Acerca del contenido de seguridad de OS X Yosemite v10.10.5 y la Actualización de seguridad 2015-006

En este documento se describe el contenido de seguridad de OS X Yosemite v10.10.5 y la Actualización de seguridad 2015-006.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.

Para obtener información acerca de la clave de seguridad PGP de los productos de Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.

Siempre que sea posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

OS X Yosemite v10.10.5 y la Actualización de seguridad 2015-006

  • apache

    Disponible para: OS X Mavericks v10.9.5 y OS X Yosemite v10.10 a v10.10.4

    Impacto: Había varias vulnerabilidades en Apache 2.4.16; la más grave de ellas podría permitir que un atacante remoto ocasionara una denegación de servicio.

    Descripción: Había varias vulnerabilidades en las versiones de Apache anteriores a la 2.4.16. Estas se solucionaron actualizando Apache a la versión 2.4.16.

    ID CVE

    CVE-2014-3581

    CVE-2014-3583

    CVE-2014-8109

    CVE-2015-0228

    CVE-2015-0253

    CVE-2015-3183

    CVE-2015-3185

  • apache_mod_php

    Disponible para: OS X Mavericks v10.9.5 y OS X Yosemite v10.10 a v10.10.4

    Impacto: Había varias vulnerabilidades en PHP 5.5.20; la más grave de ellas podría provocar la ejecución de código arbitrario.

    Descripción: Había varias vulnerabilidades en las versiones de PHP anteriores a la 5.5.20. Estas se han solucionado actualizando Apache a la versión 5.5.27.

    ID CVE

    CVE-2015-2783

    CVE-2015-2787

    CVE-2015-3307

    CVE-2015-3329

    CVE-2015-3330

    CVE-2015-4021

    CVE-2015-4022

    CVE-2015-4024

    CVE-2015-4025

    CVE-2015-4026

    CVE-2015-4147

    CVE-2015-4148

  • Módulo OD del ID de Apple

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Una aplicación creada con fines malintencionados podría ser capaz de cambiar la contraseña de un usuario local

    Descripción: En ocasiones había un problema de gestión de estado en la autenticación de la contraseña. El problema se ha solucionado mejorando la gestión de estado.

    ID CVE

    CVE-2015-3799: Un investigador anónimo en colaboración con la Zero Day Initiative de HP

  • AppleGraphicsControl

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Una aplicación creada con fines malintencionados podría ser capaz de determinar el diseño de la memoria de kernel

    Descripción: Había un problema en AppleGraphicsControl que podría provocar la revelación del diseño de la memoria de kernel. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2015-5768: JieTao Yang de KeenTeam

  • Bluetooth

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Un usuario local podría ejecutar código arbitrario con privilegios de sistema

    Descripción: Había un problema de corrupción de la memoria en IOBluetoothHCIController. Este problema se ha solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-3779: Teddy Reed de Facebook Security

  • Bluetooth

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Una aplicación creada con fines malintencionados podría ser capaz de determinar el diseño de la memoria de kernel

    Descripción: Había un problema de gestión de la memoria que podía provocar la revelación del diseño de la memoria de kernel. Este problema se ha solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-3780: Roberto Paleari y Aristide Fattori de Emaze Networks

  • Bluetooth

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Una app creada con fines malintencionados podría ser capaz de acceder a las notificaciones de otros dispositivos de iCloud

    Descripción: Había un problema que hacía que una app creada con fines malintencionados pudiera acceder a las notificaciones del Centro de notificaciones de un dispositivo iOS o un Mac conectado por Bluetooth a través del servicio de centro de notificaciones de Apple. El problema afectaba a los dispositivos que utilizaban Handoff y habían iniciado sesión en la misma cuenta de iCloud. Este problema se ha solucionado revocando el acceso al servicio de centro de notificaciones de Apple.

    ID CVE

    CVE-2015-3786: Xiaolong Bai (Universidad de Tsinghua), System Security Lab (Universidad de Indiana), Tongxin Li (Universidad de Pekín) y XiaoFeng Wang (Universidad de Indiana)

  • Bluetooth

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Un atacante con una posición de red privilegiada podría ser capaz de realizar un ataque de denegación del servicio utilizando paquetes Bluetooth incorrectamente formados

    Descripción: Había un problema de validación de entradas al analizar los paquetes Bluetooth ACL. Este problema se ha solucionado mejorando la validación de las entradas.

    ID CVE

    CVE-2015-3787: Trend Micro

  • Bluetooth

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Un atacante local podría ser capaz de provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Había varios problemas de exceso de datos en el buffer en la gestión de los mensajes XPC que llevaba a cabo blued. Estos problemas se han solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2015-3777: mitp0sh de [PDX]

  • bootp

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Una red Wi-Fi creada con fines malintencionados podría ser capaz de determinar las redes a las que ha accedido un dispositivo previamente

    Descripción: Al conectarse a una red Wi-Fi, iOS podría transmitir las direcciones MAC de las redes a las que se ha accedido previamente por medio del protocolo DNAv4. Este problema se ha solucionado desactivando DNAv4 en las redes Wi-Fi no cifradas.

    ID CVE

    CVE-2015-3778: Piers O'Hanlon de Oxford Internet Institute, Universidad de Oxford (para el proyecto EPSRC Being There)

  • CloudKit

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Una aplicación creada con fines malintencionados podría ser capaz de acceder al registro de usuarios de iCloud de un usuario que se ha conectado previamente

    Descripción: Había una inconsistencia de estado en CloudKit cuando los usuarios se desconectaban. Este problema se ha solucionado mejorando la gestión de estado.

    ID CVE

    CVE-2015-3782: Deepkanwal Plaha de la Universidad de Toronto

  • CoreMedia Playback

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Visualizar un archivo de película creado con fines malintencionados podría provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario

    Descripción: Había problemas de corrupción de la memoria en CoreMedia Playback. Estos problemas se han solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-5777: Apple

    CVE-2015-5778: Apple

  • CoreText

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 a v10.10.4

    Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Había un problema de corrupción de la memoria en el procesamiento de archivos de tipo de letra. Este problema se ha solucionado mejorando la validación de las entradas.

    ID CVE

    CVE-2015-5761: John Villamil (@day6reak), Yahoo Pentest Team

  • CoreText

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Había un problema de corrupción de la memoria en el procesamiento de archivos de tipo de letra. Este problema se ha solucionado mejorando la validación de las entradas.

    ID CVE

    CVE-2015-5755: John Villamil (@day6reak), Yahoo Pentest Team

  • curl

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Había varias vulnerabilidades en las versiones de cURL y libcurlprior anteriores a la 7.38.0. Una de ellas podría permitir que atacantes remotos desactivaran la política del mismo origen.

    Descripción: Había varias vulnerabilidades en las versiones de cURL y libcurl anteriores a la 7.38.0. Estos problemas se solucionaron actualizando cURL a la versión 7.43.0.

    ID CVE

    CVE-2014-3613

    CVE-2014-3620

    CVE-2014-3707

    CVE-2014-8150

    CVE-2014-8151

    CVE-2015-3143

    CVE-2015-3144

    CVE-2015-3145

    CVE-2015-3148

    CVE-2015-3153

  • Data Detectors Engine

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Procesar una secuencia de caracteres Unicode podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Había problemas de corrupción de la memoria al procesar caracteres Unicode. Estos problemas se han solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-5750: M1x7e1 de Safeye Team (www.safeye.org)

  • Panel de preferencias de fecha y hora

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Las aplicaciones que se basan en la hora del sistema podrían mostrar un comportamiento inesperado

    Descripción: Había un problema de autorización al modificar las preferencias de fecha y hora del sistema. Este problema se ha solucionado con comprobaciones de autorización adicionales.

    ID CVE

    CVE-2015-3757: Mark S C Smith

  • Aplicación Diccionario

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Un atacante con una posición de red privilegiada podría ser capaz de interceptar las consultas realizadas por los usuarios en la app Diccionario

    Descripción: Había un problema en la app Diccionario que no protegía adecuadamente las comunicaciones de los usuarios. Este problema se ha solucionados trasladando las consultas de Diccionario a HTTPS.

    ID CVE

    CVE-2015-3774: Jeffrey Paul de EEQJ, Jan Bee de Google Security Team

  • DiskImages

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Procesar un archivo DMG creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario con privilegios de sistema

    Descripción: Había un problema de corrupción de la memoria al analizar las imágenes DMG incorrectamente formadas. Este problema se ha solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-3800: Frank Graziano de Yahoo Pentest Team 

  • dyld

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Un usuario local podría ejecutar código arbitrario con privilegios de sistema

    Descripción: Había un problema de validación de rutas en dyld. Este problema se ha solucionado mejorando el saneamiento del entorno.

    ID CVE

    CVE-2015-3760: beist de grayhash, Stefan Esser

  • FontParser

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 a v10.10.4

    Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Había un problema de corrupción de la memoria en el procesamiento de archivos de tipo de letra. Este problema se ha solucionado mejorando la validación de las entradas.

    ID CVE

    CVE-2015-3804: Apple

    CVE-2015-5775: Apple

  • FontParser

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 a v10.10.4

    Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Había un problema de corrupción de la memoria en el procesamiento de archivos de tipo de letra. Este problema se ha solucionado mejorando la validación de las entradas.

    ID CVE

    CVE-2015-5756: John Villamil (@day6reak), Yahoo Pentest Team

  • groff

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Había varios problemas en pdfroff

    Descripción: Había varios problemas en pdfroff, el más grave de ellos podría permitir la modificación del sistema de archivos arbitrario. Estos problemas se han solucionado eliminando pdfroff.

    ID CVE

    CVE-2009-5044

    CVE-2009-5078

  • ImageIO

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Procesar una imagen TIFF creada con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Había un problema de corrupción de la memoria en el procesamiento de las imágenes TIFF. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2015-5758: Apple

  • ImageIO

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Visitar un sitio web creado con fines malintencionados podría provocar la revelación de la memoria de procesos

    Descripción: Había un problema de acceso a la memoria no inicializada en la gestión que hacía ImageIO de las imágenes PNG y TIFF. Visitar un sitio web creado con fines malintencionados podría provocar el envío de datos desde la memoria de procesos al sitio web. Este problema se ha solucionado mejorando la inicialización de la memoria y la validación adicional de las imágenes PNG y TIFF.

    ID CVE

    CVE-2015-5781: Michal Zalewski

    CVE-2015-5782: Michal Zalewski

  • Instalación de estructuras antiguas

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Una aplicación creada con fines malintencionados podría ejecutar código arbitrario con privilegios root

    Descripción: Había un problema en cómo el binario "runner" de Install.framework suprimía los privilegios. Este problema se ha solucionado mejorando la gestión de los privilegios.

    ID CVE

    CVE-2015-5784: Ian Beer de Google Project Zero

  • Instalación de estructuras antiguas

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios de sistema

    Descripción: Había un estado de carrera en el binario "runner" de Install.framework que provocaba que los privilegios se suprimieran incorrectamente. Este problema se ha solucionado mejorando el bloqueo de objetos.

    ID CVE

    CVE-2015-5754: Ian Beer de Google Project Zero

  • IOFireWireFamily

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Un usuario local podría ejecutar código arbitrario con privilegios de sistema

    Descripción: Había problemas de corrupción de la memoria en IOFireWireFamily. Estos problemas se han solucionado añadiendo validación adicional de entrada de escritura.

    ID CVE

    CVE-2015-3769: Ilja van Sprundel

    CVE-2015-3771: Ilja van Sprundel

    CVE-2015-3772: Ilja van Sprundel

  • IOGraphics

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios de sistema

    Descripción: Había un problema de corrupción de la memoria en IOGraphics. Este problema se ha solucionado añadiendo validación adicional de entrada de escritura.

    ID CVE

    CVE-2015-3770: Ilja van Sprundel

    CVE-2015-5783: Ilja van Sprundel

  • IOHIDFamily

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Un usuario local podría ejecutar código arbitrario con privilegios de sistema

    Descripción: Había un problema de exceso de datos en el buffer en IOHIDFamily. Este problema se ha solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-5774: TaiG Jailbreak Team

  • Kernel

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Una aplicación creada con fines malintencionados podría ser capaz de determinar el diseño de la memoria de kernel

    Descripción: Había un problema en la interfaz mach_port_space_info que podría provocar la revelación del diseño de la memoria de kernel. Este problema se ha solucionado desactivando la interfaz mach_port_space_info.

    ID CVE

    CVE-2015-3766: Cererdlong de Alibaba Mobile Security Team, @PanguTeam

  • Kernel

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios de sistema

    Descripción: Había un desbordamiento de enteros en la gestión de funciones IOKit. Este problema se ha solucionado mejorando la validación de los argumentos de la API IOKit.

    ID CVE

    CVE-2015-3768: Ilja van Sprundel

  • Kernel

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Un usuario local podría ser capaz de provocar la denegación de servicio del sistema

    Descripción: Había un problema de agotamiento de recursos en el driver fasttrap. Este problema se ha solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-5747: Maxime VILLARD de m00nbsd

  • Kernel

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Un usuario local podría ser capaz de provocar la denegación de servicio del sistema

    Descripción: Había un problema en el montaje de los volúmenes HFS. Este problema se ha solucionado añadiendo comprobaciones adicionales.

    ID CVE

    CVE-2015-5748: Maxime VILLARD de m00nbsd

  • Kernel

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Una aplicación creada con fines malintencionados podría ser capaz de ejecutar código no firmado

    Descripción: Había un problema que permitía que el código no firmado se agregara al código firmado en un archivo ejecutable creado específicamente. Este problema se ha solucionado mejorando la validación de firma del código.

    ID CVE

    CVE-2015-3806: TaiG Jailbreak Team

  • Kernel

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Un archivo ejecutable creado específicamente podría permitir la ejecución de código no firmado creado con fines malintencionados

    Descripción: Había un problema en la forma en que los archivos ejecutables multiarquitectura se evaluaban para permitir que el código no firmado se ejecutara. Este problema se ha solucionado mejorando la validación de los archivos ejecutables.

    ID CVE

    CVE-2015-3803: TaiG Jailbreak Team

  • Kernel

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Un usuario local podría ser capaz de ejecutar código no firmado

    Descripción: Había un problema de validación en la gestión de los archivos Mach-O. Este problema se ha solucionado añadiendo comprobaciones adicionales.

    ID CVE

    CVE-2015-3802: TaiG Jailbreak Team

    CVE-2015-3805: TaiG Jailbreak Team

  • Kernel

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Analizar un archivo plist creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario con privilegios de sistema

    Descripción: Había un problema de corrupción de la memoria en el procesamiento de archivos plist incorrectamente formados. Este problema se ha solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-3776: Teddy Reed de Facebook Security, Patrick Stein (@jollyjinx) de Jinx Germany

  • Kernel

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Un usuario local podría ejecutar código arbitrario con privilegios de sistema

    Descripción: Había un problema de validación de rutas. Este problema se ha solucionado mejorando el saneamiento del entorno.

    ID CVE

    CVE-2015-3761: Apple

  • Libc

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: El procesamiento de una expresión regular creada con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Había problemas de corrupción de la memoria en la biblioteca TRE. Estos problemas se han solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-3796: Ian Beer de Google Project Zero

    CVE-2015-3797: Ian Beer de Google Project Zero

    CVE-2015-3798: Ian Beer de Google Project Zero

  • Libinfo

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 a v10.10.4

    Impacto: Un atacante remoto podría ser capaz de provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Había problemas de corrupción de la memoria en la gestión de los sockets AF_INET6. Estos problemas se han solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-5776: Apple

  • libpthread

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios de sistema

    Descripción: Había un problema de corrupción de la memoria en la gestión de las llamadas del sistema. Este problema se ha solucionado mejorando la comprobación del estado de bloqueo.

    ID CVE

    CVE-2015-5757: Lufeng Li de Qihoo 360

  • libxml2

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 a v10.10.4

    Impacto: Había varias vulnerabilidades en las versiones de libxml2 anteriores a la 2.9.2; la más grave de ellas podría provocar que un atacante remoto provocara la denegación de servicio

    Descripción: Había varias vulnerabilidades en las versiones de libxml2 anteriores a la 2.9.2. Estos problemas se han solucionado actualizando libxml2 a la versión 2.9.2.

    ID CVE

    CVE-2012-6685: Felix Groebert de Google

    CVE-2014-0191: Felix Groebert de Google

  • libxml2

    Disponible para: OS X Mavericks v10.9.5 y OS X Yosemite v10.10 a v10.10.4

    Impacto: Analizar un documento XML creado con fines malintencionados podría provocar la revelación de información del usuario

    Descripción: Había un problema de acceso a la memoria en libxml2. Este problema se ha solucionado mejorando la gestión de la memoria

    ID CVE

    CVE-2014-3660: Felix Groebert de Google

  • libxml2

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 a v10.10.4

    Impacto: Analizar un documento XML creado con fines malintencionados podría provocar la revelación de información del usuario

    Descripción: Había un problema de corrupción de la memoria en el análisis de archivos XML. Este problema se ha solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-3807: Apple

  • libxpc

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios de sistema

    Descripción: Había un problema de corrupción de la memoria en la gestión de mensajes XPC incorrectamente formados. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2015-3795: Mathew Rowley

  • mail_cmds

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Un usuario local podría ser capaz de ejecutar comandos de shell arbitrarios

    Descripción: Había un problema de validación en el análisis mailx de las direcciones de correo electrónico. Este problema se ha solucionado mejorando el saneamiento.

    ID CVE

    CVE-2014-7844

  • Centro de notificaciones de OSX

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Una aplicación creada con fines malintencionados podría ser capaz de acceder a todas las notificaciones mostradas previamente a los usuarios

    Descripción: Había un problema en el Centro de notificaciones que impedía la correcta eliminación de las notificaciones de los usuarios. Este problema se ha solucionado eliminando correctamente las notificaciones aceptadas por los usuarios.

    ID CVE

    CVE-2015-3764: Jonathan Zdziarski

  • ntfs

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Un usuario local podría ejecutar código arbitrario con privilegios de sistema

    Descripción: Había un problema de corrupción de la memoria en NTFS. Este problema se ha solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-5763: Roberto Paleari y Aristide Fattori de Emaze Networks

  • OpenSSH

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Los atacantes remotos podrían ser capaces de eludir un retraso de tiempo de los intentos fallidos de inicio de sesión y realizar ataques de fuerza bruta

    Descripción: Había un problema al procesar dispositivos con los que se puede interactuar mediante el teclado. Este problema se ha solucionado mejorando la validación de la solicitud de autenticación.

    ID CVE

    CVE-2015-5600

  • OpenSSL

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 a v10.10.4

    Impacto: Había varias vulnerabilidades en las versiones de OpenSSL anteriores a la 0.9.8zg; la más grave de ellas podría permitir que un atacante remoto provocara la denegación del servicio.

    Descripción: Había varias vulnerabilidades en las versiones de OpenSSL anteriores a la 0.9.8zg. Estos problemas se han solucionado actualizando OpenSSL a la versión 0.9.8zg.

    ID CVE

    CVE-2015-1788

    CVE-2015-1789

    CVE-2015-1790

    CVE-2015-1791

    CVE-2015-1792

  • perl

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Analizar una expresión regular creada con fines malintencionados podría provocar la revelación del cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Había un problema de subdesbordamiento de enteros en la forma en que Perl analiza las expresiones regulares. Este problema se ha solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2013-7422

  • PostgreSQL

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 a v10.10.4

    Impacto: Un atacante podría ser capaz de provocar el cierre inesperado de una aplicación u obtener acceso a los datos sin la autenticación pertinente

    Descripción: Había varios problemas en PostgreSQL 9.2.4 que se han solucionado actualizando PostgreSQL a 9.2.13.

    ID CVE

    CVE-2014-0067

    CVE-2014-8161

    CVE-2015-0241

    CVE-2015-0242

    CVE-2015-0243

    CVE-2015-0244

  • python

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Había varias vulnerabilidades en Python 2.7.6, las más grave de ellas podría provocar la ejecución de código arbitrario

    Descripción: Había varias vulnerabilidades en las versiones de Python anteriores a la 2.7.6 que se han solucionado actualizando Python a la versión 2.7.10.

    ID CVE

    CVE-2013-7040

    CVE-2013-7338

    CVE-2014-1912

    CVE-2014-7185

    CVE-2014-9365

  • QL Office

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 a v10.10.4

    Impacto: Analizar un documento de Office creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Había un problema de corrupción de la memoria al analizar documentos de Office. Este problema se ha solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-5773: Apple

  • QL Office

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Analizar un archivo XML creado con fines malintencionados podría provocar la revelación de la información de los usuarios

    Descripción: Había un problema de referencia de entidad externa en el análisis de archivos XML. Este problema se ha solucionado mejorando el análisis.

    ID CVE

    CVE-2015-3784: Bruno Morisson de INTEGRITY S.A.

  • Quartz Composer Framework

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 a v10.10.4

    Impacto: Analizar un archivo de QuickTime creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Había un problema de corrupción de la memoria al analizar archivos de QuickTime. Este problema se ha solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-5771: Apple

  • Vista Rápida

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Buscar un sitio web visitado anteriormente podría ocasionar el inicio de un navegador web y la aparición de dicho sitio web

    Descripción: Había un problema que conseguía que QuickLook tuviera la capacidad de ejecutar JavaScript. El problema se ha solucionado desactivando la ejecución de JavaScript.

    ID CVE

    CVE-2015-3781: Andrew Pouliot de Facebook y Anto Loyola de Qubole

  • QuickTime 7

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 a v10.10.4

    Impacto: El procesamiento de un archivo creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Había varios problemas de corrupción de memoria en QuickTime. Estos problemas se han solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-3772

    CVE-2015-3779

    CVE-2015-5753: Apple

    CVE-2015-5779: Apple

  • QuickTime 7

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 a v10.10.4

    Impacto: El procesamiento de un archivo creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Había varios problemas de corrupción de la memoria en QuickTime. Estos problemas se han solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-3765: Joe Burnett de Audio Poison

    CVE-2015-3788: Ryan Pentney y Richard Johnson de Cisco Talos

    CVE-2015-3789: Ryan Pentney y Richard Johnson de Cisco Talos

    CVE-2015-3790: Ryan Pentney y Richard Johnson de Cisco Talos

    CVE-2015-3791: Ryan Pentney y Richard Johnson de Cisco Talos

    CVE-2015-3792: Ryan Pentney y Richard Johnson de Cisco Talos

    CVE-2015-5751: WalkerFuz

  • SceneKit

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Ver un archivo de Collada creado con fines malintencionados podría provocar la ejecución de código arbitrario

    Descripción: Había un exceso de datos en el buffer de pila en la gestión que hacía SceneKit de los archivos de Collada. Este problema se ha solucionado mejorando la validación de las entradas.

    ID CVE

    CVE-2015-5772: Apple

  • SceneKit

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 a v10.10.4

    Impacto: Un atacante remoto podría ser capaz de provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Había un problema de corrupción de la memoria en SceneKit. Este problema se ha solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-3783: Haris Andrianakis de Google Security Team

  • Seguridad

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Un usuario estándar podría ser capaz de obtener acceso a privilegios de administrador sin la autenticación pertinente

    Descripción: Había un problema en la gestión de la autenticación del usuario. Este problema se ha solucionado mejorando las comprobaciones de autenticación.

    ID CVE

    CVE-2015-3775: [Eldon Ahrold]

  • SMBClient

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Un atacante remoto podría ser capaz de provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Había un problema de corrupción de la memoria en el cliente SMB. Este problema se ha solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-3773: Ilja van Sprundel

  • IU de Habla

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Analizar una cadena Unicode creada con fines malintencionados con las alertas de Habla activadas podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Había un problema de corrupción de la memoria en la gestión de las cadenas Unicode. Este problema se ha solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-3794: Adam Greenbaum de Refinitive

  • sudo

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Había varias vulnerabilidades en las versiones de sudo anteriores a la 1.7.10p9; la más grave de ellas podría permitir que un atacante accediera a archivos arbitrarios

    Descripción: Había varias vulnerabilidades en las versiones de sudo anteriores a la 1.7.10p9. Estos problemas se han solucionado actualizando sudo a la versión 1.7.10p9.

    ID CVE

    CVE-2013-1775

    CVE-2013-1776

    CVE-2013-2776

    CVE-2013-2777

    CVE-2014-0106

    CVE-2014-9680

  • tcpdump

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Había varias vulnerabilidades en tcpdump 4.7.3; la más grave de ellas podría permitir que un atacante remoto provocara la denegación de servicio.

    Descripción: Había varias vulnerabilidades en las versiones de tcpdump anteriores a la 4.7.3. Estos problemas se han solucionado actualizando tcpdump a la versión 4.7.3.

    ID CVE

    CVE-2014-8767

    CVE-2014-8769

    CVE-2014-9140

  • Formatos de texto

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Analizar un archivo de texto creado con fines malintencionados podría provocar la revelación de la información del usuario

    Descripción: Había un problema de referencia de entidades externas XML con el análisis de TextEdit. Este problema se ha solucionado mejorando el análisis.

    ID CVE

    CVE-2015-3762: Xiaoyong Wu de Evernote Security Team

  • udf

    Disponible para: OS X Yosemite v10.10 a v10.10.4

    Impacto: Procesar un archivo DMG creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario con privilegios de sistema

    Descripción: Había un problema de corrupción de la memoria al analizar las imágenes DMG incorrectamente formadas. Este problema se ha solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-3767: beist de grayhash

OS X Yosemite v10.10.5 incluye el contenido de seguridad de Safari 8.0.8.

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se proporciona sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, rendimiento o uso de sitios web o productos de terceros. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Ponte en contacto con el proveedor para obtener información adicional. Otros nombres de empresas o productos pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: