Acerca del contenido de seguridad de OS X Yosemite v10.10.4 y la Actualización de seguridad 2015-005

Este documento describe el contenido de seguridad de OS X Yosemite v10.10.4 y la Actualización de seguridad 2015-005.

Con el fin de proteger a nuestros clientes, Apple no revelará, comentará ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web sobre seguridad de los productos de Apple.

Para obtener información sobre la clave de seguridad PGP de los productos de Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.

Siempre que sea posible, se utilizan ID de CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta Versiones de seguridad de Apple.

OS X Yosemite v10.10.4 y Actualización de seguridad 2015-005

  • Admin Framework

    Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: un proceso puede obtener privilegios de administrador sin la autenticación adecuada

    Descripción: existía un problema al comprobar los derechos de XPC. Este problema se ha solucionado mejorando la comprobación de las autorizaciones.

    CVE-ID

    CVE-2015-3671: Emil Kvarnhammar de TrueSec

  • Admin Framework

    Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: un usuario no administrador puede obtener derechos de administrador

    Descripción: existía un problema en la gestión de la autenticación de usuarios. Este problema se ha solucionado mejorando la comprobación de errores.

    CVE-ID

    CVE-2015-3672: Emil Kvarnhammar de TrueSec

  • Admin Framework

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: un atacante puede hacer un mal uso de la Utilidad de Directorios para obtener privilegios de root

    Descripción: la Utilidad de Directorios pudo moverse y modificarse para lograr la ejecución de código dentro de un proceso autorizado. Este problema se ha solucionado limitando la ubicación de disco desde la que los clientes de writeconfig podrían ejecutarse.

    CVE-ID

    CVE-2015-3673: Patrick Wardle de Synack, Emil Kvarnhammar de TrueSec

  • afpserver

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: un atacante remoto podría provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario

    Descripción: existía un problema de corrupción de la memoria en el servidor AFP. Este problema se ha solucionado mediante la mejora de la gestión de la memoria.

    CVE-ID

    CVE-2015-3674: Dean Jerkovich de NCC Group

  • apache

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: un atacante podría acceder a directorios protegidos con autenticación HTTP sin conocer las credenciales correctas

    Descripción: la configuración por defecto de Apache no incluía mod_hfs_apple. Si Apache se activaba manualmente y no se cambiaba la configuración, se podría acceder a algunos archivos a los que no se debería poder acceder utilizando una URL creada especialmente para tal fin. Este problema se ha solucionado activando mod_hfs_apple.

    CVE-ID

    CVE-2015-3675: Apple

  • apache

    Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: existen varias vulnerabilidades en PHP, la más grave de ellas puede dar lugar a la ejecución de código arbitrario

    Descripción: existían varias vulnerabilidades en las versiones de PHP anteriores a 5.5.24 y 5.4.40. Dichas vulnerabilidades se solucionaron actualizando PHP a las versiones 5.5.24 y 5.4.40.

    CVE-ID

    CVE-2015-0235

    CVE-2015-0273

  • AppleGraphicsControl

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: una aplicación maliciosa podría determinar la disposición de la memoria del kernel

    Descripción: existía un problema en AppleGraphicsControl que podría haber dado lugar a la revelación de la disposición de la memoria del kernel. Este problema se ha solucionado mejorando la comprobación de los límites.

    CVE-ID

    CVE-2015-3676: Chen Liang de KEEN Team

  • AppleFSCompression

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: una aplicación maliciosa podría determinar la disposición de la memoria del kernel

    Descripción: existía un problema en la compresión LZVN que podría haber dado lugar a la divulgación del contenido de la memoria del kernel. Este problema se ha solucionado mediante la mejora de la gestión de la memoria.

    CVE-ID

    CVE-2015-3677: un investigador anónimo que trabaja con la Zero Day Initiative de HP

  • AppleThunderboltEDMService

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: una aplicación maliciosa podría ejecutar código arbitrario con privilegios del sistema

    Descripción: existía un problema de corrupción de la memoria en el manejo de ciertos comandos Thunderbolt desde procesos locales. Este problema se ha solucionado mediante la mejora de la gestión de la memoria.

    CVE-ID

    CVE-2015-3678: Apple

  • ATS

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: el procesamiento de un archivo de fuentes creado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario.

    Descripción: existían varios problemas de corrupción de la memoria en el manejo de determinadas fuentes. Estos problemas se han solucionado mejorando la gestión de la memoria.

    CVE-ID

    CVE-2015-3679: Pawel Wylecial en colaboración con la Zero Day Initiative de HP

    CVE-2015-3680: Pawel Wylecial en colaboración con la Zero Day Initiative de HP

    CVE-2015-3681: John Villamil (@day6reak), equipo de Yahoo Pentest

    CVE-2015-3682: 魏诺德

  • Bluetooth

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: una aplicación maliciosa podría ejecutar código arbitrario con privilegios del sistema

    Descripción: existía un problema de corrupción de la memoria en la interfaz Bluetooth HCI. Este problema se ha solucionado mediante la mejora de la gestión de la memoria.

    CVE-ID

    CVE-2015-3683: Roberto Paleari y Aristide Fattori de Emaze Networks

  • Certificate Trust Policy

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: un atacante con una posición de red privilegiada podría interceptar el tráfico de la red

    Descripción: la autoridad de certificación CNNIC emitió incorrectamente un certificado intermedio. Este problema se ha solucionado mediante la incorporación de un mecanismo para confiar solamente en un subconjunto de certificados emitidos antes de la incorrecta emisión del intermedio. Puedes obtener más información acerca de la lista de permisos de seguridad de confianza parcial.

  • Certificate Trust Policy

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 to v10.10.3

    Descripción: se ha actualizado la política de confianza del certificado. Podrás encontrar la lista completa de certificados en Certificados de OS X.

  • CFNetwork HTTPAuthentication

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: seguir una URL creada con fines malintencionados puede llevar a la ejecución de código arbitrario.

    Descripción: existía un problema de corrupción de la memoria en el manejo de ciertas credenciales de URL. Este problema se ha solucionado mediante la mejora de la gestión de la memoria.

    CVE-ID

    CVE-2015-3684: Apple

  • CoreText

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    El procesamiento de un archivo de texto creado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario.

    Descripción: existían varios problemas de corrupción de la memoria en el procesamiento de archivos de texto. Estos problemas se han solucionado mejorando la comprobación de los límites.

    CVE-ID

    CVE-2015-1157

    CVE-2015-3685: Apple

    CVE-2015-3686: John Villamil (@day6reak), Equipo de Yahoo Pentest

    CVE-2015-3687: John Villamil (@day6reak), Equipo de Yahoo Pentest

    CVE-2015-3688: John Villamil (@day6reak), Equipo de Yahoo Pentest

    CVE-2015-3689: Apple

  • coreTLS

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: un atacante con una posición de red privilegiada puede interceptar conexiones SSL/TLS

    Descripción: coreTLS aceptaba claves efímeras cortas Diffie-Hellman (DH), como las utilizadas en las suites de cifrado efímero DH de fuerza de exportación. Este problema, también denominado Logjam, permitía que un atacante con una posición de red privilegiada redujera la seguridad a DH de 512 bits si el host admitía una suite de cifrado DH efímera de objetivo de exportación. El problema se ha solucionado incrementando el tamaño mínimo por omisión permitido para las claves DH efímeras a 768 bits.

    CVE-ID

    CVE-2015-4000: el equipo weakdh de weakdh.org, Hanno Boeck

  • DiskImages

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: una aplicación maliciosa podría determinar la disposición de la memoria del kernel

    Descripción: existía un problema de divulgación de información en el procesamiento de imágenes de disco. Este problema se ha solucionado mejorando la gestión de memoria.

    CVE-ID

    CVE-2015-3690: Peter Rutenbar en colaboración con la Zero Day Initiative de HP

  • Display Drivers

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: una aplicación maliciosa podría ejecutar código arbitrario con privilegios del sistema

    Descripción: existía un problema en la extensión del kernel Monitor Control Command Set por el que un proceso de tierra de usuario podía controlar el valor de un puntero de función dentro del kernel. El problema se ha solucionado eliminando la interfaz afectada.

    CVE-ID

    CVE-2015-3691: Roberto Paleari y Aristide Fattori de Emaze Networks

  • EFI

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: una aplicación maliciosa con privilegios de root podría modificar la memoria flash EFI

    Descripción: existía un problema de bloqueo insuficiente con la flash EFI al reanudar desde estados de reposo. Este problema se ha solucionado mejorando el bloqueo.

    CVE-ID

    CVE-2015-3692: Trammell Hudson de Two Sigma Investments, Xeno Kovah y Corey Kallenberg de LegbaCore LLC, Pedro Vilaça

  • EFI

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: una aplicación maliciosa puede inducir la corrupción de la memoria para escalar privilegios

    Descripción: existe un error de perturbación, también conocido como Rowhammer, con algunas memorias RAM DDR3 que podría haber provocado la corrupción de la memoria. Este problema se ha mitigado incrementando las frecuencias de actualización de la memoria.

    CVE-ID

    CVE-2015-3693: Mark Seaborn y Thomas Dullien de Google, a partir de la investigación original de Yoongu Kim et al. (2014)

  • FontParser

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: el procesamiento de un archivo de fuentes creado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario

    Descripción: existía un problema de corrupción de la memoria en el procesamiento de archivos de fuentes. Se ha solucionado el problema mejorando la validación de las entradas.

    CVE-ID

    CVE-2015-3694: John Villamil (@day6reak), Equipo de Yahoo Pentest

  • Graphics Driver

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: una aplicación maliciosa podría ejecutar código arbitrario con privilegios del sistema

    Descripción: existía un problema de escritura fuera de los límites en el controlador gráfico de NVIDIA. Este problema se ha solucionado mejorando la comprobación de los límites.

    CVE-ID

    CVE-2015-3712: Ian Beer de Google Project Zero

  • Intel Graphics Driver

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: existen varios problemas de desbordamiento de búfer en el controlador gráfico de Intel, de los cuales el más grave puede conducir a la ejecución de código arbitrario con privilegios del sistema

    Descripción: existían varios problemas de desbordamiento de búfer en el controlador gráfico de Intel. Estos problemas se han solucionado incorporando comprobaciones adicionales de los límites.

    CVE-ID

    CVE-2015-3695: Ian Beer de Google Project Zero

    CVE-2015-3696: Ian Beer de Google Project Zero

    CVE-2015-3697: Ian Beer de Google Project Zero

    CVE-2015-3698: Ian Beer de Google Project Zero

    CVE-2015-3699: Ian Beer de Google Project Zero

    CVE-2015-3700: Ian Beer de Google Project Zero

    CVE-2015-3701: Ian Beer de Google Project Zero

    CVE-2015-3702: equipo de KEEN

  • ImageIO

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: existían varias vulnerabilidades en libtiff, de las cuales la más grave puede conducir a la ejecución de código arbitrario

    Descripción: existían múltiples vulnerabilidades en las versiones de libtiff anteriores a la 4.0.4. Se solucionaron actualizando libtiff a la versión 4.0.4.

    CVE-ID

    CVE-2014-8127

    CVE-2014-8128

    CVE-2014-8129

    CVE-2014-8130

  • ImageIO

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: el procesamiento de un archivo .tiff creado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario.

    Descripción: existía un problema de corrupción de la memoria en el procesamiento de archivos .tiff. Este problema se ha solucionado mejorando la comprobación de los límites.

    CVE-ID

    CVE-2015-3703: Apple

  • Install Framework Legacy

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: una aplicación maliciosa podría ejecutar código arbitrario con privilegios del sistema

    Descripción: existían varios problemas en la forma en que el binario setuid “runner” de Install.framework eliminaba privilegios. Este problema se ha solucionado disminuyendo los privilegios correctamente.

    CVE-ID

    CVE-2015-3704: Ian Beer de Google Project Zero

  • IOAcceleratorFamily

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: una aplicación maliciosa podría ejecutar código arbitrario con privilegios del sistema

    Descripción: existían varios problemas de corrupción de la memoria en IOAcceleratorFamily. Estos problemas se han solucionado mejorando la gestión de la memoria.

    CVE-ID

    CVE-2015-3705: equipo de KEEN

    CVE-2015-3706: equipo de KEEN

  • IOFireWireFamily

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: una aplicación maliciosa podría ejecutar código arbitrario con privilegios del sistema

    Descripción: existían varios problemas de falta de referencia a un puntero nulo en el controlador FireWire. Estos problemas se han solucionado mejorando la comprobación de errores.

    CVE-ID

    CVE-2015-3707: Roberto Paleari y Aristide Fattori de Emaze Networks

  • Kernel

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: una aplicación maliciosa podría determinar la disposición de la memoria del kernel

    Descripción: existía un problema de gestión de la memoria en el manejo de las API relacionadas con las extensiones del kernel que podría haber llevado a la revelación de la disposición de la memoria del kernel. Este problema se ha solucionado mejorando la gestión de memoria.

    CVE-ID

    CVE-2015-3720: Stefan Esser

  • Kernel

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: una aplicación maliciosa podría determinar la disposición de la memoria del kernel

    Descripción: existía un problema de gestión de la memoria en el manejo de los parámetros HFS que podría haber llevado a la revelación de la disposición de la memoria del kernel. Este problema se ha solucionado mejorando la gestión de memoria.

    CVE-ID

    CVE-2015-3721: Ian Beer de Google Project Zero

  • kext tools

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: una aplicación maliciosa podría sobrescribir archivos arbitrarios

    Descripción: kextd seguía enlaces simbólicos al crear un nuevo archivo. Este problema se ha solucionado mejorando la gestión de los enlaces simbólicos.

    CVE-ID

    CVE-2015-3708: Ian Beer de Google Project Zero

  • kext tools

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: un usuario local podría cargar extensiones del kernel sin firmar

    Descripción: existía una condición de carrera de “time-of-check time-of-use” (TOCTOU) al validar las rutas de las extensiones del kernel. Este problema se ha solucionado mejorando las comprobaciones para validar la ruta de las extensiones de kernel.

    CVE-ID

    CVE-2015-3709: Ian Beer de Google Project Zero

  • Mail

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: un correo electrónico creado con fines malintencionados puede sustituir el contenido del mensaje por una página web arbitraria cuando se visualiza el mensaje

    Descripción: existía un problema en la compatibilidad con el correo electrónico HTML que permitía actualizar el contenido del mensaje con una página web arbitraria. El problema se ha solucionado mediante la compatibilidad restringida con el contenido HTML.

    CVE-ID

    CVE-2015-3710: Aaron Sigel de vtty.com, Jan Souček

  • ntfs

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: una aplicación maliciosa podría determinar la disposición de la memoria del kernel

    Descripción: existía un problema en el NTFS que podría haber dado lugar a la divulgación del contenido de la memoria del kernel. Este problema se ha solucionado mediante la mejora de la gestión de la memoria.

    CVE-ID

    CVE-2015-3711: Peter Rutenbar en colaboración con la Zero Day Initiative de HP

  • ntp

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: un atacante en una posición privilegiada podría realizar un ataque de denegación de servicio contra dos clientes ntp

    Descripción: existían varios problemas en la autenticación de los paquetes ntp que recibían los puntos finales configurados. Estos problemas se han solucionado mejorando la gestión del estado de conexión.

    CVE-ID

    CVE-2015-1798

    CVE-2015-1799

  • OpenSSL

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: existen múltiples problemas en OpenSSL, incluido uno que puede permitir a un atacante interceptar conexiones a un servidor que admita cifrados de grado de exportación

    Descripción: existían varios problemas en OpenSSL 0.9.8zd que se ha solucionado actualizando OpenSSL a la versión 0.9.8zf.

    CVE-ID

    CVE-2015-0209

    CVE-2015-0286

    CVE-2015-0287

    CVE-2015-0288

    CVE-2015-0289

    CVE-2015-0293

  • QuickTime

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: el procesamiento de un archivo de película creado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario.

    Descripción: existían varios problemas de corrupción de memoria en QuickTime. Estos problemas se han solucionado mejorando la gestión de la memoria.

    CVE-ID

    CVE-2015-3661: G. Geshev en colaboración con la Zero Day Initiative de HP

    CVE-2015-3662: kdot en colaboración con la Zero Day Initiative de HP

    CVE-2015-3663: kdot en colaboración con la Zero Day Initiative de HP

    CVE-2015-3666: Steven Seeley de Source Incite en colaboración con la Zero Day Initiative de HP

    CVE-2015-3667: Ryan Pentney, Richard Johnson de Cisco Talos y Kai Lu de Fortinet's FortiGuard Labs

    CVE-2015-3668: Kai Lu de Fortinet's FortiGuard Labs

    CVE-2015-3713: Apple

  • Security

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: un atacante remoto puede provocar un cierre inesperado de la aplicación o la ejecución de código arbitrario.

    Descripción: existía un desbordamiento de enteros en el código de la estructura de seguridad para analizar el correo electrónico S/MIME y algunos otros objetos firmados o cifrados. Este problema se ha solucionado mejorando la comprobación de la validez.

    CVE-ID

    CVE-2013-1741

  • Security

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: es posible que no se impida el inicio de aplicaciones manipuladas.

    Descripción: las aplicaciones que utilizan reglas de recursos personalizadas pueden haber sido susceptibles de manipulaciones que no habrían invalidado la firma. Este problema se ha solucionado mejorando la validación de los recursos.

    CVE-ID

    CVE-2015-3714: Joshua Pitts de Leviathan Security Group

  • Security

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: una aplicación maliciosa podría saltarse las comprobaciones de firma de código

    Descripción: existía un problema por el que la firma de código no verificaba las bibliotecas cargadas fuera del paquete de la aplicación. Este problema se ha solucionado mejorando la verificación de los paquetes.

    CVE-ID

    CVE-2015-3715: Patrick Wardle de Synack

  • Spotlight

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: la búsqueda de un archivo malicioso con Spotlight puede conducir a la inyección de comandos

    Descripción: existía una vulnerabilidad de inyección de comandos en el manejo de los nombres de archivo de las fotos añadidas a la fototeca local. Se ha solucionado el problema mejorando la validación de las entradas.

    CVE-ID

    CVE-2015-3716: Apple

  • SQLite

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: un atacante remoto puede provocar un cierre inesperado de la aplicación o la ejecución de código arbitrario

    Descripción: existían varios desbordamientos de búfer en la implementación de printf de SQLite. Estos problemas se han solucionado mejorando la comprobación de los límites.

    CVE-ID

    CVE-2015-3717: Peter Rutenbar en colaboración con la Zero Day Initiative de HP

  • SQLite

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: un comando SQL creado con fines malintencionados puede permitir el cierre inesperado de la aplicación o la ejecución de código arbitrario.

    Descripción: existía un problema de API en la funcionalidad de SQLite. Se ha solucionado mejorando las restricciones.

    CVE-ID

    CVE-2015-7036: Peter Rutenbar en colaboración con la Zero Day Initiative de HP

  • System Stats

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: una aplicación maliciosa podría comprometer systemstatsd

    Descripción: existía un problema de confusión de tipos en el manejo de la comunicación entre procesos por parte de systemstatsd. Se podría ejecutar código arbitrario como proceso de systemstatsd al enviar un mensaje con formato malicioso a systemstatsd. El problema se ha solucionado mediante comprobaciones de tipo adicionales.

    CVE-ID

    CVE-2015-3718: Roberto Paleari y Aristide Fattori de Emaze Networks

  • TrueTypeScaler

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: el procesamiento de un archivo de fuentes creado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario

    Descripción: existía un problema de corrupción de la memoria en el procesamiento de archivos de fuentes. Se ha solucionado el problema mejorando la validación de las entradas.

    CVE-ID

    CVE-2015-3719: John Villamil (@day6reak), Equipo de Yahoo Pentest

  • zip

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: la extracción de un archivo zip creado con fines malintencionados mediante la herramienta de extracción puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario.

    Descripción: existían varios problemas de corrupción de la memoria en el manejo de archivos zip. Estos problemas se han solucionado mejorando la gestión de la memoria.

    CVE-ID

    CVE-2014-8139

    CVE-2014-8140

    CVE-2014-8141

OS X Yosemite v10.10.4 incluye el contenido de seguridad de Safari 8.0.7.

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Fecha de publicación: