se han solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2015-1157

    CVE-2015-3685: Apple

    CVE-2015-3686: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3687: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3688: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3689: Apple

  • coreTLS

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: Un atacante con una posición de red privilegiada podría interceptar conexiones SSL/TLS

    Descripción: coreTLS aceptaba claves Diffie-Hellman (DH) cortas y efímeras, como las que se utilizan en suites de cifrado DH efímeras de objetivo de exportación. Este problema, también denominado Logjam, permitía que un atacante con una posición de red privilegiada redujera la seguridad a DH de 512 bits si el servidor admitía una suite de cifrado DH efímera de objetivo de exportación. El problema se ha solucionado incrementando el tamaño mínimo por omisión permitido para las claves DH efímeras a 768 bits.

    ID CVE

    CVE-2015-4000: Equipo weakdh de weakdh.org, Hanno Boeck

  • DiskImages

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: Una aplicación creada con fines malintencionados podría ser capaz de determinar el diseño de la memoria de kernel

    Descripción: Existía un problema de revelación de información en el procesamiento de las imágenes de disco. Este problema se ha solucionado mejorando la gestión de memoria.

    ID CVE

    CVE-2015-3690: Peter Rutenbar en colaboración con Zero Day Initiative de HP

  • Drivers de visualización

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: Una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un problema en la extensión de kernel de Monitor Control Command Set que permitía que un proceso userland controlara el valor de un puntero de la función en el kernel. El problema se ha solucionado eliminando la interfaz afectada.

    ID CVE

    CVE-2015-3691: Roberto Paleari y Aristide Fattori de Emaze Networks

  • EFI

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: Una aplicación creada con fines malintencionados y privilegios raíz podría ser capaz de modificar la memoria flash EFI

    Descripción: Existía un problema de bloqueo insuficiente con la memoria flash EFI al reanudar desde el estado de reposo. Este problema se ha solucionado mejorando el bloqueo.

    ID CVE

    CVE-2015-3692: Trammell Hudson de Two Sigma Investments, Xeno Kovah y Corey Kallenberg de LegbaCore LLC, Pedro Vilaça

  • EFI

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: Una aplicación creada con fines malintencionados podría provocar la corrupción de la memoria para escalar privilegios

    Descripción: Existía un error de interrupción, también denominado Rowhammer, con algunas RAM DDR3 que podría provocar la corrupción de la memoria. Este problema se ha mitigado incrementando las frecuencias de actualización de la memoria.

    ID CVE

    CVE-2015-3693: Mark Seaborn y Thomas Dullien de Google, que trabajan a partir de la investigación original de Yoongu Kim et al (2014)

  • FontParser

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de corrupción de memoria en el procesamiento de archivos de tipo de letra. Este problema se ha solucionado mejorando la validación de las entradas.

    ID CVE

    CVE-2015-3694: John Villamil (@day6reak), Yahoo Pentest Team

  • Driver de gráficos

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: Una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un problema de escritura fuera de los límites en un driver de gráficos NVIDIA. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2015-3712: Ian Beer de Google Project Zero

  • Driver de gráficos Intel

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: Existían varios problemas de desbordamiento de buffer en el driver de gráficos Intel, el más grave de ellos podría provocar la ejecución de código arbitrario con privilegios del sistema

    Descripción: Existían varios problemas de desbordamiento de buffer en el driver de gráficos Intel. Estos problemas se han solucionado incorporando comprobaciones adicionales de los límites.

    ID CVE

    CVE-2015-3695: Ian Beer de Google Project Zero

    CVE-2015-3696: Ian Beer de Google Project Zero

    CVE-2015-3697: Ian Beer de Google Project Zero

    CVE-2015-3698: Ian Beer de Google Project Zero

    CVE-2015-3699: Ian Beer de Google Project Zero

    CVE-2015-3700: Ian Beer de Google Project Zero

    CVE-2015-3701: Ian Beer de Google Project Zero

    CVE-2015-3702: KEEN Team

  • ImageIO

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: Existían varias vulnerabilidades en libtiff, la más grave de ellas podría provocar la ejecución de código arbitrario

    Descripción: Existían varias vulnerabilidades en las versiones libtiff anteriores a la 4.0.4 que se han solucionado actualizando libtiff a la versión 4.0.4.

    ID CVE

    CVE-2014-8127

    CVE-2014-8128

    CVE-2014-8129

    CVE-2014-8130

  • ImageIO

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: El procesamiento de un archivo .tiff creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de corrupción de memoria en el procesamiento de los archivos .tiff. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2015-3703: Apple

  • Instalación de estructuras antiguas

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: Una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: Existían varios problemas en la forma de disminuir los privilegios de los binarios setuid runner de Install.framework. Este problema se ha solucionado disminuyendo los privilegios correctamente.

    ID CVE

    CVE-2015-3704: Ian Beer de Google Project Zero

  • IOAcceleratorFamily

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: Una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: Existían varios problemas de corrupción de memoria en IOAcceleratorFamily. Estos problemas se han solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-3705: KEEN Team

    CVE-2015-3706: KEEN Team

  • IOFireWireFamily

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: Una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: Existían problemas de falta de referencia a un puntero nulo en el driver FireWire. Estos problemas se han solucionado mejorando la comprobación de errores.

    ID CVE

    CVE-2015-3707: Roberto Paleari y Aristide Fattori de Emaze Networks
  • Kernel

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: Una aplicación creada con fines malintencionados podría ser capaz de determinar el diseño de la memoria de kernel

    Descripción: Existía un problema de gestión de la memoria en la gestión de las API relacionadas con las extensiones de kernel que podría provocar la revelación del diseño de la memoria de kernel. Este problema se ha solucionado mejorando la gestión de memoria.

    ID CVE

    CVE-2015-3720: Stefan Esser
  • Kernel

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: Una aplicación creada con fines malintencionados podría ser capaz de determinar el diseño de la memoria de kernel

    Descripción: Existía un problema de gestión de la memoria en la gestión de los parámetros HFS que podría provocar la revelación del diseño de la memoria de kernel. Este problema se ha solucionado mejorando la gestión de memoria.

    ID CVE

    CVE-2015-3721: Ian Beer de Google Project Zero
  • Herramientas de kext

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: Una aplicación creada con fines malintencionados podría ser capaz de sobrescribir archivos arbitrarios

    Descripción: kextd seguía enlaces simbólicos mientras creaba un archivo nuevo. Este problema se ha solucionado mejorando la gestión de los enlaces simbólicos.

    ID CVE

    CVE-2015-3708: Ian Beer de Google Project Zero

  • Herramientas de kext

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: Un usuario local podría ser capaz de cargar extensiones de kernel sin firmar

    Descripción: Existía una situación de carrera time-of-check time-of-use (TOCTOU) durante la validación de las rutas de las extensiones de kernel. Este problema se ha solucionado mejorando las comprobaciones para validar la ruta de las extensiones de kernel.

    ID CVE

    CVE-2015-3709: Ian Beer de Google Project Zero

  • Mail

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: Un correo creado con fines malintencionados podría sustituir el contenido del mensaje con una página web arbitraria al visualizar el mensaje

    Descripción: Existía un problema en la compatibilidad con correo HTML que permitía la actualización del contenido del mensaje con una página web arbitraria. El problema se ha solucionado mediante la compatibilidad restringida con el contenido HTML.

    ID CVE

    CVE-2015-3710: Aaron Sigel de vtty.com, Jan Souček

  • ntfs

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: Una aplicación creada con fines malintencionados podría ser capaz de determinar el diseño de la memoria de kernel

    Descripción: Existía un problema en NTFS que podría provocar la revelación del contenido de la memoria de kernel. Este problema se ha solucionado mediante la mejora de la gestión de la memoria.

    ID CVE

    CVE-2015-3711: Peter Rutenbar en colaboración con Zero Day Initiative de HP

  • ntp

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: Un atacante en una posición privilegiada podría ser capaz de realizar un ataque de denegación de servicio contra dos clientes ntp

    Descripción: Existían varios problemas en la autenticación de los paquetes ntp que se recibían de terminales configurados. Estos problemas se han solucionado mejorando la gestión del estado de conexión.

    ID CVE

    CVE-2015-1798

    CVE-2015-1799

  • OpenSSL

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: Existían varios problemas en OpenSSL. Entre ellos se incluía uno que permitía que un atacante interceptara las conexiones con un servidor que admitían cifrados de grado de exportación

    Descripción: Existían varios problemas en OpenSSL 0.9.8zd que se han solucionado actualizando OpenSSL a la versión 0.9.8zf.

    ID CVE

    CVE-2015-0209

    CVE-2015-0286

    CVE-2015-0287

    CVE-2015-0288

    CVE-2015-0289

    CVE-2015-0293

  • QuickTime

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: El procesamiento de un archivo de película creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existían varios problemas de corrupción de memoria en QuickTime. Estos problemas se han solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-3661: G. Geshev en colaboración con Zero Day Initiative de HP

    CVE-2015-3662: kdot en colaboración con Zero Day Initiative de HP

    CVE-2015-3663: kdot en colaboración con Zero Day Initiative de HP

    CVE-2015-3666: Steven Seeley de Source Incite en colaboración con Zero Day Initiative de HP

    CVE-2015-3667: Ryan Pentney, Richard Johnson de Cisco Talos y Kai Lu de Fortinet FortiGuard Labs

    CVE-2015-3668: Kai Lu de Fortinet FortiGuard Labs

    CVE-2015-3713: Apple

  • Seguridad

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: Un atacante remoto podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de desbordamiento de enteros en el código de Marco de seguridad para analizar correo S/MIME y otros objetos firmados o encriptados. Este problema se ha solucionado mejorando la comprobación de la validez.

    ID CVE

    CVE-2013-1741

  • Seguridad

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: Podría no impedirse la ejecución de aplicaciones manipuladas

    Descripción: Las apps que utilizan reglas de recursos personalizadas podrían ser susceptibles de sufrir manipulaciones que no hayan invalidado la firma. Este problema se ha solucionado mejorando la validación de los recursos.

    ID CVE

    CVE-2015-3714: Joshua Pitts de Leviathan Security Group

  • Seguridad

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: Una aplicación creada con fines malintencionados podría ser capaz de omitir las comprobaciones de firma de código

    Descripción: Existía un problema por el que la firma de código no verificaba las bibliotecas cargadas fuera del paquete de la aplicación. Este problema se ha solucionado mejorando la verificación de los paquetes.

    ID CVE

    CVE-2015-3715: Patrick Wardle de Synack

  • Spotlight

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: Buscar con Spotlight un archivo creado con fines malintencionados podría provocar la inyección de comandos

    Descripción: Existía una vulnerabilidad de inyección de comandos en la gestión de nombres de archivos de fotos añadidas a la fototeca local. Este problema se ha solucionado mejorando la validación de las entradas.

    ID CVE

    CVE-2015-3716: Apple

  • SQLite

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: Un atacante remoto podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existían varios desbordamientos de buffer en la implementación printf de SQLite. Estos problemas se han solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2015-3717: Peter Rutenbar en colaboración con Zero Day Initiative de HP

  • SQLite

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: Un comando SQL creado con fines malintencionados puede ocasionar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de API en la funcionalidad de SQLite. Se ha solucionado mejorando las restricciones.

    ID CVE

    CVE-2015-7036: Peter Rutenbar en colaboración con Zero Day Initiative de HP

  • Estadísticas del sistema

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: Una app creada con fines malintencionados podría ser capaz de poner en peligro systemstatsd

    Descripción: Existía un problema de confusión de tipo en la gestión que realiza systemstatsd de la comunicación interproceso. Se podría ejecutar código arbitrario como proceso de systemstatsd al enviar un mensaje con formato malicioso a systemstatsd. El problema se ha solucionado mediante comprobaciones de tipo adicionales.

    ID CVE

    CVE-2015-3718: Roberto Paleari y Aristide Fattori de Emaze Networks

  • TrueTypeScaler

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de corrupción de memoria en el procesamiento de archivos de tipo de letra. Este problema se ha solucionado mejorando la validación de las entradas.

    ID CVE

    CVE-2015-3719: John Villamil (@day6reak), Yahoo Pentest Team

  • zip

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: Extraer un archivo .zip creado con fines malintencionados utilizando la herramienta de descompresión podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existían varios problemas de corrupción de memoria en la gestión de archivos .zip. Estos problemas se han solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2014-8139

    CVE-2014-8140

    CVE-2014-8141

OS X Yosemite v10.10.4 incluye el contenido de seguridad de Safari 8.0.7.

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se proporciona sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, rendimiento o uso de sitios web o productos de terceros. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Ponte en contacto con el proveedor para obtener información adicional. Otros nombres de empresas o productos pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: